5
Richtige Konfiguration von OpenVPN
Hallo, ich möchte einen VPN Server betreiben und habe diesen soweit auch fertig konfiguriert. Ergänzen werde ich noch feste IP's um den Zugriff mittels IP-Tables einzuschränken. Aber der Zugriff auf das LAN funktioniert momentan. Projektziel ist der Zugriff auf Ressourcen im LAN für insg. ca. 2 - 3 Benutzer. (z.B. Dateifreigaben / Websites / etc...) Mir geht es bei dieser Frage hauptsächlich um das Thema Sicherheit.
Kurz zum Netzwerk und dessen Aufbau:
Im LAN, in welchem auch der OpenVPN-Server beheimatet ist, sind heterogene Clients mit verschiedenen Diensten vorhanden. Diese Dienste sollen über das VPN erreichbar sein. Der OpenVPN-Server läuft auf Ubuntu Server 12. Der Zugriff auf das VPN soll mit Windows und Android erfolgen.
Ich würde gerne von euch wissen, ob diese Konfiguration so für den produktiven Einsatz geeignet ist. Wie gesagt.. wichtig ist mir der Punkt Sicherheit:
- Ist es mit dieser Konfiguration wirklich nur möglich, sich mit Zertifikaten am Server zu authentifizieren?
- Ist die Verbindung stark genug Verschlüsselt?
- Ich habe von der Möglichkeit gehört, in das Konfig. File "auth SHA1" einzutragen. Aber dies wird bereits standardmäßig von OpenVPN verwendet und ist somit überflüssig, oder?
- Mich verwirrt das Thema TLS ein wenig. ... Was genau macht TLS? ... Auf meinem Android-Smartphone habe ich die Möglichkeit "Erwarte TLS-Server" zu aktivieren. Dann wird automatisch in der Konfiguration "remote-cert-tls server" hinzugefügt, aber die Verbindung kommt nicht mehr zu stande. Ersetzt "remote-cert-tls server" den Befehl "ns-cert-type server" eventuell?
Gibt es Verbesserungsvorschläge um die Konfiguration zu verbessern / die Sicherheit zu erhöhen?
Client-Konfiguration:
Server-Konfiguration:
Vielen Dank im Voraus!
(Ich hoffe ich habe den richtigen Bereich für diese Frage gewählt... falls nicht -> Sorry!)
Mit freundlichen Grüßen
freddy976
Im LAN, in welchem auch der OpenVPN-Server beheimatet ist, sind heterogene Clients mit verschiedenen Diensten vorhanden. Diese Dienste sollen über das VPN erreichbar sein. Der OpenVPN-Server läuft auf Ubuntu Server 12. Der Zugriff auf das VPN soll mit Windows und Android erfolgen.
Ich würde gerne von euch wissen, ob diese Konfiguration so für den produktiven Einsatz geeignet ist. Wie gesagt.. wichtig ist mir der Punkt Sicherheit:
- Ist es mit dieser Konfiguration wirklich nur möglich, sich mit Zertifikaten am Server zu authentifizieren?
- Ist die Verbindung stark genug Verschlüsselt?
- Ich habe von der Möglichkeit gehört, in das Konfig. File "auth SHA1" einzutragen. Aber dies wird bereits standardmäßig von OpenVPN verwendet und ist somit überflüssig, oder?
- Mich verwirrt das Thema TLS ein wenig. ... Was genau macht TLS? ... Auf meinem Android-Smartphone habe ich die Möglichkeit "Erwarte TLS-Server" zu aktivieren. Dann wird automatisch in der Konfiguration "remote-cert-tls server" hinzugefügt, aber die Verbindung kommt nicht mehr zu stande. Ersetzt "remote-cert-tls server" den Befehl "ns-cert-type server" eventuell?
Gibt es Verbesserungsvorschläge um die Konfiguration zu verbessern / die Sicherheit zu erhöhen?
Client-Konfiguration:
tls-client
pull
remote <IP.Adresse> <Port>
dev-node openvpn
dev tun
proto udp
pkcs12 <KeyFile>.p12
cipher AES-256-CBC
ns-cert-type server //Überhaupt richtig geschrieben? - Wichtig?
tls-remote <CN-des-Servers>
verb 4
comp-lzoServer-Konfiguration:
port <Port>
proto udp
dev tun0
server <VPN.Servernetzwerk.IP> <VPN.Server.Netzwerkmaske>
tls-server
auth SHA1 //Wird diese Zeile wirklich gebraucht?
crl-verify <CRL-Keyfile>.pem
dh <DH-File>.pem
pkcs12 <Server-Keyfile>.p12
cipher AES-256-CBC
comp-lzo
push "route <Netzwerk.IP.vom.LAN.hinter.dem.Server> <Netzwerkmaske.vom.LAN>"
verb 4
keepalive 30 120
user openvpn
group openvpn
persist-tun
persist-keyVielen Dank im Voraus!
(Ich hoffe ich habe den richtigen Bereich für diese Frage gewählt... falls nicht -> Sorry!)
Mit freundlichen Grüßen
freddy976
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196351
Url: https://administrator.de/contentid/196351
Printed on: April 20, 2024 at 03:04 o'clock
5 Comments
Latest comment
Ja soweit sicht das ganz OK aus.
Hier findest du noch weitere Tips und Anregungen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wenn du pfSense als Plattform einsetzt, dann ist die Zugriffssteuerung die dir vorschwebt recht einfach mit ein paar Mausklicks in den Firewall Regeln per GUI zu machen.
Hier findest du noch weitere Tips und Anregungen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wenn du pfSense als Plattform einsetzt, dann ist die Zugriffssteuerung die dir vorschwebt recht einfach mit ein paar Mausklicks in den Firewall Regeln per GUI zu machen.
Hey,
vielen Dank für die Rückmeldung und für den Tipp. Ich werde mir pfSense mal ansehen.
Hmm.. jetzt ist mir leider ein Problem aufgefallen... und zwar folgendes.. wenn ich mit meinem Windows Notebook (Sogar mit ganz frischer Neuinstallation) die VPN-Verbindung herstelle, produziert der Server folgenden Fehler in einer Endlosschleife:
Wenn ich mich mit Android verbinde (Mit 2 Geräten unter gleichen Voraussetzungen getestet) passiert das nicht. Woran kann das liegen?
Wenn es an allen Geräten auftreten würde, wäre ich davon aus gegangen etwas falsches in einer Konfig.-Datei eingetragen zu haben. Aber da das nicht der Fall ist, verstehe ich das aktuell leider nicht.
Im Voraus Vielen Dank für Antworten und Mühe!
Frohes neues Jahr!
freddy976
vielen Dank für die Rückmeldung und für den Tipp. Ich werde mir pfSense mal ansehen.
Hmm.. jetzt ist mir leider ein Problem aufgefallen... und zwar folgendes.. wenn ich mit meinem Windows Notebook (Sogar mit ganz frischer Neuinstallation) die VPN-Verbindung herstelle, produziert der Server folgenden Fehler in einer Endlosschleife:
Tue Jan 1 20:58:33 2013 us=268739 <Zertifikatsname>/192.168.111.12:9411 MULTI: bad source address from client [fe80::933:5d6:ae48:ad0f], packet droppedWenn ich mich mit Android verbinde (Mit 2 Geräten unter gleichen Voraussetzungen getestet) passiert das nicht. Woran kann das liegen?
Wenn es an allen Geräten auftreten würde, wäre ich davon aus gegangen etwas falsches in einer Konfig.-Datei eingetragen zu haben. Aber da das nicht der Fall ist, verstehe ich das aktuell leider nicht.
Im Voraus Vielen Dank für Antworten und Mühe!
Frohes neues Jahr!
freddy976
Um das richtig beantworten zu können müsste man deinen Server.conf Datei und die Client.conf Datei kennen. Mit den wenigen Information ist eine zielgerichtete Hilfe nicht möglich !
Geraten hat das was mit IPv4/IPv6 zu tun, denn er meckert ja nur die IPv6 Adresse an !
Poste die Fehlermeldung bei Dr. Google und du findest viele Hinweise dazu:
http://openvpn.net/index.php/open-source/faq/79-client/317-qmulti-bad-s ...
und
http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ...
usw.
Bei dir stimmt also was mit dem Routing nicht, da hast du was vermurkst !
Halte dich an das o.a. Tutorial, dort ist alles erklärt. Außer "push route" muss man nix machen !
Geraten hat das was mit IPv4/IPv6 zu tun, denn er meckert ja nur die IPv6 Adresse an !
Poste die Fehlermeldung bei Dr. Google und du findest viele Hinweise dazu:
http://openvpn.net/index.php/open-source/faq/79-client/317-qmulti-bad-s ...
und
http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ...
usw.
Bei dir stimmt also was mit dem Routing nicht, da hast du was vermurkst !
Halte dich an das o.a. Tutorial, dort ist alles erklärt. Außer "push route" muss man nix machen !
Hey,
die Server und Client.conf sind die beiden in meiner Ausgangsfrage. Da habe ich nichts dran verändert.
Danke für die Links... das werde ich noch ausprobieren. Was mich nur wundert ist, dass es mit dieser Konfiguration, also wie du schreibst, nur mit "push route", doch funktionieren sollte?
Danke für die Hilfe, ich melde mich wieder wenn ich es ausprobieren konnte.
LG
freddy976
die Server und Client.conf sind die beiden in meiner Ausgangsfrage. Da habe ich nichts dran verändert.
Danke für die Links... das werde ich noch ausprobieren. Was mich nur wundert ist, dass es mit dieser Konfiguration, also wie du schreibst, nur mit "push route", doch funktionieren sollte?
Danke für die Hilfe, ich melde mich wieder wenn ich es ausprobieren konnte.
LG
freddy976
Hey,
soo... jetzt konnte ich das ganze einmal ausprobieren...
Wenn ich wie es im HowTo
( http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ... )
beschrieben ist, ein client-conf-dir mit iroute anlege und dem Server die entsprechende Route mit "route LAN-Netz Mask" über die Server-Konfig mitgebe, gibt es einen IP Konflikt und der Server ist nach dem Start von OpenVPN nicht mehr erreichbar.
Die Idee mit IPv6 hat mich dazu bewegt im OpenVPN-Netzwerkadapter die Unterstützung für IPv6 zu deaktivieren. -> Und siehe da, die Fehler sind verschwunden...
Also dachte ich, ich deaktiviere den IPv6 Support in Ubuntu 12 einfach ganz. Das hat jedoch leider nicht geholfen.
-> Fazit: Wenn ich IPv6 im Netzwerkadapter am Client deaktiviere, geht es. Aber das ist ja keine Endlösung.
Weiterhin ist mir aufgefallen, dass wenn ich mit meinem Notebook im selben LAN wie der Server bin und ich mich mit dem VPN verbinde, es nicht möglich ist im Internet zu surfen, geschweige denn irgendeine IP anzupingen. Eine offene SSH-Verbindung zum VPN-Server bleibt jedoch bestehen. Wenn ich mich via UMTS auf den VPN-Server verbinde, funktioniert das Surfen und ich erreiche auch alle IP's im LAN.
Gibt es noch weitere Ideen?
Schon jetzt Danke!
freddy976
soo... jetzt konnte ich das ganze einmal ausprobieren...
Wenn ich wie es im HowTo
( http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ... )
beschrieben ist, ein client-conf-dir mit iroute anlege und dem Server die entsprechende Route mit "route LAN-Netz Mask" über die Server-Konfig mitgebe, gibt es einen IP Konflikt und der Server ist nach dem Start von OpenVPN nicht mehr erreichbar.
Die Idee mit IPv6 hat mich dazu bewegt im OpenVPN-Netzwerkadapter die Unterstützung für IPv6 zu deaktivieren. -> Und siehe da, die Fehler sind verschwunden...
Also dachte ich, ich deaktiviere den IPv6 Support in Ubuntu 12 einfach ganz. Das hat jedoch leider nicht geholfen.
-> Fazit: Wenn ich IPv6 im Netzwerkadapter am Client deaktiviere, geht es. Aber das ist ja keine Endlösung.
Weiterhin ist mir aufgefallen, dass wenn ich mit meinem Notebook im selben LAN wie der Server bin und ich mich mit dem VPN verbinde, es nicht möglich ist im Internet zu surfen, geschweige denn irgendeine IP anzupingen. Eine offene SSH-Verbindung zum VPN-Server bleibt jedoch bestehen. Wenn ich mich via UMTS auf den VPN-Server verbinde, funktioniert das Surfen und ich erreiche auch alle IP's im LAN.
Gibt es noch weitere Ideen?
Schon jetzt Danke!
freddy976
