Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DD-WRT und OpenVPN auf WRT54 aktualisieren möglich? Wie?

Frage Netzwerke Router & Routing

Mitglied: DonJoe

DonJoe (Level 1) - Jetzt verbinden

11.04.2014 um 10:55 Uhr, 2636 Aufrufe, 13 Kommentare

Hallo,

ich nutze einen WRT54 mit OpenVPN, den ich gerne aktualisieren möchte, insbesondere wegen der OpenSSL Heartbleed-Lücke.

Für den WRT54 sind die dd-wrt Versionen schon nicht mehr die aktuellsten, gibt es eine Möglichkeit trotzdem neuere ddwrt FWs aufzuspielen? Oder ist der Router nicht Leistungsfähig genug?
Beim Flashen musste ich schon auf ein Light Version ausweichen.

Ich habe im Netz keine Anleitung gefunden um OpenVPN von dd-WRT zu aktualisieren sondern nur Konfigurationsanleitungen.


Grüße,

DonJoe
Mitglied: mrtux
11.04.2014, aktualisiert 14.04.2014
Hi!

Hast Du denn überhaupt schon in Erfahrung gebracht ob die SSL-Library deines DDWRT-Release überhaupt von einer Lücke betroffen ist? Einfach mal irgend ein Update oder eine neue Firmware einzuspielen, weil Du das von Ubuntu her kennst, macht ja nicht gerade viel Sinn. Meines Wissens wird DDWRT aktiv weiterentwickelt und gravierende Lücken sollten sicherlich auch geschlossen werden. Update: Einige Distris haben wohl im Gegenzug zu Debian und Arch noch kein Update veröffentlicht und laut Heise Online soll die Version 0.9.8 von Openssl nicht betroffen sein. Hast Du mal mal im DDWRT-Forum geschaut oder wenigstens die Versionen geprüft?

Falls es wirklich notwendig sein sollte, dann kannst Du auch mal eine Beta testen. Aktuelle Betas (2010-2014) findest Du hier. Dort suchst Du deinen Router raus und kannst das Image herunterladen. Denk aber daran, man kann meist nur das Backup einspielen, welches mit der gleichen Firmwareversion gesichert wurde. Wenn Du also von einer älteren Stable/Release auf eine Beta umsteigen willst, musst Du wahrscheinlich den Router manuell komplett neu einrichten um Probleme zu vermeiden.

Welchen der WRT Router hast Du? Die Light/Mini/Mico-Versionen braucht man eigentlich nur bei Modellen mit wenig Speicher. Beim WRT54gl solltest Du üblicherweise ein "normal" grosses Image einspielen können.

mrtux
Bitte warten ..
Mitglied: DonJoe
11.04.2014 um 11:35 Uhr
Ich habe noch einen alten WRT54G V1.1 (4MB Flash) und habe "schon" die v24 beta 13064 drauf aber es gibt deutlich neuere, bei denn aber nicht die OpenVPN Variante sich nicht auf den Router Flashen lässt. Er bricht immer beim Flashen ab, inzwischen gehe ich davon aus das der Flash mindestens einen defekten Speicherblock hat.

Die OpenSSL/VPN Version ist denke ich so alt das sie von dem exploit nicht betroffen ist, aber ich gehe davon aus das andere ältere enthalten sind, sonst bräuchte man keine Updates. Und da es eine Fix für die SSL Lücke gibt würde eine Aktualisierung nicht schaden.

Außerdem bin ich mir nicht sicher ob die 13064 neu genug ist, als dass das ddwrt exploit gefixed ist, insbesondere das es schon deutlich neue Versionsnummer gibt.
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 15:57 Uhr
Check doch erstmal ob du überhapt betroffen bist !!
Geh mit PuTTY http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html per SSH auf den DD-WRT und gib dort "version" unter OpenSSL ein ala
root@dd-wrt:# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>

Erst wenn da eine betroffene Version steht besteht doch überhaupt erst Handlungsbedarf !
13064 ist die recommended aber wenn du in der Router Database nachsiehst siehst du die 14896 die schon etwas neuer ist !
Bitte warten ..
Mitglied: DonJoe
14.04.2014 um 16:28 Uhr
So ich habe nun versucht die OpenSSL Version herauszufinden und habe verscheide Befehle versucht leider ohne Erfolg.
- openssl version -a (not found)
- ls -lat /opt/lib/libssl* (Nichts)
Ich gehe inzwischen aber fest davon aus das eine ältere als 1.0 Version von OpenSSL vorliegt dafür ist die dd-wrt Version einfach zu alt.


Die 14896 hatte ich ursprünglich drauf einiges Tages ging der Router nicht ich mehr, ständige Reboots und ich dachte schon das NT wäre defekt. Nach mehreren Flash versuchen muss ich feststellen, das alle OPenVPN Versionen >=13064 beim Flashen abbrachen, nur die 13064 lite nicht. Ich gehe von einem (teil) defekt des Flashes aus.

Die Version 14896 ist auch schon von 2010 also ~4 Jahre alt, gibt es keine Möglichkeit (Sicherheit-) Updates einzuspielen?
Bitte warten ..
Mitglied: aqui
14.04.2014 um 20:07 Uhr
Das Kommando openssl version -a (not found) funktioniert so NICHT ! Gib openssl OHNE Parameter ein und am Prompt dann "version" ! Siehe hier:
root@dd-wrt:# openssl
OpenSSL> version

"exit" bringt dich da wieder zurück auf dem Prompt.
Bitte warten ..
Mitglied: DonJoe
14.04.2014 um 21:05 Uhr
Hatte ich vergessen zu schreiben das, openssl war mein erster Versuch da kommt "not found"
Bitte warten ..
Mitglied: aqui
15.04.2014, aktualisiert um 09:00 Uhr
Dann hast du auch gar kein OpenSSL auf dem Router oder....
Es ist nicht im Suchpfad !

Ein find / -name openssl -print sollte es finden sofern es überhaupt vorhanden ist ?! Dann rufst du es dort in dem gefundenen Verzeichnis mit ./openssl auf !
Außerdem supportet Linux immer Autocompletion ! Du kannst also auch open eingeben und direkt die TAB Taste drücken, dann findet er es selber.
Wenn wie gesagt das Programmverzeichnis nicht im Suchpfad steht ist es klar.
Versuch es mal mit dem find Kommando oben zu finden oder unter /usr/bin oder /sbin
Wäre sehr ungewöhnlich wenn es nicht drauf ist, denn SSH usw. muss das zwingend nutzen....!!
Bitte warten ..
Mitglied: DonJoe
15.04.2014 um 10:28 Uhr
find / -name openssl -print liefert nichts

Es ist die dd-wrt.v24-13064_VINT_openvpn_jffs_small.bin die Installiert ist.

Im Log der Client-VPN-Verbindung steht OpenVPN 2.3.3 ..[OpenSSL]...
Die Verbindung ist eine TSLv1/SSLv3 und dann kommen die Verschlüsselungstechniken (sieht unauffällig aus RSA, AES & Co.)

Ich habe Sicherheitsbedenkten wegen des veralteten SHA1 sowie TLSv1 (v1.2 ist wohl sinnvoll), das ist auch ein Grund warum ich nach Update frage.

SHA1: http://www.heise.de/newsticker/meldung/SHA-1-geknackt-Nachfolger-gesuch ...
Bitte warten ..
Mitglied: aqui
15.04.2014, aktualisiert um 10:36 Uhr
Dann hast du wirklich kein OpenSSL auf dem System !! Sehr ungewöhnlich...??
Die hiesige dd-wrt.v24_vpn_generic.bin und die dd-wrt.v24_std_generic.bin in allen Versionen hat es de facto an Bord (getestet !)
Bitte warten ..
Mitglied: mrtux
15.04.2014, aktualisiert um 11:31 Uhr
Hi!

Zitat von DonJoe:
Ich habe Sicherheitsbedenkten wegen des veralteten SHA1 sowie TLSv1 (v1.2 ist wohl sinnvoll), das ist auch ein

SHA1 gilt schon längere Zeit als unsicher und hätte dann auch schon bei Dir ausgenutzt werden können....nur so als Anmerkung..

Zitat von aqui:

Dann hast du wirklich kein OpenSSL auf dem System !! Sehr ungewöhnlich...??

Seltsam. Habe gerade mal bei meinem Billigheimer (TP-Link), auf dem ich eine DDWRT V24 Sp2 Beta vom 13. März draufgebügelt habe, geschaut und dort scheint ebenfalls kein OpenSSL vorhanden zu sein....echt seltsam...

mrtux
Bitte warten ..
Mitglied: aqui
15.04.2014, aktualisiert um 18:23 Uhr
Stimmt....ich muss fairerweise zurückrudern. Ein Standard DD-WRT hat tatsächlich kein OpenSSL drauf. Habs gerade mal auf einer Standard installierten WRT54 Büchse hier getestet. Vorher hatte ich einen WRT54 mit aktiviertem JFFS2 Filesystem (SD Kartenerweiterung) und dort war mit ipkg-update ein OpenSSL Paket installiert. Sorry...

Das ist in der Tat seltsam. Erste Vermutung das Keys mit easy-rsa im OpenVPN Teil erzeugt werden aber auch da Fehlanzeige.
Fraglich wie für SSH Zugang und HTTPs die Keys installiert werden. Vermutlich sind dort feste Keys fest drin, denn generell ist eine Keyerzeugung ja nicht erforderlich, da sie immer extern eingespielt werden. Seltsam ist es trotzdem.
Ein googeln nach "dd-wrt openssl" führt auch nicht wirklich weiter.
Bitte warten ..
Mitglied: DonJoe
15.04.2014 um 19:50 Uhr
Beim Herstellen einer OpenVPN-Verbindung wird aber OpenSSL angegeben. Evtl. ist das OpenSSL so abgespeckt bzw. in OpenVPN integriert, das die regulären Befehle hier nicht funktionieren?!
Bitte warten ..
Mitglied: aqui
16.04.2014 um 09:09 Uhr
OpenVPN hat ja mit easy-rsa eine eigene Cipher Suite mit an Bord. Das war die Vermutung das diese verwendet wird und / oder irgendwie umbenannt oder anderweitig integriert ist.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst DD-WRT Zwei W-Lan Netzwerke (4)

Frage von schneerunzel zum Thema LAN, WAN, Wireless ...

Peripheriegeräte
WRT3200ACM: Linksys kündigt neuen OpenWRT- und DD-WRT-Router an

Link von runasservice zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (10)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...