Aller au contenu

OpenVPN et Tunnelblick : besoin de conseils


lightman77

Messages recommandés

Bonjour,

J'ai mis en place avec succès sur mon NAS Synology un accès VPN, dans le but de pouvoir y accéder, aujourd'hui depuis MacOS et iOS, demain depuis Windows et Linux.

J'ai fait le choix du protocole OpenVPN sur le Syno et implémenté OpenVPN sur les clients grâce à Tunnelblick et l'app OpenVPN. Chiffrement : AES-256-CBC / Authentification : SHA512.

Tout cela fonctionn(ait) bien malgré une alerte d'obsolescence du chiffrement AES-256-CBC. Aujourd'hui c'est chose faite sur iOS. OpenVPN l'a retiré dans sa dernière version (historique dans l'AppStore). Du coup j'ai perdu l'accès à mon NAS depuis mon iPhone. Précision : pour Tunnelblick, c'est comp-lzo qui est déprécié depuis OpenVPN 2.4.

Il faudrait que je change de chiffrement, mais dans la liste impressionnante proposée par le NAS, je ne sais pas lequel choisir en remplacement. Un conseil pour une solution pérenne ?

 

Modifié par lightman77
Précisions
Lien vers le commentaire
Partager sur d’autres sites

Voilà ce que j’utilise en serveur pour ma part sur vps :

ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers "TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:EECDH+CHACHA20:EECDH+AESGCM";
ssl_ecdh_curve secp384r1;

C’était dans le haut du panier il y a un an, cela t’aidera dans ton choix j’espère 🙂

 

Lien vers le commentaire
Partager sur d’autres sites

Hum, merci de ta réponse @Einsteinium mais le TLS c'est pour les mails je crois. De toutes façons il n'y a pas ça dans les choix de chiffrement.

En croisant le message de Tunnelblick sur comp-lzo et l'option "Activer la compression sur la liaison VPN" sur le Syno, j'ai fait l'essai de la décocher, ce qui a pour effet de supprimer la ligne comp-lzo du fichier de config. Ça a l'air de fonctionner.

Mais comme d'autres vont être concernés dans l'avenir et passeront par là, je veux bien l'avis d'autres personnes, que je remercient d'avance.

Modifié par lightman77
Lien vers le commentaire
Partager sur d’autres sites

il y a 21 minutes, lightman77 a dit :

mais le TLS c'est pour les mails je crois.

OpenVPN utilise comme méthode de chiffrement le SSL et le TLS, le premier étant déprécié face au TLS

il y a 23 minutes, lightman77 a dit :

Activer la compression sur la liaison VPN

C’est une option à bannir pour sa vulnérabilité et depuis plusieurs années.


Concernant ce que j’ai mis, je penses qu’il faut lire dans ton cas :

 

TLS13-CHACHA20-POLY1305-SHA256 => 
CHACHA20-POLY1305 / SHA256

 

Tu peux faire une capture de l’interface en masquant les informations sensibles ? Cela m’évitera l’installation du paquet 🙂

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.