OpenVPN: Blockierte Protokolle/Ports im Gastgeber-Netz

[TomL]

Moin

Im Zuge der Modernisierung meines Servers bin ich heute bei OpenVPN angekommen.... eine neue Version und gleichzeitig wieder bei einer alten Frage. Ich hatte jetzt bereits mehrfach -insbesondere im Ausland- das Erlebnis, dass ich im Gastgebernetz keine Verbindung via OpenVPN und UDP-Protokoll aufbauen konnte. Vermutlich wurde in den Netzen der Traffic über UDP einfach ge'drop'. Seis drum, ich hatte das Problem schon früher gelöst, in dem ich auf dem Server eine zweite OpenVPN-Session laufen lasse, die auf dem Port 443 lauscht.... na ja, nicht ganz, der DSL-Router lauscht auf 443 und redirected zum OpenVPN-Server auf einen exotischen Port. Das ist/war insofern völlig unkritisch, weil auf meinem Server kein anderer Dienst auf 443 lauscht und ich den Zugang von außen aufs Netzwerk sowieso nur via OpenVPN zulasse. Aber dennoch gefällt mir das nicht, weil eben 443 eigentlich ein reservierter Port ist. Den für OpenVPN etablierten Port 1194 will ich auch nicht nehmen, um einem möglichen Grundrauschen vorzubeugen.

Nun bleibt die Frage, wie ich das Dilemma auflöse, damit ich auch künftig in den Gastgeber-Netzen "nach hause telefonieren" kann, auch wenn der Traffic reglementiert wird. Dabei fehlt mir die Kenntnis einzuschätzen, ob es vielleicht eine gängige Praxis bei Netzwerkern ist, in Gäste-Netzen auch den TCP-Traffic respektive Ports oder Port-Bereiche zu beschränken. Dabei vermute ich, wenn sich schon jemand Gedanken über UDP macht und das für überflüssig erachtet, so wird er wohl auch ingesamt eine eher scharfe Einstellung zur Benutzung seines Netzes haben ... und vielleicht sogar die Sachkenntnis dazu, dass so einzustellen.

Also in Kürze: Ist es möglich und vielleicht sogar üblich Ports und Traffic auch bei TCP zu beschränken ...?... oder ist es eher so, dass normalerweise bei TCP generell alle Ports geöffnet sind (oder sein müssen)? Oder kanns schlimmstenfalls sogar sein, dass in der Netz-Administration vielleicht reine Willkür herrscht? Im letzten Falle bliebe ja nur Port 443, um sicher zu sein, dass es immer geht.

Was raten die Netzwerk-Fachleute hier im Forum.... ? ... wie man am Besten damit umgeht. Gibt es vielleicht einen besseren TPC-Port und trotzdem ebenso sicher funktionierenden wie 443? Ist ja schon einigermaßen ärgerlich, wenn man irgendwo im Auslang an nem unsicheren Hotspot 'ne sichere Leitung aufbauen will und genau die wird dann blockiert.

[mat6937]

Also in Kürze: Ist es möglich und vielleicht sogar üblich Ports und Traffic auch bei TCP zu beschränken ...?..

Möglich ist das schon. Z. B. mein ehemaliger AG, hat aus seinem Firmennetz (ins Internet) nur den Zugang zu den TCP-Ports 80 und 443 ermöglicht.

[BenutzerGa4gooPh]

Zugelassen für Gäste (ausschließlich):

Code: Alles auswählen

class-map type inspect match-any CMAP-Guest-to-Internet-Protocols
 match protocol https
 match protocol http
 match protocol ntp
exit

DNS dürfen Gäste nur über meinen DNS-Forwarder zur Vermeidung von DNS-Tunneling. DNS-Server wird per DHCP zugeteilt = Default-Gateway. Für die Nutzung des Router-NTP-Servers müssten Clients umkonfiguriert werden, also lasse ich das durch.

Ich habe kaum Gäste, die mal mein WLAN wollen. Aber diese Konfig./Sicherheitszone "Guest" nutze ich für unsere Smartwanzen, Android-Tablet.
Die Logs waren anfangs voll mit Dingen, die sie noch wollten. Mittlerweile unterdrücke ich das Logging teilweise für deren fixe, per DHCP zugeteilte IPs.

Im Extremfall könnte dich sowas irgendwo auch erwarten ...

[MSfree]

Für die Nutzung des Router-NTP-Servers müssten Clients umkonfiguriert werden, also lasse ich das durch.

Du könntest einfach allen NTP-Verkehr ins Internet per Portforwardung auf den ntpd auf einen Rechner im LAN umleiten. Das klappt bei mir prima, ohne irgendwelche Clients umzukonfigurieren, bzw. für Clients, die sich nicht umkonfigurieren lassen, weil der Hersteller den Hostnamen des NTP-Servers fest in der Firmware eingebacken hat.

[BenutzerGa4gooPh]

Du könntest einfach allen NTP-Verkehr ins Internet per Portforwardung auf den ntpd auf einen Rechner im LAN umleiten.

Mit 'ner PFSense hatte ich das mal gemacht. Mit Cisco und ohne GUI war ich bislang zu faul. Ich hatte und würde wohl wieder auf den NTP-Server des Routers umleiten, der hat 'ne Hardwareuhr mit Batterie und läuft als einziges Gerät ständig. Weiß nicht, ob es viel bringt. Weniger Tracking der App- und Smartphone-Hersteller oder weniger NTP-Angriffsfläche vielleicht, weil bestimmte NTP-Server gemieden werden?

Jedenfalls blieben im Extremfall dem Thomas wirklich nur HTTP- und HTTPS-Port (tcp) aus manchen Gastnetzen zum Internet übrig. Ich wüßte nicht, was ich als Wirtin oder Hoteladministreuse ausser noch IMAP, POP, SMTP und deren sichere Pendants zulassen sollte. SSL für Experten? OpenVPN? BitTorrent? Gäste sollen doch meine Angebote nutzen und am Ende haben sie noch LTE und damit auch unbeschränkten Hotspot vom Smartphone.

[TomL]

@jana & msfree

Wie hilft mir pfsense, cisco, ein GUI und ntp dabei, mein Problem zu lösen...?...ich bin bedauerlicherweise nicht fit genug in der Materie, um Eure Lösungen jetzt brauchbar anzuwenden. Könntet Ihr das bitte bezogen auf das erste Posting etwas verständlicher erklären....das würde mich sehr freuen. Insbesondere verstehe ich nicht, wie ich als Gast eines offenen Netzes den Verkehr dieses Netzes auf NTP umleiten kann und welche Auswirkungen das hat. Wird NTP dann durch mein Android-OpenVPN-Client getunnelt? Und hat das dann nicht Einfluss auf andere Gast-Clients? Oder kommen dann via komplett getunnelten VPN alle Gast-Clients automatisch via meinem Adndroid-OpenVPN auf meinen Router zu hause, wenn doch alles an Traffic durch NTP getunnelt wird?

[MSfree]

@msfree

Sorry, die NTP-Sache war ein wenig Off-Topic.

Tatsache ist, daß du als Gast in einem "Fremdnetz" (z.B. in einem Hotel) immer damit rechnen mußt, daß du eben keinen vollwertigen Internetzugang bekommst. Es gibt genug Staatten, die Netzwerkbeschränkungen sogar gesetztlich durchsetzen. Alle paar Tage geistert eine Meldung durch die Medien, daß in irgendeinem Land Skype, Facebook oder Twitter blockiert wurde.

Es gibt also eigentlich gar keine Garantie, daß du aus so einem Netz deinen VPN-Server zuhause erreichen kannst. Port 443 (HTTPS-Port) ist nur insofern halbwegs sicher, weil eben auch in repressiven Staaten HTTPS noch nicht ganz verboten ist. Aber auch bei Port 443 können Probleme lauern, z.B. wenn der Anbieter den Verkehr über einen Proxy leitet.

Ich weiß auch, daß es bequem ist, einfach nur einen Plastikrouter aufzustellen und der dann alles durchläßt. Mir sind diese Dinger aber zu unsicher und ich habe meine eigene Firewall installiert. Wenn du bei mir versuchen würdest, deinen VPN-Server vie UDP:1194 zu erreichen, würdest du auch keinen Erfolg haben. Und auch mit TCP:443 wirst du in meinem Netz nicht sehr weit kommen.

Letztlich hat der Anbieter des Netzes soetwas wie Hausrecht. Er kann selbst entscheiden, wie (un)komfortabel er das Netzwerk zur Verfügung stellt und auf welche gesetzlichen Vorgaben er zu achten hat.

[BenutzerGa4gooPh]

Wie hilft mir pfsense, cisco, ein GUI und ntp dabei, mein Problem zu lösen...?

Gar nicht, die behindern dich eher, wäre in deiner Situation vielleicht die Firewall-Technik des Gastgebers. Aus der Sicht haben wir geschrieben, Beschränkungen, die dich erwarten könnten, diskutiert.

Bisher wurde von den Antwortern aufgezeigt, dass dir in Gastnetzwerken nur http-Port 80 und https-Port 443 (evtl. nur per Proxy) zur Verfügung stehen - alles andere kann sein aber muss nicht sein. Oder eben Umgehung per eigenem Hotspot mittels LTE vom Smartphone. Dann wiederum bist du recht frei - je nach LTE-Anbieter.

Insbesondere verstehe ich nicht, wie ich als Gast eines offenen Netzes den Verkehr dieses Netzes auf NTP umleiten kann und welche Auswirkungen das hat.

Wurde auch nur aus Sicht des WISP diskutiert, NTP könnte ebenfalls nicht ins Internet durchgelassen werden, wegen Portumleitung auf lokalen NTP-Server des WISP. Dgl. ist für DNS möglich. DNS in's Internet verhindern bestimmt nicht alle WISPs. DNS-Tunneling wäre vielleicht noch eine Lösung deines Problems:
http://www.admin-magazin.de/Das-Heft/20 ... ausbrechen
(Du könntest so versuchen, deinen eigenen Server durch die FW des Gastgebers zu erreichen.)

Aber eigentlich hast du schon die allgemeinste Lösung deines Problems für alle möglichen Gastnetze realisiert:

Seis drum, ich hatte das Problem schon früher gelöst, in dem ich auf dem Server eine zweite OpenVPN-Session laufen lasse, die auf dem Port 443 lauscht.... na ja, nicht ganz, der DSL-Router lauscht auf 443 und redirected zum OpenVPN-Server auf einen exotischen Port.

(Außer wenn Proxy vorhanden. Dann DNS-Tunneling versuchen?)

[TomL]

Tatsache ist, daß du als Gast in einem "Fremdnetz" (z.B. in einem Hotel) immer damit rechnen mußt, daß du eben keinen vollwertigen Internetzugang bekommst. Es gibt genug Staatten, die Netzwerkbeschränkungen sogar gesetztlich durchsetzen. Alle paar Tage geistert eine Meldung durch die Medien, daß in irgendeinem Land Skype, Facebook oder Twitter blockiert wurde.

Sowas ähnliches hatte ich mir schon gedacht.... tja, schade, ist aber wohl nicht zu ändern. Wobei, die im Gastgeber-Netz gesperrten Domains/Seiten betreffen ja nur das Gastgeber-Netz. Wenn ich via OpenVPN raustunneln kann, bin ich ja auf meinem eigenen Router, da gelten die Sperren natürlich dann nicht mehr. Aber auch Deinen Hinweis mit Port 1194 kann ich gut nachvollziehen, deswegen verwende ich den auch nicht. Und das schon einmal UDP komplett und sogar TCP 443 gesperrt war, habe ich auch schon mal erlebt - in diesem Jahr in Frankreich. ... da hatten die noch den Ausnahmezustand...

Theoretisch könnte ich im Router jetzt auch anstatt auf Port 443 auf Port 80 lauschen und dann 80 auf den VPN-Port im Server weiterleiten. Nach dem Wechsel auf Radicale habe ich mit dem Wegfall von Nginx keinen Dienst mehr auf dem Server,, der Port 80 beansprucht. Allerdings kann ich dabei nicht einschätzen, ob das dann andere Auswirkungen haben kann.

Gibt es gute Gründe, den Port 80 nicht zu nehmen, wenn ansonsten kein Dienst drauf lauscht?

@jana
DNS-Tunneling bedeutet, den Port 53 zu verwenden? Aber das geht natürlich auch nur, wenn der nicht bereits auf irgendwas lokales im Gastgeber-Netz umgleitet wird.

[BenutzerGa4gooPh]

@jana
DNS-Tunneling bedeutet, den Port 53 zu verwenden? Aber das geht natürlich auch nur, wenn der nicht bereits auf irgendwas lokales im Gastgeber-Netz umgleitet wird.

Funktioniert trotzdem wegen notwendigem Forwarding bzw. Rekursionen des DNS-Servers im Gastnetz fuer unbekannte FQDNs. Brauchst aber einen authoritativen (oeffentlich erreichbaren) DNS-Server + eigene Domain. Der Server empfaengt und erzeugt DNS-Antworten mit mehr als IP-Adressen. Kannst damit einen Proxy im Gastnetz umgehen. DNS-Tunneling ist schwer im Gastnetz erkennbar (Payload- oder Traffic-Muster-Analyse notwendig). Gibt fertige Tools und Scripts fuer DNS-Tunneling. Mehr moechte ich zu illegalen Technologien nicht sagen, gibt Google.

Notiz an mich selbst, Korrektur eines Irrtums:
Ein eigener DNS-Server (auch mit Zwangsumleitung von DNS-Anfragen aus dem Gastnetz darauf) hilft gegen DNS-Tunneling nicht. Aufgrund der kleinen DNS-Pakete wird der Tunnelbauer nicht sonderlich gluecklich, Botnetze schon eher.

[MSfree]

Sowas ähnliches hatte ich mir schon gedacht.... tja, schade, ist aber wohl nicht zu ändern.

Auf das Gastnetz hast du leider keinen Einfluß. Wenn der Gastgeber etwas sperren will oder muß, kannst du daran kaum etwas ändern.

Wobei, die im Gastgeber-Netz gesperrten Domains/Seiten betreffen ja nur das Gastgeber-Netz. Wenn ich via OpenVPN raustunneln kann, bin ich ja auf meinem eigenen Router, da gelten die Sperren natürlich dann nicht mehr.

Richtig. Aus dem Grunde versuchen einige Regierungen ja auch VPN-Verkehr zu unterbinden. Es gibt nämlich nichts gefährlicheres für eine Regierung als gut informierte Untertanen.

Theoretisch könnte ich im Router jetzt auch anstatt auf Port 443 auf Port 80 lauschen und dann 80 auf den VPN-Port im Server weiterleiten. Allerdings kann ich dabei nicht einschätzen, ob das dann andere Auswirkungen haben kann.

Wenn VPN das einzige ist, was du von aussen erreichbar haben möchtest, könntest du auch alle Ports auf den VPN-Port weiterleiten. Für dein LAN hat das keine technischen Auswirkung. Allerdings werden, je mehr Ports du von aussen aufmachst, auch die Zugriffsversuche auf diese Ports zunehmen. Du mußt dein VPN also stärker absichern, z.B. durch failtoban (sofern das nicht sowieso schon bei dir läuft).

DNS-Tunneling bedeutet, den Port 53 zu verwenden?

DNS-Tunneling funktioniert, indem der Netzwerkverkehr in DNS-Anfragen und DNS-Antworten verpackt wird. Im Prinzip eignen sich viele Netzwerkprotokolle zum Tunneln von Netzwerkpaketen, man kann sogar mit Ping-Paketen einen Datentunnel aufbauen.