DD-WRT und OpenVPN auf WRT54 aktualisieren möglich? Wie?
Hallo,
ich nutze einen WRT54 mit OpenVPN, den ich gerne aktualisieren möchte, insbesondere wegen der OpenSSL Heartbleed-Lücke.
Für den WRT54 sind die dd-wrt Versionen schon nicht mehr die aktuellsten, gibt es eine Möglichkeit trotzdem neuere ddwrt FWs aufzuspielen? Oder ist der Router nicht Leistungsfähig genug?
Beim Flashen musste ich schon auf ein Light Version ausweichen.
Ich habe im Netz keine Anleitung gefunden um OpenVPN von dd-WRT zu aktualisieren sondern nur Konfigurationsanleitungen.
Grüße,
DonJoe
ich nutze einen WRT54 mit OpenVPN, den ich gerne aktualisieren möchte, insbesondere wegen der OpenSSL Heartbleed-Lücke.
Für den WRT54 sind die dd-wrt Versionen schon nicht mehr die aktuellsten, gibt es eine Möglichkeit trotzdem neuere ddwrt FWs aufzuspielen? Oder ist der Router nicht Leistungsfähig genug?
Beim Flashen musste ich schon auf ein Light Version ausweichen.
Ich habe im Netz keine Anleitung gefunden um OpenVPN von dd-WRT zu aktualisieren sondern nur Konfigurationsanleitungen.
Grüße,
DonJoe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235289
Url: https://administrator.de/contentid/235289
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
13 Kommentare
Neuester Kommentar
Hi!
Hast Du denn überhaupt schon in Erfahrung gebracht ob die SSL-Library deines DDWRT-Release überhaupt von einer Lücke betroffen ist? Einfach mal irgend ein Update oder eine neue Firmware einzuspielen, weil Du das von Ubuntu her kennst, macht ja nicht gerade viel Sinn. Meines Wissens wird DDWRT aktiv weiterentwickelt und gravierende Lücken sollten sicherlich auch geschlossen werden. Update: Einige Distris haben wohl im Gegenzug zu Debian und Arch noch kein Update veröffentlicht und laut Heise Online soll die Version 0.9.8 von Openssl nicht betroffen sein. Hast Du mal mal im DDWRT-Forum geschaut oder wenigstens die Versionen geprüft?
Falls es wirklich notwendig sein sollte, dann kannst Du auch mal eine Beta testen. Aktuelle Betas (2010-2014) findest Du hier. Dort suchst Du deinen Router raus und kannst das Image herunterladen. Denk aber daran, man kann meist nur das Backup einspielen, welches mit der gleichen Firmwareversion gesichert wurde. Wenn Du also von einer älteren Stable/Release auf eine Beta umsteigen willst, musst Du wahrscheinlich den Router manuell komplett neu einrichten um Probleme zu vermeiden.
Welchen der WRT Router hast Du? Die Light/Mini/Mico-Versionen braucht man eigentlich nur bei Modellen mit wenig Speicher. Beim WRT54gl solltest Du üblicherweise ein "normal" grosses Image einspielen können.
mrtux
Hast Du denn überhaupt schon in Erfahrung gebracht ob die SSL-Library deines DDWRT-Release überhaupt von einer Lücke betroffen ist? Einfach mal irgend ein Update oder eine neue Firmware einzuspielen, weil Du das von Ubuntu her kennst, macht ja nicht gerade viel Sinn. Meines Wissens wird DDWRT aktiv weiterentwickelt und gravierende Lücken sollten sicherlich auch geschlossen werden. Update: Einige Distris haben wohl im Gegenzug zu Debian und Arch noch kein Update veröffentlicht und laut Heise Online soll die Version 0.9.8 von Openssl nicht betroffen sein. Hast Du mal mal im DDWRT-Forum geschaut oder wenigstens die Versionen geprüft?
Falls es wirklich notwendig sein sollte, dann kannst Du auch mal eine Beta testen. Aktuelle Betas (2010-2014) findest Du hier. Dort suchst Du deinen Router raus und kannst das Image herunterladen. Denk aber daran, man kann meist nur das Backup einspielen, welches mit der gleichen Firmwareversion gesichert wurde. Wenn Du also von einer älteren Stable/Release auf eine Beta umsteigen willst, musst Du wahrscheinlich den Router manuell komplett neu einrichten um Probleme zu vermeiden.
Welchen der WRT Router hast Du? Die Light/Mini/Mico-Versionen braucht man eigentlich nur bei Modellen mit wenig Speicher. Beim WRT54gl solltest Du üblicherweise ein "normal" grosses Image einspielen können.
mrtux
Check doch erstmal ob du überhapt betroffen bist !!
Geh mit PuTTY http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html per SSH auf den DD-WRT und gib dort "version" unter OpenSSL ein ala
root@dd-wrt:# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>
Erst wenn da eine betroffene Version steht besteht doch überhaupt erst Handlungsbedarf !
13064 ist die recommended aber wenn du in der Router Database nachsiehst siehst du die 14896 die schon etwas neuer ist !
Geh mit PuTTY http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html per SSH auf den DD-WRT und gib dort "version" unter OpenSSL ein ala
root@dd-wrt:# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>
Erst wenn da eine betroffene Version steht besteht doch überhaupt erst Handlungsbedarf !
13064 ist die recommended aber wenn du in der Router Database nachsiehst siehst du die 14896 die schon etwas neuer ist !
Dann hast du auch gar kein OpenSSL auf dem Router oder....
Es ist nicht im Suchpfad !
Ein find / -name openssl -print sollte es finden sofern es überhaupt vorhanden ist ?! Dann rufst du es dort in dem gefundenen Verzeichnis mit ./openssl auf !
Außerdem supportet Linux immer Autocompletion ! Du kannst also auch open eingeben und direkt die TAB Taste drücken, dann findet er es selber.
Wenn wie gesagt das Programmverzeichnis nicht im Suchpfad steht ist es klar.
Versuch es mal mit dem find Kommando oben zu finden oder unter /usr/bin oder /sbin
Wäre sehr ungewöhnlich wenn es nicht drauf ist, denn SSH usw. muss das zwingend nutzen....!!
Es ist nicht im Suchpfad !
Ein find / -name openssl -print sollte es finden sofern es überhaupt vorhanden ist ?! Dann rufst du es dort in dem gefundenen Verzeichnis mit ./openssl auf !
Außerdem supportet Linux immer Autocompletion ! Du kannst also auch open eingeben und direkt die TAB Taste drücken, dann findet er es selber.
Wenn wie gesagt das Programmverzeichnis nicht im Suchpfad steht ist es klar.
Versuch es mal mit dem find Kommando oben zu finden oder unter /usr/bin oder /sbin
Wäre sehr ungewöhnlich wenn es nicht drauf ist, denn SSH usw. muss das zwingend nutzen....!!
Hi!
SHA1 gilt schon längere Zeit als unsicher und hätte dann auch schon bei Dir ausgenutzt werden können....nur so als Anmerkung..
Seltsam. Habe gerade mal bei meinem Billigheimer (TP-Link), auf dem ich eine DDWRT V24 Sp2 Beta vom 13. März draufgebügelt habe, geschaut und dort scheint ebenfalls kein OpenSSL vorhanden zu sein....echt seltsam...
mrtux
Zitat von @DonJoe:
Ich habe Sicherheitsbedenkten wegen des veralteten SHA1 sowie TLSv1 (v1.2 ist wohl sinnvoll), das ist auch ein
Ich habe Sicherheitsbedenkten wegen des veralteten SHA1 sowie TLSv1 (v1.2 ist wohl sinnvoll), das ist auch ein
SHA1 gilt schon längere Zeit als unsicher und hätte dann auch schon bei Dir ausgenutzt werden können....nur so als Anmerkung..
Seltsam. Habe gerade mal bei meinem Billigheimer (TP-Link), auf dem ich eine DDWRT V24 Sp2 Beta vom 13. März draufgebügelt habe, geschaut und dort scheint ebenfalls kein OpenSSL vorhanden zu sein....echt seltsam...
mrtux
Stimmt....ich muss fairerweise zurückrudern. Ein Standard DD-WRT hat tatsächlich kein OpenSSL drauf. Habs gerade mal auf einer Standard installierten WRT54 Büchse hier getestet. Vorher hatte ich einen WRT54 mit aktiviertem JFFS2 Filesystem (SD Kartenerweiterung) und dort war mit ipkg-update ein OpenSSL Paket installiert. Sorry...
Das ist in der Tat seltsam. Erste Vermutung das Keys mit easy-rsa im OpenVPN Teil erzeugt werden aber auch da Fehlanzeige.
Fraglich wie für SSH Zugang und HTTPs die Keys installiert werden. Vermutlich sind dort feste Keys fest drin, denn generell ist eine Keyerzeugung ja nicht erforderlich, da sie immer extern eingespielt werden. Seltsam ist es trotzdem.
Ein googeln nach "dd-wrt openssl" führt auch nicht wirklich weiter.
Das ist in der Tat seltsam. Erste Vermutung das Keys mit easy-rsa im OpenVPN Teil erzeugt werden aber auch da Fehlanzeige.
Fraglich wie für SSH Zugang und HTTPs die Keys installiert werden. Vermutlich sind dort feste Keys fest drin, denn generell ist eine Keyerzeugung ja nicht erforderlich, da sie immer extern eingespielt werden. Seltsam ist es trotzdem.
Ein googeln nach "dd-wrt openssl" führt auch nicht wirklich weiter.