Nur bestimmten Traffic durchs VPN leiten

[Docromano]

Hallo,

folgendes Problem :

Ich möchte gerne meinen Vserver auf die Freigaben in meinem Heimnetz zugreifen lassen, würde das gerne durch einen VPN Tunnel schicken. Sonst soll er ohne alles am Internet hängen bleiben. Kann man openvpn das irgendwie beibringen?

[bluestar]

Kann man openvpn das irgendwie beibringen?

Ja

[TomL]

Kann man openvpn das irgendwie beibringen?

Sollte....

Meiner Meinung nach nicht. Wer Zugriff auf den vserver hat, hat Zugriff aufs Heimnetz... also mindestens die Admins des Hosters. Und ist der vserver schlecht geschützt, hat die 'Welt' Zugriff auf das Heimnetz.

[Docromano]

Ich will eigentlich nur das Backup Image vom vserver direkt auf die Platte zu hause schieben. Der vserver hat nicht soviel Platz, dass ich das komfortabel dort machen könnte. Wenn der admin vom hoster sich das Backup Image des servers anschaut, auf den er eh zugreifen kann,stört mich das nicht so.

Andere Ideen? Ich hab noch nen einfachen gehosteten Webserver, auf den kann aber nur via ftp,was für direkt Backups eher ungünstig ist.

[bluestar]

Wer Zugriff auf den vserver hat, hat Zugriff aufs Heimnetz... also mindestens die Admins des Hosters. Und ist der vserver schlecht geschützt, hat die 'Welt' Zugriff auf das Heimnetz.

Ich nehme man an, das dem TE durchaus klar ist, das die Sicherheit (und auch die Vertraulichkeit) allein schon auf Grund der Tatsache „vServer“ eher nur marginal gegeben ist.

[TomL]

Ich nehme man an, das dem TE durchaus klar ist, das die Sicherheit (und auch die Vertraulichkeit) allein schon auf Grund der Tatsache „vServer“ eher nur marginal gegeben ist.

Da bin ich nicht so sicher.... auf jedenfall scheint ihm nicht klar zu sein, dass er damit auch noch die Sicherheit seines Heimnetzes deaktiviert.

Wenn der admin vom hoster sich das Backup Image des servers anschaut, auf den er eh zugreifen kann,stört mich das nicht so.

Er kann u.U. damit auch auf die Freigaben Deines Heimnetzes zugreifen. Und möglicherweise nicht nur der eine Admin, sondern jeder, der sich Zugang zur OpenVPN-CA auf dem vserver verschaffen kann.

[Docromano]

Was schlagt ihr vor?

[bluestar]

Da bin ich nicht so sicher.... auf jedenfall scheint ihm nicht klar zu sein, dass er damit auch noch die Sicherheit seines Heimnetzes deaktiviert.

Eine OpenVPN Verbindung im Punkt-zu-Punkt Modus und deaktiviertes IP-Forwarding auf dem Heimserver & eine ordentliche Firewall auf dem Heimserver reichen vollkommen aus um sich vor Angriffen aus dem Internet zu schützen.... Apropos IP-Forwarding auf dem vServer gehört natürlich ebenfalls deaktiviert.

der sich Zugang zur OpenVPN-CA auf dem vserver verschaffen kann.

Klar für so einen Tunnel verwendest du direkt eine komplette CA, statische Schlüssel reichen vollkommen.

Btw.: Jeder vom vServer ins LAN initiierte Zugriff bedeutet, das auf dem vServer Zugangsdaten für‘s LAN liegen, egal ob OpenVPN oder z.B. SSH-Tunnel

[Docromano]

Wie stehts mit der Variante einen Webserver via curlftpfs einzubinden? Da gäbe es vor allem keine Bandbreitenprobleme und er steht nicht zu hause. Geht wie gesagt nur ums externe, direkte ablegen von Backups

[bluestar]

Hast du denn einen FTP Server auf deinem vServer installiert?

[Docromano]

Nee andersrum. Ich habe noch gehosteten Webspace, auf den ich via FTP zugreifen kann. Die Frage ist, ob ich mein Komplett-Backup, das ich vom vserver machen möchte, direkt auf den besagten FTP schieben könnte - ohne zwischenspeichern. Dachte für curlftps muss ich keinen Server lokal installiert haben.

/edit
Dann wieder...netcup nimmt 1,50 für einen snapshot. So wenig wie ich an dem dingen mache, reicht einmal im monat eigentlich...

[TomL]

Eine OpenVPN Verbindung im Punkt-zu-Punkt Modus und deaktiviertes IP-Forwarding auf dem Heimserver & eine ordentliche Firewall auf dem Heimserver reichen vollkommen aus um sich vor Angriffen aus dem Internet zu schützen....

Nur im Normalfall, wenn man selber die Kontrolle über die CA behält. Sobald die CA auf einem fremden Server liegt und diese CA dazu berechtigt, sich mit dem Heimnetz zu verbinden, gibt es für den, der diese CA verwenden kann, keine Hemmnisse mehr. Auch eine Firewall kann da nichts richten, weil sie ja nicht unterscheiden kann, ob die Verwendung der CA legal oder illegal ist. Das ist nichts anderes, als den Haustürschlüssel sich irgendwo zu hinterlegen, aber nie zu wissen, ob auch Fremde den verwenden ... da spielts keine Rolle mehr, ob man selber Firewall-Mäßig jeden Abend schön die Rolladen runterlässt.

Ich halte eine Firewall in diesem Fall sowieso für Gürtel und Hosenträger.... weil man hierfür imho nur eins braucht. Wenn der Router nicht manuell kaputt konfiguriert wurde, wäre das für aus dem WWW kommenden Traffic im Heimnetz eine völlig ausreichende Firewall.

Klar für so einen Tunnel verwendest du direkt eine komplette CA, statische Schlüssel reichen vollkommen.

Das halte ich für leichtsinning, weil damit jeglicher Traffic und jeglicher Datenaustausch auch in die Vergangenheit für längst geschlossene Sitzungen nachträglich entschlüsselt werden kann, wenn der Schlüssel einmal entwendet wurde. Deshalb würde ich auf jeden Fall eine CA mit wechselnden Sitzungsschlüsseln verwenden. Viel komplizierter ist das auch nicht. Und wenns zu kompliziert ist und man nicht weiss, ob man damit überhaupt noch die Kontrolle hat oder sie behalten kann, wäre es vielleicht auch eine Überlegung, auf solche offenen Tore im eigenen Interesse besser zu verzichten.

Wie stehts mit der Variante einen Webserver via curlftpfs einzubinden?

Wenn Du den Webserver auf dem vserver ausreichend absichern kannst... ja, warum nicht, vielleicht wird das gehen. Wenn das Backup ggf. auch noch selber via gnupg verschlüsselt ist, kann da eh keiner was mit anfangen.

Eine weitere Alternative wäre es, den VPN-Server auf dem VServer einrichten, der vserver erstellt an Backups was zu erstellen ist und eine Maschine aus dem Heimnetz öffnet bei Bedarf eine Verbindung zum VServer, um das fertige Paket abzuholen und schließt die Verbindung nach Fertigstellung sofort wieder. Von wo der Automatismus initiiert wird, ist ja letzlich egal, wichtig ist m.M.n. hier bei diesem Beispiel, wer überhaupt berechtigt ist eine Verbindung herzustellen. Und das würde ich immer nur von den Geräten tun, bei denen ich auch exklusive Zugriffskontrolle habe... beim VServer hast Du die imho nicht. Wie Bluestar schon gesagt hat, ein VServer ist eh nicht das größte an möglicher Sicherheit... da kommts auf einen möglicherweise nicht perfekten VPN-Zugang m.M.n. auch nicht mehr drauf an. Wichtiger ist, das Heimnetz zu schützen.

[bluestar]

Du bringst bei OpenVPN Authentifications-Schlüssel und Verschlüsselungsschlüssel hier durcheinander. Ob du nun ein statisches Zertifikat+privatem Schlüssel oder nur eine Schlüsseldatei auf beiden Seiten nutzt, ist für die nachgelagerte Datenverschlüsselung unerheblich.

[TomL]

Du bringst bei OpenVPN Authentifications-Schlüssel und erschlüsselungsschlüssel hier durcheinander.

Nein, ich bringe da nichts durcheinander. Du hast mit einem einfachen Static-Key keine 'perfect forward secrecy' ... deshalb nicht, weil dieser Modus das schlichtweg nicht unterstützt. Das bedeutet, die Verschlüsselung aller Sitzungen basiert auf einem statischen Schlüssel und kann sogar rückwärts in die Vergangenheit gebrochen werden, wenn der Traffic gespeichert wurde. Im Gegensatz dazu werden mit PFS über die Langzeit-Keys geheime Sitzungsschlüssel ausgetauscht ... und zwar erneut für jede Sitzung ... womit natürlich das Brechen alter Sitzungen völlig unmöglich gemacht ist. Ein Static-Key ist was für eine Einmal-Sitzung, um einmal irgendwas auszutauschen... danach sollte man den vernichten.

[debianoli]

Kannst du denn auf dem anderen Webspace keinen Cron-Job einrichten, der das zB per scp macht?

[Docromano]

Nee das andere ist wirklich nur webspace ohne direkten Zugriff auf den Server. Um wenigstens /etc zu sichern, schiebe ich mir den Kram aktuell mit Syncthing rüber. Auch ne Sicherheitskatastrophe ?

[bluestar]

Wenn du dein Backup-Szenario umstellst von Push auf Pull, dann hast du keine Sicherheitsproblematik mehr....
Ein möglicher Weg wäre: Dein Server@home zieht via Rsync über SSH die Daten von deinem vServer.

[MSfree]

Wenn du dein Backup-Szenario umstellst von Push auf Pull, dann hast du keine Sicherheitsproblematik mehr....

Naja, keine Sicherheitsproblematik wäre etwas zu optimistisch. Der Rechner muß halt vorher gekapert werden. Man darf aber auch bei einem Pull-Backup die Sicherheit und Integrität des Rechners nicht vernachlässigen.

[bluestar]

Der Rechner muß halt vorher gekapert werden. Man darf aber auch bei einem Pull-Backup die Sicherheit und Integrität des Rechners nicht vernachlässigen.

Wir reden von einem vServer, da ist das Sicherheitsniveau ohnehin nicht wirklich vorhanden.

[MSfree]

Wir reden von einem vServer

Und ich rede von der Sicherheit des "pullenden" Rechners. Wenn das ein vServer ist, dann gute Nacht. Wenn das der heimische PC hinter eine Firewall ist, dann könnte dieser trotzdem von einem Cryptotrojaner infiziert werden und die "gepullten" Backups zu Bitsalat verarbeiten.

[bluestar]

Wenn das der heimische PC hinter eine Firewall ist, dann könnte dieser trotzdem von einem Cryptotrojaner infiziert werden und die "gepullten" Backups zu Bitsalat verarbeiten.

Was ist denn mit der Hardware-Integrität ?

[unitra]

Ja, das geht. So etwas nennt sich "Split Tunneling".
* https://en.wikipedia.org/wiki/Split_tunneling

Das funktioniert nur mit TUN Schnittstellen unter Linux (Stichwort: Layer3 VPN Verbindung). Der Client und der Server sind über die TUN Schnistellen direkt miteinander Verbunden mittels eines IP Transfernetzes, d.h. Netzmaske CIDR /30 oder Netzmaske ausgeschrieben 255.255.255.252. IP Seitig: sieht das so aus, wenn die TUN Schnistellen aufgebaut sind, bzw. wenn das OpenVPN steht.

Code: Alles auswählen

Serverseite:

eth0:      10.0.0.10/24
gateway:   10.0.0.1
tun0:      172.24.10.1/30


Routingtable:
192.168.0.0/24 -> 172.24.10.1
0.0.0.0        -> 10.0.0.1

Code: Alles auswählen

Clientseite:

eth0:       192.168.0.10/24
gateway:    192.168.0.1
tun0:       172.24.10.2/30

Routingtable:
10.0.0.0/24 -> 172.24.10.2
0.0.0.0     -> 192.168.0.1

Damit wissen beide Seiten wo sie Ihren "bestimmten" IP Traffic loswerden, weil sie über ein Point-to-Point Interface verbunden sind und es dazu eine spezielle Route in der Routingtabelle gibt, sobald das die OpenVPN Verbindung steht.

Wie das im OpenVPN konfiguriert wird, muss Du selbst rausfinden, da die OpenVPN Dokumentation grottig ist speziell zu diesem Thema. Eventuell hat Jemand im Forum einen hilfreichen Link zur OpenVPN Split Tunneling Konfiguration.

Hallo,

folgendes Problem :

Ich möchte gerne meinen Vserver auf die Freigaben in meinem Heimnetz zugreifen lassen, würde das gerne durch einen VPN Tunnel schicken. Sonst soll er ohne alles am Internet hängen bleiben. Kann man openvpn das irgendwie beibringen?