OpenVPN - Wozu brauch ich das? Wie geht das?

  • Moin


    Als ich irgendwann vor längerer Zeit meinen Firewall-Artikel in den Planung hatte, lange bevor ich damit überhaupt angefangen bin, wusste ich zu der Zeit schon, dass das irgendwann eine Fortsetzung braucht... einen Teil 2. Auch wenn das gar nicht direkt im Zusammenhang steht, so betrachte ich die beiden Artikel ganz unsachlich dennoch zusammengehörend als Sicherung der digitalen Privatsphäre, Teil 1 und 2. Deswegen nehme ich noch einmal Bezug auf den früheren Artikel.


    Ich habe heute meinen Artikel zum Thema OpenVPN online gestellt.... und fühl mich dabei unwohl, wie selten zuvor. Eigentlich hatte ich immer den Gedanken "ach, das ist doch easy" im Kopf. Und jetzt bei dem Versuch, das einmal umfassend und nicht nur für Profis reproduzierbar zu beschreiben, habe ich gemerkt, wie anspruchsvoll das doch in Wirklichkeit ist. Und weil es das ist, kann man irgendwann kaum noch gewährleisten, nicht doch an einer oder zwei Stellen unfreiwillig 'nen Bock geschossen zu haben. Natürlich hoffe ich, dass es nicht mehr sind, oder das ich sowieso daneben geschossen habe... aber man weiss ja nie. Auf einem Test-PI konnte ich OpenVPN dem Leitfaden folgend problemlos in Betrieb nehmen.Ich würde mich aber trotzdem darüber freuen, wenn jemand den toten Bock findet und mich drauf hinweist....


    http://www.thlu.de/openvpn.html

  • Ich habe gerade selber noch einen echten Bock festgestellt... das mit der Datei "vars".... und die Macht der Gewohntheit... ich hätts nur aufmerksam lesen müssen. BTW "Bockkäfer" nennt man auch Holzbock.... :)

  • Eigentlich hatte ich immer den Gedanken "ach, das ist doch easy" im Kopf. Und jetzt bei dem Versuch, das einmal umfassend und nicht nur für Profis reproduzierbar zu beschreiben, habe ich gemerkt, wie anspruchsvoll das doch in Wirklichkeit ist.

    Ich habe zwar nur bis zur Einrichtung gelesen und den Rest nur noch überflogen (auch weil ich nicht vorhabe OpenVPN zu nutzen), würde aber sagen einfach ist es für den durchschnittlichen Benutzer nicht. Wenn man sich im Netzwerk Thema gut auskennt, mag das anders sein. Zumindest für mich gibt es zu viele Stellen wo ich nicht wüsste, was ich da mache, bzw. es nicht genau verstehe. Wie du auch geschrieben hast, dann lieber sein lassen. Dank deines Artikels habe ich nun diesen Erkenntnisgewinn.

  • Zumindest für mich gibt es zu viele Stellen wo ich nicht wüsste, was ich da mache, bzw. es nicht genau verstehe

    Das ist genau das Problem bei dem Thema.... was mich dann auch ein wenig ratlos zurücklässt... ich weiss nämlich auch nicht, wie man damit umgehen soll. Die Alternative sind die typischen 75-Zeilen-HowTo's, die man in unendlicher Zahl im Web findtet... die kopiert man sich -wie malen nach zahlen- auf seinen Rechner, fragt allenfalls in nem Forum, wie man mit "der Fehlermeldung" umgeht, wenn's nicht funktioniert, trägt irgendeinen fremden Hinweis in seine Conf ein und ist zufrieden, wenn es dann funktioniert... ohne auch nur die Zusammenhänge auf selbst einfachster Ebene zu verstehen.


    Das ist so, als wenn ein 16-jähriger im Quick-Start-Guide liest "Schlüssel rein, nach rechts drehen, bis es brummt, dann Schalthebel auf 'D' stellen und mit dem rechten Fuss aufs Pedal treten, dann fährt das Auto." Und er fährt los. Wenn was passiert, ist das Geschrei natürlich gross, denn so etwas wird keinefalls akzeptiert. Aber spannenderweise hat niemand ein Problem damit, wenn ein Rechner als Werkzeug der Cyberkriminalität 'entführt' wird und wenn dann damit ebenso großer gesellschaftlicher Schaden ausgelöst wird. Wurde der Rechner gekapert, sind natürlich die bösen anderen Schuld. Aber es sind NICHT die anderen Schuld, wenn der gekaperte Rechner als Teil eines Botnets [1] millionen anderen Usern Schaden zufügt. Schuld ist der, der mit gewissenloser Gleichgültigkeit und Fahrlässigkeit zugelassen hat, dass andere die Kontrolle über seinen Rechner ausüben, weil er sich ohne jegliche Kenntnis hinters "Steuer" gesetzt hat und sich für so schlau hält, mit einem 75-Zeilen-HowTo etwas so komplexes wie ein Auto oder ein exponiertes Netzwerk sicher bedienen und auch schützen zu können. Aber in Wirklichkeit kann er beides nicht.


    Ratlos bin ich, weil man das sowieso nicht ändern kann. Ich versuche deshalb nur denen ein Angebot zu machen, die sich Gedanken machen und die solche Arbeiten mit Sorgfalt und Sachverstand tun wollen, damit sie im Anschluss dann sicher sind, dass keine fremden Menschen die wichtigen Entscheidungen für den eigenen PC treffen... soweit man überhaupt sicher sein kann.


    [1] https://de.wikipedia.org/wiki/…Gr%C3%B6%C3%9Fte_Botnetze

    Edited once, last by WinterUnit16246 ().

  • Vermutlich braucht man gute oder sehr gute Netzwerkgrundlagen um überhaupt komplexe Themen wie OpenVPN oder Firewall angehen zu können. Ich behaupte mal das der durchschnittliche Computerbenutzer und somit die grosse Mehrheit, gar nicht in der Lage dazu wären, oder den Aufwand zu lernen scheuen würden. Unschön ist, das man mit Unwissenheit auch Kontrolle abgibt. Schön wäre natürlich, wenn Internetsicherheit und Privatsphäre insgesamt einfacher zu erreichen wären, oder eben einfach Standard.

  • :thumbup:


    Und jetzt projiziere mal Dein Fazit auf die im Forum immer wiederkehrende Frage: "Ich bin Linux-Anfänger und habe mir jetzt einen Raspi bestellt, um mir ein NAS (oder eine Cloud) zu bauen....wie kann ich von unterwegs auf meine Home-Automation (oder auch auf meine Kalender und Kontakte) zugreifen?"


    Tja... da kann man nur ratlos aus der Wäsche gucken. Und mal ehrlich... ich gestehe, dass ich mir darüber früher auch keine Gedanken gemacht habe. Allerdings habe ich mein Netzwerk seit jeher abgedichtet.... unter Windows allerdings ohne erklären zu können, warum überhaupt.... lediglich aus nem Bauchgefühl heraus. OpenVPN verwende ich bestimmt seit über 10 Jahren. Aber erst jetzt mit Linux, der langen Lernphase und der Beschäftigung damit, was uns unsere Regierung mit der digitalen Entmündigung und auch die Cyber-Kriminalität antut, verstehe ich ein paar Zusammenhänge.... und ich könnt <X

  • Schön wäre natürlich, wenn Internetsicherheit und Privatsphäre insgesamt einfacher zu erreichen wären, oder eben einfach Standard.

    Das ist auf jeden Fall ne Illusion....


    Was mal ganz interessant ist... meine tägliche Auswertung jeweils der letzten 5 Tage... abgewiesene Kontaktversuche auf Port 443:.... sortiert, um die Hartnäckigkeit einer IP zu erkennen.... wer negativ auffällt, wandert in meinen persistenten Filter (Blacklist).


    Ich habe nicht geprüft, wer das alles ist, interessiert mich auch nicht.. kann also alles mögliche sein. Hab jetzt gerade mal nach 62.32.81.83 geguckt... irgendwelche Russen *lol* na denn.....

    Edited once, last by WinterUnit16246 ().

  • aber hast Du davon nicht zufällig auch eine .pdf Version?

    Ich habs gerade mal versucht, es als PDF zu exportieren... nee, das haut leider nicht hin. Das ist anders als der Mailserver formatiert, der von vornherein seitenweise konzipiert war. Der OpenVPN-Text war als Web-Seite konzipiert, also endlos. Und der Versuch es jetzt in ein Seiten-Layout zu bringen war ein totaler Fehlschlag. Das ist total zerfleddert. Die Idee find ich auch gut, nur habe ich im Moment keine Idee, wie das ohne richtig viel Arbeit zu bewerkstelligen wäre.... und vor allem, ohne hinterher 2 Versionen pflegen zu müssen.


    :conf:

  • Moin @ all


    Nachtrag.....


    ... leider hat es mangels freier Zeit für mich jetzt etwas gedauert, bis ich prüfen konnte, ob es mit der von mir verwendeten aktuellen OpenVPN-Version zusammen mit der ebenfalls aktuellen Version EasyRSA zur Generierung der Schlüssel vielleicht Probleme mit OpenVPN für Android gibt. Jetzt konnte ich es bestätigen, es funktioniert unverändert gut, ohne jegliche Probleme. Ich habe meine OpenVPN-Seite nun auch mit der Beschreibung zur Einrichtung eines Android-Smartphones vervollständigt und betrachte den Artikel damit als "fertig".


    Wenn jemand drüberschaut und findet einen Fehler, freue ich mich sehr über einen Hinweis.... :conf: ... ist halt nicht einfach, alles im Blick zu haben....

  • Guten Morgen,


    mich interessiert dieses Thema sehr, da ich häufig von extern auf mein Heimnetzwerk zugreife.

    Ich bin mir nur nicht sicher was für mich besser ist, diese o. g. Variante oder die die ich momentan nutze.

    Habe eine VPN Verbindung momentan über mein Unify Security Gateway realisiert. Habe in dem Beitrag gelesen, dass die

    Fritzbox nicht so 100% sicher ist. Wie verhält sich das über das USG? ist dort die Open VPN Methode sicherer oder

    gibt es dort keinen Unterschied? Vielen Dank für eure Hilfe,

  • Hallo, hier sind ja offensichtlich die VPN Profis am Werk.


    Ich hätte da mal ein Problem, und zwar habe ich als Provider UnityMedia, bzw. jetzt Vodafone NRW.

    Auf einem Raspberry habe ich einen VPN Server aufgesetzt, PiVPN, nach Anleitung im Netz, funktioniert auch.

    Jetzt habe ich von Vodafone eine Nachricht bekommen, das :


    "Wir konnten in den letzten Tagen feststellen, dass ein von Ihnen verwendetes internetfähiges Endgerät ein Sicherheitsproblem darstellt. Auf Ihrem Endgerät ist ein offener SNMP Dienst aktiv."


    "Um die Netzinfrastruktur von Vodafone und Dritten zu schützen, haben wir den Port 161/UDP eingehend auf Ihrem Kabelmodem temporär gesperrt um die Sicherheitslücke die durch Ihr Endgerät verursacht wird zu schließen. Für Ihre Geräte in Ihrem lokalen Netz (LAN) und Ihrem Internetzugang ändert sich dadurch nichts. Das Problem ist damit jedoch nicht gelöst"


    Also ich frag jetzt mal einfach so, ohne auf meine Konfiguration einzugehen, die kann ich bei bedarf nachreichen, in die Runde, was hab ich da falsch gemacht?

    Danke


    Thomas

  • Hast du denn dein VPN über den Port 161 laufen? Das ist offiziell der SNMP Port, und bei deinem Provider schlägt da wahrscheinlich eine Heuristik an. Lass das über einen unkritischen, hohen Port laufen.

  • Jetzt habe ich von Vodafone eine Nachricht bekommen, das :


    "Wir konnten in den letzten Tagen feststellen, dass ein von Ihnen verwendetes internetfähiges Endgerät ein Sicherheitsproblem darstellt. Auf Ihrem Endgerät ist ein offener SNMP Dienst aktiv."

    Welches Kabelmodem/Router/etc. und welchen Tarif hast Du bei UM/VF?


    Hast Du evtl. ein Endgerät als "Exposed Host" laufen oder welche Portweiterleitungen hast Du konfiguriert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden