在Debian斗牛上用on支持老客户

Question

我正在尝试用一个运行Debian斗牛眼和openvpn 2.5.7的服务器来替换一个运行Debian拉伸和openvpn 2.4.0的openvpn服务器，不幸的是，在旧操作系统上运行openvpn 2.3的老客户端无法连接到新服务器。我现在很难升级这些客户。客户说(审查)。

Socket Buffers: R=[163840->131072] S=[163840->131072]
UDPv4 link local: [undef]
UDPv4 link remote: [AF_INET]xx.xx.xx.xx:1194
TLS: Initial packet from [AF_INET]xx.xx.xx.xx:1194, sid=xxxxxx xxxxxx

然后挂一段时间，然后报告。

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS handshake failed

我在谷歌上搜索了一下，但很难找到解决方案，我找到了一个关于数据通道密码的答案，但事情似乎还没有发展到建立数据通道的地步。

Answer 1

因此，有两个问题需要解决，以获得一个成功的连接。

首先，旧客户端只支持TLS1.0，但bullseye的openvpn默认否认这一点(我认为默认情况与openssl库的配置有关)。通过将tls-version-min 1.0放在服务器配置中，可以重新启用TLS1.0支持。

第二个(如https://blog.zs64.net/2021/01/enabling-backwards-compatibility-in-openvpn/中所述)是数据通道密码，openvpn在默认情况下不再支持预2.4 openvpn客户端的回退密码。不过，我发现需要比在那里指定的更好的修复方法。除了设置data-cipher-fallback之外，我还必须设置data-ciphers

最后一组额外的服务器端设置是。

data-ciphers AES-256-GCM:AES-128-GCM:AES-256-CBC
data-ciphers-fallback AES-256-CBC
tls-version-min 1.0

当我在客户端的时候。

cipher AES-256-CBC