Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Internet Server

Richtige Konfiguration von OpenVPN

Mitglied: NetworkUser

NetworkUser (Level 1) - Jetzt verbinden

30.12.2012 um 18:53 Uhr, 6749 Aufrufe, 5 Kommentare

Hallo, ich möchte einen VPN Server betreiben und habe diesen soweit auch fertig konfiguriert. Ergänzen werde ich noch feste IP's um den Zugriff mittels IP-Tables einzuschränken. Aber der Zugriff auf das LAN funktioniert momentan. Projektziel ist der Zugriff auf Ressourcen im LAN für insg. ca. 2 - 3 Benutzer. (z.B. Dateifreigaben / Websites / etc...) Mir geht es bei dieser Frage hauptsächlich um das Thema Sicherheit.

Kurz zum Netzwerk und dessen Aufbau:
Im LAN, in welchem auch der OpenVPN-Server beheimatet ist, sind heterogene Clients mit verschiedenen Diensten vorhanden. Diese Dienste sollen über das VPN erreichbar sein. Der OpenVPN-Server läuft auf Ubuntu Server 12. Der Zugriff auf das VPN soll mit Windows und Android erfolgen.

Ich würde gerne von euch wissen, ob diese Konfiguration so für den produktiven Einsatz geeignet ist. Wie gesagt.. wichtig ist mir der Punkt Sicherheit:

- Ist es mit dieser Konfiguration wirklich nur möglich, sich mit Zertifikaten am Server zu authentifizieren?
- Ist die Verbindung stark genug Verschlüsselt?

- Ich habe von der Möglichkeit gehört, in das Konfig. File "auth SHA1" einzutragen. Aber dies wird bereits standardmäßig von OpenVPN verwendet und ist somit überflüssig, oder?
- Mich verwirrt das Thema TLS ein wenig. ... Was genau macht TLS? ... Auf meinem Android-Smartphone habe ich die Möglichkeit "Erwarte TLS-Server" zu aktivieren. Dann wird automatisch in der Konfiguration "remote-cert-tls server" hinzugefügt, aber die Verbindung kommt nicht mehr zu stande. Ersetzt "remote-cert-tls server" den Befehl "ns-cert-type server" eventuell?

Gibt es Verbesserungsvorschläge um die Konfiguration zu verbessern / die Sicherheit zu erhöhen?

Client-Konfiguration:
01.
tls-client 
02.
pull 
03.
remote <IP.Adresse> <Port> 
04.
 
05.
dev-node openvpn 
06.
 
07.
dev tun 
08.
proto udp 
09.
 
10.
pkcs12 <KeyFile>.p12 
11.
 
12.
cipher AES-256-CBC 
13.
ns-cert-type server //Überhaupt richtig geschrieben? - Wichtig? 
14.
tls-remote <CN-des-Servers> 
15.
 
16.
verb 4 
17.
comp-lzo
Server-Konfiguration:
01.
port <Port> 
02.
proto udp 
03.
dev tun0 
04.
 
05.
server <VPN.Servernetzwerk.IP> <VPN.Server.Netzwerkmaske> 
06.
 
07.
tls-server 
08.
auth SHA1 //Wird diese Zeile wirklich gebraucht? 
09.
 
10.
crl-verify <CRL-Keyfile>.pem 
11.
dh <DH-File>.pem 
12.
pkcs12 <Server-Keyfile>.p12 
13.
cipher AES-256-CBC 
14.
 
15.
comp-lzo 
16.
 
17.
push "route <Netzwerk.IP.vom.LAN.hinter.dem.Server> <Netzwerkmaske.vom.LAN>" 
18.
 
19.
verb 4 
20.
 
21.
keepalive 30 120 
22.
 
23.
user openvpn 
24.
group openvpn 
25.
 
26.
persist-tun 
27.
persist-key

Vielen Dank im Voraus!
(Ich hoffe ich habe den richtigen Bereich für diese Frage gewählt... falls nicht -> Sorry!)

Mit freundlichen Grüßen
freddy976
Mitglied: aqui
31.12.2012, aktualisiert 02.01.2013
Ja soweit sicht das ganz OK aus.
Hier findest du noch weitere Tips und Anregungen:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Wenn du pfSense als Plattform einsetzt, dann ist die Zugriffssteuerung die dir vorschwebt recht einfach mit ein paar Mausklicks in den Firewall Regeln per GUI zu machen.
Bitte warten ..
Mitglied: NetworkUser
01.01.2013, aktualisiert um 21:39 Uhr
Hey,
vielen Dank für die Rückmeldung und für den Tipp. Ich werde mir pfSense mal ansehen.
....
Hmm.. jetzt ist mir leider ein Problem aufgefallen... und zwar folgendes.. wenn ich mit meinem Windows Notebook (Sogar mit ganz frischer Neuinstallation) die VPN-Verbindung herstelle, produziert der Server folgenden Fehler in einer Endlosschleife:
01.
Tue Jan  1 20:58:33 2013 us=268739 <Zertifikatsname>/192.168.111.12:9411 MULTI: bad source address from client [fe80::933:5d6:ae48:ad0f], packet dropped
Wenn ich mich mit Android verbinde (Mit 2 Geräten unter gleichen Voraussetzungen getestet) passiert das nicht. Woran kann das liegen?

Wenn es an allen Geräten auftreten würde, wäre ich davon aus gegangen etwas falsches in einer Konfig.-Datei eingetragen zu haben. Aber da das nicht der Fall ist, verstehe ich das aktuell leider nicht.

Im Voraus Vielen Dank für Antworten und Mühe!

Frohes neues Jahr!
freddy976
Bitte warten ..
Mitglied: aqui
02.01.2013 um 12:40 Uhr
Um das richtig beantworten zu können müsste man deinen Server.conf Datei und die Client.conf Datei kennen. Mit den wenigen Information ist eine zielgerichtete Hilfe nicht möglich !
Geraten hat das was mit IPv4/IPv6 zu tun, denn er meckert ja nur die IPv6 Adresse an !
Poste die Fehlermeldung bei Dr. Google und du findest viele Hinweise dazu:
http://openvpn.net/index.php/open-source/faq/79-client/317-qmulti-bad-s ...
und
http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ...
usw.
Bei dir stimmt also was mit dem Routing nicht, da hast du was vermurkst !
Halte dich an das o.a. Tutorial, dort ist alles erklärt. Außer "push route" muss man nix machen !
Bitte warten ..
Mitglied: NetworkUser
02.01.2013 um 12:57 Uhr
Hey,
die Server und Client.conf sind die beiden in meiner Ausgangsfrage. Da habe ich nichts dran verändert.
Danke für die Links... das werde ich noch ausprobieren. Was mich nur wundert ist, dass es mit dieser Konfiguration, also wie du schreibst, nur mit "push route", doch funktionieren sollte?

Danke für die Hilfe, ich melde mich wieder wenn ich es ausprobieren konnte.

LG
freddy976
Bitte warten ..
Mitglied: NetworkUser
02.01.2013 um 20:41 Uhr
Hey,
soo... jetzt konnte ich das ganze einmal ausprobieren...

Wenn ich wie es im HowTo
( http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-addr ... )
beschrieben ist, ein client-conf-dir mit iroute anlege und dem Server die entsprechende Route mit "route LAN-Netz Mask" über die Server-Konfig mitgebe, gibt es einen IP Konflikt und der Server ist nach dem Start von OpenVPN nicht mehr erreichbar.

Die Idee mit IPv6 hat mich dazu bewegt im OpenVPN-Netzwerkadapter die Unterstützung für IPv6 zu deaktivieren. -> Und siehe da, die Fehler sind verschwunden...

Also dachte ich, ich deaktiviere den IPv6 Support in Ubuntu 12 einfach ganz. Das hat jedoch leider nicht geholfen.

-> Fazit: Wenn ich IPv6 im Netzwerkadapter am Client deaktiviere, geht es. Aber das ist ja keine Endlösung.

Weiterhin ist mir aufgefallen, dass wenn ich mit meinem Notebook im selben LAN wie der Server bin und ich mich mit dem VPN verbinde, es nicht möglich ist im Internet zu surfen, geschweige denn irgendeine IP anzupingen. Eine offene SSH-Verbindung zum VPN-Server bleibt jedoch bestehen. Wenn ich mich via UMTS auf den VPN-Server verbinde, funktioniert das Surfen und ich erreiche auch alle IP's im LAN.

Gibt es noch weitere Ideen?

Schon jetzt Danke!
freddy976
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Richtige VLAN Konfiguration für Gastnetzwerk
gelöst Frage von alex980LAN, WAN, Wireless8 Kommentare

Hallo Zusammen, ich habe eine sophos UTM 9.2 bei mir im Netzwerk, welches ein Gast WiFi zur Verfügung stellen ...

Linux Netzwerk
OpenVPN Site-to-Site Tunnel routet nicht richtig
gelöst Frage von DerNanoLinux Netzwerk12 Kommentare

Hallo zusammen, ich will zwischen zwei Netzwerken per OpenVPN einen Tunnel einrichten. Die Netzwerke sollen so verbunden sein, dass ...

RedHat, CentOS, Fedora
Centos 7 Uhrzeit ist falsch trotz richtiger Konfiguration
gelöst Frage von vGavenRedHat, CentOS, Fedora6 Kommentare

Hi, habe ein Server mit Centos 7 und habe die timezone auf Europe/Berlin gesetzt jedoch ist die Uhrzeit immer ...

LAN, WAN, Wireless
Openvpn kein ping auf openvpn server möglich
gelöst Frage von kohle1957LAN, WAN, Wireless4 Kommentare

Mein Server ist ein Windows 2012 Standard hinter einen Kabel Deutschland modem interne ip 192.168.0.200 Habe 2 virtuelle Maschinen ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 14 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...