Actualmente me estoy familiarizando con OpenVPN al construir y probar algunas infraestructuras cliente-servidor utilizando la estación de trabajo VMware.
Esto es lo que noté recientemente: si cambia manualmente algunos valores en la clave ta. del cliente, aún podrá conectarse al servidor, no aparecerán errores ni advertencias en el registro durante el proceso de conexión.
Ejemplo: Mi clave actual, que es la misma en el lado del cliente y del servidor, se ve así:
----- COMIENZO OpenVPN tecla estática V1 ----- 135e25bb334841d0144bc9cada39d8f4 dc4185d5d78289e6b449d2616d808baa 149a110f3985d5b5698d0766f0e91826
96fd9f886210f30cd4198713f7e5268d 02d5b88276e36c0152a1e117e02b02f5
3918ddfaead2efa1760224024f9426dc 02e4f660da96c22fa9256374b72d5e95
f0f154fb5acb65af4934e17a31d0bab3 1c96053d7c9ffac4e91da542bdff3bdc
146b3dc28f484609d8d2b95e6b7b9ecb 0919f3a7bd1275810da8851b8699ab2c
3d4f03e54ad77ec4a8b76cebfeac98d1 4c81af32861be3c396469710c0cfe4ea
4b8285dd5dd925d2c4a9ba976ea137da cdaf8af33d0a69a341df41d1873f8e0f
f30627ac336f6dd4dfe607efdf135740
----- FINAL OpenVPN tecla estática V1 -----
Ahora, en el lado del cliente, le hago algunos cambios, por ejemplo, establezca los valores de los 4 primeros y últimos en 0, para que se vea así:
----- COMIENZO OpenVPN tecla estática V1 ----- 000025bb334841d0144bc9cada39d8f4 dc4185d5d78289e6b449d2616d808baa 149a110f3985d5b5698d0766f0e91826
96fd9f886210f30cd4198713f7e5268d 02d5b88276e36c0152a1e117e02b02f5
3918ddfaead2efa1760224024f9426dc 02e4f660da96c22fa9256374b72d5e95
f0f154fb5acb65af4934e17a31d0bab3 1c96053d7c9ffac4e91da542bdff3bdc
146b3dc28f484609d8d2b95e6b7b9ecb 0919f3a7bd1275810da8851b8699ab2c
3d4f03e54ad77ec4a8b76cebfeac98d1 4c81af32861be3c396469710c0cfe4ea
4b8285dd5dd925d2c4a9ba976ea137da cdaf8af33d0a69a341df41d1873f8e00
f30627ac336f6dd4dfe607efdf130000
----- FINAL OpenVPN tecla estática V1 -----
Y, sorprendentemente, todavía puedo conectarme al servidor. Solo si genero una clave completamente nueva con
El comando openvpn --genkey --secret ta2.key
y lo usa en lugar del antiguo, solo así obtendré un error al intentar conectarme al servidor:
Viernes, 7 de septiembre 11:33:04 2018 us = 232609 Error TLS: paquete entrante la autenticación falló desde [AF_INET] 192.168.1.2:33596
Viernes, 7 de septiembre 11:33:12 2018 us = 212985 Error de autenticación / descifrado de paquete: la autenticación del paquete HMAC falló
Entonces, ¿cómo es esto posible? Pensé que cambiar un solo bit en la clave debería llevar a un error de autenticación, pero no lo hace. ¿Alguna idea?
-
Versión de OpenVPN, si es necesario:
OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH / PKTINFO] [AEAD] construido el 18 de Julio de 2017