OpenVPN 2.5では、サイファのデフォルトとして BF-CBC が使用されなくなりました。そのため、OpenVPN 2.3などの古い環境との接続に問題が発生する可能性があります。
OpenVPN 2.4/2.5のサーバー/クライアント間の通信では、両者で使用可能なサイファをネゴシエートし、より良いサイファが選択されます(実際に選択されるサイファは data-ciphers の設定値に基づきますが、デフォルトでは BF-CBC は使用されません)。しかし、OpenVPN 2.3ではデフォルトのサイファが BF-CBC に指定されています。
そのため、サーバー/クライアントのどちらかがOpenVPN 2.3の場合(たとえば、OpenVPNサーバーがOpenVPN 2.3で、クライアントをOpenVPN 2.5にアップデートした場合など)には、VPN接続ができなくなる可能性があります。
対策1
最善の対策は、サーバー/クライアントともOpenVPN 2.5にアップデートすることです。
デフォルト設定のままでも、接続時に適切なサイファが自動的に選択されます。
対策2(2.5へのアップデートが不可能な場合)
すべてのサーバーとクライアントの設定に「data-ciphers AES-256-GCM:AES-128-GCM:AES-128-CBC」(OpenVPN 2.5以降の場合)または「cipher AES-128-CBC」(OpenVPN 2.4以前の場合)を追加してください。これにより、サイファとしてAES-GCMを使用して接続が確立できます。
対策3(2.5へのアップデートが不可能+どうしてもBF-CBCを使用したい場合)
OpenVPN 2.5側の設定で BF-CBC を明示的に利用可能にする必要があります(data-ciphers に BF-CBC を追加する)。
しかし、今後のOpenVPNでは BF-CBC は利用できなくなる可能性が高いので、この方法は推奨されていません。
