netzwerkdude
Goto Top

OpenVPN Connectivität testen mit PowerShell

Moin,

ich würde für ein PowerShell Tool eine funktion benötigen bei dem die aktuelle erreichbarkeit eines OpenVPN Dienstes geprüft wird. Also wirklich der "Dienst" auf UDP 500 und nicht der Server.

Das UDP Packet versenden und auf Antwort warten funtioniert, nach dem Post hier:
https://learn-powershell.net/2011/02/21/querying-udp-ports-with-powershe ...

Nun ist es so das hier gemeint wird das der OpenVPN Server alle Pakete verwirft die nicht die Richtige HMAC haben wenn tls-auth an ist (was sie ist):
https://serverfault.com/questions/262474/how-to-check-that-an-openvpn-se ...

Soweit auch okay, ich könnte einen validen key für den OpenVPN Server generieren und damit meine pakete signieren, irgendwie kanns ja PowerShell:
https://gist.github.com/jokecamp/2c1a67b8f277797ecdb3

Okay, jetzt finde ich leider nicht wie das Paket genau aussehen soll damit es eine response den OpenVPN triggert ace-sad"

Was ich fand ist dieses Python Skript das für Nagios / Icinga OpenVPN erreichbarkeit checkt, und er baut ein Paket mit der richtigen HMAC signatur:
https://github.com/liquidat/nagios-icinga-openvpn/blob/master/bin/check_ ...
(zeile 37-61)
Leider steige ich da aus den Code komplett zu verstehen und in Powershell umzuschreiben ace-sad"
Hoffe jemand kann mir da aushelfen

MFG
N-Dude

Content-Key: 625166

Url: https://administrator.de/contentid/625166

Printed on: February 6, 2023 at 17:02 o'clock

Member: tech-flare
tech-flare Nov 23, 2020 at 13:16:42 (UTC)
Goto Top
Zitat von @NetzwerkDude:

Moin,

ich würde für ein PowerShell Tool eine funktion benötigen bei dem die aktuelle erreichbarkeit eines OpenVPN Dienstes geprüft wird. Also wirklich der "Dienst" auf UDP 500 und nicht der Server.
Hast du den Port angepasst? OpenVPN läuft normalerweise auf 1194. Bestenfalls auf 443 um Blockaden zu umgehen
Member: NetzwerkDude
NetzwerkDude Nov 23, 2020 updated at 13:17:55 (UTC)
Goto Top
ah vergesen zu sagen, ist wirklich custom port 500, stimmt schon face-smile
Member: aqui
aqui Nov 23, 2020 updated at 15:03:50 (UTC)
Goto Top
Keine besonders gute und auch intelligente Wahl für einen "Dude", denn das ist bekanntlich weltweit fest dem IKE Protokoll (ISAKMP) zugewiesen was selber wieder ein Teil der IPsec VPN Protokoll Suite ist. Bei 80% der Anschlüsse antwortet dir dann der ISAKMP Server.
Also besser UDP 1194 behalten oder wenn, dann wie immer, einen der Ephemeral Ports von 49152 bis 65535 wie z.B. 51194 verwenden o.ä. Hat zudem den Vorteil das die allermeisten der bösen Portscanner diesen Bereich nicht nutzen.
https://en.wikipedia.org/wiki/Ephemeral_port
wie das Paket genau aussehen soll damit es eine response den OpenVPN triggert
Der pfiffige NetzwerkDude nimmt dafür bekanntlich den Wireshark oder tcpdump und sniffert das mit, dann weiss er es bis aufs Bit genau ! face-wink
Oder...lädt einen Beispieltrace und filtert dann einmal nach OpenVPN.
Member: NetzwerkDude
NetzwerkDude Nov 23, 2020 at 15:43:05 (UTC)
Goto Top
Meine Güte, was alle der Port stört...
Also: Auf 1194 läuft schon ein anderer OpenVPN Dienst - daher ist es SCHON SO GEWOLLT das der nun den eigentlich für isakmp reservierten port nutzt.

Es ist auch unötig einen highport zu nehmen da der OpenVPN DANK des tls-auth features auf keine Anfragen reagiert! also: falsche / keine hmac am packet > drop.

Ob man das initialpacket replayen kann, teste ich morgen. Schöner wärs dennoch das packet mit dem key aus einem file zu signieren - so könnte man das tool universeller einsetzen ohne eine passgenaue payload hardzucoden.

MFG
N-Dude
Member: NetzwerkDude
NetzwerkDude Nov 24, 2020 updated at 08:40:49 (UTC)
Goto Top
Also: Das erste Paket lässt sich replayen, und es kommt eine antwort vom Server, soweit die "hack" lösung - ich lasse den thread noch offen, da es wie oben geschrieben viel flexibler wäre das paket aus einem keyfile zu generieren / signieren
Member: colinardo
Solution colinardo Nov 25, 2020, updated at Nov 26, 2020 at 11:24:22 (UTC)
Goto Top
Servus @NetzwerkDude,
hab dir mal das Erzeugen und Senden des UDP-Packets in eine kleine Function gepresst (hier nur die reine UDP-Variante). Hostname, Port, Timeout, TA-Secretfile und TLS-AUTH Verfahren kannst du der Function Send-OpenVPNClientResetMessage als Parameter übergeben Die Funktion gibt bei Erfolg ein Custom-Object inkl. Server Response zurück ansonsten nichts bzw. passende Fehlermeldung. Die zweite Funktion Validate-OpenVPNServerResponse validiert die von der ersten Funktion zurückgelieferte Server-Response indem man sie einfach in die Pipeline hinter die erste Funktion schaltet.
Ein Beispielaufruf findest du in der letzten Zeile des Codes.

Viel Spaß damit
Grüße Uwe
Member: aqui
aqui Nov 25, 2020 at 16:41:56 (UTC)
Goto Top
Hammer ! 👍
Member: Lochkartenstanzer
Lochkartenstanzer Nov 25, 2020 updated at 16:44:32 (UTC)
Goto Top
Zitat von @aqui:

Hammer ! 👍

Jau, unser Uwe, ich staune auch immer wieder, wie er das Zeug grad mal so im Vorbeigehen aus dem Ärmel schüttelt. 👍

lks
Member: colinardo
colinardo Nov 25, 2020 updated at 16:50:54 (UTC)
Goto Top
Bei nützlichen Skripts für die Nachwelt bin ich immer mit dabei sofern das runde mit den zwei Zeigern es zulässt und keiner mit "Kloppe" vorbei kommt face-smile.
Member: NetzwerkDude
NetzwerkDude Nov 26, 2020 at 10:50:57 (UTC)
Goto Top
Perfekt, besten dank! - aber wo ist der gelöst button eigentlich hin? hm...
Member: colinardo
Solution colinardo Nov 26, 2020 updated at 11:22:09 (UTC)
Goto Top
So, habe der Vollständigkeit halber die anschließende Validierung der Server-Response oben im Code noch nachgeholt.

Grüße Uwe