[Ninux-Calabria] NinucsWRT BB openvpn-nossl

Stefano De Carlo stefanauss a gmail.com
Mer 13 Ago 2014 16:44:05 CEST


Il 12/08/2014 20:51, Stefano De Carlo ha scritto:
> Il 11/08/2014 04:09, Giuseppe De Marco ha scritto:
>> root a GroundRamingoGrid:/etc/openvpn# openvpn test.ovpn
>> Options error: Unrecognized option or missing parameter(s) in
>> test.ovpn:16: client (2.3.4)
>> Use --help for more information.
>>
>> con qualsiasi file di configurazione, sia client che server.
> Confirmed.

Il problema è che questo sembra essere il comportamento corretto, nel
senso che senza SSL, OpenVPN non ha alcun meccanismo neanche per
autenticare, anche il banalissimo metodo (--auth-user-pass, static keys)
nome utente e password si basano su TLS.

http://openvpn.net/archive/openvpn-users/2006-09/msg00154.html
http://openvpn.net/index.php/open-source/documentation/howto.html#auth

Ma a parte messaggi di 8 anni fa che comunque sono gli unici
riferimenti, basta guardarsi gli ifdef dei sorgenti

https://github.com/OpenVPN/openvpn/blob/master/src/openvpn/options.c

per capire che senza SSL le opzioni che ci falliscono, effettivamente,
non esistono.

Anche "client", ci dice man openvpn, è un wrapper dell'opzione
tls-client + pull, che come dice il nome, senza tls non esiste.

A quando pare, dunque, semplicemente prima le opzioni fallivano
silenziosamente, o comunque era presente una compatibilità, ma a sto
punto è certo che quando usavamo openvpn-nossl non stavamo utilizzando
nessuna autenticazione, e le chiavi erano lì farloccamente.

A questo punto dobbiamo cominciare a pensare alle alternative, perché
praticamente openvpn-nossl senza auth nè encryption equivale ad un
tunnel GRE un po' più integrato in OpenWrt:

- Proseguiamo sulla strada di openvpn-nossl, quindi no auth ne
encryption per i BB 4MiB
- Switchiamo a openvpn-polarssl-client-only?
- Switchiamo a L2TP?

In particolare, per far si che questo non ritardi l'imminente release,
le opzioni sono
- openvpn-polarssl-client-only per il momento sui BB 4 MiB?
- niente openvpn per il momento sui BB 4 MiB?

Io preferirei, al momento, rilasciare senza openvpn sui BB 4 MiB, con
openvpn-polarssl-client-only poco distante al 2° posto.

Stefanauss.

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  819 bytes
Descrizione: OpenPGP digital signature
URL:         <http://ml.ninux.org/pipermail/calabria/attachments/20140813/51e73f52/attachment-0001.sig>


Maggiori informazioni sulla lista Calabria