OPENVPN: Kann ich auf der Serverseite dem verbundenen Client sagen dass der Client seine Verbindung beenden soll?

Hallo an Alle

Wir benutzen für Servicezwecke OpenVPN damit unsere Kunden in Absprache mit unseren Serviceleuten eine Verbindung aufbauen können über die wir die Fernwartung durchführen. Der Client ist dabei beim Kunden platziert, der Server wird bei uns interaktiv gestartet. Dies gibt dem Kunden die Sicherheit dass sich niemand ohne sein Wissen zu ihm verbindet, auch der Weg durch Router und/oder Firewall ist einfacher.
Nun haben wir immer mal wieder den Fall, dass ein - vermutlich - gelangweiter Maschinenbediener mit dem System spielt und einen Verbindungsaufbau initiert. Es passiert erstmal nichts, er vergisst es und der OpenVPN Client ist aktiv und versucht permanent eine Verbindung zum konfigurierten OpenVPN Server aufzubauen. Damit ist dieser Server blockiert, ein anderer Kunde kann diese Verbindung nicht mehr verwenden da sich die beiden gegenseitig raus werfen. Alle Kundensysteme sind mit einer Handvoll verschiedener Konfigurationen für verschiedene Service-Rechner versehen, aber auf allen die gleichen. Wir können also auf der Serverseite erstmal nicht ohne weiteres feststellen wer der Störenfried ist.

Gibt es eine Möglichkeit auf der Serverseite dem Client zu sagen dass er sich beenden bzw. seine Verbindungsversuche einstellen soll?

Vielen Dank!
Armin

Content-Key: 419308

Url: https://administrator.de/contentid/419308

Ausgedruckt am: 08.12.2021 um 23:12 Uhr

Mitglied: 138810
138810 19.02.2019 aktualisiert um 13:58:04 Uhr
Goto Top
aber auf allen die gleichen
Das ist dämlich umgesetzt.
Separate Accounts/Zertifikate für jeden einsetzen, dann Account blocken bzw. zusätzlich Fail2ban
Mitglied: Kraemer
Kraemer 19.02.2019 um 13:58:12 Uhr
Goto Top
Zitat von @ArminWeinmann:
der Server wird bei uns interaktiv gestartet.
das ist nicht interaktiv - das ist nicht zu Ende gebaut...
Mitglied: ArminWeinmann
ArminWeinmann 19.02.2019 um 13:58:58 Uhr
Goto Top
Ja, kann man für zukünftige Systeme machen, mit der bereits installierten Basis geht das nicht mehr so einfach
Mitglied: 138810
138810 19.02.2019 aktualisiert um 14:02:17 Uhr
Goto Top
Damit ist dieser Server blockiert, ein anderer Kunde kann diese Verbindung nicht mehr verwenden da sich die beiden gegenseitig raus werfen
Man kann Credentials auch für Mehrfachverbindungen zulassen dann wird niemand rausgeworfen.
Sorry aber da hat einer nix zu Ende gedacht .

der bereits installierten Basis geht das nicht mehr so einfach
Hätte man mal vorher drüber nachdenken sollen. Jetzt fällt das Kartenhaus halt zwangsweise zusammen.
Mitglied: ArminWeinmann
ArminWeinmann 19.02.2019 um 14:02:38 Uhr
Goto Top
Hallo,
den Kommentar verstehe ich jetzt nicht so ganz ...
Wir starten eine .ovpn Datei in der die Konfiguration für den Server hinterlegt ist, dann läuft eine openvpn.exe bis man in deren Konsolenfenster 'F4' drückt.
Was kann ich daran zu Ende bauen?
Mitglied: 138810
138810 19.02.2019 aktualisiert um 14:05:22 Uhr
Goto Top
Wenn dann schaltet man solche EinwahlAccounts explizit für eine Session frei und lässt die nicht einfach so aktiv, das ist Bullshit sorry.
Mitglied: ArminWeinmann
ArminWeinmann 19.02.2019 um 14:05:30 Uhr
Goto Top
Ist auch nicht auf meinem Mist gewachsen, am Anfang solls immer einfach sein, bis man dann merkt wieso komplexe Szenarien doch Vorteile haben
Mitglied: 129580
129580 19.02.2019 aktualisiert um 14:08:42 Uhr
Goto Top
Hallo,

Gibt es eine Möglichkeit auf der Serverseite dem Client zu sagen dass er sich beenden bzw. seine Verbindungsversuche einstellen soll?

wie schon bereits geschrieben wurde, ist das bisher sehr unschön gelöst. Früher oder später wirst du das korrigieren müssen.
So bleibt dir aktuell nur die Option, den betreffenden Client via iptables zu blocken.

Viele Grüße,
Exception
Mitglied: 138810
138810 19.02.2019 aktualisiert um 14:10:32 Uhr
Goto Top
Zitat von @ArminWeinmann:

Ist auch nicht auf meinem Mist gewachsen, am Anfang solls immer einfach sein, bis man dann merkt wieso komplexe Szenarien doch Vorteile haben
Dann hast du jetzt die Chance es besser zu machen.
Bis dahin blocke den Zugriff über die FW und lass dann adhoc nur noch die IP durch die explizit eine Anfrage per Mail/Telefon wahtever stellen.
Mitglied: TripleDouble
TripleDouble 19.02.2019 um 14:09:24 Uhr
Goto Top
Hallo,

ich kenne OpenVPN nur wenig, doch wird es da bestimmt eine Möglichkeit geben, client-seitig eine maximale Anzahl von Verbindungsversuchen zu konfigurieren, nach denen der Client dann "aufgibt".

TD
Mitglied: fredmy
fredmy 19.02.2019 um 18:35:36 Uhr
Goto Top
Hallo,
hm.. nicht zu Ende gedacht und auch so gebaut.

zu 2 .. schau in die Logs - da steht wer die Verbindung herstellt/herstellen will.


Fred
Mitglied: Pedant
Pedant 19.02.2019 aktualisiert um 21:17:19 Uhr
Goto Top
Hallo Armin,

Zitat von @ArminWeinmann:
Gibt es eine Möglichkeit auf der Serverseite dem Client zu sagen dass er sich beenden bzw. seine Verbindungsversuche einstellen soll?
Ja die gibt es. Lass die Verbindung zu und schieß remote den Client ab.
Das funktioniert aber nur, wenn Du für "Kundenname" und "Kundenkennwort" etwas Passendes einsetzen kannst, was durchaus sein kann, wenn Ihr Fernwartung für den Kunden macht.
Da Du nicht weiß, welcher Kunde es ist, müsstest Du es mit allen in Frage kommenden Benutzernamen/Kennwort-Kombinationen ausprobieren, bis nicht mehr die Fehlermeldung erscheint:
"FEHLER: Der Benutzername oder das Kennwort ist falsch."
sondern die Erfolgsmeldung:
"ERFOLGREICH: Der Prozess "openvpn.exe" mit PID 0815 wurde beendet."

Davon unberührt gilt, was die Kollegen schon schrieben.
Mindestens separate Zertifikate pro Kunde solltest Du erstellen und kannst das auch nachträglich tun, ohne das Konstrukt funktionell ändern zu müssen.
Du musst dann nur noch die entsprechenden Dateien gezielt an die jeweiligen Kunden verteilen.
Der Aufwand dafür ist aber vergleichsweise klein.

Nachtrag:
Im Konsolenfenster Deines OpenVPN-Servers siehst Du welche externe IP die Verbindung aufbaut oder aufzubauen versucht.
Die könnte Dir die Möglichkeit geben, Rückschlüsse zu ziehen, welcher Kunde es ist oder zumindest helfen das einzugrenzen.
Ob Du es nach dem Eingrenzen dann mit Taskkill oder Telfon versuchst sei Dir überlassen.

Gruß Frank
Mitglied: panguu
panguu 19.02.2019 um 21:28:21 Uhr
Goto Top
Hallo Armin,

ist das (k)eine Road-Warrior Konfiguration auf eurem OpenVPN-Server? Es wundert mich, dass sich nur ein Client auf euren OpenVPN-Server verbinden kann. Du schreibst auch, dass ihr keine Möglichkeit auf Serverseite habt, festzustellen wer der Störenfried ist. Wieso nicht? Wenn einer das feststellen kann, dann doch IHR. Ihr seht doch in den Logs wer Verbindungsaufbau initiiert, ihr habt die IP-Adresse und könntet das also sehr einfach eurem Kunden zuordnen (mit großer Wahrscheinlichkeit).

Ich würde euren OpenVPN-Server umkonfigurieren, denn für euren Einsatzzweck ist der schlichtweg falsch konfiguriert. Da können eure Kunden doch nix dafür.
Mitglied: LordGurke
LordGurke 19.02.2019 um 21:54:16 Uhr
Goto Top
Konfiguriere OpenVPN zumindest temporär so, dass er mehrfache Verbindungen vom selben Nutzer zulässt — dann ist das Problem mit den anderen Systemen erstmal weg.

Und dann: Nutze es doch aus, dass der Client sich verbindet. Ich meine, ihr sollt doch die Wartung machen — also lasse den Client rein, verbinde dich über den Fernwartungszugang und beende dort dann den VPN-Client.
Natürlich in Absprache mit dem Kunden.
Mitglied: ArminWeinmann
ArminWeinmann 25.02.2019 um 08:34:20 Uhr
Goto Top
OK, ich danke allen die mir geantwortet haben, das Problem wird sich also nur grundsätzlich lösen lassen.
Heiß diskutierte Beiträge
question
Software für Echtzeit-BenachrichtigungGregor81Vor 1 TagFrageMicrosoft16 Kommentare

Hallo zusammen, bin auf der Suche nach einer Software wo man auf die Client`s Benachrichtigungen verschicken kann, z.b. wenn der Exchange nicht geht oder wenn ...

question
Telekom Glasfaser mit Mikrotik RB4011iGS-RM Lan ohne Internet gelöst schmidtz78Vor 1 TagFrageLAN, WAN, Wireless23 Kommentare

Hallo und viele Grüße an alle, ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit ...

question
Ich wünschte, ich wäre Magenta. 2-3 Tage Urlaub - ohne Angabe der Rückkehrvafk18Vor 1 TagFrageCloud-Dienste20 Kommentare

Als ich vor eingen Tagen die Werbung vernahm, daß Magenta-Kunden ein 100GB-Datenvolumen geschenkt kriegen, das sie allerdings bis Ende des Jahres verbrauchen müssen, es ansonsten ...

question
Backupkontrollkonzept überarbeiten( von Papier auf digital ) gelöst truustyyVor 1 TagFrageBackup16 Kommentare

Hey Leute, ich bräuchte mal eure Hilfe. Und zwar kontrolliere Ich täglich Backups von mehreren Kunden von uns. Ich kriege täglich Mails von verschiedenen Backupsoftwares ...

question
VmWare VSphere 7 Essentials gelöst Ueba3baVor 1 TagFrageSonstige Systeme13 Kommentare

Hallo, ich bin auf dieses Angebot gestoßen: Hat jemand damit schon Erfahrung? Ich finde dieses Angebot sehr günstig und ziehe es in Erwägung, es zu ...

general
Chatbox in dem ForumITghostVor 1 TagAllgemeinWünsch Dir was19 Kommentare

Hey Liebe Administratoren von Administrator.de :) ! Wie wäre es mit einer Chatbox hier im Forum? Falls man mal schnell was ansprechen möchte, dass keinen ...

question
OEM Rechner verlieren teilweise Windows10 AktivierungLaBombaVor 1 TagFrageWindows 107 Kommentare

Hallo, wir haben hier einige Dell Rechner die ihre Windows Aktivierung verlieren, leider kann ich keinen Grund dafür finden. Von heute auf Morgen meldet sich ...

question
OPNsense + Cisco SG250 + IGMP Proxy für Magenta TV nur IGMPv2pppeddVor 1 TagFrageNetzwerke9 Kommentare

Hallo, ich bekomme MagentaTV mit der OPNsense und Cisco Switches nicht zum Laufen. Die Switches zeigen mir mit nachfolgender Konfiguration alle Multicast-Ports im IGMP Compatibility ...