Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Traffic via SSLH splitten, NGINX

Mitglied: maddig

maddig (Level 1) - Jetzt verbinden

12.06.2018 um 23:06 Uhr, 511 Aufrufe, 6 Kommentare

Guten Abend,

ich weiß mal wieder nicht weiter.

Und zwar betreibe ich einen nginx reverse proxy mit diversen Subdomains die alle samt DynDNS Adressen sind.
Auf dem nginx selber läuft z.b. eine Owncloud. Ich nutze ihn aber auch, um über Subdomains zum Beispiel auf das Interface von PRTG zuzugreifen.
Port 80 und 443 werden zu dem Server forwardet.

Als VPN Lösung habe ich bis dato den OpenVPN Server meiner pfSense eingesetzt. Jedoch musste ich dafür UDP 443 benutzen. Das nervt mit der Zeit weil nicht überall UDP offen ist.

Jetzt habe ich einen OpenVPN AccessServer aufgesetzt. Connecten aus dem LAN funktioniert soweit ganz gut. Nur belege ich 443 ja schon für SSL für den Webserver.

Die Überlegung war jetzt mit SSLH den Traffic zu splitten und mit der Option --openvpn OVPNSERVER:443 , den Openvpn Traffic auf den AccessServer weiterzuleiten.

01.
DAEMON_OPTS="--user sslh --listen 10.7.10.11:443 --ssl 127.0.0.1:443 --openvpn 10.7.10.16:443 --pidfile /var/run/sslh/sslh.pid"
10.7.10.11 ist der Debian Server und 10.7.10.16 der OVPN Server.

Wenn ich jetzt versuche auf meine Domain zu connecten, wirft der Client den Fehler: "TCP_SIZE_ERROR"

Ein Logfile habe ich nach der Anleitung eingerichtet, jedoch erstellt sslh keines...

Habt ihr Erfahrungen, bzw vielleicht eine andere Lösung?

Im Anhang nochmal eine Visio zur Veranschaulichung.

mfg
maddig
openvpn. - Klicke auf das Bild, um es zu vergrößern
Mitglied: Spirit-of-Eli
13.06.2018 um 08:23 Uhr
Moin,

wieso 443? Standart Port ist 1194. Der Port ist vollständig variabel. Oder geht es darum, das häufig alles andere geblockt ist?

Der Server kann die Session über TCP und UDP aufbauen.

Also wo ist nun das Problem? Deine Sense möchtest du ja wohl nicht direkt von extern erreichbar machen..

Gruß
Spirit
Bitte warten ..
Mitglied: maddig
13.06.2018 um 08:43 Uhr
Guten Morgen,

das schöne an OpenVPN ist ja, dass jeder Port sowieso TCP oder UDP verwendet werden kann. Sinnigerweise verwendet man dann hierzu 443TCP da dies sogut wie in jedem LAN offen ist. Oder siehst du das anders?

Wie oben schon geschrieben und bildlich dargestellt, belege ich durch den nginx Webserver schon den Port 443 auf TCP.

Damit ich den Port 443 TCP auch für das OpenVPN benutzen kann, will ich den Traffic via SSLH aufsplitten zu SSL und OpenVPN und je nach dem zu einer anderen ZielIP weiterleiten. Ebenfalls oben beschrieben.

mfg
maddig
Bitte warten ..
Mitglied: Spirit-of-Eli
13.06.2018 um 09:48 Uhr
Zitat von maddig:

Guten Morgen,

das schöne an OpenVPN ist ja, dass jeder Port sowieso TCP oder UDP verwendet werden kann. Sinnigerweise verwendet man dann hierzu 443TCP da dies sogut wie in jedem LAN offen ist. Oder siehst du das anders?

Wie oben schon geschrieben und bildlich dargestellt, belege ich durch den nginx Webserver schon den Port 443 auf TCP.

Damit ich den Port 443 TCP auch für das OpenVPN benutzen kann, will ich den Traffic via SSLH aufsplitten zu SSL und OpenVPN und je nach dem zu einer anderen ZielIP weiterleiten. Ebenfalls oben beschrieben.

mfg
maddig

Das ist durchaus ein cooler Gedanke, allerdings unterscheidet dieses Tool wohl nur zwischen SSL und SSH. Daher wird es mit OpenVPN wohl nicht gehen.

Ich habe es selbst noch nie gebraucht aber bin gespannt wer sich hier noch meldet.
Bitte warten ..
Mitglied: Spirit-of-Eli
13.06.2018 um 09:55 Uhr
Mir fällt gerade noch eine Option ein:
Lass OpenVPN über port 80 laufen und deinen Webserver über Https.
Chrome usw. Warnen ja eh bald bei unverschlüsselten Verbindungen.
Bitte warten ..
Mitglied: beidermachtvongreyscull
13.06.2018 um 10:04 Uhr
Möchtest Du es mal mit Portsplit probieren?

https://github.com/kheops2713/portsplit

Hier beschreibt jemand einen Aufbau mit OpenVPN und einem anderen Dienst, der Deinem Aufbau ziemlich ähnlich kommt.

https://github.com/equalitie/ceno2-testbed/blob/master/servers.md

Die Idee, die ich hinter PortSplit sehe ist, dass es etwas flexibler scheint, als SSLH.
Der Grundgedanke ist aber der gleiche.

Gruß,
Andreas
Bitte warten ..
Mitglied: maddig
13.06.2018 um 11:22 Uhr
Hallo,

Mit der Option --openvpn ist es möglich mit SSLH OpenVPN Pakete zu filtern nur leider funktioniert das nicht.

Mit Port 80 hast du recht, jedoch brauche ich das auch für den https Redirect.

Portsplit sieht auf den ersten Blick wirklich gut aus. Und das Beispiel dazu noch besser.

Ich werde das heute abend mal testen und wieder berichten.

Danke für eure Hilfe.

mfg
maddig
Bitte warten ..
Ähnliche Inhalte
Webentwicklung
Nginx Redirect je nach Pfad
gelöst Frage von certifiedit.netWebentwicklung1 Kommentar

Guten Morgen, ich sitze gerade noch an einem kleinen Problem mit nginx Redirects. Ziel ist es, dass beim Zugriff ...

Server
NGINX - Mit Domains vom LAN erreichen
gelöst Frage von maddigServer3 Kommentare

Guten Abend, nach meinem Umstieg auf nginx ist mir etwas sehr blödes aufgefallen. Bisher war es immer mit z.b. ...

Batch & Shell
LogFile splitten
gelöst Frage von MuHMuHBatch & Shell7 Kommentare

Guten Abend Zusammen, ich muss per robocopy eine große Anzahl Dateien und Ordner kopieren. Das klappt auch ganz gut, ...

Hosting & Housing
Load Balancing mit nginx unter Windows
Frage von 117217Hosting & Housing11 Kommentare

Hallo, ich versuche zurzeit Load Balancing mit nginx(upstream) unter Windows einzurichten, jedoch scheint die Art, wie ich es haben ...

Neue Wissensbeiträge
Netzwerkmanagement
Win 10 - wiederaufnahme in Domäne scheitert
Anleitung von Seesturm vor 6 StundenNetzwerkmanagement1 Kommentar

Ich habe ein kleines Netzwerk mit einem Domänencontroller Server 2012 R2. Die meisten Rechner laufen unter Windows 7. Vor ...

Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 1 TagInternet6 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 3 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 3 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Heiß diskutierte Inhalte
Instant Messaging
Whats App Business am PC einsetzen
Frage von thomasreischerInstant Messaging30 Kommentare

Hallo zusammen, wir würden demnächst gerne WhatsApp Business verwenden um den Kontakt zwischen Kunden und Mitarbeitern zu erleichtern. Natürlich ...

Windows 7
Windows 7 Benutzer wechsel nicht möglich
gelöst Frage von OSelbeckWindows 727 Kommentare

Hallo, ich habe hier einen Windows 7 Rechner, der in der Domäne war. Jetzt passiert beim starten, das ich ...

Windows Netzwerk
IP-Adresskonflikt
Frage von Turbo-MasterWindows Netzwerk24 Kommentare

Hallo zusammen, ich habe ein Problem mit unserem Netzwerk unter Windows Server. Ständig erhalten wir die Meldung, dass ein ...

Festplatten, SSD, Raid
RAID auflösen Synology DS213j!
gelöst Frage von Hendrik2586Festplatten, SSD, Raid19 Kommentare

Guten Morgen meine Lieben! :) Diese Frage wird sich sicherlich schon der ein oder andere gestellt haben. Es geht ...