Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Traffic via SSLH splitten, NGINX

Mitglied: maddig

maddig (Level 1) - Jetzt verbinden

12.06.2018 um 23:06 Uhr, 637 Aufrufe, 6 Kommentare

Guten Abend,

ich weiß mal wieder nicht weiter.

Und zwar betreibe ich einen nginx reverse proxy mit diversen Subdomains die alle samt DynDNS Adressen sind.
Auf dem nginx selber läuft z.b. eine Owncloud. Ich nutze ihn aber auch, um über Subdomains zum Beispiel auf das Interface von PRTG zuzugreifen.
Port 80 und 443 werden zu dem Server forwardet.

Als VPN Lösung habe ich bis dato den OpenVPN Server meiner pfSense eingesetzt. Jedoch musste ich dafür UDP 443 benutzen. Das nervt mit der Zeit weil nicht überall UDP offen ist.

Jetzt habe ich einen OpenVPN AccessServer aufgesetzt. Connecten aus dem LAN funktioniert soweit ganz gut. Nur belege ich 443 ja schon für SSL für den Webserver.

Die Überlegung war jetzt mit SSLH den Traffic zu splitten und mit der Option --openvpn OVPNSERVER:443 , den Openvpn Traffic auf den AccessServer weiterzuleiten.

01.
DAEMON_OPTS="--user sslh --listen 10.7.10.11:443 --ssl 127.0.0.1:443 --openvpn 10.7.10.16:443 --pidfile /var/run/sslh/sslh.pid"
10.7.10.11 ist der Debian Server und 10.7.10.16 der OVPN Server.

Wenn ich jetzt versuche auf meine Domain zu connecten, wirft der Client den Fehler: "TCP_SIZE_ERROR"

Ein Logfile habe ich nach der Anleitung eingerichtet, jedoch erstellt sslh keines...

Habt ihr Erfahrungen, bzw vielleicht eine andere Lösung?

Im Anhang nochmal eine Visio zur Veranschaulichung.

mfg
maddig
openvpn. - Klicke auf das Bild, um es zu vergrößern
Mitglied: Spirit-of-Eli
13.06.2018 um 08:23 Uhr
Moin,

wieso 443? Standart Port ist 1194. Der Port ist vollständig variabel. Oder geht es darum, das häufig alles andere geblockt ist?

Der Server kann die Session über TCP und UDP aufbauen.

Also wo ist nun das Problem? Deine Sense möchtest du ja wohl nicht direkt von extern erreichbar machen..

Gruß
Spirit
Bitte warten ..
Mitglied: maddig
13.06.2018 um 08:43 Uhr
Guten Morgen,

das schöne an OpenVPN ist ja, dass jeder Port sowieso TCP oder UDP verwendet werden kann. Sinnigerweise verwendet man dann hierzu 443TCP da dies sogut wie in jedem LAN offen ist. Oder siehst du das anders?

Wie oben schon geschrieben und bildlich dargestellt, belege ich durch den nginx Webserver schon den Port 443 auf TCP.

Damit ich den Port 443 TCP auch für das OpenVPN benutzen kann, will ich den Traffic via SSLH aufsplitten zu SSL und OpenVPN und je nach dem zu einer anderen ZielIP weiterleiten. Ebenfalls oben beschrieben.

mfg
maddig
Bitte warten ..
Mitglied: Spirit-of-Eli
13.06.2018 um 09:48 Uhr
Zitat von maddig:

Guten Morgen,

das schöne an OpenVPN ist ja, dass jeder Port sowieso TCP oder UDP verwendet werden kann. Sinnigerweise verwendet man dann hierzu 443TCP da dies sogut wie in jedem LAN offen ist. Oder siehst du das anders?

Wie oben schon geschrieben und bildlich dargestellt, belege ich durch den nginx Webserver schon den Port 443 auf TCP.

Damit ich den Port 443 TCP auch für das OpenVPN benutzen kann, will ich den Traffic via SSLH aufsplitten zu SSL und OpenVPN und je nach dem zu einer anderen ZielIP weiterleiten. Ebenfalls oben beschrieben.

mfg
maddig

Das ist durchaus ein cooler Gedanke, allerdings unterscheidet dieses Tool wohl nur zwischen SSL und SSH. Daher wird es mit OpenVPN wohl nicht gehen.

Ich habe es selbst noch nie gebraucht aber bin gespannt wer sich hier noch meldet.
Bitte warten ..
Mitglied: Spirit-of-Eli
13.06.2018 um 09:55 Uhr
Mir fällt gerade noch eine Option ein:
Lass OpenVPN über port 80 laufen und deinen Webserver über Https.
Chrome usw. Warnen ja eh bald bei unverschlüsselten Verbindungen.
Bitte warten ..
Mitglied: beidermachtvongreyscull
13.06.2018 um 10:04 Uhr
Möchtest Du es mal mit Portsplit probieren?

https://github.com/kheops2713/portsplit

Hier beschreibt jemand einen Aufbau mit OpenVPN und einem anderen Dienst, der Deinem Aufbau ziemlich ähnlich kommt.

https://github.com/equalitie/ceno2-testbed/blob/master/servers.md

Die Idee, die ich hinter PortSplit sehe ist, dass es etwas flexibler scheint, als SSLH.
Der Grundgedanke ist aber der gleiche.

Gruß,
Andreas
Bitte warten ..
Mitglied: maddig
13.06.2018 um 11:22 Uhr
Hallo,

Mit der Option --openvpn ist es möglich mit SSLH OpenVPN Pakete zu filtern nur leider funktioniert das nicht.

Mit Port 80 hast du recht, jedoch brauche ich das auch für den https Redirect.

Portsplit sieht auf den ersten Blick wirklich gut aus. Und das Beispiel dazu noch besser.

Ich werde das heute abend mal testen und wieder berichten.

Danke für eure Hilfe.

mfg
maddig
Bitte warten ..
Ähnliche Inhalte
Linux Tools
Problem mit nginx-ReverseProxy
Frage von DexthaLinux Tools1 Kommentar

Hallo, ich möchte aus Performance-Gründen einen nginx-ReverseProxy anstatt meines Apache-ReverseProxy einsetzen. Soweit funktioniert das ganze auch, nur habe ich ...

Webentwicklung
Nginx Redirect je nach Pfad
gelöst Frage von certifiedit.netWebentwicklung1 Kommentar

Guten Morgen, ich sitze gerade noch an einem kleinen Problem mit nginx Redirects. Ziel ist es, dass beim Zugriff ...

Server
Nginx root directive not allowed
Frage von Windows10GegnerServer3 Kommentare

Hallo, ich bin gerade dabei nginx einzurichten, um nen kleinen Webserver zu haben. Dieser läuft auch, wenn man kein ...

Debian
Nginx, VirtualHosts und Mail
Frage von chri.sDebian3 Kommentare

Hallo Board, gerade eine Frage, die mich umtreibt: Systemumgebung: Debian 8.7 Nginx, PHP-fpm Momentan Exim4 verschiedene Websites unterschiedliche Domains ...

Neue Wissensbeiträge
Humor (lol)
Und wie seid Ihr gegen Cyberattacken gewappnet?
Information von DerWoWusste vor 1 TagHumor (lol)5 Kommentare

aber wo ist der Hammer? :-)

Sicherheit
Ein weiterer Microsoft-Stirnklatscher
Information von DerWoWusste vor 2 TagenSicherheit7 Kommentare

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist. Es ...

Windows 10
Upgradepfade Windows 10 LTSC
Erfahrungsbericht von Datenreise vor 2 TagenWindows 10

Nur eine kurze Info, für diejenigen, die es interessiert, da es hierzu im Netz aus nachvollziehbaren Gründen nicht allzu ...

Administrator.de Feedback
Wartungsarbeiten heute Nacht (Update)
Information von Frank vor 2 TagenAdministrator.de Feedback10 Kommentare

Hallo User, durch Umbauarbeiten in unserem Rechenzentrum (am Backbone) kann es heute Nacht (14-15.01.2019) zu kurzen Ausfällen unserer Seite ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 - kein Boot mehr nach Domänenaustritt
gelöst Frage von Ghost108Windows 1025 Kommentare

Hallo zusammen, habe hier eine Windows 10 Maschine, die ich gerne aus der Domäne austreten lassen möchte. Nach Austritt ...

Microsoft
SFirm 4.0 auf Terminalserver startet für jeden angemeldeten Benutzer diverse Dienste
Frage von Frank84Microsoft24 Kommentare

Hallo zusammen, wir verwenden Sfirm 4.0 auf einem Terminalserver (der SQL Server ist auf einem separaten Server), das Problem ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1017 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...

Internet
Google-Suchergebnisse, Schnelleinblendung, woher kommt der Inhalt?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Ich bin der Systembetreuer einer kleinen Gemeinde in Süddeutschland. Wir betreiben auch eine Leihbücherei. Eine Kundin hat letzten ...