<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
The pcap you send to us, does not include any SSL exchange information for us to get the hints we need for detecting OpenVPN. Since all the traffic is encrypted in there, there is nothing for us to see if it’s part of OpenVPN, so unfortunately that is something
 we can’t identify at this point. 
<div class=""><br class="">
</div>
<div class="">If you had any other traffic that would include a proper SSL exchange between the VPN client, there would be a chance we can get something from it, but I would imagine, VPN clients already include the SSL keys internally so those will probably
 won’t even show.<br class="">
<div class="">
<div class=""><br class="">
</div>
<div class="">Thanks</div>
<div class="">Costas</div>
<div class=""><br class="">
<div>
<blockquote type="cite" class="">
<div class="">On Apr 12, 2016, at 4:53 AM, <a href="mailto:valentin.giraud@...128..." class="">
valentin.giraud@...128...</a> wrote:</div>
<br class="Apple-interchange-newline">
<div class=""><span style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Hi
 Costas and thank you for the answer.</span><br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">I
 do have a pcap (in attached document) of the traffic i am trying to<span class="Apple-converted-space"> </span></span><br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">detect.</span><br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">I
 thought openappid could manage encrypted traffic (and detect openVPN).</span><br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">To
 enable SSLPP, I tried to disable:  trustservers and<span class="Apple-converted-space"> </span></span><br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">noinspect_encrypted.
 But it did not work.</span><br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Le
 11.04.2016 19:34, Costas Kleopa (ckleopa) a écrit :</span><br style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<blockquote type="cite" style="font-family: Helvetica; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
Do you have any pcap with this kind of traffic?<br class="">
If the traffic is encrypted then it maybe a challenge to identify the<br class="">
actual OpenVPN traffic.<br class="">
<br class="">
<blockquote type="cite" class="">On Apr 11, 2016, at 7:11 AM, <a href="mailto:valentin.giraud@...128..." class="">
valentin.giraud@...128...</a> wrote:<br class="">
<br class="">
Hi,<br class="">
<br class="">
I am trying to detect openVPN on the port 443 (it already works with<span class="Apple-converted-space"> </span><br class="">
the<br class="">
port 1194). Is it supposed to be detect by the default rules ? Or do i<br class="">
have to write my own custom rules?<br class="">
<br class="">
Valentin.<br class="">
<br class="">
------------------------------------------------------------------------------<br class="">
Find and fix application performance issues faster with Applications<span class="Apple-converted-space"> </span><br class="">
Manager<br class="">
Applications Manager provides deep performance insights into multiple<span class="Apple-converted-space"> </span><br class="">
tiers of<br class="">
your business applications. It resolves application problems quickly<span class="Apple-converted-space"> </span><br class="">
and<br class="">
reduces your MTTR. Get your free trial!<span class="Apple-converted-space"> </span><br class="">
<a href="http://pubads.g.doubleclick.net/" class="">http://pubads.g.doubleclick.net/</a><br class="">
gampad/clk?id=1444514301&iu=/ca-pub-7940484522588532<br class="">
_______________________________________________<br class="">
Snort-openappid mailing list<br class="">
Snort-openappid@lists.sourceforge.net<br class="">
https://lists.sourceforge.net/lists/listinfo/snort-openappid<br class="">
<br class="">
Please visit http://blog.snort.org to stay current on all the latest<span class="Apple-converted-space"> </span><br class="">
Snort news!<br class="">
</blockquote>
</blockquote>
<span id="cid:0DA10AE51CED484EA15848BB6C06AF1F@...6..."><openVPN443.pcapng></span></div>
</blockquote>
</div>
<br class="">
</div>
</div>
</div>
</body>
</html>