Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Openvpn Server für Enigma2 - Anleitung

OP
Osprey

Osprey

Moderator
Teammitglied
Registriert
30. Dezember 2011
Beiträge
14.615
Lösungen
3
Punkte Reaktionen
15.141
Erfolgspunkte
1.093
Ort
Im wilden Süden
Der Port passt schon. Du musst die Client config ändern die Zeile die mit remote anfängt und dort die ip eintragen sonst geht das nicht.
Ich werde heute Abend nach der Arbeit alles löschen und nochmal von vorne anfangen.
Warum? Du hast doch alles richtig gemacht.
 

astala1

Newbie
Registriert
17. Januar 2011
Beiträge
20
Punkte Reaktionen
3
Erfolgspunkte
23
hatte so einiges ausprobiert und es könnte gut möglich sein
daß ich dabei was anderes verstellt habe.
 
Zuletzt bearbeitet von einem Moderator:
OP
Osprey

Osprey

Moderator
Teammitglied
Registriert
30. Dezember 2011
Beiträge
14.615
Lösungen
3
Punkte Reaktionen
15.141
Erfolgspunkte
1.093
Ort
Im wilden Süden
Laut deinem Screenshot stimmt nur die ip in der remote Zeile nicht, da hast du deine noch nicht eingetragen.
Habe den ersten Beitrag bearbeitet damit es nicht zu Missverständnis kommt.
In der Zeile remote 111.222.333.444 45839 schreibt ihr eure ip oder dyndns rein. Bsp.: remote dghfhvh.myfritz.net 45839
 
Zuletzt bearbeitet:

el_malto

Ist gelegentlich hier
Registriert
15. September 2017
Beiträge
31
Punkte Reaktionen
17
Erfolgspunkte
28
Hi Osprey,
ich hab's nicht ans laufen bekomme und muss leider aufgeben :(:cry:.
Keine Ahnung was ich falsch mache!
Mach mal den Haken bei "Selbstständige Portfreigebe raus. Das kann unter Umständen böse sein.

@Osprey ich habe mich bisher mit openvpn noch nie beschäftigt, weil ich es einfach über meine FritzBox mache.
Wie läuft das hier? Es werden ja die Zertifikate und Keys mit installiert und sind bei dir im "Client" Ordner auch schon drin. Es muss ja lediglich die DynDNS eingetragen werden. Werden beim Verbinden neue Zertifikate und KEys generiert/erstellt? Oder sehe ich es richtig, dass wenn jemand die öffentliche IP oder DynDNS von jemanden hat der dein "Paket" installiert hat, er mit diesem Paket ganz einfach zu ihm verbinden kann? Oder wie läuft die Authentifizierung ab?
 
OP
Osprey

Osprey

Moderator
Teammitglied
Registriert
30. Dezember 2011
Beiträge
14.615
Lösungen
3
Punkte Reaktionen
15.141
Erfolgspunkte
1.093
Ort
Im wilden Süden
weil ich es einfach über meine FritzBox mache.
Wie läuft das hier?
Das läuft ähnlich wie bei der Fritzbox nur schneller und du brauchst keine Fritzbox, sondern es geht mit jedem Router der UDP Ports weiterleiten kann.
Oder sehe ich es richtig, dass wenn jemand die öffentliche IP oder DynDNS von jemanden hat der dein "Paket" installiert hat, er mit diesem Paket ganz einfach zu ihm verbinden kann?
Ja das siehst du richtig, die Gefahr ist da.
Den UDP Port kannst du aber in der Musterconfig die installiert wird nach deinen Wünschen ändern (das geht bei dem VPN der Fritzbox nicht). Ein Angreifer müßte
- deine ip kennen
- 65536 UDP Ports scannen mit den richtigen openvpn Zertifikaten ohne eine Rückmeldung zu bekommen weil UDP nicht antwortet
und dazu noch die Passwörter in deinem Netzwerk alle kennen.
Wie hoch schätzt du die Wahrscheinlichkeit das jemand soviel Zeit einsetzt um auf dein E2 Receiver zu kommen?
Denke Gefährlich ist es wenn man SSH, FTP, HTTP Ports offen hat.
 

el_malto

Ist gelegentlich hier
Registriert
15. September 2017
Beiträge
31
Punkte Reaktionen
17
Erfolgspunkte
28
Das läuft ähnlich wie bei der Fritzbox nur schneller und du brauchst keine Fritzbox, sondern es geht mit jedem Router der UDP Ports weiterleiten kann.
Das war mit bewusst. Wollte damit nur zeigen, dass ich nicht weißt wie das mit den Zertifikaten und Keys läuft, ob die neu generiert werden.
Ja das siehst du richtig, die Gefahr ist da.
Den UDP Port kannst du aber in der Musterconfig die installiert wird nach deinen Wünschen ändern (das geht bei dem VPN der Fritzbox nicht). Ein Angreifer müßte
- deine ip kennen
- 65536 UDP Ports scannen mit den richtigen openvpn Zertifikaten ohne eine Rückmeldung zu bekommen weil UDP nicht antwortet
und dazu noch die Passwörter in deinem Netzwerk alle kennen.
Ok, dann ist es für mich ein absolutes No-Go! Also nicht falsch verstehen, ich schätze die Arbeit die Leute in etwas hinein stecken und kostenlos zur Verfügung stellen.
Wäre aber evtl. einen Hinweis wert.
Viele User haben auch nicht mal Passwörter vergeben weil die alles "Netz intern" nutzen.
Wie hoch schätzt du die Wahrscheinlichkeit das jemand soviel Zeit einsetzt um auf dein E2 Receiver zu kommen?
Ich will den Teufel nicht an die Wand malen, aber ich sehe das schon sehr kritisch. Wenn man schon eine sichere Verbindung über VPN herstellen möchte aber dann so einen "leichtsinnigen Fehler" bei der Authentifizierung macht, bringt das doch ehrlich gesagt nichts.
Viele User kennen sich nicht wirklich aus und benutzen das ohne irgendwelche Änderungen vorzunehmen. Wenn dann bei Fragen auch noch unbeabsichtigt die DynDNS gepostet wird, ist der Drops gelutscht.
Gutes Beispiel ist ja hier im Thread schon zu sehen:
remote y1xxxg.sxxs.xu 45839
Lösche mal bitte die Adresse aus #16
Davon abgesehen können Admins (vielleicht auch Mods) die IPs der User sehen, ich denke wenn das jetzt mal ein Admin testet, wird er mindestens zu einen User hier connecten können (davon abgesehen glaube ich, dass die Admins hier verantwortungsbewusst damit umgehen). Ebenso wird das Skript von (d)einen (?) Server geladen. Da reicht ein log und (du?) der Serverbesitzer hat die IP. Viele Provider haben auch keine Zwangstrennung mehr und somit ist die IP lange gültig um viel Schaden anrichten zu können.
Um es mal noch weiter zu spinnen. Viele User haben ihre NAS gemountet. Ich will ich mir nicht ausmalen wie viele User irgendwelche Passwörter in Klartext in Dateien gespeichert haben und sicherlich auch viele sehr private Dateien auf der NAS haben. Mit Zugangsdaten von anderen Platformen oder Banking Seiten wäre das ein ideales Eingangstor und erst die Spitze des Eisbergs.
Man sieht immer wieder das random auf IPs und Ports gescannt wird. Täglich versuchen irgendwelche IPs auf offene Ports zu connecten.
Denke Gefährlich ist es wenn man SSH, FTP, HTTP Ports offen hat.
Bei OpenATV hat man über das OpenWebIF sogar Zugriff auf die console.

Wie gesagt, ich kenne mich mit der openvpn Materie nicht aus. Es wäre aber bestimmt sehr sinnvoll wenn du die Anleitung vielleicht erweiterst wie man seine eigene Zertifikate und Keys erstellt. Dann wäre es auch wirklich eine sichere Lösung.
Verwunderlich, oder vielleicht auch eher erschreckend, finde ich, dass es seit 2017 bei 16K Aufrufen und 95 Antworten wohl bisher keinen anderen "aufgefallen" ist. Da sieht man auch wieder das sich viele keine Gedanken machen und einfach nur "anwenden".

Wie gesagt, ich schätze die Arbeit anderer. Das soll nur eine "positive Kritik" sein.
 
Zuletzt bearbeitet:

astala1

Newbie
Registriert
17. Januar 2011
Beiträge
20
Punkte Reaktionen
3
Erfolgspunkte
23
Laut deinem Screenshot stimmt nur die ip in der remote Zeile nicht, da hast du deine noch nicht eingetragen.
Habe den ersten Beitrag bearbeitet damit es nicht zu Missverständnis kommt.
ip in der remote Zeile habe ich geändert,aber es läuft trotzdem nicht.


2021-01-13 03:13:09 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2021-01-13 03:13:09 --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)
Options error: --cert fails with 'enigma2.crt': No such file or directory (errno=2)
2021-01-13 03:13:09 WARNING: cannot stat file 'enigma2.key': No such file or directory (errno=2)
Options error: --key fails with 'enigma2.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
 

Anhänge

  • Bild_1.PNG
    Bild_1.PNG
    100,1 KB · Aufrufe: 18
  • Bild_2.PNG
    Bild_2.PNG
    101,4 KB · Aufrufe: 19
  • Bild_3.PNG
    Bild_3.PNG
    117,1 KB · Aufrufe: 18
  • Bild_4.PNG
    Bild_4.PNG
    67,4 KB · Aufrufe: 18
Zuletzt bearbeitet:
OP
Osprey

Osprey

Moderator
Teammitglied
Registriert
30. Dezember 2011
Beiträge
14.615
Lösungen
3
Punkte Reaktionen
15.141
Erfolgspunkte
1.093
Ort
Im wilden Süden
Hi,

jetzt hast du die interne ip eingetragen, das geht auch nicht. Du musst die externe ip eintragen. In deinem Beitrag #88 die ip die du unkenntbar gemacht hast die kannst du eintragen.
Wäre aber evtl. einen Hinweis wert.
Danke für den Hinweis, habe das im ersten Beitrag ergänzt.
 

el_malto

Ist gelegentlich hier
Registriert
15. September 2017
Beiträge
31
Punkte Reaktionen
17
Erfolgspunkte
28
Kann zwar keinen Hinweis finden, aber die Leute müssen ja selbst entscheiden was sie sich installieren.
 
Zuletzt bearbeitet von einem Moderator:

astala1

Newbie
Registriert
17. Januar 2011
Beiträge
20
Punkte Reaktionen
3
Erfolgspunkte
23
Hi,

jetzt hast du die interne ip eingetragen, das geht auch nicht. Du musst die externe ip eintragen. In deinem Beitrag #88 die ip die du unkenntbar gemacht hast die kannst du eintragen.

Danke für den Hinweis, habe das im ersten Beitrag ergänzt.
Hi Osprey ,
es ist die MAC Adresse die ich im Beitrag #88 unkenntbar gemacht habe.
wo finde ich die externe ip die ich eintragen muss.
Gruß
 

astala1

Newbie
Registriert
17. Januar 2011
Beiträge
20
Punkte Reaktionen
3
Erfolgspunkte
23
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!


da wird dir die externe ip angezeigt
externe ip eingetragen und es läuft trotzdem nicht !man man man
2021-01-13 23:14:30 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2021-01-13 23:14:30 --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)
Options error: --cert fails with 'enigma2.crt': No such file or directory (errno=2)
2021-01-13 23:14:30 WARNING: cannot stat file 'enigma2.key': No such file or directory (errno=2)
Options error: --key fails with 'enigma2.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
 

Anhänge

  • Bild_2.PNG
    Bild_2.PNG
    25,5 KB · Aufrufe: 12
  • Bild_3.PNG
    Bild_3.PNG
    42,6 KB · Aufrufe: 12
  • Bild_4.PNG
    Bild_4.PNG
    59,4 KB · Aufrufe: 12
  • Bild_5.PNG
    Bild_5.PNG
    96,9 KB · Aufrufe: 11
  • Bild_1.PNG
    Bild_1.PNG
    17,7 KB · Aufrufe: 11
OP
Osprey

Osprey

Moderator
Teammitglied
Registriert
30. Dezember 2011
Beiträge
14.615
Lösungen
3
Punkte Reaktionen
15.141
Erfolgspunkte
1.093
Ort
Im wilden Süden
Options error: --ca fails with 'ca.crt': No such file or directory (errno=2)
Options error: --cert fails with 'enigma2.crt': No such file or directory (errno=2)
2021-01-13 23:14:30 WARNING: cannot stat file 'enigma2.key': No such file or directory (errno=2)
Da werden die 3 (ca.crt, enigma2.crt, enigma2.key) Dateien nicht gefunden. Sind die im gleichen Ordner wie die enigma2.ovpn?
 
Oben