Das läuft ähnlich wie bei der Fritzbox nur schneller und du brauchst keine Fritzbox, sondern es geht mit jedem Router der UDP Ports weiterleiten kann.
Das war mit bewusst. Wollte damit nur zeigen, dass ich nicht weißt wie das mit den Zertifikaten und Keys läuft, ob die neu generiert werden.
Ja das siehst du richtig, die Gefahr ist da.
Den UDP Port kannst du aber in der Musterconfig die installiert wird nach deinen Wünschen ändern (das geht bei dem VPN der Fritzbox nicht). Ein Angreifer müßte
- deine ip kennen
- 65536 UDP Ports scannen mit den richtigen openvpn Zertifikaten ohne eine Rückmeldung zu bekommen weil UDP nicht antwortet
und dazu noch die Passwörter in deinem Netzwerk alle kennen.
Ok, dann ist es für mich ein absolutes No-Go! Also nicht falsch verstehen, ich schätze die Arbeit die Leute in etwas hinein stecken und kostenlos zur Verfügung stellen.
Wäre aber evtl. einen Hinweis wert.
Viele User haben auch nicht mal Passwörter vergeben weil die alles "Netz intern" nutzen.
Wie hoch schätzt du die Wahrscheinlichkeit das jemand soviel Zeit einsetzt um auf dein E2 Receiver zu kommen?
Ich will den Teufel nicht an die Wand malen, aber ich sehe das schon sehr kritisch. Wenn man schon eine sichere Verbindung über VPN herstellen möchte aber dann so einen "leichtsinnigen Fehler" bei der Authentifizierung macht, bringt das doch ehrlich gesagt nichts.
Viele User kennen sich nicht wirklich aus und benutzen das ohne irgendwelche Änderungen vorzunehmen. Wenn dann bei Fragen auch noch unbeabsichtigt die DynDNS gepostet wird, ist der Drops gelutscht.
Gutes Beispiel ist ja hier im Thread schon zu sehen:
remote y1xxxg.sxxs.xu 45839
Lösche mal bitte die Adresse aus #16
Davon abgesehen können Admins (vielleicht auch Mods) die IPs der User sehen, ich denke wenn das jetzt mal ein Admin testet, wird er mindestens zu einen User hier connecten können (davon abgesehen glaube ich, dass die Admins hier verantwortungsbewusst damit umgehen). Ebenso wird das Skript von (d)einen (?) Server geladen. Da reicht ein log und (du?) der Serverbesitzer hat die IP. Viele Provider haben auch keine Zwangstrennung mehr und somit ist die IP lange gültig um viel Schaden anrichten zu können.
Um es mal noch weiter zu spinnen. Viele User haben ihre
NAS gemountet. Ich will ich mir nicht ausmalen wie viele User irgendwelche Passwörter in Klartext in Dateien gespeichert haben und sicherlich auch viele sehr private Dateien auf der
NAS haben. Mit Zugangsdaten von anderen Platformen oder Banking Seiten wäre das ein ideales Eingangstor und erst die Spitze des Eisbergs.
Man sieht immer wieder das random auf IPs und Ports gescannt wird. Täglich versuchen irgendwelche IPs auf offene Ports zu connecten.
Denke Gefährlich ist es wenn man SSH, FTP, HTTP Ports offen hat.
Bei OpenATV hat man über das OpenWebIF sogar Zugriff auf die console.
Wie gesagt, ich kenne mich mit der openvpn Materie nicht aus. Es wäre aber bestimmt sehr sinnvoll wenn du die Anleitung vielleicht erweiterst wie man seine eigene Zertifikate und Keys erstellt. Dann wäre es auch wirklich eine sichere Lösung.
Verwunderlich, oder vielleicht auch eher erschreckend, finde ich, dass es seit 2017 bei 16K Aufrufen und 95 Antworten wohl bisher keinen anderen "aufgefallen" ist. Da sieht man auch wieder das sich viele keine Gedanken machen und einfach nur "anwenden".
Wie gesagt, ich schätze die Arbeit anderer. Das soll nur eine "positive Kritik" sein.