Bonjour à tous,
J’ai installé OpenVPN sur ma box PFSense et de temps en temps (peut-être toutes les demi-heures), il force la réauthentification 2FA (mon OpenVPN est authentifié via LDAP par un proxy 2FA)
Je suppose que c’est une sorte de réauthentification, ce qui est bien, mais je souhaite que cela ne soit pas si fréquent.
Quelqu’un d’autre a-t-il rencontré cela et connaît-il une solution ?
Merci d’avance
Oui, c’est normal.
La valeur reneg-sec contrôle cela. Si le client et le serveur l’ont réglée, la valeur inférieure l’emporte. Si seule la valeur du serveur est réglée, cette valeur est respectée. Si rien n’est réglé, la valeur par défaut est de 3600 secondes.
Voir le point 13 ici :
L’objectif du reneg est de réduire certains vecteurs d’attaque où un attaquant ayant collecté assez de paquets d’une session pourrait tenter de déchiffrer. Ainsi, les clés sont renégociées non seulement pour de nouvelles sessions, mais aussi pendant une session.
Selon votre modèle de menace, la longueur de la clé et les chiffrements utilisés, cela peut ou non poser problème pour votre cas d’usage.
Dans certains cas, il vaut mieux renégocier fréquemment, avoir des certificats utilisateurs individuels et ne pas utiliser le 2FA. Dans d’autres cas, il est plus logique d’utiliser Radius ou LDAP avec une clé partagée et 2FA, mais avec une minuterie de reneg fixée à 24h ou désactivée complètement. Votre expérience peut varier.
Merci,
J’ai ajouté “reneg-sec 43200” à mon champ d’options personnalisé, j’espère que cela aidera 