donjoe
Goto Top

DD-WRT und OpenVPN auf WRT54 aktualisieren möglich? Wie?

Hallo,

ich nutze einen WRT54 mit OpenVPN, den ich gerne aktualisieren möchte, insbesondere wegen der OpenSSL Heartbleed-Lücke.

Für den WRT54 sind die dd-wrt Versionen schon nicht mehr die aktuellsten, gibt es eine Möglichkeit trotzdem neuere ddwrt FWs aufzuspielen? Oder ist der Router nicht Leistungsfähig genug?
Beim Flashen musste ich schon auf ein Light Version ausweichen.

Ich habe im Netz keine Anleitung gefunden um OpenVPN von dd-WRT zu aktualisieren sondern nur Konfigurationsanleitungen.


Grüße,

DonJoe

Content-Key: 235289

Url: https://administrator.de/contentid/235289

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: mrtux
mrtux 11.04.2014, aktualisiert am 14.04.2014 um 18:27:19 Uhr
Goto Top
Hi!

Hast Du denn überhaupt schon in Erfahrung gebracht ob die SSL-Library deines DDWRT-Release überhaupt von einer Lücke betroffen ist? Einfach mal irgend ein Update oder eine neue Firmware einzuspielen, weil Du das von Ubuntu her kennst, macht ja nicht gerade viel Sinn. Meines Wissens wird DDWRT aktiv weiterentwickelt und gravierende Lücken sollten sicherlich auch geschlossen werden. Update: Einige Distris haben wohl im Gegenzug zu Debian und Arch noch kein Update veröffentlicht und laut Heise Online soll die Version 0.9.8 von Openssl nicht betroffen sein. Hast Du mal mal im DDWRT-Forum geschaut oder wenigstens die Versionen geprüft?

Falls es wirklich notwendig sein sollte, dann kannst Du auch mal eine Beta testen. Aktuelle Betas (2010-2014) findest Du hier. Dort suchst Du deinen Router raus und kannst das Image herunterladen. Denk aber daran, man kann meist nur das Backup einspielen, welches mit der gleichen Firmwareversion gesichert wurde. Wenn Du also von einer älteren Stable/Release auf eine Beta umsteigen willst, musst Du wahrscheinlich den Router manuell komplett neu einrichten um Probleme zu vermeiden.

Welchen der WRT Router hast Du? Die Light/Mini/Mico-Versionen braucht man eigentlich nur bei Modellen mit wenig Speicher. Beim WRT54gl solltest Du üblicherweise ein "normal" grosses Image einspielen können.

mrtux
Mitglied: DonJoe
DonJoe 11.04.2014 um 11:35:33 Uhr
Goto Top
Ich habe noch einen alten WRT54G V1.1 (4MB Flash) und habe "schon" die v24 beta 13064 drauf aber es gibt deutlich neuere, bei denn aber nicht die OpenVPN Variante sich nicht auf den Router Flashen lässt. Er bricht immer beim Flashen ab, inzwischen gehe ich davon aus das der Flash mindestens einen defekten Speicherblock hat.

Die OpenSSL/VPN Version ist denke ich so alt das sie von dem exploit nicht betroffen ist, aber ich gehe davon aus das andere ältere enthalten sind, sonst bräuchte man keine Updates. Und da es eine Fix für die SSL Lücke gibt würde eine Aktualisierung nicht schaden.

Außerdem bin ich mir nicht sicher ob die 13064 neu genug ist, als dass das ddwrt exploit gefixed ist, insbesondere das es schon deutlich neue Versionsnummer gibt.
Mitglied: aqui
aqui 11.04.2014 aktualisiert um 15:57:16 Uhr
Goto Top
Check doch erstmal ob du überhapt betroffen bist !!
Geh mit PuTTY http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html per SSH auf den DD-WRT und gib dort "version" unter OpenSSL ein ala
root@dd-wrt:# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>

Erst wenn da eine betroffene Version steht besteht doch überhaupt erst Handlungsbedarf !
13064 ist die recommended aber wenn du in der Router Database nachsiehst siehst du die 14896 die schon etwas neuer ist !
Mitglied: DonJoe
DonJoe 14.04.2014 um 16:28:37 Uhr
Goto Top
So ich habe nun versucht die OpenSSL Version herauszufinden und habe verscheide Befehle versucht leider ohne Erfolg.
- openssl version -a (not found)
- ls -lat /opt/lib/libssl* (Nichts)
Ich gehe inzwischen aber fest davon aus das eine ältere als 1.0 Version von OpenSSL vorliegt dafür ist die dd-wrt Version einfach zu alt.


Die 14896 hatte ich ursprünglich drauf einiges Tages ging der Router nicht ich mehr, ständige Reboots und ich dachte schon das NT wäre defekt. Nach mehreren Flash versuchen muss ich feststellen, das alle OPenVPN Versionen >=13064 beim Flashen abbrachen, nur die 13064 lite nicht. Ich gehe von einem (teil) defekt des Flashes aus.

Die Version 14896 ist auch schon von 2010 also ~4 Jahre alt, gibt es keine Möglichkeit (Sicherheit-) Updates einzuspielen?
Mitglied: aqui
aqui 14.04.2014 um 20:07:19 Uhr
Goto Top
Das Kommando openssl version -a (not found) funktioniert so NICHT ! Gib openssl OHNE Parameter ein und am Prompt dann "version" ! Siehe hier:
root@dd-wrt:# openssl
OpenSSL> version

"exit" bringt dich da wieder zurück auf dem Prompt.
Mitglied: DonJoe
DonJoe 14.04.2014 um 21:05:39 Uhr
Goto Top
Hatte ich vergessen zu schreiben das, openssl war mein erster Versuch da kommt "not found" face-sad
Mitglied: aqui
aqui 15.04.2014 aktualisiert um 09:00:08 Uhr
Goto Top
Dann hast du auch gar kein OpenSSL auf dem Router oder....
Es ist nicht im Suchpfad !

Ein find / -name openssl -print sollte es finden sofern es überhaupt vorhanden ist ?! Dann rufst du es dort in dem gefundenen Verzeichnis mit ./openssl auf !
Außerdem supportet Linux immer Autocompletion ! Du kannst also auch open eingeben und direkt die TAB Taste drücken, dann findet er es selber.
Wenn wie gesagt das Programmverzeichnis nicht im Suchpfad steht ist es klar.
Versuch es mal mit dem find Kommando oben zu finden oder unter /usr/bin oder /sbin
Wäre sehr ungewöhnlich wenn es nicht drauf ist, denn SSH usw. muss das zwingend nutzen....!!
Mitglied: DonJoe
DonJoe 15.04.2014 um 10:28:17 Uhr
Goto Top
find / -name openssl -print liefert nichts face-sad

Es ist die dd-wrt.v24-13064_VINT_openvpn_jffs_small.bin die Installiert ist.

Im Log der Client-VPN-Verbindung steht OpenVPN 2.3.3 ..[OpenSSL]...
Die Verbindung ist eine TSLv1/SSLv3 und dann kommen die Verschlüsselungstechniken (sieht unauffällig aus RSA, AES & Co.)

Ich habe Sicherheitsbedenkten wegen des veralteten SHA1 sowie TLSv1 (v1.2 ist wohl sinnvoll), das ist auch ein Grund warum ich nach Update frage.

SHA1: http://www.heise.de/newsticker/meldung/SHA-1-geknackt-Nachfolger-gesuch ...
Mitglied: aqui
aqui 15.04.2014 aktualisiert um 10:36:04 Uhr
Goto Top
Dann hast du wirklich kein OpenSSL auf dem System !! Sehr ungewöhnlich...??
Die hiesige dd-wrt.v24_vpn_generic.bin und die dd-wrt.v24_std_generic.bin in allen Versionen hat es de facto an Bord (getestet !)
Mitglied: mrtux
mrtux 15.04.2014 aktualisiert um 11:31:35 Uhr
Goto Top
Hi!

Zitat von @DonJoe:
Ich habe Sicherheitsbedenkten wegen des veralteten SHA1 sowie TLSv1 (v1.2 ist wohl sinnvoll), das ist auch ein

SHA1 gilt schon längere Zeit als unsicher und hätte dann auch schon bei Dir ausgenutzt werden können....nur so als Anmerkung..

Zitat von @aqui:

Dann hast du wirklich kein OpenSSL auf dem System !! Sehr ungewöhnlich...??

Seltsam. Habe gerade mal bei meinem Billigheimer (TP-Link), auf dem ich eine DDWRT V24 Sp2 Beta vom 13. März draufgebügelt habe, geschaut und dort scheint ebenfalls kein OpenSSL vorhanden zu sein....echt seltsam...

mrtux
Mitglied: aqui
aqui 15.04.2014 aktualisiert um 18:23:59 Uhr
Goto Top
Stimmt....ich muss fairerweise zurückrudern. Ein Standard DD-WRT hat tatsächlich kein OpenSSL drauf. Habs gerade mal auf einer Standard installierten WRT54 Büchse hier getestet. Vorher hatte ich einen WRT54 mit aktiviertem JFFS2 Filesystem (SD Kartenerweiterung) und dort war mit ipkg-update ein OpenSSL Paket installiert. Sorry...

Das ist in der Tat seltsam. Erste Vermutung das Keys mit easy-rsa im OpenVPN Teil erzeugt werden aber auch da Fehlanzeige.
Fraglich wie für SSH Zugang und HTTPs die Keys installiert werden. Vermutlich sind dort feste Keys fest drin, denn generell ist eine Keyerzeugung ja nicht erforderlich, da sie immer extern eingespielt werden. Seltsam ist es trotzdem.
Ein googeln nach "dd-wrt openssl" führt auch nicht wirklich weiter.
Mitglied: DonJoe
DonJoe 15.04.2014 um 19:50:21 Uhr
Goto Top
Beim Herstellen einer OpenVPN-Verbindung wird aber OpenSSL angegeben. Evtl. ist das OpenSSL so abgespeckt bzw. in OpenVPN integriert, das die regulären Befehle hier nicht funktionieren?!
Mitglied: aqui
aqui 16.04.2014 um 09:09:12 Uhr
Goto Top
OpenVPN hat ja mit easy-rsa eine eigene Cipher Suite mit an Bord. Das war die Vermutung das diese verwendet wird und / oder irgendwie umbenannt oder anderweitig integriert ist.