OpenVPN logging, tls-auth Problem und Härtung

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

OpenVPN logging, tls-auth Problem und Härtung

Beitrag von dmant » 09.01.2018 11:16:52

Hallo

Ich betreibe einen OpenVPN Server auf meinem Root-Server. Dieser läuft auch soweit ganz gut jedoch habe ich ein paar "logging" Probleme. Ich verwende folgende Scripts,

client-connect => https://nopaste.dmant.ovh/?v=vee7Booy1pho
client-disconnect => https://nopaste.dmant.ovh/?v=miedai7zaeF0

Das ganze klappt auch jedoch würde ich gerne noch die zugewiesene IP vom OpenVPN mit loggen, also bei mir 10.8.0.X jedoch finde ich dazu nichts. Das einzige was mir jetzt einfallen würde wäre die Datei ipp.txt nach dem common_name zu durchsuchen und dann die ip nachträglich in die Datenbank zu schreiben. Gibts da denn keine direkte Möglichkeit?

Meine OpenVPN server.conf ist relativ "kurz" gehalten.

https://nopaste.dmant.ovh/?v=eiV7xo7iched

Welche Möglichkeiten habe ich noch den OpenVPN zu "härten"? Wenn ich den tls teil aktiviere bekomme ich keine Verbindung mit den Clients. Hier mal das log.

https://nopaste.dmant.ovh/?v=eiyazee5DieR

und die client.ovpn https://nopaste.dmant.ovh/?v=ahCh7vahfaek

Weiß da jemand vielleicht rat?

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: OpenVPN logging, tls-auth Problem und Härtung

Beitrag von rendegast » 09.01.2018 13:04:43

Du kannst doch vor dem 'echo ...' in den beiden Skripten alles mögliche machen, um die Werte zu ermitteln und an das echo zu übergeben.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

TomL

Re: OpenVPN logging, tls-auth Problem und Härtung

Beitrag von TomL » 09.01.2018 19:26:28

Mit sind hier nur zwei Dinge aufgefallen, die ich ändern würde. Hier nur gekürzte Auszüge:

Auf dem Server:

Code: Alles auswählen

tls-auth /etc/openvpn/easy-rsa/keys/ta.key
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
:::
cipher AES-256-CBC
auth SHA512
Auf dem Client fehlte die 1 bei ta.key. Ich würde aber beide weglassen, also auch ohne 0 beim Server, wie jetzt hier vorgeschlagen. Den Parameter "key-direction" gibts nicht... keine Ahnung, wo der herkommt, ich habe ihn hier entfernt.

Code: Alles auswählen

tls-auth ta.key
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
:::
cipher AES-256-CBC
auth SHA512
Cipher und Auth gehören zu den Channel-Encryption-Parameters, die TLS-Parameter gehören imho zur Authenfizierungschicht. Und weil es sich hier nur um eine zusätzliche Signatur vor der Authentifizierung handelt, würde ich auf tls-version-min verzichten und nur TLS-DHE-RSA-WITH-AES-256-CBC-SHA vorgeben - zumal Deine Cipher auch nur TLS 1.0 entsprechen. Das hat aber -soweit ich das verstanden habe- sowieso keinen Einfluss auf die Sicherheit des Channel-Encypts, sondern nur darauf festzustellen, wer Pakete sendet - um eben Pakete mit falscher oder fehlender Signatur zu droppen, bevor die eigentlich Authentifizierung überhaupt startet. Wenn man dann noch die Keys zuvor noch mit Passphrase erstellt hat, sollte das schon ziemlich sicher sein. Sag mal bescheid, ob das zur Lösung verholfen hat.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: OpenVPN logging, tls-auth Problem und Härtung

Beitrag von dmant » 09.01.2018 20:20:01

Hallo,

habe ich mal probiert, leider weiterhin erfolglos.

https://nopaste.dmant.ovh/?v=meiShah8oshe

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: OpenVPN logging, tls-auth Problem und Härtung

Beitrag von dmant » 09.01.2018 20:26:24

Jetzt gehts. Hatte das mit der key-directive vergessen, also ich diese gelöscht habe, also nur noch so geschrieben habe wie du mir geschrieben hast ging es. Jetzt bekomme ich auch eine Verbindung. Dann kann ich mich ja weiter an das loggin Problem machen. Ich hoffe da findet sich auch noch ein Weg. Danke schonmal dafür :)

TomL

Re: OpenVPN logging, tls-auth Problem und Härtung

Beitrag von TomL » 09.01.2018 21:08:42

dmant hat geschrieben: ↑ zum Beitrag ↑
09.01.2018 11:16:52
Das ganze klappt auch jedoch würde ich gerne noch die zugewiesene IP vom OpenVPN mit loggen, also bei mir 10.8.0.X jedoch finde ich dazu nichts.
Doch, steht imho auf der OpenVPN-Project-Seite prima beschrieben. Guckstu:

Code: Alles auswählen

Environmental variable values:
ifconfig_pool_remote_ip
Allerdings weiss ich nicht, was 10.8.0.X ist. Aber wenns das war, Thread auf "gelöst" setzen.

Antworten