iOS OpenVPN crypto_alg 미지원하는 것 있음 (RSA-SHA)

2017. 2. 27. 09:41

시놀로지 VPN 에서 암호화 알고리즘을 선택할 수 있게 업데이트 됐다고 해서 신나서 바꿔봤다.

보니까 openVPN 초기 암호화는 BF-CBC 를 쓰고 있었고 인증은 SHA1 을 쓰고 있던 상태.

다른 사이트에서 설명을 들어보니 BF-CBC가 아주 맛이 간 알고리즘은 아니지만 최신은 아니라 바꾸는게 좋겠다는 의견이 있네. ( 잘은 모르지만 나도 따라서 AES-256 으로 가기로.

이왕 하는 것, 인증도 SHA1 은 너무 옛날 거란 말이 있어서 RSA-SHA256 으로 가 봤다.


즐거운 설정놀음 결과물

오랜만에 설정하다보니 VPNConfig 내보내기 해서 다시 적용하는 걸 깜빡하긴 했지만, 어쨌든 맥용 Tunnelblick 3.7.0 (build 4790) 에서는 연결 성공하는 것을 확인함.

그런데 이런??

아이폰용 openVPN 에선 안된다. 헑? ㅆㅂ

iOS openVPN app log 를 보니...

2017-02-27 09:00:04 ----- OpenVPN Start -----

OpenVPN core 3.1.2 ios arm64 64-bit built on Dec  5 2016 12:50:25

2017-02-27 09:00:04 Frame=512/2048/512 mssfix-ctrl=1250

2017-02-27 09:00:04 EVENT: CORE_ERROR crypto_alg: RSA-SHA256: not found [ERR]

2017-02-27 09:00:04 Raw stats on disconnect:

2017-02-27 09:00:04 Performance stats on disconnect:

  CPU usage (microseconds): 1734

  Network bytes per CPU second: 0

  Tunnel bytes per CPU second: 0

2017-02-27 09:00:04 EVENT: DISCONNECT_PENDING

2017-02-27 09:00:04 ----- OpenVPN Stop -----

찾아보니 이런 글이 있네

EVENT: CORE_ERROR crypto_alg: RSA-SHA512: not found (ERR) 


It looks like your app (1.07) does not support --auth RSA-SHA512

Try without specifying --auth on the server and client. 

이런 젠장...

내건 OpenVPN core 3.1.2 ios arm64 64-bit built on Dec 5 버전인데도 그렇다. (OpenVPN 1.1.1 build 212 (iOS 64-bit)


인증을 SHA256 으로 하니까 그건 된다. 쩝...


결론 : iOS 용 openVPN 에서는 인증 알고리즘으로 RSA-SHA 는 미지원함. 그러니까 아이폰을 붙여주려면 서버에서 RSA-SHA 대신 그냥 SHA 라고 써진 걸 골라라.

닭질 결과 안되는게 있다는 것을 안 것이 수확이랄까. 에그...