fail2ban und OpenVPN, macht das Sinn?

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo,

    nachdem nun OPenVPn auf dem Raspi hinter meiner Fritzbox läuft stellt sich die Frage ob es Sinn macht fail2ban noch zu insdtallieren.

    Auf den Raspi sollte eh keiner kommen außer über Port 1194 den ich auf den Raspi geroutet habe.

    Gibts da andere Meinungen dazu?

    Grüße

    Tiberius

  • nachdem nun OPenVPn auf dem Raspi hinter meiner Fritzbox läuft stellt sich die Frage ob es Sinn macht fail2ban noch zu insdtallieren.

    Auf den Raspi sollte eh keiner kommen außer über Port 1194 den ich auf den Raspi geroutet habe.

    Gibts da andere Meinungen dazu?

    Du brauchst kein fail2ban wegen dem UDP-Port 1194. Benutzt Du ta.key?

    EDIT:

    BTW: Wenn Du willst und wenn Du es in deinem Smartphone konfigurieren kannst, kannst Du auch einen anderen als den standard-Port 1194, verwenden.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hi,

    mir geht es jetzt nicht um den Port 1194, den kann ich umlegen wenn ich will. Mir gehts einfach nur darum, den Raspi dicht zu haben, dass sich sonst keiner dran macht per SSH auf die Kiste zu kommen.

    Mein anderes System dass von außen erreichbar war per Webmin hatte immerzu portscanns und versuche rein zu kommen per Login und PW.

  • mir geht es jetzt nicht um den Port 1194, den kann ich umlegen wenn ich will. Mir gehts einfach nur darum, den Raspi dicht zu haben, dass sich sonst keiner dran macht per SSH auf die Kiste zu kommen.

    Wenn Du keine Portweiterleitung auf den lauschenden Port des sshd hast, dann kann auch keiner per ssh auf deinen PI kommen. Betr. OpenVPN:

    EDIT:

    Die Portscans werden nur deinen Router erreichen und nicht deinen PI.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Das mit der HMAC firewall hab ich ja noch als Option:)

    Und den sshd kannst Du ja aus dem Internet _via VPN_, auf der internen IP-Adresse erreichen, so dass eine TCP-Portweiterleitung im Router nicht erforderlich ist. Dann hast Du eine Absicherung mit "Hosenträger und Gürtel". ;)

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (3. August 2018 um 11:30)

  • Benutzt Du ta.key?

    Funktioniert das auch auf Android-Phones? Ich habs mal auf meinem S8 probiert und dieses tls-auth-Statement unter "eigene Optionen" eingetragen.... und ich krieg jedesmal einen "Permissions"-Fehler für den ta.key.

  • .... und ich krieg jedesmal einen "Permissions"-Fehler für den ta.key.

    Auch dann wenn nur root lesen und schreiben darf (chmod 600)?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Auch dann wenn nur root lesen und schreiben darf (chmod 600)?

    Gute Frage... ich hoffe, Du hilft dabei, ne Antwort zu finden... ;)

    Ich habe gerade 2 Versuche durchgeführt... Nr. 1 funktioniert:

    Code
    VPN-Client  ->   Accesspoint(Thethering)  ->  VPN-Server
    Laptop           S8                           RPi

    Die HMac-Firewall ist im VPN-Log als aktiv zu erkennen. Test Nr. 2 funktioniert nicht:

    Code
    VPN-Client  ->   VPN-Server
    S8               RPi

    Und hier krieg ich im VPN-Log des S8 den Permissionsfehler.... OpenVPN bricht den Verbindungsaufbau ab. Zum Testen hatte ich die ta.key einfach in das Download-Dir kopiert und manuell im VPN-Profil unter "Erweitert->eigene Optionen" das Statement nachgetragen.... möglicherweise ist das der Fehler... aber ich finde auch keine HMAC-Option, mit der man ein File auswählen kann... wie bei den Certs/Keys.... hast Du eine Idee?

    Code
    tls-auth / /storage/emulatod/0/Download/ta.key

    BTW, das S8 ist nicht gerootet.... die Rechte der ta.key stehen auf RW:RW, root:alle

    Einmal editiert, zuletzt von WinterUnit16246 (3. August 2018 um 11:57)

  • Habs hingekriegt... da scheint wohl ein Implementierungsproblem in der Android-App vorzuliegen.

    - mit tls-auth-Statement und Angabe des keyfiles funktioniert es auf dem S8 nicht.

    - den Key inline mt XML-Tags und ausdrücklicher key-direction-Direktive eingetragen gehts.

    Trotzdem Danke für den Tip... :thumbup:

  • Fail2Ban macht IMHO immer Sinn, alleine schon um lästige "Versucher" auszusperren.

    Bei mir wird alles via Fail2Ban geblockt was zum dritten mal einen Fehler erzeugt, SSH, ownCloud, http,ftp, Openvpn etc.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Fail2Ban macht IMHO immer Sinn, ...

    BTW: Ich benutze Fail2Ban nicht, weil durch die Benutzung von Fail2Ban auf den Datenträger geschrieben werden muss.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • BTW: Ich benutze Fail2Ban nicht, weil durch die Benutzung von Fail2Ban auf den Datenträger geschrieben werden muss.

    Wenn du nicht willst das auf den Datenträger geschrieben wird, linke zu einem ramdrive.

    Ich nehme an das machst du mit den Syslogs ähnlich.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • ..., linke zu einem ramdrive.

    Ich nehme an das machst du mit den Syslogs ähnlich.

    Ja, ramdrive wäre eine Möglichkeit. Ist für meine Anwendungen aber unverhältnismäßig, da ich andere Möglichkeiten zum aussperren benutze.

    Das Loggen (Syslog & Co) ist auf meinen PI's deaktiviert (... sofort nach dem der PI entsprechend konfiguriert ist und zu meiner Zufriedenheit läuft).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Das macht ja nur Sinn, wenn man Logins per Benutzerdaten (Benutzername + Passwort) verwendet. Ich nutze mein OpenVPN allerdings nur mit Zertifikaten (für jedes Gerät eins) ohne Benutzerdaten. Da macht Fail2ban nicht wirklich Sinn.

    Man kann sicher über Sinn oder Unsinn streiten.

    Ich bin etwas paranoid und nutze jede zur Verfügung gestellte Möglichkeit meinen Server abzusichern.

    In deinem Fall hilft Fail2ban ein Abklopfen auf Sicherheitslücken zu erschweren.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Jetzt kann ich dir gerade nicht folgen. Wie kann denn f2b ein "Abklopfen auf Sicherheitslücken" erschweren?? f2b prüft doch nur die Kombination von Benutzernamen und Kennwort auf Korrektheit. Und genau das nutze ich ja gar nicht für mein VPN.

    Fail2Ban prüft nicht die Benutzernamen sondern die Einträge in den Logs.

    Wenn man die Filter jetzt entsprechend anpasst reagiert F2B auch auf z.B. Meldungen dass der "Login mit Username/Passwort nicht unterstützt wird."

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Fail2Ban prüft nicht die Benutzernamen sondern die Einträge in den Logs.

    Wenn man die Filter jetzt entsprechend anpasst reagiert F2B auch auf z.B. Meldungen dass der "Login mit Username/Passwort nicht unterstützt wird."

    Das stimmt natürlich. Aber in meinem Fall mit OpenVPN trotzdem relativ sinnlos. Rein kommt nur, wer ein gültiges Zertifikat hat.

    Aber von der VPN Geschichte mal ganz abgesehen, läuft f2b bei mir ja auch. Ich hab ja noch andere Ports offen...

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!