Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Richtige Konfiguration von OpenVPN

Mitglied: NetworkUser

NetworkUser (Level 1) - Jetzt verbinden

30.12.2012 um 18:53 Uhr, 6862 Aufrufe, 5 Kommentare

Hallo, ich möchte einen VPN Server betreiben und habe diesen soweit auch fertig konfiguriert. Ergänzen werde ich noch feste IP's um den Zugriff mittels IP-Tables einzuschränken. Aber der Zugriff auf das LAN funktioniert momentan. Projektziel ist der Zugriff auf Ressourcen im LAN für insg. ca. 2 - 3 Benutzer. (z.B. Dateifreigaben / Websites / etc...) Mir geht es bei dieser Frage hauptsächlich um das Thema Sicherheit.

Kurz zum Netzwerk und dessen Aufbau:
Im LAN, in welchem auch der OpenVPN-Server beheimatet ist, sind heterogene Clients mit verschiedenen Diensten vorhanden. Diese Dienste sollen über das VPN erreichbar sein. Der OpenVPN-Server läuft auf Ubuntu Server 12. Der Zugriff auf das VPN soll mit Windows und Android erfolgen.

Ich würde gerne von euch wissen, ob diese Konfiguration so für den produktiven Einsatz geeignet ist. Wie gesagt.. wichtig ist mir der Punkt Sicherheit:

- Ist es mit dieser Konfiguration wirklich nur möglich, sich mit Zertifikaten am Server zu authentifizieren?
- Ist die Verbindung stark genug Verschlüsselt?

- Ich habe von der Möglichkeit gehört, in das Konfig. File "auth SHA1" einzutragen. Aber dies wird bereits standardmäßig von OpenVPN verwendet und ist somit überflüssig, oder?
- Mich verwirrt das Thema TLS ein wenig. ... Was genau macht TLS? ... Auf meinem Android-Smartphone habe ich die Möglichkeit "Erwarte TLS-Server" zu aktivieren. Dann wird automatisch in der Konfiguration "remote-cert-tls server" hinzugefügt, aber die Verbindung kommt nicht mehr zu stande. Ersetzt "remote-cert-tls server" den Befehl "ns-cert-type server" eventuell?

Gibt es Verbesserungsvorschläge um die Konfiguration zu verbessern / die Sicherheit zu erhöhen?

Client-Konfiguration:
01.
tls-client 
02.
pull 
03.
remote <IP.Adresse> <Port> 
04.
 
05.
dev-node openvpn 
06.
 
07.
dev tun 
08.
proto udp 
09.
 
10.
pkcs12 <KeyFile>.p12 
11.
 
12.
cipher AES-256-CBC 
13.
ns-cert-type server //Überhaupt richtig geschrieben? - Wichtig? 
14.
tls-remote <CN-des-Servers> 
15.
 
16.
verb 4 
17.
comp-lzo
Server-Konfiguration:
01.
port <Port> 
02.
proto udp 
03.
dev tun0 
04.
 
05.
server <VPN.Servernetzwerk.IP> <VPN.Server.Netzwerkmaske> 
06.
 
07.
tls-server 
08.
auth SHA1 //Wird diese Zeile wirklich gebraucht? 
09.
 
10.
crl-verify <CRL-Keyfile>.pem 
11.
dh <DH-File>.pem 
12.
pkcs12 <Server-Keyfile>.p12 
13.
cipher AES-256-CBC 
14.
 
15.
comp-lzo 
16.
 
17.
push "route <Netzwerk.IP.vom.LAN.hinter.dem.Server> <Netzwerkmaske.vom.LAN>" 
18.
 
19.
verb 4 
20.
 
21.
keepalive 30 120 
22.
 
23.
user openvpn 
24.
group openvpn 
25.
 
26.
persist-tun 
27.
persist-key

Vielen Dank im Voraus!
(Ich hoffe ich habe den richtigen Bereich für diese Frage gewählt... falls nicht -> Sorry!)

Mit freundlichen Grüßen
freddy976
Mitglied: aqui
31.12.2012, aktualisiert 02.01.2013
Ja soweit sicht das ganz OK aus.
Hier findest du noch weitere Tips und Anregungen:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Wenn du pfSense als Plattform einsetzt, dann ist die Zugriffssteuerung die dir vorschwebt recht einfach mit ein paar Mausklicks in den Firewall Regeln per GUI zu machen.
Bitte warten ..
Mitglied: NetworkUser
01.01.2013, aktualisiert um 21:39 Uhr
Hey,
vielen Dank für die Rückmeldung und für den Tipp. Ich werde mir pfSense mal ansehen.
....
Hmm.. jetzt ist mir leider ein Problem aufgefallen... und zwar folgendes.. wenn ich mit meinem Windows Notebook (Sogar mit ganz frischer Neuinstallation) die VPN-Verbindung herstelle, produziert der Server folgenden Fehler in einer Endlosschleife:
01.
Tue Jan  1 20:58:33 2013 us=268739 <Zertifikatsname>/192.168.111.12:9411 MULTI: bad source address from client [fe80::933:5d6:ae48:ad0f], packet dropped
Wenn ich mich mit Android verbinde (Mit 2 Geräten unter gleichen Voraussetzungen getestet) passiert das nicht. Woran kann das liegen?

Wenn es an allen Geräten auftreten würde, wäre ich davon aus gegangen etwas falsches in einer Konfig.-Datei eingetragen zu haben. Aber da das nicht der Fall ist, verstehe ich das aktuell leider nicht.

Im Voraus Vielen Dank für Antworten und Mühe!

Frohes neues Jahr!
freddy976
Bitte warten ..
Mitglied: aqui
02.01.2013 um 12:40 Uhr
Um das richtig beantworten zu können müsste man deinen Server.conf Datei und die Client.conf Datei kennen. Mit den wenigen Information ist eine zielgerichtete Hilfe nicht möglich !
Geraten hat das was mit IPv4/IPv6 zu tun, denn er meckert ja nur die IPv6 Adresse an !
Poste die Fehlermeldung bei Dr. Google und du findest viele Hinweise dazu:
http://openvpn.net/index.php/open-source/faq/79-client/317-qmulti-bad-s ...
und
http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ...
usw.
Bei dir stimmt also was mit dem Routing nicht, da hast du was vermurkst !
Halte dich an das o.a. Tutorial, dort ist alles erklärt. Außer "push route" muss man nix machen !
Bitte warten ..
Mitglied: NetworkUser
02.01.2013 um 12:57 Uhr
Hey,
die Server und Client.conf sind die beiden in meiner Ausgangsfrage. Da habe ich nichts dran verändert.
Danke für die Links... das werde ich noch ausprobieren. Was mich nur wundert ist, dass es mit dieser Konfiguration, also wie du schreibst, nur mit "push route", doch funktionieren sollte?

Danke für die Hilfe, ich melde mich wieder wenn ich es ausprobieren konnte.

LG
freddy976
Bitte warten ..
Mitglied: NetworkUser
02.01.2013 um 20:41 Uhr
Hey,
soo... jetzt konnte ich das ganze einmal ausprobieren...

Wenn ich wie es im HowTo
( http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ... )
beschrieben ist, ein client-conf-dir mit iroute anlege und dem Server die entsprechende Route mit "route LAN-Netz Mask" über die Server-Konfig mitgebe, gibt es einen IP Konflikt und der Server ist nach dem Start von OpenVPN nicht mehr erreichbar.

Die Idee mit IPv6 hat mich dazu bewegt im OpenVPN-Netzwerkadapter die Unterstützung für IPv6 zu deaktivieren. -> Und siehe da, die Fehler sind verschwunden...

Also dachte ich, ich deaktiviere den IPv6 Support in Ubuntu 12 einfach ganz. Das hat jedoch leider nicht geholfen.

-> Fazit: Wenn ich IPv6 im Netzwerkadapter am Client deaktiviere, geht es. Aber das ist ja keine Endlösung.

Weiterhin ist mir aufgefallen, dass wenn ich mit meinem Notebook im selben LAN wie der Server bin und ich mich mit dem VPN verbinde, es nicht möglich ist im Internet zu surfen, geschweige denn irgendeine IP anzupingen. Eine offene SSH-Verbindung zum VPN-Server bleibt jedoch bestehen. Wenn ich mich via UMTS auf den VPN-Server verbinde, funktioniert das Surfen und ich erreiche auch alle IP's im LAN.

Gibt es noch weitere Ideen?

Schon jetzt Danke!
freddy976
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Richtige VLAN Konfiguration für Gastnetzwerk

gelöst Frage von alex980LAN, WAN, Wireless8 Kommentare

Hallo Zusammen, ich habe eine sophos UTM 9.2 bei mir im Netzwerk, welches ein Gast WiFi zur Verfügung stellen ...

Linux Netzwerk

OpenVPN Site-to-Site Tunnel routet nicht richtig

gelöst Frage von DerNanoLinux Netzwerk12 Kommentare

Hallo zusammen, ich will zwischen zwei Netzwerken per OpenVPN einen Tunnel einrichten. Die Netzwerke sollen so verbunden sein, dass ...

RedHat, CentOS, Fedora

Centos 7 Uhrzeit ist falsch trotz richtiger Konfiguration

gelöst Frage von vGavenRedHat, CentOS, Fedora6 Kommentare

Hi, habe ein Server mit Centos 7 und habe die timezone auf Europe/Berlin gesetzt jedoch ist die Uhrzeit immer ...

LAN, WAN, Wireless

Openvpn kein ping auf openvpn server möglich

gelöst Frage von kohle1957LAN, WAN, Wireless4 Kommentare

Mein Server ist ein Windows 2012 Standard hinter einen Kabel Deutschland modem interne ip 192.168.0.200 Habe 2 virtuelle Maschinen ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 3 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 10 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 13 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...