Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Traffic via SSLH splitten, NGINX

Mitglied: maddig

maddig (Level 1) - Jetzt verbinden

12.06.2018 um 23:06 Uhr, 587 Aufrufe, 6 Kommentare

Guten Abend,

ich weiß mal wieder nicht weiter.

Und zwar betreibe ich einen nginx reverse proxy mit diversen Subdomains die alle samt DynDNS Adressen sind.
Auf dem nginx selber läuft z.b. eine Owncloud. Ich nutze ihn aber auch, um über Subdomains zum Beispiel auf das Interface von PRTG zuzugreifen.
Port 80 und 443 werden zu dem Server forwardet.

Als VPN Lösung habe ich bis dato den OpenVPN Server meiner pfSense eingesetzt. Jedoch musste ich dafür UDP 443 benutzen. Das nervt mit der Zeit weil nicht überall UDP offen ist.

Jetzt habe ich einen OpenVPN AccessServer aufgesetzt. Connecten aus dem LAN funktioniert soweit ganz gut. Nur belege ich 443 ja schon für SSL für den Webserver.

Die Überlegung war jetzt mit SSLH den Traffic zu splitten und mit der Option --openvpn OVPNSERVER:443 , den Openvpn Traffic auf den AccessServer weiterzuleiten.

01.
DAEMON_OPTS="--user sslh --listen 10.7.10.11:443 --ssl 127.0.0.1:443 --openvpn 10.7.10.16:443 --pidfile /var/run/sslh/sslh.pid"
10.7.10.11 ist der Debian Server und 10.7.10.16 der OVPN Server.

Wenn ich jetzt versuche auf meine Domain zu connecten, wirft der Client den Fehler: "TCP_SIZE_ERROR"

Ein Logfile habe ich nach der Anleitung eingerichtet, jedoch erstellt sslh keines...

Habt ihr Erfahrungen, bzw vielleicht eine andere Lösung?

Im Anhang nochmal eine Visio zur Veranschaulichung.

mfg
maddig
openvpn. - Klicke auf das Bild, um es zu vergrößern
Mitglied: Spirit-of-Eli
13.06.2018 um 08:23 Uhr
Moin,

wieso 443? Standart Port ist 1194. Der Port ist vollständig variabel. Oder geht es darum, das häufig alles andere geblockt ist?

Der Server kann die Session über TCP und UDP aufbauen.

Also wo ist nun das Problem? Deine Sense möchtest du ja wohl nicht direkt von extern erreichbar machen..

Gruß
Spirit
Bitte warten ..
Mitglied: maddig
13.06.2018 um 08:43 Uhr
Guten Morgen,

das schöne an OpenVPN ist ja, dass jeder Port sowieso TCP oder UDP verwendet werden kann. Sinnigerweise verwendet man dann hierzu 443TCP da dies sogut wie in jedem LAN offen ist. Oder siehst du das anders?

Wie oben schon geschrieben und bildlich dargestellt, belege ich durch den nginx Webserver schon den Port 443 auf TCP.

Damit ich den Port 443 TCP auch für das OpenVPN benutzen kann, will ich den Traffic via SSLH aufsplitten zu SSL und OpenVPN und je nach dem zu einer anderen ZielIP weiterleiten. Ebenfalls oben beschrieben.

mfg
maddig
Bitte warten ..
Mitglied: Spirit-of-Eli
13.06.2018 um 09:48 Uhr
Zitat von maddig:

Guten Morgen,

das schöne an OpenVPN ist ja, dass jeder Port sowieso TCP oder UDP verwendet werden kann. Sinnigerweise verwendet man dann hierzu 443TCP da dies sogut wie in jedem LAN offen ist. Oder siehst du das anders?

Wie oben schon geschrieben und bildlich dargestellt, belege ich durch den nginx Webserver schon den Port 443 auf TCP.

Damit ich den Port 443 TCP auch für das OpenVPN benutzen kann, will ich den Traffic via SSLH aufsplitten zu SSL und OpenVPN und je nach dem zu einer anderen ZielIP weiterleiten. Ebenfalls oben beschrieben.

mfg
maddig

Das ist durchaus ein cooler Gedanke, allerdings unterscheidet dieses Tool wohl nur zwischen SSL und SSH. Daher wird es mit OpenVPN wohl nicht gehen.

Ich habe es selbst noch nie gebraucht aber bin gespannt wer sich hier noch meldet.
Bitte warten ..
Mitglied: Spirit-of-Eli
13.06.2018 um 09:55 Uhr
Mir fällt gerade noch eine Option ein:
Lass OpenVPN über port 80 laufen und deinen Webserver über Https.
Chrome usw. Warnen ja eh bald bei unverschlüsselten Verbindungen.
Bitte warten ..
Mitglied: beidermachtvongreyscull
13.06.2018 um 10:04 Uhr
Möchtest Du es mal mit Portsplit probieren?

https://github.com/kheops2713/portsplit

Hier beschreibt jemand einen Aufbau mit OpenVPN und einem anderen Dienst, der Deinem Aufbau ziemlich ähnlich kommt.

https://github.com/equalitie/ceno2-testbed/blob/master/servers.md

Die Idee, die ich hinter PortSplit sehe ist, dass es etwas flexibler scheint, als SSLH.
Der Grundgedanke ist aber der gleiche.

Gruß,
Andreas
Bitte warten ..
Mitglied: maddig
13.06.2018 um 11:22 Uhr
Hallo,

Mit der Option --openvpn ist es möglich mit SSLH OpenVPN Pakete zu filtern nur leider funktioniert das nicht.

Mit Port 80 hast du recht, jedoch brauche ich das auch für den https Redirect.

Portsplit sieht auf den ersten Blick wirklich gut aus. Und das Beispiel dazu noch besser.

Ich werde das heute abend mal testen und wieder berichten.

Danke für eure Hilfe.

mfg
maddig
Bitte warten ..
Ähnliche Inhalte
Webentwicklung
Nginx Redirect je nach Pfad
gelöst Frage von certifiedit.netWebentwicklung1 Kommentar

Guten Morgen, ich sitze gerade noch an einem kleinen Problem mit nginx Redirects. Ziel ist es, dass beim Zugriff ...

Server
NGINX - Mit Domains vom LAN erreichen
gelöst Frage von maddigServer3 Kommentare

Guten Abend, nach meinem Umstieg auf nginx ist mir etwas sehr blödes aufgefallen. Bisher war es immer mit z.b. ...

Batch & Shell
LogFile splitten
gelöst Frage von MuHMuHBatch & Shell7 Kommentare

Guten Abend Zusammen, ich muss per robocopy eine große Anzahl Dateien und Ordner kopieren. Das klappt auch ganz gut, ...

Netzwerke
Subnetz splitten
gelöst Frage von macherlthomasNetzwerke3 Kommentare

Hey Leute, ich hätte da eine doofe Anfängerfrage: Ich hab hier z.B: 2 Standorte (Verbindung über das Internet und ...

Neue Wissensbeiträge
Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 15 StundenSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Router & Routing

Endlich: Reines Kabel-TV Modem in D erhältlich !

Information von aqui vor 3 TagenRouter & Routing11 Kommentare

Mit dem Technicolor TC4400-EU Modem sind nun auch Breitband Router ohne integriertes Modem oder Firewalls wie z.B. die pfSense ...

Netzwerkgrundlagen
The Illustrated TLS Connection
Information von Lochkartenstanzer vor 4 TagenNetzwerkgrundlagen1 Kommentar

Moin, Unter findet man eine gelungene Erläuterung von TLS. Fördert sehr das verständnis darüber, was da passiert. lks

Windows 10

Zuverlässiger Remove-AppxProvisionedPackage Ausführen in W10-1803

Tipp von NetzwerkDude vor 5 TagenWindows 104 Kommentare

Moin, Remove-AppxProvisionedPackage hat in 1709 recht zuverlässig funktioniert, in 1803 ist es leider so das es gerne mail failed ...

Heiß diskutierte Inhalte
Windows Server
AD User wird immer wieder gesperrt
Frage von YellowcakeWindows Server20 Kommentare

Hey ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich ...

Windows Netzwerk
Gruppenrichtlinie für einen PC deaktivieren
gelöst Frage von Florian961988Windows Netzwerk14 Kommentare

Hallo, kleines Problem und immoment finde ich dazu keine Lösung oder mir fällt nicht ein, wie ich es suche ...

Debian
Linux debian 9 Installation
Frage von Green14Debian13 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Switche und Hubs
OpenSource oder Freeware zur Verwaltung von Switchen
gelöst Frage von JonskezSwitche und Hubs12 Kommentare

Hallo, gibt eine kostenlose Verwaltungssoftware für Switche (überwiegend HP/Aruba)? Es sollte möglich sein, aus der Ferne z.B. die Firmware ...