我使用的是 Red Hat 8 (rhel8),我的家庭路由器是运行 OpenVPN 服务器的 Asus AC5300。但是网络管理器中的 rhel8 VPN 无法连接到我的 OpenVPN 服务器。
这是我收到的错误消息:
[root@my-machine ~]# journalctl -fnm-openvpn[30404]: TLS error: Unsupported protocol. This typically indicates that client and server have no common TLS version enabled. This can be caused by mismatched tls-version-min and tls-version-max options on client and server. If your OpenVPN client is between v2.3.6 and v2.3.2 try adding tls-version-min 1.0 to the client configuration to use TLS 1.0+ instead of TLS 1.0 only[root@my-machine ~]# openvpn --versionOpenVPN 2.4.7 x86_64-redhat-linux-gnu我尝试将
tls-version-min 1.0.ovpn注意:在 Linux Ubuntu 中它工作得很好,但在 Red Hat 8 中则不行
似乎您的 TLS 有问题...看看这个检查,也许需要看看 SSL 证书:
检查证书名称是否不匹配
在此特定实例中,迁移到 Kinsta 的客户证书名称不匹配,从而引发 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 错误。正如您从下面的 SSL 实验室测试中看到的,诊断起来非常快速且容易。正如 SSL 实验室所述,不匹配可能是由多种原因造成的,例如:
The site does not use SSL, but shares an IP address with some other site that does.
The site no longer exists, yet the domain still points to the old IP address, where some other site is now hosted.
The site uses a content delivery network (CDN) that doesn’t support SSL.
The domain name alias is for a website whose name is different, but the alias was not included in the certificate.
证书名称不匹配
检查证书上当前域名问题的另一个简单方法是打开网站上的 Chrome DevTools。右键单击网站上的任意位置,然后单击“检查”。然后单击安全选项卡,然后单击“查看证书”。颁发的域名将显示在证书信息中。如果这与您当前所在的网站不匹配,那就是一个问题。 检查 SSL 证书上颁发的域名
检查 SSL 证书上颁发的域名
请记住,存在通配符证书和其他变体,但对于典型的站点,它应该完全匹配。然而,在我们的例子中,ERR_SSL_VERSION_OR_CIPHER_MISMATCH 错误实际上阻止了我们在 Chrome DevTools 中检查它。这就是 SSL Labs 这样的工具可以派上用场的地方。 检查旧 TLS 版本
另一个可能的原因是Web服务器上运行的TLS版本较旧。理想情况下,它应该至少运行 TLS 1.2(更好的是 TLS 1.3)。如果您是 Kinsta 客户,您永远不必担心这一点,因为我们总是将我们的服务器升级到最新和最受支持的版本。 Kinsta 在我们的所有服务器和 Kinsta CDN 上都支持 TLS 1.3。 Cloudflare 还默认启用 TLS 1.3。
(建议阅读:如果您使用旧版 TLS,您可能需要修复 Chrome 中的 ERR_SSL_OBSOLETE_VERSION 通知)。
SSL Labs 工具也可以提供帮助。在配置下,它将显示使用该证书在服务器上运行的当前 TLS 版本。如果版本较旧,请联系您的主机并要求他们更新 TLS 版本。 TLS 1.3 服务器支持
TLS 1.3 服务器支持 检查 RC4 密码套件
根据 Google 的 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 文档,另一个原因是 RC4 密码套件在 Chrome 版本 48 中被删除。这种情况并不常见,但在需要 RC4 的大型企业部署中可能会发生。为什么?因为在更大、更复杂的配置中,一切通常需要更长的时间来升级和更新。
安全研究人员、Google 和 Microsoft 建议禁用 RC4。因此,您应该确保使用不同的密码套件启用服务器配置。您可以在 SSL Labs 工具中查看当前的密码套件(如下所示)。 密码套件
密码套件 尝试清除计算机上的 SSL 状态
要尝试的另一件事是清除 Chrome 中的 SSL 状态。就像清除浏览器的缓存一样,如果事情不同步,这有时会有所帮助。要清除 Windows 上 Chrome 中的 SSL 状态,请按照以下步骤操作:
Click the Google Chrome – Settings icon (Settings) icon, and then click Settings.
Click Show advanced settings.
Under Network, click Change proxy settings. The Internet Properties dialog box appears.
Click the Content tab.
Click “Clear SSL state”, and then click OK.
Restart Chrome.
在 Windows 上的 Chrome 中清除 SSL 状态
在 Windows 上的 Chrome 中清除 SSL 状态
如果您使用的是 Mac,请参阅有关如何删除 SSL 证书的说明。 使用新操作系统
随着浏览器停止支持 TLS 1.3 和最新密码套件等新技术,较旧的操作系统已经过时。最新 SSL 证书中的特定组件将停止工作。事实上,Google Chrome 早在 2015 年就停止了对 Windows XP 的支持。我们始终建议尽可能升级到更新的操作系统,例如 Windows 10 或最新版本的 Mac OS X。 暂时禁用防病毒软件
如果您仍然看到 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 错误,我们建议您尝试的最后一件事是确保您没有运行防病毒程序。或者尝试暂时禁用它。一些防病毒程序使用自己的证书在您的浏览器和网络之间创建一个层。这有时会导致问题。