10
Ist en spezieller (alternativer) Port für openVPN im produktiven Einsatz sinnvoll
Hallo,
eine Frage treibt mich bei der Einrichtung des openVPN der pfSense noch um. Ist es angeraten einen anderen als den Standard-Port "1194" zu wählen, um so zum Beispiel einen allgemein bekannten Port gar nicht erst nach außen geöffnet zu haben oder ist das zu weit gedacht?
Danke und Grüße
eine Frage treibt mich bei der Einrichtung des openVPN der pfSense noch um. Ist es angeraten einen anderen als den Standard-Port "1194" zu wählen, um so zum Beispiel einen allgemein bekannten Port gar nicht erst nach außen geöffnet zu haben oder ist das zu weit gedacht?
Danke und Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 266214
Url: https://administrator.de/contentid/266214
Printed on: April 23, 2024 at 17:04 o'clock
10 Comments
Latest comment
Hallo,
der Gedanke ist schon berechtigt aber dann mache ich einfach ein
IPSec VPN und dann muss nach außen auch nichts geöffnet sein.
Gruß
Dobby
der Gedanke ist schon berechtigt aber dann mache ich einfach ein
IPSec VPN und dann muss nach außen auch nichts geöffnet sein.
Gruß
Dobby
Das konnte man drollig mißverstehen:
mache ich regelmäßig mit gutem Erfolg, damit gehen Log-Einträge natürlich zurück, das erhöht m.E. die Übersichtlichkeit.
Achtung: bei Billig-Hardware unterhalb von vielleicht [Edit: neu: PORT] 25000 (UDP/egal) bleiben, seltsame Fehlfunktionen außerhalb der RFCs hatte ich sonst schon.
HG
Mark
Solltest erleuchten, mich kleinen Padawan, warum oh @108012 bedarfs auf der hellen Seite der Macht kein (Port-)Forwarding/Serverdienst?
mache ich regelmäßig mit gutem Erfolg, damit gehen Log-Einträge natürlich zurück, das erhöht m.E. die Übersichtlichkeit.
Achtung: bei Billig-Hardware unterhalb von vielleicht [Edit: neu: PORT] 25000 (UDP/egal) bleiben, seltsame Fehlfunktionen außerhalb der RFCs hatte ich sonst schon.
HG
Mark
Solltest erleuchten, mich kleinen Padawan, warum oh @108012 bedarfs auf der hellen Seite der Macht kein (Port-)Forwarding/Serverdienst?
Hallo Broeeeeeeeeeecker,
niemals Ports, auch nicht für das OpenVPN, dann eben lieber wie schon
erwähnt IPSec VPN und alles ist "dicht" und die Verbindung ist sicher.
Sollten in einer DMZ Server "stehen" muss man natürlich Ports öffnen und
auch weiterleiten, aber dafür empfiehlt sich doch dann ein SquidProxy als
ReserveProxy und eine DMZ Snort ebenso wie ein DMZ Radius Server
um alles zumindest etwas abzudichten.
Und ich habe seine Frage so verstanden, ob man für das OpenVPN
selber Ports verbiegen sollte, bzw. weiter nach oben legen sollte.
Daher habe ich auch geschrieben, das die Überlegung sicherlich
seine Berechtigung hat!
Kann ja auch sein das ich das nun falsch verstanden habe!
nicht mehr mithalten, denn mit ein paar AlixBoards und ein
paar MikroTikRoutern kommt man da nicht ran.
Gruß
Dobby
Solltest erleuchten,
Na das werde ich armes kleines Licht wohl nicht mehr hinbekommen.mich kleinen Padawan, warum oh @108012 bedarfs auf der hellen Seite
der Macht kein (Port-)Forwarding/Serverdienst?
Aber die Antwort ist einfach, ich selber öffne "vorne" an der WAN Seiteder Macht kein (Port-)Forwarding/Serverdienst?
niemals Ports, auch nicht für das OpenVPN, dann eben lieber wie schon
erwähnt IPSec VPN und alles ist "dicht" und die Verbindung ist sicher.
Sollten in einer DMZ Server "stehen" muss man natürlich Ports öffnen und
auch weiterleiten, aber dafür empfiehlt sich doch dann ein SquidProxy als
ReserveProxy und eine DMZ Snort ebenso wie ein DMZ Radius Server
um alles zumindest etwas abzudichten.
Und ich habe seine Frage so verstanden, ob man für das OpenVPN
selber Ports verbiegen sollte, bzw. weiter nach oben legen sollte.
Daher habe ich auch geschrieben, das die Überlegung sicherlich
seine Berechtigung hat!
Kann ja auch sein das ich das nun falsch verstanden habe!
bei Billig-Hardware unterhalb von vielleicht 25000 bleiben
Ich sage ja wer so etwas schon schreibt da kann unser einsnicht mehr mithalten, denn mit ein paar AlixBoards und ein
paar MikroTikRoutern kommt man da nicht ran.
Gruß
Dobby
für mich tut's (privat...) auch OpenWRT auf TP-Lünk mit China-AddOn-Chip...
die 25000 waren freitagswürdig...: es ging um hohe Ports, die ja "eigentlich" - noch ein Freitagswort bis 49151 frei vom Router selbst bleiben, aber in Routern scheinbar häufig nicht geforwarded werden - lege ich dann auf Port 22000 o.ä. geht's wieder...
Ob Cisco bei >=$25000 Produkte mit garantiert keiner Ausleitung/Backdoor anbieten darf?
Trotzdem nochmal ernsthaft:
Du meinst "nur", daß Du den Dienst IPSec auf dem Router anbietest und deshalb nicht forwardest?
DMZ wäre mir schon klar.
Oder soll der Dienst von innen nach außen den Tunnel auf einen öffentlichen Server zeigen?
Bitte leuchte doch etwas?
HG
Mark
die 25000 waren freitagswürdig...: es ging um hohe Ports, die ja "eigentlich" - noch ein Freitagswort bis 49151 frei vom Router selbst bleiben, aber in Routern scheinbar häufig nicht geforwarded werden - lege ich dann auf Port 22000 o.ä. geht's wieder...
Ob Cisco bei >=$25000 Produkte mit garantiert keiner Ausleitung/Backdoor anbieten darf?
Trotzdem nochmal ernsthaft:
Du meinst "nur", daß Du den Dienst IPSec auf dem Router anbietest und deshalb nicht forwardest?
DMZ wäre mir schon klar.
Oder soll der Dienst von innen nach außen den Tunnel auf einen öffentlichen Server zeigen?
Bitte leuchte doch etwas?
HG
Mark
aber in Routern scheinbar häufig nicht geforwarded werden - lege ich
dann auf Port 22000 o.ä. geht's wieder...
??? In Routern wird sehr häufig ein Port oder mehrere Portsdann auf Port 22000 o.ä. geht's wieder...
geöffnet und die zeigen dann auch alle auf etwas oder bzw. die
ermöglichen dann etwas mittels des Ports, gar keine Frage.
Nur bei einem VPN würde ich persönlich, gerne lieber das IPSec
verwenden und keine Ports aufmachen wollen und schon gar keine
"verbiegen" wollen.
Ob Cisco bei >=$25000 Produkte mit garantiert keiner
Ausleitung/Backdoor anbieten darf?
Gerade dort ist es wirklich gut so etwas zu verstecken, dennAusleitung/Backdoor anbieten darf?
bei einem Cisco CSR-3 für schlappe $ 470.000 und einem Maintenace
Vertrag (je nach Vertrag) für 3 bis 5 Jahre für um die $ 15.000
geht eh keiner mehr selber bei sondern lässt das alles einrichten!
oder war das jetzt schon wieder zu viel
Trotzdem nochmal ernsthaft:
OkDu meinst "nur", daß Du den Dienst IPSec auf dem Router anbietest und > deshalb nicht forwardest?
Genau wenn ich mich auf meiner MickyMaus AVM Fritz!Boxvia IPSec einlogge, dann steht mir nach dem erfolgreichen
Verbindungsaufbau das ganze Netzwerk zur Verfügung
und somit kann ich dann auch auf alles zugreifen!
DMZ wäre mir schon klar.
Ok, denn hinter der AVM Fritz!Box ist dann eine richtige Firewallund dahinter kommt erst das LAN.
Oder soll der Dienst von innen nach außen den Tunnel
auf einen öffentlichen Server zeigen?
?? Den habe ich jetzt nicht ganz verstanden.auf einen öffentlichen Server zeigen?
Bitte leuchte doch etwas?
Blink, Blink, Blink,....Gruß
Dobby
Hi,
Danke für die Antworten, den Port etwas höher zu wählen ist also vernünftig. IPSec mit der pfSense habe ich ja leider nicht hinbekommen, zumindest kein Zugriff auf das private Netz am LAN-Port.
Wenn ich die openVPN Verbindung an der pfSense annehme habe ich doch die ähnliche Situation wie bei der IPSec Einwahl auf der AVM Hardware? Wo ist da der grundsätzliche Unterschied? Für die Einwahl via IPSec benötige ich doch auch Ports für die Einwahl oder verpeile ich gerade was?
Grüße
Danke für die Antworten, den Port etwas höher zu wählen ist also vernünftig. IPSec mit der pfSense habe ich ja leider nicht hinbekommen, zumindest kein Zugriff auf das private Netz am LAN-Port.
Wenn ich die openVPN Verbindung an der pfSense annehme habe ich doch die ähnliche Situation wie bei der IPSec Einwahl auf der AVM Hardware? Wo ist da der grundsätzliche Unterschied? Für die Einwahl via IPSec benötige ich doch auch Ports für die Einwahl oder verpeile ich gerade was?
Grüße
@108012: ich glaube jetzt habe ich's - oder bin zu fertig nach der letzten Woche - dann doch erst morgen weiter...:
bei IPsec meinst Du, daß der konkrete Dienst direkt dahinter ist (z.B. via https Exchange/Sharepoint), somit ein IPsec keinen vollen VPN-Zugang in ein ganzes Netz offeriert. (?)
Das hängt aber ja ganz vom IPsec-Server ab, der sich von OpenVPN nicht grundsätzlich unterscheiden müßte.
Mit synchronem
blinzel, blinzel, blinzel, ....
auf der dunklen Seite der Nacht.
HG
Mark
bei IPsec meinst Du, daß der konkrete Dienst direkt dahinter ist (z.B. via https Exchange/Sharepoint), somit ein IPsec keinen vollen VPN-Zugang in ein ganzes Netz offeriert. (?)
Das hängt aber ja ganz vom IPsec-Server ab, der sich von OpenVPN nicht grundsätzlich unterscheiden müßte.
Mit synchronem
blinzel, blinzel, blinzel, ....
auf der dunklen Seite der Nacht.
HG
Mark
@12ha34:
genau, hoher Port zwischen z.B. 10000 und 25000 bringt gegen viele Netzwerk-Scans Ruhe.
Privates Netz scheitert bei OpenVPN häufig, daß die Rückroute in den VPN-Tunnel auf den Servern eingerichtet werden muß.
Die Unterschiede diskutiere ich ja auch gerade mit dobby, ich sehe IPsec als Verschlüsselungs- und Tunneltechnologie, womit "genau wie bei OpenVPN" am Ende ein Vollzugang in ein LAN stehen kann, aber eben auch "nur" ein Dienst.
Wenn man Ports zu einem internen Gerät forwarded, statt auf dem Router auszuwerten, wird vielleicht der Einbruchsvektor etwas größer, vielleicht läßt sich der Router zu anderen Routen überreden - aber da denke ich erst morgen weiter...
Gute Nacht!
Mark
genau, hoher Port zwischen z.B. 10000 und 25000 bringt gegen viele Netzwerk-Scans Ruhe.
Privates Netz scheitert bei OpenVPN häufig, daß die Rückroute in den VPN-Tunnel auf den Servern eingerichtet werden muß.
Die Unterschiede diskutiere ich ja auch gerade mit dobby, ich sehe IPsec als Verschlüsselungs- und Tunneltechnologie, womit "genau wie bei OpenVPN" am Ende ein Vollzugang in ein LAN stehen kann, aber eben auch "nur" ein Dienst.
Wenn man Ports zu einem internen Gerät forwarded, statt auf dem Router auszuwerten, wird vielleicht der Einbruchsvektor etwas größer, vielleicht läßt sich der Router zu anderen Routen überreden - aber da denke ich erst morgen weiter...
Gute Nacht!
Mark
zum Beispiel einen allgemein bekannten Port gar nicht erst nach außen geöffnet zu haben oder ist das zu weit gedacht?
Nein, ist nicht zu weit gedacht. Das ist dann och zusätzliche Port Verschleierungdie du machst. Das hat den Vorteil das nicht die übliche Port Scannerei die im Internet nach Sekunden einsetzt wenn man online ist sofort fündig wird.Beachte aber das die Ports unter 1024 tabu sind diveres dadrüber auch. Die IANA empfiehlt immer die sog. Ephemeral Ports zu nehmen im Bereich 49152 bis 65535 !
Damit gehst du dann auf Nummer sicher das du mit keinen fest zugewiesene Port kollidierst.
Diese hohen Ports sind in der regel in keinem Port Scanner aktiviert so das du dort dann relativ sicher bist.
Port UDP 51194 bietet sich da an.
Klar sollte auch sein das du immer UDP Ports und kein TCP verwendest.
Hallo,
Danke allen für die Aussagen. Da ein hoher Port nützlich ist und auch die Aussagen dazu klar sind, werde ich die Frage als gelöst markieren.
Viele Grüße
Danke allen für die Aussagen. Da ein hoher Port nützlich ist und auch die Aussagen dazu klar sind, werde ich die Frage als gelöst markieren.
Viele Grüße
