OpenVPNは暗号化を無効にできません

私が設定したサーバーとクライアントの両方の設定：

cipher none
auth none

このアドバイスに従って、 UDPポート1195も使用しています。

サーバーとクライアントを起動すると、次の警告が表示されます。

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

...これは良いことですが、それでもopenvpnは暗号化を使用しています。私はこれを知っています、なぜなら：

1）クライアントが接続すると、サーバー側で次のメッセージが表示されます。

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2）両側で膨大なCPU負荷がかかる

3）Wiresharkでデータが暗号化されていることがわかります

暗号化を無効にするには他に何が必要ですか？

Negotiable Crypto Parameters（NCP）が有効になっているようです。指定する必要があります

ncp-disable

「交渉可能な暗号パラメータ」を無効にします。これにより、暗号ネゴシエーションが完全に無効になります。

2つのOpenVPNインスタンスでNCPが有効になっている場合（最近のバージョンのデフォルト）、ncp-ciphersで定義された一連の暗号から使用する暗号をネゴシエートします。そのデフォルトは「AES-256-GCM：AES-128-GCM」であり、接続でAES-256-GCMが表示される理由を説明しています。

あなたがopenvpn 2.4を実行していると仮定すると、あなたも設定する必要があります

ncp-disable

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

背景：

Openvpnでは、暗号化アルゴリズムを両端で同じ値に手動で構成する必要がありました。しかし、これにより問題が生じ、既存のマルチユーザーVPNで暗号化をアップグレードすることが非常に難しくなりました。2016年に「sweet32」と呼ばれる攻撃が考案され、状況によっては平文を回復できるようになりました。これは実際には簡単に実行できる攻撃ではなく、暗号を変更せずに緩和する方法がありましたが、依然として懸念される開発でした。

Openvpn 2.4には、暗号化パラメータのネゴシエーションに対してデフォルトで有効になっている新しい機能が導入されました。これがsweet32への反応なのか、単一の暗号スイートに効果的にロックされることの意味についての一般的な懸念の結果なのかはわかりません。

したがって、暗号化パラメータのネゴシエーションが有効になっている場合、接続の反対側がネゴシエーションをサポートしていない場合、「暗号」設定は効果的にフォールバックとして使用されます。