Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OpenVPN verbindet, routet aber normal weiter

Mitglied: Herr-N

Herr-N (Level 1) - Jetzt verbinden

04.04.2018, aktualisiert 05.04.2018, 1794 Aufrufe, 28 Kommentare, 2 Danke

Ich habe auf meinem debian Server OpenVPN eingerichtet. Als Client kommt die OpenVPN Connect APP für Android zum Einsatz.

Für die Einrichtung bin ich (VPN Anfänger) einer Anleitung gefolgt. Wenn ich in der APP die VPN Verbindung starte, wird in der Statuszeile das Schlüssel Symbol angezeigt; auf dem Server sehe ich in der /etc/openvpn/openvpn-status.log auch, dass der Client verbunden ist.

Was mich nun etwas verwirrt:
1. Der Client ist für andere Sites (z. B. http://www.utrace.de/) weiterhin mit seiner Original IP sichtbar, nicht wie von mir erwartet mit der des Servers.
2. Eine Traceroute APP zeigt keinen Unterschied, ob VPN verbunden ist oder nicht. Die Route ist jeweils die gleiche, die IP meines VPN-Servers taucht darin nicht auf.

Wo liegt mein Denkfehler, was habe ich falsch konfiguriert?

debian Server: OpenVPN server.conf
Android client: OpenVPN client.ovpn (statt "example.net" steht bei remote natürlich die echte Domain)
debian Server: iptables Regeln
28 Antworten
Mitglied: ChriBo
04.04.2018 um 20:58 Uhr
Hi,
du hast eine Verbindung durch das VPN von deinem Android Device zu dem Server hergestellt.
Was du nicht erstellt hast ist irgendein Routing zu andere Netzen bzw. zu 0.0.0.0 durch das VPN.

Das der Client für andere Sites mit seiner originalen IP sichtbar ist ist also richtig, aber vielleicht nicht erwünscht.

Wenn du allenTraffic durch das VPN routen willst fehlt die z.B. der Eintrag push "redirect-gateway xxxx"
siehe z.B. hier

CH
Bitte warten ..
Mitglied: Herr-N
04.04.2018 um 21:25 Uhr
Danke. Ich habe nun in der server.conf
eingetragen, nach dem Neustart des openvpn Services finde ich im Protokoll
… da sind bestimmt ein paar "undef" zu viel. ;) Wie bekomme ich die noch weg?
Bitte warten ..
Mitglied: Spirit-of-Eli
04.04.2018 um 22:39 Uhr
Moin,

der TO braucht keine Routen konfigurieren.
Es fehlt nur das flag, dass Clients den gesamten Traffic durch den Tunnel schieben sollen. Dies Weisung muss durch den Server erfolgen.


Gruß
Spirit
Bitte warten ..
Mitglied: aqui
05.04.2018, aktualisiert um 09:46 Uhr
Richtig !
Vermutlich hat er die server.conf Datei falsch eingerichtet und dort mit "push route..." nur das lokale Gateway auf den VPN Client geroutet, dann ist logisch das dann nur der VPN Traffic für das remote lokale Netz in den Tunnel geht aber kein kompletter Redirect der allen Traffic in den Tunnel routet.
Das muss man in der server.conf natürlich entsprechend einrichten mit:
push "redirect-gateway def1"
Siehe auch:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Dann klappt das auch sofort !
Wie Kollege Spirit-of-Eli oben schon zu Recht bemerkt fehlen sämtliche Routing Kommandos in der .conf Datei auf dem Server. Klar und logisch das es dann nicht funktionieren kann denn dann wird einzig nur die VPN Verbindung auf den Server selber gemacht und nix anderes.

Mit den HE Netzwerk Tools auf dem Smartphone und einem Traceroute hätte man das auch selber ganz ohne Thread hier gesehen:
https://play.google.com/store/apps/details?id=net.he.networktools&hl ...

Für Debian ist es auch hier beschrieben:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
oder hier im Forum:
https://www.administrator.de/wissen/openvpn-server-installieren-pfsense- ...
Bitte warten ..
Mitglied: Herr-N
05.04.2018, aktualisiert um 13:05 Uhr
push "redirect-gateway def1" habe ich eingetragen, dennoch funktioniert es immer noch nicht. Fehlen weitere Routing Infos, wie sollten diese aussehen?

Meine server.conf (nur die aktivien Einträge) sieht nun so aus:
Wenn ich den auf dem Client das VPN starte, steht in openvpn.log folgendes:
Auf dem Client funktioniert anschließend weder PING, noch DNS Auflösung, TRACEROUTE liefert demnach auch keine Ergebnisse…

Aus den verlinkten Tutorials werde ich auch nicht schlau. Ich sehe nicht, was ich vergessen / falsch konfiguriert habe. Mir ist auch unklar, waum in der letzten Protokoll Zeile ifconfig 10.8.0.6 10.8.0.5 steht, der Client sollte doch die 10.8.0.4 bekommen, nicht?
Bitte warten ..
Mitglied: aqui
05.04.2018, aktualisiert um 11:41 Uhr
Fehlen weitere Routing Infos, wie sollten diese aussehen?
Nein !
Mehr ist nicht zu tun.

Du solltest niemals Google DNS 8.8.8.8 usw. als DNS Server konfigurieren. Das machen heutzutage nur noch Dummies oder blutige Laien. Jedermann weiss das Google Profile deines Surfverhaltens damit erstellt und über Dritte vermarktet. Musst du selber wissen was dir die Privatsphäre wert ist.
DHCP brauchst du in der server.conf gar nicht konfigurieren und auch kein DNS. Wenn du einen Redirect machst, und unbedingt DNS konfigurieren willst, dann n immst du deinen DNS Server vom Heimnetz oder dort wohin du den Redirect machst.
Der DNS ist in der Regel immer der heimische Router der als DNS Proxy agiert.
Lasse das also besser weg. Damit sind dann alle deine o.a. push dhcp Konfigs falsch.
Den OpenVPN Server hast du mit service openvpn restart neu gestartet nach Änderung der Konfig Datei ?
Mir ist auch unklar, waum in der letzten Protokoll Zeile ifconfig 10.8.0.6 10.8.0.5 steht
Eigentlich sollte er die 10.8.0.2 bekommen als erster Client wenn du einen 24er Prefix im internen OVPN Netz verwendest ?! (.1 = Server)
Hängt aber auch davon ab WIE du die interne IP Distribution an die Clients konfiguriert hast. Mit dem ifconfig-pool-persist ipp.txt gibst du hier ja eine Verteilung vor. Entweder besser weglassen oder das darin korrigieren !
https://openvpn.net/archive/openvpn-users/2006-05/msg00316.html
Mit ifconfig-push 10.8.0.2 10.8.0.1 kannst du das in der client.conf beim Client auch erzwingen.
Generell solltest du alles überflüssige hier erstmal weglassen oder auskommentieren und mit den Defaults arbeiten.
Bitte warten ..
Mitglied: Herr-N
05.04.2018 um 13:22 Uhr
Danke für den "Zaunpfahl", google DNS ist raus…

Ja, ich starte den openvpn Service nach jeder Änderung durch. Ich lösche in der APP das VPN Profil, bevor ich dort die Konfig ändere; zuletzt importiere ich das Profil neu. Bei jedem neuen Aufbau der VPN Verbindung ist also immer die jeweils aktuellste Konfig aktiv.

Ich habe die Konfiguration noch einmal geändert, so weit wie ich Deine Tipps (hoffentlich richtig) verstanden habe; die Datei ipp.txt habe ich komplett entsorgt. Falls da noch immer "überflüssiges" drin steht: nenne mir doch bitte die Zeilennummern, damit ich das auch mal rausnehmen kann; TIA.

egrep -v "^#|^$|^\;" server.conf
egrep -v "^#|^$|^\;" android1.ovpn
Dennoch das gleiche: nach Starten der VPN Verbindung wieder kein PING, kein DNS, kein TRACEROUTE auf dem Client… Im Protokoll auf dem server steht weiterhin "ifconfig 10.8.0.6 10.8.0.5":
In den APP Bewertungen wird von Verbindungs–Problemen im Zusammenhang mit Android 8 berichtet … bin ich etwa auch davon betroffen? (Server: debian 7 VM bei Strato; Client: honor 9 lite mit Android 8 / März Update)
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.04.2018, aktualisiert um 15:13 Uhr
Lass das "ifconfig-push 10.8.0.2 10.8.0.1" auf dem Client mal komplett weg, dann vergibt der Server das dynamisch.
Damit hättest du dann eine simple Standard Konfig.
Damit muss es gehen !

Wenn du nicht pingen kannst WAS pingst du denn da als Ziel ??
Erstmal ist es wichtig das du den Server selber pingst !!! Also die 10.8.0.1
Das muss IMMER klappen !
Dann mal das lokale LAN Interface des Servers
Dann mal sowas wie 8.8.8.8
Nimm immer die nackte IP, denn das umgeht erstmal ggf. vorhandene DNS Probleme.
Wie gesagt die HE Tools für Android und iOS sind sehr hilfreich dafür:
https://play.google.com/store/apps/details?id=net.he.networktools&hl ...

Wenn das Pingen der OVPN Server IP schon scheitert, dann hast du ein Firewall Problem auf dem Server und dann ist es auch klar, das der gesamte Rest nicht funktioniert !
Bitte warten ..
Mitglied: Spirit-of-Eli
05.04.2018 um 18:01 Uhr
Wenn du nicht pingen kannst WAS pingst du denn da als Ziel ??
Erstmal ist es wichtig das du den Server selber pingst !!! Also die 10.8.0.1
Das muss IMMER klappen !
Dann mal das lokale LAN Interface des Servers
Dann mal sowas wie 8.8.8.8
Nimm immer die nackte IP, denn das umgeht erstmal ggf. vorhandene DNS Probleme.

Kurz zu Ergänzung, falls du einen Windows Rechner mit aktiver Firewall versuchst zu pingen wird dies ohne zusätzliche Regel zum erlauben des VPN Netzes nicht funktionieren. Windows blockt alle Subnetz, die es nicht kennt.
Bitte warten ..
Mitglied: Herr-N
05.04.2018 um 18:10 Uhr
Zitat von aqui:
Wenn das Pingen der OVPN Server IP schon scheitert, dann hast du ein Firewall Problem auf dem Server (…)

m(

Ich habe die iptables Regeln für openvpn nun mal an den Anfang des FW–Scriptes gestellt, damit klappt zumindest schon einmal
a) ping auf 10.8.0.1
b) Abruf von E—Mail auf dem Server (der selbe, auf dem openvpn läuft)
c) Abruf von Websites auf dem Server (—""—)

ifconfig-push 10.8.0.2 10.8.0.1 habe ich komplett raus genommen, bekomme weiterhin den "ifconfig 10.8.0.6 10.8.0.5" Logfile–Eintrag beim Aufbau der VPN Verbindung.

Der Client bekommt immer wieder die 10.8.0.6 zugewiesen (mit lt. Network Analyzer App einer Subnetz Maske von 255.255.255.252). Ich habe nach der …0.6 gesucht, sie steht in keiner der Konfig–Dateien, nicht einmal auskommentiert.


PING auf z. B. 8.8.8.8 kommt nicht zurück (es wird keine Laufzeit angezeigt), immerhin zeigt die APP (Network Analyzer) zu IP auch den Hostnamen google-public-dns-a.google.com an. Ping auf google.com zeigt die aufgelöste IP 172.217.16.206 an, allerdings auch hier keine Laufzeiten. (Also scheint DNS nun auch zu funktionieren.)

Versuche ich in Firefox eine Website zu laden, die nicht auf meinem Server liegt (z. B. heise.de), bekomme ich "Fehler: Netzwerk–Zeitüberschreitung".


Ausgabe von route auf der Server–Konsole:
… wo kommt da jetzt die 10.8.0.2 her?
Bitte warten ..
Mitglied: aqui
05.04.2018, aktualisiert um 19:09 Uhr
Bitte nicht alles zitieren !
So kann man doch niemals lesen und verstehen was du antwortest
wo kommt da jetzt die 10.8.0.2 her?
OpenVPN macht ein Point to Point Netzwerk intern mit Hostrouten !
bekomme weiterhin den "ifconfig 10.8.0.6 10.8.0.5" Logfile–Eintrag beim Aufbau der VPN Verbindung.
Da stimmt irgendwas nicht !
Irgendwo her muss er das ja bekommen ! Der OVPN Server vergibt ohne Konfig immer fortlaufend...
Kannst ja spaßeshalber das interne Netz mal umbiegen auf 172.31.31.0 /24 und mal checken was er dann macht ?!

Interessant wäre die Routing Tabelle auf dem Client !!
Dort schlägt vermutlich der Gateway Redirect fehl, deshalb "kennt" er nur das VPN Netz 10.8.0.0 /24, routet also nur Pakete mit diesem Netz in den Tunnel.
Alles andere rennt dann außerhalb des Tunnels...vermutlich ?!
Um das sicher sagen zu können braucht man die Routing Tabelle des Clients bei aktivem VPN Client !
Bitte warten ..
Mitglied: Herr-N
05.04.2018 um 21:48 Uhr
Ich versuche auf dem Android Client nur PING auf IPs, die ich auch mit meinem ubuntu Desktop anpingen kann.
Bitte warten ..
Mitglied: Spirit-of-Eli
05.04.2018 um 22:05 Uhr
Zitat von Herr-N:

Ich versuche auf dem Android Client nur PING auf IPs, die ich auch mit meinem ubuntu Desktop anpingen kann.

Das heißt ja nicht viel, befindet sich dein Ubuntu System in dem selben Subnetz wie die IPs, die du versuchst zu pingen?
Bitte warten ..
Mitglied: Herr-N
05.04.2018 um 22:09 Uhr
Zitat von aqui:
Bitte nicht alles zitieren !

War das jetzt versteckte Ironie? (Die Frage meine ich absolut ernst.) Ich probier's jetzt mal mit ein paar mehr Zitaten …

bekomme weiterhin den "ifconfig 10.8.0.6 10.8.0.5" Logfile–Eintrag beim Aufbau der VPN Verbindung.
Irgendwo her muss er das ja bekommen ! Der OVPN Server vergibt ohne Konfig immer fortlaufend...
Kannst ja spaßeshalber das interne Netz mal umbiegen auf 172.31.31.0 /24 und mal checken was er dann macht ?!

Dann bekommt der Android Client zuverlässig die IP 172.31.31.6 zugewiesen. Im Logfile steht dann "ifconfig 172.31.31.6 172.31.31.5", ansonsten ist das Verhalten praktisch identisch: alles lokale auf dem Server ist erreichbar; fremde Server im Netz jedoch nicht.


Interessant wäre die Routing Tabelle auf dem Client !!
Dort schlägt vermutlich der Gateway Redirect fehl, deshalb "kennt" er nur das VPN Netz 10.8.0.0 /24, routet also nur Pakete mit diesem Netz in den Tunnel.
Alles andere rennt dann außerhalb des Tunnels...vermutlich ?!
Um das sicher sagen zu können braucht man die Routing Tabelle des Clients bei aktivem VPN Client !

Ich habe mir mal die Termux Konsole App installiert. Wenn ich dort den Befehl route eingebe, bemomme ich folgenden Output:
In der App Network Analyzer sehe ich unter dem Menü "Information" bei den Punkten Default Gateway IP und DNS Server IP bei inaktivem VPN jeweils die IP meines lokalen Routers; wenn ich VPN aktiviere steht dort N/A!
Bitte warten ..
Mitglied: Herr-N
05.04.2018 um 23:13 Uhr
Ich habe mal die Client–Konfig auf eine VM (VirtualBox) mit ubuntu 17.04 übernommen. Wenn ich dort openvpn (von der Konsole aus) starte, verhält es sich praktisch genau so wie der Android Client.

Hier ein Screenshot, IPs meines LAN habe ich rot, die des openVPN Servers blau gestrichen:

openvpn_ubuntu17.screenshot - Klicke auf das Bild, um es zu vergrößern

Ein traceroute sieht so aus:

openvpn_ubuntu17.screenshot-traceroute - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Herr-N
05.04.2018 um 23:22 Uhr
Zitat von Spirit-of-Eli:
Das heißt ja nicht viel, befindet sich dein Ubuntu System in dem selben Subnetz wie die IPs, die du versuchst zu pingen?

Der ubuntu Rechner und das Android Smartphone sind im selben LAN.

Der Ping geht an öffentliche Server wie z. B. google.com — also nicht an IP im selben Subnetz, wenn ich Deine Frage nun richtig verstehe.
Bitte warten ..
Mitglied: Herr-N
06.04.2018 um 13:05 Uhr
Zitat von aqui:
Wenn das Pingen der OVPN Server IP schon scheitert, dann hast du ein Firewall Problem auf dem Server

Ich habe mal zum Test hier im LAN (auf meinem ubuntu Rechner) eine VM mit der gleichen Distro wie der Strato Server (debian 7) installiert. Dort habe ich OpenVPN mit der gleichen Konfiguration installiert.

Wenn ich den (Android) VPN Client mit dem VM–VPN verbinde, wird ihm auch dann die 10.8.0.6 zugewiesen. Aber: ich kann Hosts jenseits des VM–VPN Servers erreichen; also z. B. PING auf öffentliche Server (8.8.8.8 etc) funktioniert, TRACEROUTE sieht auch "normal" aus: als erster Hop erscheind die 10.8.0.1, dann die IP meines Routers, dann der Provider … und letztendlich der Ziel–Host.

Das bestätigt also den Verdacht, dass ich auf dem Strato Server ein Firewall–Problem habe. Darauf hin habe ich dessen iptables–Script testweise so weit reduziert, dass nur noch das nötigste und eben die Regeln fürs VPN drin sind: dennoch funktioniert das Routing über VPN "ins Internet" nicht, Traceroute geht immer nur bis zur 10.8.0.1.

Kann es sein, dass Strato diese Art der VPN Nutzung verhindert? Oder habe ich einen Fehler in den iptables Regeln fürs VPN?
Bitte warten ..
Mitglied: Herr-N
06.04.2018 um 15:29 Uhr
Zitat von aqui:
(…) dann hast du ein Firewall Problem auf dem Server (…)

Vielen Dank, das war der entscheidende Hinweis!

Nachdem das VPN mit der anderen VM reibungslos geklappt hat, habe ich nun die Fehlerquelle identifizieren können:
Auf dem Strato Server war eine "default policy" iptables -P FORWARD DROP eingetragen. Ändere ich diese in …ACCEPT klappt der Internet–Zugriff übers VPN einwandfrei. Ich hatte zwar gedacht, dass die der "default policy" nachfolgenden Regeln fürs VPN greifen müssten, dem war aber offensichtlich nicht so.

Nun frage ich mich allerdings, ob ich durch iptables -P FORWARD ACCEPT möglicherweise eine Sicherheitslücke aufgemacht habe. (Ja, Netzwerk ist nicht wirklich so mein Ding.) Aber das ist im Zweifelsfall ein anderes Thema.

Also noch einmal vielen Dank für Deine (/Eure) Unterstützung und Geduld, … schönes Wochenende!
Bitte warten ..
Mitglied: aqui
06.04.2018, aktualisiert um 16:03 Uhr
War das jetzt versteckte Ironie? (Die Frage meine ich absolut ernst.)
Nein, denn du hast über die Zitatfunktion hier den gesamten Text zitiert (beige eingefärbt) was extrem nervig ist beim Lesen.
Der ubuntu Rechner und das Android Smartphone sind im selben LAN.
  • Der Ubuntu Rechner hat einen Default Route auf den Internet Router und kann diesen und z.B. die 8.8.8.8 pingen ?
  • Hast du beachtet das du auf deinem Internet Router eine statische Route für das interne OVPN Netzwerk eintragen musst ? Klar, denn sonst kann der Internet Router Pakete mit der Quelladresse 10.8.0.0 /24 nicht rückrouten ! Dort muss also sowas stehen wie: Ziel: 10.8.0.0, Maske: 255.255.255.0, Gateway: <ip_adresse_ubuntu>
dass ich auf dem Strato Server ein Firewall–Problem habe
Wie vermutet !
Auf dem Starto MUSST dü übrigens NAT (Masquerading) aus dem internen VPN Netz machen da sonst die 10er IP ins Internet gehen würde und der Provider die filtert.
Im lokalen Test Setup müsste man das nicht unbedingt...ist aber hilfreicher, damit man 2 identisches Setups hat.
Nun frage ich mich allerdings, ob ich durch iptables -P FORWARD ACCEPT möglicherweise eine Sicherheitslücke aufgemacht habe.
Das kannst du ganz einfach mit dem ct Netzwerkcheck ausprobieren:
https://www.heise.de/security/dienste/Netzwerkcheck-2114.html
Ansonsten lässt du mal einen nmap Scan auf den Server los, was auch die weltweiten Angreifer alle Minute machen:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Wenn du fail2ban (hoffentlich) auf dem Server installiert hast wirst du das auch selber wissen !
Bitte warten ..
Mitglied: Herr-N
06.04.2018, aktualisiert um 16:04 Uhr
Zitat von aqui:
Nein, denn du hast über die Zitatfunktion hier den gesamten Text zitiert (beige eingefärbt) was extrem nervig ist beim Lesen.

Komisch, ich sehe das bei mir nicht. Und im Allgemeinen achte ich auch sehr darauf, keine Fullquotes einzubauen.

administrator-quote - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
06.04.2018 um 16:05 Uhr
Egal....wenn der Server jetzt zum Fliegen kommt ist doch alles paletti !
Bitte warten ..
Mitglied: Herr-N
06.04.2018 um 16:13 Uhr
Ja, bin gerade dabei, Client–Konfigs für die anderen User anzulegen.

Die anderen Sachen schaue ich mir später an. fail2ban habe ich auch auf dem Server laufen, derzeit allerdings nur jails für ssh und Mailserver aktiv.
Bitte warten ..
Mitglied: aqui
06.04.2018 um 16:15 Uhr
Wenn du dir dann mal das Log ansiehst weisst du wovon wir reden
Lesenswert dazu:
https://www.heise.de/ct/ausgabe/2015-4-Dienste-sicher-ins-Netz-bringen-2 ...
Bitte warten ..
Mitglied: Herr-N
06.04.2018 um 16:48 Uhr
Welche s Log meinst Du? Ich schaue regelmäßig in die üblichen Logfiles und habe meine Kisten bislang immer ganz gut gesichert gehabt. Zumindest ist es mir nicht bekannt, dass es in den letzten 15 Jahren mal unbefugte Zugriffe gab. Da ich mich auf der Netzwerk Ebene –zugegeben– nicht besonders gut auskenne, bin ich mit Änderungen an der FW etc. immer eher vorsichtig / skeptisch … never change a running system.

Den heise Netzwerkcheck kann ich für meinen Server leider nicht durchführen.

https:
www.ssllabs.com/ssltest/analyze.html vergibt meinem Server ein A, bei https:
observatory.mozilla.org/ gibt's wegen CSP Abzügen "nur" ein B+.

nmap auf https://pentest-tools.com/ zeigt auch nichts unerwartetes:

nmap - Klicke auf das Bild, um es zu vergrößern

Schönes WE!
Bitte warten ..
Mitglied: aqui
06.04.2018 um 18:28 Uhr
Welche s Log meinst Du?
Das fail2ban Log !
Dort kann man ja die Angriffe im Sekundentakt mitverfolgen. Ist auf Internet Routern übrigens identisch.
15 Jahren mal unbefugte Zugriffe gab.
Spricht für dich und deine Absicherung
....zeigt auch nichts unerwartetes:
Das sieht doch dann gut aus und du kannst beruhigt in ein sonniges Wochenende
Bitte warten ..
Mitglied: Herr-N
07.04.2018 um 00:14 Uhr
Zitat von aqui:
Welche s Log meinst Du?
Das fail2ban Log !
Dort kann man ja die Angriffe im Sekundentakt mitverfolgen. Ist auf Internet Routern übrigens identisch.

Ach so, … ja, auch im fail2ban.log schaue ich regelmäßig nach; schon wg der Kandidaten, die nach einer permanenten DROP Regel bitten.

Was Router anbetrifft bin ich nach fli4l (auf 486er) und openwrt inzwischen bei OPNsense angekommen und damit sehr zufrieden.


Spricht für dich und deine Absicherung

Danke fürs Kompliment. Ich bin zwar nicht immer der schnellste, dafür noch immer lernfähig. Und ich habe ein paar Prinzipien, die sich bewährt haben, wie z. B. nicht-trivial-ratbare Nutzerkennungen. So gibt es z. B. ein fail2ban jail, das alle IPs für ein paar Stunden sperrt, von denen aus ein Anmelde–Versuch am IMAP mit einer E–Mail–Adresse als Nutzerkennung erfolgt.

Hashes meiner Passwörter^H Passphrasen finden sich auch nicht in der "Pwned Passwords" (https://haveibeenpwned.com/Passwords) Datenbank … inzwischen haben sogar meine Nutzer verstanden, dass "Passwort" keines ist. https://xkcd.com/936/


....zeigt auch nichts unerwartetes:
Das sieht doch dann gut aus und du kannst beruhigt in ein sonniges Wochenende

Danke, dito.
Bitte warten ..
Mitglied: aqui
07.04.2018 um 07:57 Uhr
inzwischen bei OPNsense angekommen und damit sehr zufrieden.
Ist auch nicht falsch aber die pfSense_Variante bietet derzeit etwas mehr Stabilität und vor allem Features.
nicht-trivial-ratbare Nutzerkennungen.
Bei im Internet erreichbaren Servern sollte ,man immer wenn irgend möglich gar nicht mehr mit Passwörtern arbeiten sondern mit SSH nur noch Schlüssel verwenden:
https://www.heise.de/ct/hotline/FAQ-SSH-Secure-Shell-3939853.html
Bitte warten ..
Mitglied: Herr-N
07.04.2018 um 10:47 Uhr
OPNsense läuft bei mir absolut stabil und bietet mir auch genug Features.

Für SSH verwende ich schon lange Schlüssel. Für E–Mail wird's bis auf weiteres Benutzerkennung / PWD (über TLS) bleiben. Da finde ich es dann sehr praktisch, triviale Nutzerkennungen per fail3ban regeln zu lassen – das hält das Logfile übersichtlich.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
XG Firewall routet nicht ins Internet
Frage von 140962Router & Routing4 Kommentare

Hallo Leute, vielleicht könnt ihr mir helfen, ich denke mal ich bin nur blöd eine Einstellung richtig zu setzen. ...

Router & Routing
Häufige Port Scans - normal ?
gelöst Frage von Dilbert-MDRouter & Routing8 Kommentare

Moin zusammen, Zwecks VPN-Zugriff haben wir unser "Kabelmodem*)" quasi in einen Bridge Modus gesetzt so dass der Internetverkehr von ...

Drucker und Scanner
Massendruck Duplex oder Normal
Frage von HerQQlessDrucker und Scanner6 Kommentare

Hallo Liebe Community, Ich habe momentan ein Problem mit einem Massendruck, der einfach nur weitergibt "Die Seite ist Duplex" ...

Windows Server
Remotedesktop verbindet sich nicht
Frage von specialuserWindows Server11 Kommentare

Servus, seit gestern haben wir Probleme mit der Remotedesktopverbindung komischerweise aber nur bei 2 Usern. Auf dem Terminalserver passen ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 2 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 3 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 3 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 4 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Netzwerke
Instagram Fake Account
Frage von NurangnNetzwerke18 Kommentare

Hey Leute, Ich bin neu hier und hätte eine Frage. Und zwar werden mein Freund und ich von Mehreren ...

Hyper-V
HyperV Cluster nachträglich in neue Domäne einbinden - Fehler Livemigration
Frage von bierzapferHyper-V14 Kommentare

Hallo zusammen, wir haben einen neuen HyperV Cluster implementiert und die produktive Gesamtstruktur inkl. produktiver Domäne auf neue Win2019 ...

Server-Hardware
Verkaufe mein HomeLab - Hat jemand Interesse?
Frage von BirdyBServer-Hardware13 Kommentare

Hallo miteinander, auf Grund eines bald bevorstehenden Umzugs, chronischer Nichtnutzung und des sehr eingeschränkten FAF (Frauen-Akzeptanz-Faktors) möchte ich mein ...

Erkennung und -Abwehr
Außenstehenden (Fremden) Remote Zugriff via VM erlauben
gelöst Frage von Cyphy98Erkennung und -Abwehr11 Kommentare

Moin Liebe Community Schlagt mich nicht falls ich was falsch mache, ist mein erster Beitrag hier 🤪. Aber zum ...