Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DD-WRT und OpenVPN auf WRT54 aktualisieren möglich? Wie?

Frage Netzwerke Router & Routing

Mitglied: DonJoe

DonJoe (Level 1) - Jetzt verbinden

11.04.2014 um 10:55 Uhr, 2778 Aufrufe, 13 Kommentare

Hallo,

ich nutze einen WRT54 mit OpenVPN, den ich gerne aktualisieren möchte, insbesondere wegen der OpenSSL Heartbleed-Lücke.

Für den WRT54 sind die dd-wrt Versionen schon nicht mehr die aktuellsten, gibt es eine Möglichkeit trotzdem neuere ddwrt FWs aufzuspielen? Oder ist der Router nicht Leistungsfähig genug?
Beim Flashen musste ich schon auf ein Light Version ausweichen.

Ich habe im Netz keine Anleitung gefunden um OpenVPN von dd-WRT zu aktualisieren sondern nur Konfigurationsanleitungen.


Grüße,

DonJoe
Mitglied: mrtux
11.04.2014, aktualisiert 14.04.2014
Hi!

Hast Du denn überhaupt schon in Erfahrung gebracht ob die SSL-Library deines DDWRT-Release überhaupt von einer Lücke betroffen ist? Einfach mal irgend ein Update oder eine neue Firmware einzuspielen, weil Du das von Ubuntu her kennst, macht ja nicht gerade viel Sinn. Meines Wissens wird DDWRT aktiv weiterentwickelt und gravierende Lücken sollten sicherlich auch geschlossen werden. Update: Einige Distris haben wohl im Gegenzug zu Debian und Arch noch kein Update veröffentlicht und laut Heise Online soll die Version 0.9.8 von Openssl nicht betroffen sein. Hast Du mal mal im DDWRT-Forum geschaut oder wenigstens die Versionen geprüft?

Falls es wirklich notwendig sein sollte, dann kannst Du auch mal eine Beta testen. Aktuelle Betas (2010-2014) findest Du hier. Dort suchst Du deinen Router raus und kannst das Image herunterladen. Denk aber daran, man kann meist nur das Backup einspielen, welches mit der gleichen Firmwareversion gesichert wurde. Wenn Du also von einer älteren Stable/Release auf eine Beta umsteigen willst, musst Du wahrscheinlich den Router manuell komplett neu einrichten um Probleme zu vermeiden.

Welchen der WRT Router hast Du? Die Light/Mini/Mico-Versionen braucht man eigentlich nur bei Modellen mit wenig Speicher. Beim WRT54gl solltest Du üblicherweise ein "normal" grosses Image einspielen können.

mrtux
Bitte warten ..
Mitglied: DonJoe
11.04.2014 um 11:35 Uhr
Ich habe noch einen alten WRT54G V1.1 (4MB Flash) und habe "schon" die v24 beta 13064 drauf aber es gibt deutlich neuere, bei denn aber nicht die OpenVPN Variante sich nicht auf den Router Flashen lässt. Er bricht immer beim Flashen ab, inzwischen gehe ich davon aus das der Flash mindestens einen defekten Speicherblock hat.

Die OpenSSL/VPN Version ist denke ich so alt das sie von dem exploit nicht betroffen ist, aber ich gehe davon aus das andere ältere enthalten sind, sonst bräuchte man keine Updates. Und da es eine Fix für die SSL Lücke gibt würde eine Aktualisierung nicht schaden.

Außerdem bin ich mir nicht sicher ob die 13064 neu genug ist, als dass das ddwrt exploit gefixed ist, insbesondere das es schon deutlich neue Versionsnummer gibt.
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 15:57 Uhr
Check doch erstmal ob du überhapt betroffen bist !!
Geh mit PuTTY http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html per SSH auf den DD-WRT und gib dort "version" unter OpenSSL ein ala
root@dd-wrt:# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>

Erst wenn da eine betroffene Version steht besteht doch überhaupt erst Handlungsbedarf !
13064 ist die recommended aber wenn du in der Router Database nachsiehst siehst du die 14896 die schon etwas neuer ist !
Bitte warten ..
Mitglied: DonJoe
14.04.2014 um 16:28 Uhr
So ich habe nun versucht die OpenSSL Version herauszufinden und habe verscheide Befehle versucht leider ohne Erfolg.
- openssl version -a (not found)
- ls -lat /opt/lib/libssl* (Nichts)
Ich gehe inzwischen aber fest davon aus das eine ältere als 1.0 Version von OpenSSL vorliegt dafür ist die dd-wrt Version einfach zu alt.


Die 14896 hatte ich ursprünglich drauf einiges Tages ging der Router nicht ich mehr, ständige Reboots und ich dachte schon das NT wäre defekt. Nach mehreren Flash versuchen muss ich feststellen, das alle OPenVPN Versionen >=13064 beim Flashen abbrachen, nur die 13064 lite nicht. Ich gehe von einem (teil) defekt des Flashes aus.

Die Version 14896 ist auch schon von 2010 also ~4 Jahre alt, gibt es keine Möglichkeit (Sicherheit-) Updates einzuspielen?
Bitte warten ..
Mitglied: aqui
14.04.2014 um 20:07 Uhr
Das Kommando openssl version -a (not found) funktioniert so NICHT ! Gib openssl OHNE Parameter ein und am Prompt dann "version" ! Siehe hier:
root@dd-wrt:# openssl
OpenSSL> version

"exit" bringt dich da wieder zurück auf dem Prompt.
Bitte warten ..
Mitglied: DonJoe
14.04.2014 um 21:05 Uhr
Hatte ich vergessen zu schreiben das, openssl war mein erster Versuch da kommt "not found"
Bitte warten ..
Mitglied: aqui
15.04.2014, aktualisiert um 09:00 Uhr
Dann hast du auch gar kein OpenSSL auf dem Router oder....
Es ist nicht im Suchpfad !

Ein find / -name openssl -print sollte es finden sofern es überhaupt vorhanden ist ?! Dann rufst du es dort in dem gefundenen Verzeichnis mit ./openssl auf !
Außerdem supportet Linux immer Autocompletion ! Du kannst also auch open eingeben und direkt die TAB Taste drücken, dann findet er es selber.
Wenn wie gesagt das Programmverzeichnis nicht im Suchpfad steht ist es klar.
Versuch es mal mit dem find Kommando oben zu finden oder unter /usr/bin oder /sbin
Wäre sehr ungewöhnlich wenn es nicht drauf ist, denn SSH usw. muss das zwingend nutzen....!!
Bitte warten ..
Mitglied: DonJoe
15.04.2014 um 10:28 Uhr
find / -name openssl -print liefert nichts

Es ist die dd-wrt.v24-13064_VINT_openvpn_jffs_small.bin die Installiert ist.

Im Log der Client-VPN-Verbindung steht OpenVPN 2.3.3 ..[OpenSSL]...
Die Verbindung ist eine TSLv1/SSLv3 und dann kommen die Verschlüsselungstechniken (sieht unauffällig aus RSA, AES & Co.)

Ich habe Sicherheitsbedenkten wegen des veralteten SHA1 sowie TLSv1 (v1.2 ist wohl sinnvoll), das ist auch ein Grund warum ich nach Update frage.

SHA1: http://www.heise.de/newsticker/meldung/SHA-1-geknackt-Nachfolger-gesuch ...
Bitte warten ..
Mitglied: aqui
15.04.2014, aktualisiert um 10:36 Uhr
Dann hast du wirklich kein OpenSSL auf dem System !! Sehr ungewöhnlich...??
Die hiesige dd-wrt.v24_vpn_generic.bin und die dd-wrt.v24_std_generic.bin in allen Versionen hat es de facto an Bord (getestet !)
Bitte warten ..
Mitglied: mrtux
15.04.2014, aktualisiert um 11:31 Uhr
Hi!

Zitat von DonJoe:
Ich habe Sicherheitsbedenkten wegen des veralteten SHA1 sowie TLSv1 (v1.2 ist wohl sinnvoll), das ist auch ein

SHA1 gilt schon längere Zeit als unsicher und hätte dann auch schon bei Dir ausgenutzt werden können....nur so als Anmerkung..

Zitat von aqui:

Dann hast du wirklich kein OpenSSL auf dem System !! Sehr ungewöhnlich...??

Seltsam. Habe gerade mal bei meinem Billigheimer (TP-Link), auf dem ich eine DDWRT V24 Sp2 Beta vom 13. März draufgebügelt habe, geschaut und dort scheint ebenfalls kein OpenSSL vorhanden zu sein....echt seltsam...

mrtux
Bitte warten ..
Mitglied: aqui
15.04.2014, aktualisiert um 18:23 Uhr
Stimmt....ich muss fairerweise zurückrudern. Ein Standard DD-WRT hat tatsächlich kein OpenSSL drauf. Habs gerade mal auf einer Standard installierten WRT54 Büchse hier getestet. Vorher hatte ich einen WRT54 mit aktiviertem JFFS2 Filesystem (SD Kartenerweiterung) und dort war mit ipkg-update ein OpenSSL Paket installiert. Sorry...

Das ist in der Tat seltsam. Erste Vermutung das Keys mit easy-rsa im OpenVPN Teil erzeugt werden aber auch da Fehlanzeige.
Fraglich wie für SSH Zugang und HTTPs die Keys installiert werden. Vermutlich sind dort feste Keys fest drin, denn generell ist eine Keyerzeugung ja nicht erforderlich, da sie immer extern eingespielt werden. Seltsam ist es trotzdem.
Ein googeln nach "dd-wrt openssl" führt auch nicht wirklich weiter.
Bitte warten ..
Mitglied: DonJoe
15.04.2014 um 19:50 Uhr
Beim Herstellen einer OpenVPN-Verbindung wird aber OpenSSL angegeben. Evtl. ist das OpenSSL so abgespeckt bzw. in OpenVPN integriert, das die regulären Befehle hier nicht funktionieren?!
Bitte warten ..
Mitglied: aqui
16.04.2014 um 09:09 Uhr
OpenVPN hat ja mit easy-rsa eine eigene Cipher Suite mit an Bord. Das war die Vermutung das diese verwendet wird und / oder irgendwie umbenannt oder anderweitig integriert ist.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVpn Client mit DD-WRT
gelöst Frage von Delikat89Router & Routing30 Kommentare

Schönen guten Abend, ich habe folgendes Problem. Ich befinde mich in einem Uni-Netz wobei ich entweder über die Uniseite ...

Router & Routing
DD-WRT als OpenVPN Server
Frage von trallerRouter & Routing20 Kommentare

Hallo, ich habe einen DD-WRT Router (Netgear Router mit DD-WRT v24-sp2 (03/25/13) std) und wollte diesen als OpenVPN-Server laufen ...

Router & Routing
DD WRT OpenVPN keine Internetverbindung
gelöst Frage von marcel90Router & Routing27 Kommentare

Hallo zusammen, ich habe auf der DD WRT Firmware den OpenVPN Server einmal aktiviert. Der Server läuft soweit auch. ...

Router & Routing
OpenVPN mit DD Wrt
Frage von NeckCheckRouter & Routing21 Kommentare

Hallo zusammen, ich habe mal wieder mich nach einem Jahr dran versucht an meinem DD Wrt Router OpenVPN am ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...