Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Richtige Konfiguration von OpenVPN

Frage Internet Server

Mitglied: NetworkUser

NetworkUser (Level 1) - Jetzt verbinden

30.12.2012 um 18:53 Uhr, 6102 Aufrufe, 5 Kommentare

Hallo, ich möchte einen VPN Server betreiben und habe diesen soweit auch fertig konfiguriert. Ergänzen werde ich noch feste IP's um den Zugriff mittels IP-Tables einzuschränken. Aber der Zugriff auf das LAN funktioniert momentan. Projektziel ist der Zugriff auf Ressourcen im LAN für insg. ca. 2 - 3 Benutzer. (z.B. Dateifreigaben / Websites / etc...) Mir geht es bei dieser Frage hauptsächlich um das Thema Sicherheit.

Kurz zum Netzwerk und dessen Aufbau:
Im LAN, in welchem auch der OpenVPN-Server beheimatet ist, sind heterogene Clients mit verschiedenen Diensten vorhanden. Diese Dienste sollen über das VPN erreichbar sein. Der OpenVPN-Server läuft auf Ubuntu Server 12. Der Zugriff auf das VPN soll mit Windows und Android erfolgen.

Ich würde gerne von euch wissen, ob diese Konfiguration so für den produktiven Einsatz geeignet ist. Wie gesagt.. wichtig ist mir der Punkt Sicherheit:

- Ist es mit dieser Konfiguration wirklich nur möglich, sich mit Zertifikaten am Server zu authentifizieren?
- Ist die Verbindung stark genug Verschlüsselt?

- Ich habe von der Möglichkeit gehört, in das Konfig. File "auth SHA1" einzutragen. Aber dies wird bereits standardmäßig von OpenVPN verwendet und ist somit überflüssig, oder?
- Mich verwirrt das Thema TLS ein wenig. ... Was genau macht TLS? ... Auf meinem Android-Smartphone habe ich die Möglichkeit "Erwarte TLS-Server" zu aktivieren. Dann wird automatisch in der Konfiguration "remote-cert-tls server" hinzugefügt, aber die Verbindung kommt nicht mehr zu stande. Ersetzt "remote-cert-tls server" den Befehl "ns-cert-type server" eventuell?

Gibt es Verbesserungsvorschläge um die Konfiguration zu verbessern / die Sicherheit zu erhöhen?

Client-Konfiguration:
01.
tls-client 
02.
pull 
03.
remote <IP.Adresse> <Port> 
04.
 
05.
dev-node openvpn 
06.
 
07.
dev tun 
08.
proto udp 
09.
 
10.
pkcs12 <KeyFile>.p12 
11.
 
12.
cipher AES-256-CBC 
13.
ns-cert-type server //Überhaupt richtig geschrieben? - Wichtig? 
14.
tls-remote <CN-des-Servers> 
15.
 
16.
verb 4 
17.
comp-lzo
Server-Konfiguration:
01.
port <Port> 
02.
proto udp 
03.
dev tun0 
04.
 
05.
server <VPN.Servernetzwerk.IP> <VPN.Server.Netzwerkmaske> 
06.
 
07.
tls-server 
08.
auth SHA1 //Wird diese Zeile wirklich gebraucht? 
09.
 
10.
crl-verify <CRL-Keyfile>.pem 
11.
dh <DH-File>.pem 
12.
pkcs12 <Server-Keyfile>.p12 
13.
cipher AES-256-CBC 
14.
 
15.
comp-lzo 
16.
 
17.
push "route <Netzwerk.IP.vom.LAN.hinter.dem.Server> <Netzwerkmaske.vom.LAN>" 
18.
 
19.
verb 4 
20.
 
21.
keepalive 30 120 
22.
 
23.
user openvpn 
24.
group openvpn 
25.
 
26.
persist-tun 
27.
persist-key

Vielen Dank im Voraus!
(Ich hoffe ich habe den richtigen Bereich für diese Frage gewählt... falls nicht -> Sorry!)

Mit freundlichen Grüßen
freddy976
Mitglied: aqui
31.12.2012, aktualisiert 02.01.2013
Ja soweit sicht das ganz OK aus.
Hier findest du noch weitere Tips und Anregungen:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Wenn du pfSense als Plattform einsetzt, dann ist die Zugriffssteuerung die dir vorschwebt recht einfach mit ein paar Mausklicks in den Firewall Regeln per GUI zu machen.
Bitte warten ..
Mitglied: NetworkUser
01.01.2013, aktualisiert um 21:39 Uhr
Hey,
vielen Dank für die Rückmeldung und für den Tipp. Ich werde mir pfSense mal ansehen.
....
Hmm.. jetzt ist mir leider ein Problem aufgefallen... und zwar folgendes.. wenn ich mit meinem Windows Notebook (Sogar mit ganz frischer Neuinstallation) die VPN-Verbindung herstelle, produziert der Server folgenden Fehler in einer Endlosschleife:
01.
Tue Jan  1 20:58:33 2013 us=268739 <Zertifikatsname>/192.168.111.12:9411 MULTI: bad source address from client [fe80::933:5d6:ae48:ad0f], packet dropped
Wenn ich mich mit Android verbinde (Mit 2 Geräten unter gleichen Voraussetzungen getestet) passiert das nicht. Woran kann das liegen?

Wenn es an allen Geräten auftreten würde, wäre ich davon aus gegangen etwas falsches in einer Konfig.-Datei eingetragen zu haben. Aber da das nicht der Fall ist, verstehe ich das aktuell leider nicht.

Im Voraus Vielen Dank für Antworten und Mühe!

Frohes neues Jahr!
freddy976
Bitte warten ..
Mitglied: aqui
02.01.2013 um 12:40 Uhr
Um das richtig beantworten zu können müsste man deinen Server.conf Datei und die Client.conf Datei kennen. Mit den wenigen Information ist eine zielgerichtete Hilfe nicht möglich !
Geraten hat das was mit IPv4/IPv6 zu tun, denn er meckert ja nur die IPv6 Adresse an !
Poste die Fehlermeldung bei Dr. Google und du findest viele Hinweise dazu:
http://openvpn.net/index.php/open-source/faq/79-client/317-qmulti-bad-s ...
und
http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ...
usw.
Bei dir stimmt also was mit dem Routing nicht, da hast du was vermurkst !
Halte dich an das o.a. Tutorial, dort ist alles erklärt. Außer "push route" muss man nix machen !
Bitte warten ..
Mitglied: NetworkUser
02.01.2013 um 12:57 Uhr
Hey,
die Server und Client.conf sind die beiden in meiner Ausgangsfrage. Da habe ich nichts dran verändert.
Danke für die Links... das werde ich noch ausprobieren. Was mich nur wundert ist, dass es mit dieser Konfiguration, also wie du schreibst, nur mit "push route", doch funktionieren sollte?

Danke für die Hilfe, ich melde mich wieder wenn ich es ausprobieren konnte.

LG
freddy976
Bitte warten ..
Mitglied: NetworkUser
02.01.2013 um 20:41 Uhr
Hey,
soo... jetzt konnte ich das ganze einmal ausprobieren...

Wenn ich wie es im HowTo
( http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ... )
beschrieben ist, ein client-conf-dir mit iroute anlege und dem Server die entsprechende Route mit "route LAN-Netz Mask" über die Server-Konfig mitgebe, gibt es einen IP Konflikt und der Server ist nach dem Start von OpenVPN nicht mehr erreichbar.

Die Idee mit IPv6 hat mich dazu bewegt im OpenVPN-Netzwerkadapter die Unterstützung für IPv6 zu deaktivieren. -> Und siehe da, die Fehler sind verschwunden...

Also dachte ich, ich deaktiviere den IPv6 Support in Ubuntu 12 einfach ganz. Das hat jedoch leider nicht geholfen.

-> Fazit: Wenn ich IPv6 im Netzwerkadapter am Client deaktiviere, geht es. Aber das ist ja keine Endlösung.

Weiterhin ist mir aufgefallen, dass wenn ich mit meinem Notebook im selben LAN wie der Server bin und ich mich mit dem VPN verbinde, es nicht möglich ist im Internet zu surfen, geschweige denn irgendeine IP anzupingen. Eine offene SSH-Verbindung zum VPN-Server bleibt jedoch bestehen. Wenn ich mich via UMTS auf den VPN-Server verbinde, funktioniert das Surfen und ich erreiche auch alle IP's im LAN.

Gibt es noch weitere Ideen?

Schon jetzt Danke!
freddy976
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (1)

Frage von Tirgel zum Thema Router & Routing ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (2)

Frage von Aubanan zum Thema Windows Server ...

SAN, NAS, DAS
Storage RAID LUN Konfiguration - Wie macht ihr es (4)

Frage von Marco-83 zum Thema SAN, NAS, DAS ...

Virtualisierung
gelöst VMDK Datei vergrößern auf der Console welche Datei ist die richtige? (3)

Frage von fireskyer zum Thema Virtualisierung ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...