我正在使用Red Hat 8(rhel8),我的家用路由器是运行OpenVPN服务器的华硕AC5300。但是我在网络管理器中的rhel8 VPN无法连接到我的OpenVPN服务器。
这是我收到的错误消息:
[root @ my-machine〜]#journalctl -f nm-openvpn [30404]:TLS错误:不支持的协议。这通常表明客户端和服务器没有启用通用的TLS版本。这可能是由于客户端和服务器上的tls-version-min和tls-version-max选项不匹配引起的。如果您的OpenVPN客户端介于v2.3.6和v2.3.2之间,请尝试将tls-version-min 1.0添加到客户端配置中,以使用TLS 1.0+,而不是仅使用TLS 1.0
[root @ my-machine〜]#openvpn --version
OpenVPN 2.4.7 x86_64-redhat-linux-gnu
我尝试将tls-version-min 1.0添加到我的.ovpn文件中,但仍然无法正常工作。
注意:在Linux Ubuntu中它可以正常工作,但不能使用Red Hat 8
答案 0 :(得分:0)
似乎您在使用TLS时遇到问题...请看一下此检查,也许要看一下SSL证书:
检查证书名称不匹配
在此特定情况下,迁移到Kinsta的客户的证书名称不匹配,这引发了ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误。从下面的SSL Labs测试中可以看出,这非常快速且易于诊断。如SSL Labs所述,不匹配可能是许多原因,例如:
The site does not use SSL, but shares an IP address with some other site that does.
The site no longer exists, yet the domain still points to the old IP address, where some other site is now hosted.
The site uses a content delivery network (CDN) that doesn’t support SSL.
The domain name alias is for a website whose name is different, but the alias was not included in the certificate.
证书名称不匹配
检查证书上当前域名问题的另一种简便方法是在网站上打开Chrome DevTools。右键单击网站上的任意位置,然后单击“检查”。然后单击“安全性”选项卡,然后单击“查看证书”。颁发的域将显示在证书信息中。如果这与您当前所在的站点不匹配,则存在问题。 检查SSL证书上已发布的域
检查SSL证书上的已发布域
尽管请记住,存在通配符证书和其他变体,但是对于典型站点,它应该完全匹配。但是,就我们而言,ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误实际上阻止了我们在Chrome DevTools中对其进行检查。这就是SSL Labs之类的工具可以派上用场的地方。 检查旧的TLS版本
另一个可能的原因是Web服务器上运行的TLS版本过旧。理想情况下,它应该至少运行TLS 1.2(更好的是TLS 1.3)。如果您是Kinsta客户,则不必担心这一点,因为我们始终将服务器升级到最新和受支持的最大版本。 Kinsta在我们所有服务器和Kinsta CDN上均支持TLS 1.3。 Cloudflare还默认启用TLS 1.3。
(建议阅读:如果您使用的是旧版TLS版本,则可能要在Chrome中修复ERR_SSL_OBSOLETE_VERSION通知)。
SSL Labs工具也可以提供帮助。在配置下,它将显示具有该证书的服务器上运行的TLS的当前版本。如果旧的,请联系您的主机,并要求他们更新其TLS版本。 TLS 1.3服务器支持
TLS 1.3服务器支持 检查RC4密码套件
根据Google针对ERR_SSL_VERSION_OR_CIPHER_MISMATCH的文档,另一个原因是RC4密码套件已在Chrome版本48中删除。这不是很常见,但这可能发生在需要RC4的大型企业部署中。为什么?因为通常情况下,在更大,更复杂的配置中进行升级和更新通常需要更长的时间。
安全研究人员,Google和Microsoft建议禁用RC4。因此,您应确保使用其他密码套件启用服务器配置。您可以在SSL Labs工具中查看当前的密码套件(如下所示)。 密码套件
密码套件 尝试清除计算机上的SSL状态
要尝试的另一件事是清除Chrome中的SSL状态。就像清除浏览器的缓存一样,这在某些情况下有时可能会有所帮助。要在Windows上的Chrome中清除SSL状态,请按照以下步骤操作:
Click the Google Chrome – Settings icon (Settings) icon, and then click Settings.
Click Show advanced settings.
Under Network, click Change proxy settings. The Internet Properties dialog box appears.
Click the Content tab.
Click “Clear SSL state”, and then click OK.
Restart Chrome.
在Windows上的Chrome中清除SSL状态
在Windows上的Chrome中清除SSL状态
如果您使用的是Mac,请参阅以下有关如何删除SSL证书的说明。 使用新的操作系统
随着浏览器停止支持TLS 1.3和最新的密码套件等较新的技术,较旧的操作系统已过时。最新的SSL证书中的特定组件将仅停止工作。实际上,谷歌浏览器在2015年取消了Windows XP的支持。我们始终建议尽可能升级到较新的操作系统,例如Windows 10或最新版本的Mac OSX。 暂时禁用防病毒软件
如果您仍然看到ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误,我们建议尝试的最后一件事是确保您没有运行防病毒程序。或者尝试暂时禁用它。某些防病毒程序使用自己的证书在浏览器和网络之间创建一层。有时可能会导致问题。