http://mikrotik.moscow Новое в теме openvpn и AES-256-GCM форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sat, 04 Apr 2026 10:28:02 +0300 openvpn и AES-256-GCM RouterOS в форуме RouterOS.
AES-GCM (128/192/256) был добавлен в RouterOS 7.8 в феврале 2023 года (только после того, как его уже почти везде вставили, где используется шифрование…).
02.12.2023 01:38:00, bluecrow76.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379180 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379180 Sat, 02 Dec 2023 01:38:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Нет. Нужно добавить поддержку AES-256-GCM, AES-128-GCM и CHACHA20-POLY1305, совместимых со стандартной реализацией OpenVPN. Для меня это большая проблема.
01.12.2023 19:32:00, psztoch.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379179 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379179 Fri, 01 Dec 2023 19:32:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Итак, в RouterOS 7 всё ещё нет AES-GCM?
25.05.2022 17:37:00, MrDim.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379178 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379178 Wed, 25 May 2022 17:37:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Для тех, кто хочет получить действительно техническую информацию по этой проблеме, эта статья хорошо объясняет вопрос с AES-CBC. «Если уж совсем нет выбора и нужно использовать CBC, то всё ещё можно обеспечить безопасность, вычисляя код аутентификации сообщения (MAC) на основе шифротекста и IV — это можно сделать с помощью популярного алгоритма HMAC.» Чистый OpenVPN-сервер умеет добавлять дополнительный уровень защиты с помощью HMAC через опцию конфигурации tls-auth. Большинство других реализаций OpenVPN тоже это поддерживают. К сожалению, когда Mikrotik якобы написал свою собственную реализацию OpenVPN, они не реализовали множество функций (PUSH options — один из самых заметных пробелов). tls-auth — ещё одна из таких функций, и из-за этого, как описано в статье выше, VPN-туннель, зашифрованный AES-CBC без защиты HMAC, уязвим для атак. Думаю, OpenVPN правильно отказался от AES-CBC, ведь большинство используют то, что проще, а не то, что правильнее, по разным причинам. Будет интересно посмотреть, добавит ли Mikrotik альтернативные шифры, например AES-GCM, в свою реализацию OpenVPN в ближайшее время, и исправит ли другие баги OpenVPN (например, чтобы при ошибке аутентификации сервер возвращал событие AUTH_FAILED, а не NETWORK_EOF_ERROR, чтобы клиент понимал, что данные учётки неверны…).
20.04.2022 20:29:00, bluecrow76.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379177 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379177 Wed, 20 Apr 2022 20:29:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Но есть ли смысл внедрять что-то устаревшее и наполовину сделанное (нет сжатия, нет UDP, нет новых шифров и так далее)?
11.08.2021 15:43:00, essides.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379176 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379176 Wed, 11 Aug 2021 15:43:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Это так, но всё равно работает…
11.08.2021 15:38:00, Zacharias.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379175 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379175 Wed, 11 Aug 2021 15:38:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Просто этот режим устарел для новой версии OpenVPN-клиента, я не говорю, что AES 256-CBC слабый.
11.08.2021 15:36:00, essides.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379174 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379174 Wed, 11 Aug 2021 15:36:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
AES 256-CBC шифр считается недостаточно надёжным? При использовании L2TP/IPsec у меня возникает проблема: когда два человека пытаются подключиться с одного IP, одного из них через некоторое время выбрасывает. @sindy объяснил, почему так происходит… Вот ссылка на разъяснение: http://forum.mikrotik.com/t/multiple-road-warrior-l2tp-ipsec-clients-behind-nat-solved/118206/1. Однако, судя по всему, это уже исправлено… *) l2tp — исправлено создание нескольких туннелей с одного удалённого IP (введено в версии v6.47); https://mikrotik.com/download/changelogs. Так что, какая у тебя версия ROS?
11.08.2021 15:25:00, Zacharias.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379173 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379173 Wed, 11 Aug 2021 15:25:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Я не пользуюсь ультра-устаревшим PPTP… Надеюсь, ты тоже нигде его не применяешь…
11.08.2021 15:25:00, rextended.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379172 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379172 Wed, 11 Aug 2021 15:25:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
С L2tp/Ipsec у меня проблема: когда два человека с одного и того же IP пытаются подключиться, одного из них через какое-то время выбрасывает. Я почитаю об этом. Спасибо.
11.08.2021 15:21:00, essides.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379171 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379171 Wed, 11 Aug 2021 15:21:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Windows 10 встроенный L2TP/IPsec https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff687761(v=ws.10)  
Windows 10 встроенный IKEv2 https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff687731(v=ws.10)
11.08.2021 15:08:00, rextended.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379170 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379170 Wed, 11 Aug 2021 15:08:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Итак, что вы предлагаете для реализации надёжной и простой VPN-системы для пользователей Windows?
11.08.2021 15:04:00, essides.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379169 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379169 Wed, 11 Aug 2021 15:04:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Это была та же фраза, которую кто-то написал в 2010 году, а сейчас весь наш основной бизнес работает на устройствах MikroTik. OpenVPN — это просто игрушка.
11.08.2021 14:59:00, rextended.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379168 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379168 Wed, 11 Aug 2021 14:59:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Это удивительно, у Mikrotik крайне медленное развитие, через пару лет он исчезнет с рынка. Есть ли какое-то надежное решение для VPN с клиентами Windows?
11.08.2021 14:55:00, essides.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379167 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379167 Wed, 11 Aug 2021 14:55:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Считайте OpenVPN заброшенным.
11.08.2021 14:42:00, rextended.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379166 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379166 Wed, 11 Aug 2021 14:42:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Та же проблема. Есть решение?
11.08.2021 14:34:00, essides.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379165 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379165 Wed, 11 Aug 2021 14:34:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Возможно да, возможно нет... зависит от обстоятельств...
11.08.2021 15:44:00, Zacharias.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379164 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379164 Wed, 11 Aug 2021 15:44:00 +0300 RouterOS openvpn и AES-256-GCM RouterOS в форуме RouterOS.
Здравствуйте, согласно openvpn, рекомендуется использовать шифр AES-256-GCM вместо AES-256-CBC. Подробнее здесь: https://openvpn.net/community-downloads/

При подключении к VPN с AES-256-GCM моё соединение сбрасывается.

Вопросы:  
a) Поддерживает ли mikrotik ovpn-сервер с шифром AES-256-GCM?  
b) Если да, как его использовать?  
c) Планирует ли mikrotik выпустить ovpn с рекомендованным шифром AES-256-GCM?

Если использовать AES-256-CBC, в логах VPN появляется следующее:  
DEPRECATED OPTION: --cipher установлен в ‘AES-256-CBC’, но отсутствует в --data-ciphers (AES-256-GCM:AES-128-GCM). Будущие версии OpenVPN будут игнорировать --cipher при согласовании шифров. Добавьте ‘AES-256-CBC’ в --data-ciphers или измените --cipher ‘AES-256-CBC’ на --data-ciphers-fallback ‘AES-256-CBC’, чтобы отключить это предупреждение.

Среда:  
openvpn community client 2.5.2 на Windows 10  
mikrotik RouterBOARD 962UiGS-5HacT2HnT, версия 6.48.1
22.04.2021 08:02:00, tob1234.]]> http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379163 http://mikrotik.moscow/forum/forum57/83697-openvpn-i-aes_256_gcm/message379163 Thu, 22 Apr 2021 08:02:00 +0300 RouterOS