the.other
Goto Top

Laie und openVPN-Log

Moinsen,
ich habe hier eine pfsense, auf der u.a. auch ein openVPN-Server (gut) läuft. Das ganze als ambitioniertes Anfänger Heimnetz, nicht für den Profibereich. Als openVPN Client dient nur ein einziger Androiddevice. Hier soweit auch alles gut.

Im Log ( Status > Systenlogs > openVPN) wird mir regelmäßig eine Fehlermeldung bezüglich MTU eingeschrieben:

Apr 15 15:33:13 	openvpn 	67747 	139.162.113.204:37516 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Apr 15 15:33:13 	openvpn 	67747 	TCP connection established with [AF_INET]139.162.113.204:37516
Apr 15 13:08:14 	openvpn 	67747 	45.13.93.90:54686 Connection reset, restarting 
Apr 15 13:08:14 	openvpn 	67747 	45.13.93.90:54686 WARNING: Bad encapsulated packet length from peer (17231), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Apr 15 13:08:14 	openvpn 	67747 	TCP connection established with [AF_INET]45.13.93.90:54686
Apr 15 10:58:10 	openvpn 	67747 	192.241.236.189:56124 Connection reset, restarting 
Apr 15 10:58:10 	openvpn 	67747 	192.241.236.189:56124 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]

Im Client (der zu den geloggten Zeiten nicht online war) ist die MTU mit dem Server abgestimmt, daher wird hier auch nichts geloggt bis auf die erfolgreiche Verbindung.
Was also sind das für Einträge? Die IPs ändern sich ohne dass es für mich irgendwie nachvollziehbar ist. Alles "possible active attack(s)"?
Da ich selber eben nur noob bin und bisheriges gegoogle nichts gebracht hat, stell ich die (für euch vermutlich depperte) Frage hier mal ein und hoffe erneut auf ein paar konstuktive Antworten (oder links, die ich bislang entweder nicht gefunden oder verstanden habe).
Tausend Dank und bleibt gesund...

Grüßle
th30ther

Content-ID: 564910

Url: https://administrator.de/forum/laie-und-openvpn-log-564910.html

Ausgedruckt am: 26.12.2024 um 09:12 Uhr

NetzwerkDude
NetzwerkDude 15.04.2020 um 21:40:01 Uhr
Goto Top
Abend,

nun, wenn die IPs nicht zu deinem Android Telefon gehören, dann ist es vermutlich jemand fieses im Netz der halt deine Ports abklappert - soll vorkommen da draußen. Könnte auch ein netter sicherheitsfoscher sein der checkt ob deine OpenVPN instanz abschmiert wenn er ein bestimmtes Paket an den Server schickt.

Ansonsten: Darf man Fragen warum du auf TCP und nicht UDP setzst?

MFG
N-Dude
the.other
the.other 15.04.2020 um 22:51:27 Uhr
Goto Top
Moinsen,
Danke für deine Antwort und klar darf man fragen...
Es hat den einfachen Grund, dass ich VPN wenn nur mit dem Smartphone nutze, kleine Datenmengen und eher weil es halt geht (und ich Lust hatte das einzurichten). Bislang hab ich mit TCP keine bemerkten Probleme gehabt. Udp habe ich nicht gewählt, entgegen der meisten Meinungen, weil ich sicher sein wollte, dass der Tunnelaufbau nicht vom fremden Netzwerk geblockt wird. Also die Variante möglichst 100 Prozent verfügbar statt besserere Qualität (mit den Worten des Laien). Vorher hatte ich vpn über fritzbox, dann nas, daher bin ich gerade eh verwöhnt... Und ist am Ende Spielerei und Perlen vor das schweinderl.

Zu deiner Antwort : ich hab mir sowas auch gedacht, hab aber wie gesagt dann doch zu wenig Erfahrung, um mich auf meine denke zu verlassen und dazu lernen ist ja auch nicht verkehrt...
aqui
Lösung aqui 16.04.2020 um 09:29:09 Uhr
Goto Top
Der Fehler ist klar die falsche Encapsulation. Aus gutem Grund sollte man niemals TCP benutzen wenn man es nicht zwingend muss.
Die offizielle OpenVPN Dokumentation rät ebenso dringend davon ab TCP als Encapsulation zu verwenden. Overhead, miese Performance und Gefahr der Fragmentierung durch MTU Mismatch sind nur einige wenige Gründe.
Alle Tutorials, auch das hiesige, weisen immer dringenst darauf hin kein TCP zu verwenden !
Fazit:
Ändere deine Encapsulation auf das für OpenVON übliche UDP und dann verschwinden auch diese Messages.
Oder....
Nutze eine VPN Lösung auf der pfSense bei der du keinerlei externe VPN Clients nutzen musst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
NetzwerkDude
Lösung NetzwerkDude 16.04.2020 um 09:57:14 Uhr
Goto Top
Wobei wie gesagt, ich schätze mal das wenn es fremde IPs sind, schicken die halt einfach präperierte Pakete um irgendwas am OpenVPN Server zu triggern, z.B. ein Buffer overflow aus einem CVE von 1875 face-smile

@th30ther:
Wenn man interesse hat, kann man ja so ein Paket mitschneiden und schauen was im Payload drin ist und welche Flags gesetzt sind - und ob die mit irgend einem alten Hack korrespondieren
Wenn du was experimentieren willst, kannst ja z.B. Metasploit starten und schauen obs da Exploits gibt für OpenVPN - und spasshalber selbt es versuchen und dann schauen wie der Log so aussieht face-smile

MFG
N-Dude
the.other
the.other 16.04.2020 um 12:00:27 Uhr
Goto Top
Moinsen,
habt Dank für die Antworten.
@aqui: ja, das hatte ich auch so gelesen. Bin auch nur auf tcp gegangen, weil es ja auch vom openVPN Team selber hieß, dass udp eben manchmal nicht zur Verfügung steht.
Werde ich dann wohl mal neukonfigurieren, bisher (und bei meinem Gebrauch) lief alles super...
Grüßle
th30ther
aqui
aqui 16.04.2020 aktualisiert um 12:33:21 Uhr
Goto Top
Ist sicher vernünftiger das auf UDP umzustellen. Zumal das ja mit einer simplen Änderung in der Konfig Zeile schnell gemacht ist.
Das UDP einmal nicht "vorhanden" sein könnte ist eher utopisch und dann ist TCP meist auch nicht vorhanden bzw. eben nur bestimmte Dienste oder Ports.
UDP ist in jedem Falle das Protokoll der Wahl !
NetzwerkDude
NetzwerkDude 16.04.2020 um 12:38:38 Uhr
Goto Top
Also ich hatte öfter die Erfahrung gehabt das UDP z.B. bei Hotel, Bibliothek usw. WLANs geblockt war (obs nun explizit Port 1194 kann ich nicht sagen).
Daher hab ich immer tatsächlich einen reserveserver auf TCP 443 laufen, da er bei einer einfachen Portfilterung nach HTTPS aussieht.
aqui
aqui 16.04.2020 aktualisiert um 12:45:19 Uhr
Goto Top
UDP darf man niemals blocken, denn DNS basiert z.B. auf UDP, VoIP nutzt UDP, IPsec nutzt UDP und und und... Niemand blockt UDP per se, das wäre fatal, denn 50% der gesamten Internet Kommunikation basieren darauf.
Typisch wäre das bestimmte Ports durch Firewalls geblockt sind. Das betrifft dann in der Regel aber immer beide Protokolle also UDP und TCP !
Viele blocken dann die typischen Standard Protokoll Ports wie z.B. 1194 aber dann geht man auf einen der Ephemeral Ports wie 51194 natürlich mit UDP und gut iss...
Niemals sollte man bei OpenVPN TCP Encapsulation nehmen wenn es mit UDP geht !
the.other
the.other 16.04.2020 um 18:38:37 Uhr
Goto Top
Moinsen,
so, fertig. Habe einen 2. openVPN-Server angelegt, diesmal mit udp. Dank der bereits bekannten Anleitung ging es ja auch wieder schnell von der Hand. Das alles dann noch mit Passwort plus 2FA über FreeRadius abgesichert...läuft.

Wenn mir dann unterwegs ganz langweilig ist, schreib ich mir mal auf, wie oft udp wirklich nicht geht...dann habe ich ja den tcp trotzdem als fallback.

Danke für die mal wieder super Infos und Einschätzungen.
Bleibt fit und gesund und daheim...

Grüßle
th30ther
aqui
aqui 16.04.2020 aktualisiert um 23:08:00 Uhr
Goto Top
wie oft udp wirklich nicht geht...
Das wäre in der Tat mal spannend ! face-wink Vermutlich weit unter Null Komma irgendwas %
the.other
the.other 17.04.2020 um 14:16:56 Uhr
Goto Top
Moinsen,
na, für mich hat sich die Fragestellung bereits mehrfach gelohnt: aqui, du Fuchs! Das mit den Ephemeral Ports hatte ich zuvor nie gehört, gestern Abend noch etwas gelesen und mal wieder beeindruckt...
Was ein schicker Lösungsansatz, um ggf. gesperrte 1194 Ports zu umgehen. Fein! Werde ich am Wochenende nochmals umkonfigurieren auf zB 51194. Dann ne Statisitk mit openVPN udp Port 1194, Port 51194 und TCP...hihihi.

Danke für den neuen Input, es lohnt sich eben jedesmal, hier ne Frage einzustellen...
Nachteil: ich werd euch dann auch in Zukunft mit Problemen aus dem Heimnetzbereich nerven.

Allen ein schönes Wochenende!!

Grüßle
th30ther
aqui
aqui 17.04.2020 aktualisiert um 15:40:47 Uhr
Goto Top
Nachteil: ich werd euch dann auch in Zukunft mit Problemen aus dem Heimnetzbereich nerven.
Wir bestehen darauf ! Sonst würde es ja langweilig hier... face-big-smile