配置的客户端IP及其网络掩码中的IP地址的流量不会路由到VPN。 OpenVPN通过显式地添加一个与客户端IP及其网络掩码相对应的路由来提供这个bug的一个临时应变方法。当另一个tun设备处于活动状态时打开一个tun设备(用于持久tun支持),将导致设备上的VPNServices崩溃。需要重新启动才能使VPN重新工作。安卓 OpenVPN 试图避免重新打开tun设备,如果真的需要,首先关闭当前的tun再打开新的tun设备,以避免崩溃。这可能导致短暂窗口期,期间数据包通过非vpn连接发送。即使采用这种方法,VPNServices有时也会崩溃,需要重新启动设备。对于二级用户,VPN是不会起作用的。有多个用户报告说,在使用VPN应用时,移动连接/移动数据连接经常会掉线。该行为似乎只影响一些移动运营商/设备组合,目前为止尚未确定原因及bug解决方案。只有目标可以通过VPN,可以到达VPN没有达到。 IPv6的VPN不能在所有工作。非CIDR路由VPNs的代理行为%s及更早版本%s 的副本到已配置IP地址的路由错误的VPN连接MSS值次级平板用户指定自定义连接的特定选项。请谨慎使用自定义选项删除连接条目随机从移动网络断开连接远程网络不可达持久 tun模式%s 及更高版本连接失败,因SSL23_GET_SERVER_HELLO:sslv3 警告握手失败较新的OpenVPN for Android版本 (0.6.29/2015年3月) 为 (tls-cipher \"DEFAULT:!EXP:!PSK:!SRP:!kRSA\") 密码套件使用更安全的默认设置。不幸的是,省略了不太安全的加密套件和导出加密套件,尤其是完全正向保密密码套件 (差分哈夫曼编码) 的缺失会导致一些问题。这通常是由用心良苦但执行力很差的家伙试图通过设置服务器上的TLS套件或在一些嵌入式操作系统 (如软路由系统Mikro Tik) 上定制SSL以加强TLS安全性导致。\n 要解决导致这个问题需要在服务器上把TLS-CIPHER配置为合理的默认值,比如tls-cipher \"DEFAULT:!EXP:!PSK:!SRP:!kRSA\"。如果你搞不定系统管理员,可以在客户端解决,在Android客户端添加自定义选项 tls-cipher DEFAULT即可。此配置文件是从外部应用程序(%s)添加的,并被标记为用户不可编辑。证书吊销列表重启OpenVPN服务中 (应用崩溃可能是因为内存压力造成崩溃或被杀)导入配置时出错,无法保存搜索(上一个转储文件是%1$d:%2$d小时 (%3$s)前生成的)建立新连接时清空日志连接超时没有添加允许的应用。要不允许所有应用,请加入本应用(%s) 以在允许应用列表中有至少一个应用OpenVPN for Android 可以尝试自动在 SD 卡上寻找缺失的文件。点击此消息开始请求权限许可。协议启用VPN权限被操作系统撤销 (比如其他VPN程序启动了) ,VPN停止中推送客户端信息将额外的信息发送到服务器,例如 SSL 版本和 Android 版本需要 %1$s请输入配置文件 %1$s 的密码使用内联数据导出配置文件tls-auth 文件丢失缺少用户证书或用户证书密钥文件证书吊销列表 (可选)从日志缓存文件重读 (%d) 日志项目三星手机几乎是最热销的安卓机,同时三星的固件也是bug最多的 Android 固件。Bug 并不局限于运行在这些设备上的VPN,但其中许多可以是可以想办法绕开的。下面列出几个已知Bug:\n\nDNS 不工作,除非其在VPN 地址池内.\n\n很多三星5.X设备上 允许/禁止 应用程序的特性并不能工作。 \n在三星 6.x 机器上只有VPN应用被加入省电模式白名单之后VPN才能工作。三星手机没有VPN被选中默认VPN在需要一个默认VPN的地方使用的VPN。如开机启动、始终连接和快速设置磁贴。目前选择的VPN:\'%s\'重新连接VPN切换连接到%s断开%s输入连接重试时间间隔的最大值。OpenVPN在每次不成功的连接尝试后都会慢慢提高等待时间,直到提高到这个值后停止。默认值300秒。连接重试最长间隔等待%s秒进行下一次连接尝试网络- >更多.. - > VPNS]]>到OpenVPN的连接已关闭(%s)更改排序排序根据最近使用对配置进行排序按名字对配置进行排序配置使用的tls-remote 选项在2.3版本时被废弃,在2.4版本中被最终移除AUTH_FAILED 发生时的行为图表使用对数刻度数据不足平均每小时平均每分钟上5分钟接收发送%.0f bit/s%.1f kbit/s%.1f Mbit/s%.1f Gbit/s<p> 从 OpenSSL 1.1 版开始,OpenSSL 拒绝证书中的弱签名算法,例如
MD5。此外,OpenSSL 3.0 拒绝 SHA1 算法的签名 。</p><p>
您应该尽快更新 VPN 证书,因为 SHA1 在
不久的将来也将不再适用于其他平台。</p>
<p> 如果您真想使用旧证书,请在配置文件的 “身份验证/加密” 部分为 TLS 安全配置选择“不安全”</p>
%.0f B%.1f kB%.1f MB%.1f GB连接统计已建立的OpenVPN连接的实时统计数据连接状态改变OpenVPN连接的状态更改(连接,身份验证...)证书签名中的弱 (MD5) 哈希 (SSL_CTX_use_certificate md 太弱)OpenSSL 速度测试OpenSSL Cipher名称OpenSSL Crypto速度测试OpenSSL 返回错误正在运行测试…测试选定的算法一个外部应用试图控制 %s。无法确定请求权限的应用程序是否安全。允许这个应用程序将授予所有应用程序权限。OpenVPN 3 C ++实现不支持静态密钥。请在常规设置下更改为OpenVPN 2.x.不支持OpenVPN 3 的C++ 实现直接使用pkcs 12 文件。请将 pkcs12 文件导入 Android 密钥库, 或在常规设置下更改为 OpenVPN 2.x。代理无Tor (Orbot)OpenVPN 3 C ++实现不支持通过Socks代理进行连接无法找到Orbot应用程序。请安装Orbot或使用手动Socks v5集成。远程APIOpenVPN for Android支持两个远程API,一个使用AIDL的复杂API(git存储库中的remoteEXample)和一个使用Intents的简单API。 <p>使用adb shell和意图的示例。用您的个人资料名称替换profilname<p><p> adb shell am start-activity -a android.intent.action.MAIN de.blinkt.openvpn /.api.DisconnectVPN<p> adb shell am start-activity -a android.intent.action.MAIN -电子邮件地址:.启用代理验证无法在同一时间使用额外的http-proxy-option语句和Orbot集成来自服务器的信息:\'%s\'需要用户交互OpenVPN连接需要一个用户输入,例如:双因子验证
认证
打开URL以继续VPN身份验证回答质询以继续 VPN 验证认证等待中外部认证器配置外部认证器未配置阻止非 VPN 连接(“Killswitch”)在没有 VPN 的情况下阻止连接通常是人们所期望的。其他应用程序通常使用“Killswitch”或“无缝隧道”等营销术语描述此功能。 OpenVPN 和本应用程序提供了persist-tun 选项,一个实现这个功能的特性。<p> VPN 应用程序提供的所有这些方法的问题在于,它们只能尽力而为,并不是完整的解决方案。在开机、应用程序崩溃和其他极端情况下,应用程序无法确保拦截非 VPN 连接会正常工作。从而给用户一种虚假的安全感。<p>确保非 VPN 连接被阻止的 <b>唯一</b> 可靠方法是使用 Android 8.0 或更高版本系统,并使用“在没有VPN的情况下阻断连接”设定,你可在系统设置 > 网络 & 互联网 > 高级/VPN > OpenVPN for Android > 启用 Always ON VPN,启用“在没有VPN的情况下阻断连接”如果 VPN 未设置任何 IPv4 或 IPv6 地址,此选项会指示 Android 不允许协议 (IPv4/IPv6)。如果 VPN 未使用,则阻止 IPv6(或 IPv4)安装新证书AS 服务器名服务器网址请求自动登录配置文件从远程服务器导入配置文件未设置默认 VPN。请在启用此选项之前设置默认 VPN。内部 WebViewThere are some variation of this message depending on the exact situation. They all have in common that server and client could not agree on a common cipher. The main reasons are: <ul><li> You are still relying on the fact that OpenVPN 2.4 and older allowed BF-CBC in the default configuration (if no --cipher was set). OpenVPN 2.5 does not allow it per default anymore since it is a <a href=\"https://community.openvpn.net/openvpn/wiki/SWEET32\">broken/outdated cipher</a>.</li><li>The server runs OpenVPN 2.3 (or even older) with --enable-small (at least 4-5 year old OpenVPN)</li><li></ul>Broken configuration (e.g., mismatching data-ciphers on client and server)</li> <p> The <a href=\"https://github.com/OpenVPN/openvpn/blob/master/doc/man-sections/cipher-negotiation.rst\">OpenVPN manual section on cipher negotiation</a> explains the different scenarios of cipher negotiation very well and what to do in these situation.<p>TP-Link devices use a at least 5 year old OpenVPN 2.3.x version (possibly older) on their devices, even in the 2019/2020 models.<p>Last but not least, there is a popular VPN provider that has a broken server that always says it is using \'BF-CBC\' because its developer thought it would be a good idea to create a proprietary cipher negotiation patch that is incompatible with standard OpenVPN.<p>In summary: all sane configurations should not get these errors. But (apart from the broken VPN provider\'s server) the client can be persuaded to still connect (fixing the sympton and not the real problem). When connecting to older servers the comaptiblity mode option in the basic settings of a VPN should be able to address most of the common compatiblity problems.检查对端证书指纹(输入服务器证书的 SHA256 指纹)HTTP 代理: %1$s %2$d启用 Android 的 Always-On 特性,在开机时启用 VPN。打开 VPN 设置按此处打开一个窗口以输入其他所需的身份验证兼容模式兼容模式加载 OpenSSL legacy provider配置文件使用 BF-CBC,它依赖于 OpenSSL legacy provider(未启用)。允许社区贡献的翻译允许应用程序使用翻译社区贡献的翻译。需要重新启动应用程序才能激活。TLS 安全配置