恳请支持openvpn服务端&客户端支持 TLS协议

孩之宝

爱快这几年的进步我是看在眼里，记在心里，非常好用，不过有一个美中不足，就是OpenVpn暂未支持TLS协议；虽然可以用官方参数（CA证书密钥）使用，但是现在物联网时代，如果通过我们自己域名（含国际CA颁发的证书）访问，那就是锦上添花，我想很多企业应该也有类似需求，恳请官方大佬支持！谢谢！

小老弟

孩之宝 发表于 2020-11-20 12:27
感谢官方团队的回复，因为较忙，未及时查看。
请看下图：
目前官方配置（openvpn）是自签证书，而且私钥是 ...

计划3.5.3版本会支持tls-auth，感谢反馈！

小老弟

楼主好，是否可以详细描述一下或者提供配置示例，方便我们评估，多谢！

孩之宝

小老弟 发表于 2020-11-9 18:02
楼主好，是否可以详细描述一下或者提供配置示例，方便我们评估，多谢！

感谢官方团队的回复，因为较忙，未及时查看。
请看下图：
目前官方配置（openvpn）是自签证书，而且私钥是2048位RSA算法，仅支持SSL协议。这种方式如果服务端采用动态ip的，ip更换一次就会导致openvpn客户端无法连上，有人说可以采用DDNS动态域名配合，我也测试了，还是自动解析成ip，但是没有测试能都否连上。如果用了基于域名的CA签发证书（CA签发的默认都是优先TLS协议），如果手动将*.conf里面改为域名（官方是默认解析线路的ip）也能解析出ip，我测试了是可以发出请求要求接入，但是客户端反馈服务端乃ssl协议，故无法连上。
另外，我花了一个晚上研究查看论坛里面关于openvpn的所有相关内容，包括查看爱快官方文档，都明确说明不支持TLS协议，而且目前只能自签证书。所以我觉得爱快这么高大上的路由，在openvpn这块的技术同步不应该这么滞后，毕竟基于CA签发域名证书的使用openvpn企业组网，无论在安全性还是公信力都是有保障的.我个人也经常逛些国外技术社区，他们都是使用的域名证书。
     现在一些成品路由，比如国外的几个大品牌，国内的华为，就连阿里云都提供这些服务，openvpn的windwos客户端非常小且方便使用，应用前景宽广！
  可能我阐述的语句有问题，我写个期望结果，我的理想openvpn是：




1.  爱快路由（服务端）设置动态域名DDNS，比如域名是：vpn.transmission.abdd.net
2.  爱快路由（OpenVPN 服务端）添加域名vpn.transmission.abdd.net的证书（这样好处是域名由CA签发证书，而不是爱快或者自签证书）
3.  爱快路由（OpenVPN 服务端）生成【客户端配置】
4.  爱快openvpn客户端、Windows客户端等等，使用此配置完成连接
感谢阅读，感谢官方团队