12ha34
Goto Top

Ist en spezieller (alternativer) Port für openVPN im produktiven Einsatz sinnvoll

Hallo,

eine Frage treibt mich bei der Einrichtung des openVPN der pfSense noch um. Ist es angeraten einen anderen als den Standard-Port "1194" zu wählen, um so zum Beispiel einen allgemein bekannten Port gar nicht erst nach außen geöffnet zu haben oder ist das zu weit gedacht?

Danke und Grüße

Content-ID: 266214

Url: https://administrator.de/forum/ist-en-spezieller-alternativer-port-fuer-openvpn-im-produktiven-einsatz-sinnvoll-266214.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

108012
108012 13.03.2015 um 17:07:35 Uhr
Goto Top
Hallo,

der Gedanke ist schon berechtigt aber dann mache ich einfach ein
IPSec VPN und dann muss nach außen auch nichts geöffnet sein.

Gruß
Dobby
broecker
broecker 13.03.2015 aktualisiert um 19:21:05 Uhr
Goto Top
Das konnte man drollig mißverstehen:

mache ich regelmäßig mit gutem Erfolg, damit gehen Log-Einträge natürlich zurück, das erhöht m.E. die Übersichtlichkeit.
Achtung: bei Billig-Hardware unterhalb von vielleicht [Edit: neu: PORT] 25000 (UDP/egal) bleiben, seltsame Fehlfunktionen außerhalb der RFCs hatte ich sonst schon.
HG
Mark

Solltest erleuchten, mich kleinen Padawan, warum oh @108012 bedarfs auf der hellen Seite der Macht kein (Port-)Forwarding/Serverdienst?
108012
108012 13.03.2015 um 18:54:55 Uhr
Goto Top
Hallo Broeeeeeeeeeecker,

Solltest erleuchten,
Na das werde ich armes kleines Licht wohl nicht mehr hinbekommen.

mich kleinen Padawan, warum oh @108012 bedarfs auf der hellen Seite
der Macht kein (Port-)Forwarding/Serverdienst?
Aber die Antwort ist einfach, ich selber öffne "vorne" an der WAN Seite
niemals Ports, auch nicht für das OpenVPN, dann eben lieber wie schon
erwähnt IPSec VPN und alles ist "dicht" und die Verbindung ist sicher.

Sollten in einer DMZ Server "stehen" muss man natürlich Ports öffnen und
auch weiterleiten, aber dafür empfiehlt sich doch dann ein SquidProxy als
ReserveProxy und eine DMZ Snort ebenso wie ein DMZ Radius Server
um alles zumindest etwas abzudichten.

Und ich habe seine Frage so verstanden, ob man für das OpenVPN
selber Ports verbiegen sollte, bzw. weiter nach oben legen sollte.
Daher habe ich auch geschrieben, das die Überlegung sicherlich
seine Berechtigung hat!


Kann ja auch sein das ich das nun falsch verstanden habe!

bei Billig-Hardware unterhalb von vielleicht 25000 bleiben
Ich sage ja wer so etwas schon schreibt da kann unser eins
nicht mehr mithalten, denn mit ein paar AlixBoards und ein
paar MikroTikRoutern kommt man da nicht ran.

Gruß
Dobby
broecker
broecker 13.03.2015 aktualisiert um 19:34:55 Uhr
Goto Top
für mich tut's (privat...) auch OpenWRT auf TP-Lünk mit China-AddOn-Chip...
die 25000 waren freitagswürdig...: es ging um hohe Ports, die ja "eigentlich" - noch ein Freitagswort bis 49151 frei vom Router selbst bleiben, aber in Routern scheinbar häufig nicht geforwarded werden - lege ich dann auf Port 22000 o.ä. geht's wieder...
Ob Cisco bei >=$25000 Produkte mit garantiert keiner Ausleitung/Backdoor anbieten darf?

Trotzdem nochmal ernsthaft:
Du meinst "nur", daß Du den Dienst IPSec auf dem Router anbietest und deshalb nicht forwardest?
DMZ wäre mir schon klar.

Oder soll der Dienst von innen nach außen den Tunnel auf einen öffentlichen Server zeigen?

Bitte leuchte doch etwas?

HG
Mark
108012
108012 13.03.2015 um 21:44:35 Uhr
Goto Top
aber in Routern scheinbar häufig nicht geforwarded werden - lege ich
dann auf Port 22000 o.ä. geht's wieder...
??? In Routern wird sehr häufig ein Port oder mehrere Ports
geöffnet und die zeigen dann auch alle auf etwas oder bzw. die
ermöglichen dann etwas mittels des Ports, gar keine Frage.
Nur bei einem VPN würde ich persönlich, gerne lieber das IPSec
verwenden und keine Ports aufmachen wollen und schon gar keine
"verbiegen" wollen.

Ob Cisco bei >=$25000 Produkte mit garantiert keiner
Ausleitung/Backdoor anbieten darf?
Gerade dort ist es wirklich gut so etwas zu verstecken, denn
bei einem Cisco CSR-3 für schlappe $ 470.000 und einem Maintenace
Vertrag (je nach Vertrag) für 3 bis 5 Jahre für um die $ 15.000
geht eh keiner mehr selber bei sondern lässt das alles einrichten!
oder war das jetzt schon wieder zu viel face-wink

Trotzdem nochmal ernsthaft:
Ok

Du meinst "nur", daß Du den Dienst IPSec auf dem Router anbietest und > deshalb nicht forwardest?
Genau wenn ich mich auf meiner MickyMaus AVM Fritz!Box
via IPSec einlogge, dann steht mir nach dem erfolgreichen
Verbindungsaufbau das ganze Netzwerk zur Verfügung
und somit kann ich dann auch auf alles zugreifen!

DMZ wäre mir schon klar.
Ok, denn hinter der AVM Fritz!Box ist dann eine richtige Firewall
und dahinter kommt erst das LAN.

Oder soll der Dienst von innen nach außen den Tunnel
auf einen öffentlichen Server zeigen?
?? Den habe ich jetzt nicht ganz verstanden.

Bitte leuchte doch etwas?
Blink, Blink, Blink,....

Gruß
Dobby
12ha34
12ha34 13.03.2015 aktualisiert um 22:21:51 Uhr
Goto Top
Hi,

Danke für die Antworten, den Port etwas höher zu wählen ist also vernünftig. IPSec mit der pfSense habe ich ja leider nicht hinbekommen, zumindest kein Zugriff auf das private Netz am LAN-Port.

Wenn ich die openVPN Verbindung an der pfSense annehme habe ich doch die ähnliche Situation wie bei der IPSec Einwahl auf der AVM Hardware? Wo ist da der grundsätzliche Unterschied? Für die Einwahl via IPSec benötige ich doch auch Ports für die Einwahl oder verpeile ich gerade was?

Grüße
broecker
broecker 13.03.2015 aktualisiert um 22:33:25 Uhr
Goto Top
@108012: ich glaube jetzt habe ich's - oder bin zu fertig nach der letzten Woche - dann doch erst morgen weiter...:
bei IPsec meinst Du, daß der konkrete Dienst direkt dahinter ist (z.B. via https Exchange/Sharepoint), somit ein IPsec keinen vollen VPN-Zugang in ein ganzes Netz offeriert. (?)
Das hängt aber ja ganz vom IPsec-Server ab, der sich von OpenVPN nicht grundsätzlich unterscheiden müßte.
Mit synchronem
blinzel, blinzel, blinzel, ....

auf der dunklen Seite der Nacht.
HG
Mark
broecker
broecker 13.03.2015 um 23:01:26 Uhr
Goto Top
@12ha34:
genau, hoher Port zwischen z.B. 10000 und 25000 bringt gegen viele Netzwerk-Scans Ruhe.
Privates Netz scheitert bei OpenVPN häufig, daß die Rückroute in den VPN-Tunnel auf den Servern eingerichtet werden muß.
Die Unterschiede diskutiere ich ja auch gerade mit dobby, ich sehe IPsec als Verschlüsselungs- und Tunneltechnologie, womit "genau wie bei OpenVPN" am Ende ein Vollzugang in ein LAN stehen kann, aber eben auch "nur" ein Dienst.
Wenn man Ports zu einem internen Gerät forwarded, statt auf dem Router auszuwerten, wird vielleicht der Einbruchsvektor etwas größer, vielleicht läßt sich der Router zu anderen Routen überreden - aber da denke ich erst morgen weiter...
Gute Nacht!
Mark
aqui
Lösung aqui 14.03.2015, aktualisiert am 16.03.2015 um 11:02:21 Uhr
Goto Top
zum Beispiel einen allgemein bekannten Port gar nicht erst nach außen geöffnet zu haben oder ist das zu weit gedacht?
Nein, ist nicht zu weit gedacht. Das ist dann och zusätzliche Port Verschleierungdie du machst. Das hat den Vorteil das nicht die übliche Port Scannerei die im Internet nach Sekunden einsetzt wenn man online ist sofort fündig wird.
Beachte aber das die Ports unter 1024 tabu sind diveres dadrüber auch. Die IANA empfiehlt immer die sog. Ephemeral Ports zu nehmen im Bereich 49152 bis 65535 !
Damit gehst du dann auf Nummer sicher das du mit keinen fest zugewiesene Port kollidierst.
Diese hohen Ports sind in der regel in keinem Port Scanner aktiviert so das du dort dann relativ sicher bist.
Port UDP 51194 bietet sich da an.
Klar sollte auch sein das du immer UDP Ports und kein TCP verwendest.
12ha34
12ha34 16.03.2015 um 11:04:20 Uhr
Goto Top
Hallo,

Danke allen für die Aussagen. Da ein hoher Port nützlich ist und auch die Aussagen dazu klar sind, werde ich die Frage als gelöst markieren.

Viele Grüße