Laie und openVPN-Log
Moinsen,
ich habe hier eine pfsense, auf der u.a. auch ein openVPN-Server (gut) läuft. Das ganze als ambitioniertes Anfänger Heimnetz, nicht für den Profibereich. Als openVPN Client dient nur ein einziger Androiddevice. Hier soweit auch alles gut.
Im Log ( Status > Systenlogs > openVPN) wird mir regelmäßig eine Fehlermeldung bezüglich MTU eingeschrieben:
Im Client (der zu den geloggten Zeiten nicht online war) ist die MTU mit dem Server abgestimmt, daher wird hier auch nichts geloggt bis auf die erfolgreiche Verbindung.
Was also sind das für Einträge? Die IPs ändern sich ohne dass es für mich irgendwie nachvollziehbar ist. Alles "possible active attack(s)"?
Da ich selber eben nur noob bin und bisheriges gegoogle nichts gebracht hat, stell ich die (für euch vermutlich depperte) Frage hier mal ein und hoffe erneut auf ein paar konstuktive Antworten (oder links, die ich bislang entweder nicht gefunden oder verstanden habe).
Tausend Dank und bleibt gesund...
Grüßle
th30ther
ich habe hier eine pfsense, auf der u.a. auch ein openVPN-Server (gut) läuft. Das ganze als ambitioniertes Anfänger Heimnetz, nicht für den Profibereich. Als openVPN Client dient nur ein einziger Androiddevice. Hier soweit auch alles gut.
Im Log ( Status > Systenlogs > openVPN) wird mir regelmäßig eine Fehlermeldung bezüglich MTU eingeschrieben:
Apr 15 15:33:13 openvpn 67747 139.162.113.204:37516 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Apr 15 15:33:13 openvpn 67747 TCP connection established with [AF_INET]139.162.113.204:37516
Apr 15 13:08:14 openvpn 67747 45.13.93.90:54686 Connection reset, restarting
Apr 15 13:08:14 openvpn 67747 45.13.93.90:54686 WARNING: Bad encapsulated packet length from peer (17231), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Apr 15 13:08:14 openvpn 67747 TCP connection established with [AF_INET]45.13.93.90:54686
Apr 15 10:58:10 openvpn 67747 192.241.236.189:56124 Connection reset, restarting
Apr 15 10:58:10 openvpn 67747 192.241.236.189:56124 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Im Client (der zu den geloggten Zeiten nicht online war) ist die MTU mit dem Server abgestimmt, daher wird hier auch nichts geloggt bis auf die erfolgreiche Verbindung.
Was also sind das für Einträge? Die IPs ändern sich ohne dass es für mich irgendwie nachvollziehbar ist. Alles "possible active attack(s)"?
Da ich selber eben nur noob bin und bisheriges gegoogle nichts gebracht hat, stell ich die (für euch vermutlich depperte) Frage hier mal ein und hoffe erneut auf ein paar konstuktive Antworten (oder links, die ich bislang entweder nicht gefunden oder verstanden habe).
Tausend Dank und bleibt gesund...
Grüßle
th30ther
Please also mark the comments that contributed to the solution of the article
Content-ID: 564910
Url: https://administrator.de/contentid/564910
Printed on: December 3, 2024 at 23:12 o'clock
12 Comments
Latest comment
Abend,
nun, wenn die IPs nicht zu deinem Android Telefon gehören, dann ist es vermutlich jemand fieses im Netz der halt deine Ports abklappert - soll vorkommen da draußen. Könnte auch ein netter sicherheitsfoscher sein der checkt ob deine OpenVPN instanz abschmiert wenn er ein bestimmtes Paket an den Server schickt.
Ansonsten: Darf man Fragen warum du auf TCP und nicht UDP setzst?
MFG
N-Dude
nun, wenn die IPs nicht zu deinem Android Telefon gehören, dann ist es vermutlich jemand fieses im Netz der halt deine Ports abklappert - soll vorkommen da draußen. Könnte auch ein netter sicherheitsfoscher sein der checkt ob deine OpenVPN instanz abschmiert wenn er ein bestimmtes Paket an den Server schickt.
Ansonsten: Darf man Fragen warum du auf TCP und nicht UDP setzst?
MFG
N-Dude
Der Fehler ist klar die falsche Encapsulation. Aus gutem Grund sollte man niemals TCP benutzen wenn man es nicht zwingend muss.
Die offizielle OpenVPN Dokumentation rät ebenso dringend davon ab TCP als Encapsulation zu verwenden. Overhead, miese Performance und Gefahr der Fragmentierung durch MTU Mismatch sind nur einige wenige Gründe.
Alle Tutorials, auch das hiesige, weisen immer dringenst darauf hin kein TCP zu verwenden !
Fazit:
Ändere deine Encapsulation auf das für OpenVON übliche UDP und dann verschwinden auch diese Messages.
Oder....
Nutze eine VPN Lösung auf der pfSense bei der du keinerlei externe VPN Clients nutzen musst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Die offizielle OpenVPN Dokumentation rät ebenso dringend davon ab TCP als Encapsulation zu verwenden. Overhead, miese Performance und Gefahr der Fragmentierung durch MTU Mismatch sind nur einige wenige Gründe.
Alle Tutorials, auch das hiesige, weisen immer dringenst darauf hin kein TCP zu verwenden !
Fazit:
Ändere deine Encapsulation auf das für OpenVON übliche UDP und dann verschwinden auch diese Messages.
Oder....
Nutze eine VPN Lösung auf der pfSense bei der du keinerlei externe VPN Clients nutzen musst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wobei wie gesagt, ich schätze mal das wenn es fremde IPs sind, schicken die halt einfach präperierte Pakete um irgendwas am OpenVPN Server zu triggern, z.B. ein Buffer overflow aus einem CVE von 1875
@th30ther:
Wenn man interesse hat, kann man ja so ein Paket mitschneiden und schauen was im Payload drin ist und welche Flags gesetzt sind - und ob die mit irgend einem alten Hack korrespondieren
Wenn du was experimentieren willst, kannst ja z.B. Metasploit starten und schauen obs da Exploits gibt für OpenVPN - und spasshalber selbt es versuchen und dann schauen wie der Log so aussieht
MFG
N-Dude
@th30ther:
Wenn man interesse hat, kann man ja so ein Paket mitschneiden und schauen was im Payload drin ist und welche Flags gesetzt sind - und ob die mit irgend einem alten Hack korrespondieren
Wenn du was experimentieren willst, kannst ja z.B. Metasploit starten und schauen obs da Exploits gibt für OpenVPN - und spasshalber selbt es versuchen und dann schauen wie der Log so aussieht
MFG
N-Dude
Ist sicher vernünftiger das auf UDP umzustellen. Zumal das ja mit einer simplen Änderung in der Konfig Zeile schnell gemacht ist.
Das UDP einmal nicht "vorhanden" sein könnte ist eher utopisch und dann ist TCP meist auch nicht vorhanden bzw. eben nur bestimmte Dienste oder Ports.
UDP ist in jedem Falle das Protokoll der Wahl !
Das UDP einmal nicht "vorhanden" sein könnte ist eher utopisch und dann ist TCP meist auch nicht vorhanden bzw. eben nur bestimmte Dienste oder Ports.
UDP ist in jedem Falle das Protokoll der Wahl !
UDP darf man niemals blocken, denn DNS basiert z.B. auf UDP, VoIP nutzt UDP, IPsec nutzt UDP und und und... Niemand blockt UDP per se, das wäre fatal, denn 50% der gesamten Internet Kommunikation basieren darauf.
Typisch wäre das bestimmte Ports durch Firewalls geblockt sind. Das betrifft dann in der Regel aber immer beide Protokolle also UDP und TCP !
Viele blocken dann die typischen Standard Protokoll Ports wie z.B. 1194 aber dann geht man auf einen der Ephemeral Ports wie 51194 natürlich mit UDP und gut iss...
Niemals sollte man bei OpenVPN TCP Encapsulation nehmen wenn es mit UDP geht !
Typisch wäre das bestimmte Ports durch Firewalls geblockt sind. Das betrifft dann in der Regel aber immer beide Protokolle also UDP und TCP !
Viele blocken dann die typischen Standard Protokoll Ports wie z.B. 1194 aber dann geht man auf einen der Ephemeral Ports wie 51194 natürlich mit UDP und gut iss...
Niemals sollte man bei OpenVPN TCP Encapsulation nehmen wenn es mit UDP geht !