Sicheres CS über ano VPN ???

[allonso]

AW: Sicheres CS über ano VPN ???

ich habe sowas drinn ob richtig ist ???
kannst eine gute einstellung zeigen ?
danke

# Generated by iptables-save v1.4.10 on Fri Jun 24 13:16:27 2011
*nat
REROUTING ACCEPT [1:60]
OSTROUTING ACCEPT [2:125]
:OUTPUT ACCEPT [2:125]
COMMIT
# Completed on Fri Jun 24 13:16:27 2011
# Generated by iptables-save v1.4.10 on Fri Jun 24 13:16:27 2011
*mangle
REROUTING ACCEPT [39:2764]
:INPUT ACCEPT [39:2764]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25:5685]
OSTROUTING ACCEPT [25:5685]
COMMIT
# Completed on Fri Jun 24 13:16:27 2011
# Generated by iptables-save v1.4.10 on Fri Jun 24 13:16:27 2011
*filter
:INPUT ACCEPT [573:36510]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [849:178099]
-A PREROUTING -i tun0 -p tcp -m tcp --dport 36318 -j REDIRECT --to-ports 12000
-A forward -i tun0 -o eth0 -j ACCEPT
-A forward -i eth0 -o tun0 -j ACCEPT
-A INPUT -p tcp -m -i tun0 --dport 12000 -j ACCEPT
COMMIT

#########
und jetz ist auch diese meldung da

Failed to apply configuration : iptables-restore: line 22 failed

 

[sscully]

AW: Sicheres CS über ano VPN ???

Die Fehlermeldung kommt wg eines Schreibfehlers.
Forward muss groß geschrieben werden..


Schau mal hier -> damit müsste es funktionieren (aber wie schon gesagt mach den cccamserverport zuersteinmal auf deinen geforwardeten port (12000 auf ?????)) :

************************
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp -i tun0 --dport (deinPorthier) -j ACCEPT
-A INPUT -p tcp -m tcp -i eth0 --dport 12000 -j ACCEPT
-A INPUT ! -i tun0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tap0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
*mangle
REROUTING ACCEPT [1570:217663]
:INPUT ACCEPT [1525:214016]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [634:120740]
OSTROUTING ACCEPT [640:121781]
COMMIT
*nat
REROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -i tun0 --dport (deinPorthier) -j REDIRECT --to-ports 12000
-A POSTROUTING -s 192.168.1.0/32 -o tun0 -j MASQUERADE
COMMIT

 

[CremeDeLaCreme]

AW: Sicheres CS über ano VPN ???

Ich ich bin dem TuT unter Ivacy.com für Ubuntu gefolgt. Version ist die 11.04. Wenn ich dann letzlich verbinden möchte, kommt nur:

"Verbindung konnte nicht hergestellt werden, weil der Start des VPN-Dienstes fehlgeschlagen ist"

Jmd. eine Idee warum? Ich habe nichts falsch gemacht und dieses geforderte Paket war auch schon vorher installiert.

 

[allonso]

AW: Sicheres CS über ano VPN ???

meine CCcam port ist 12000
ab eine fehler meldung schein bei config etwas nicht in ordnung zu sein
Führe /etc/init.d/webmin-iptables start aus ...
Bad argument `*mangle'
Error occurred at line: 15
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

 

[sscully]

AW: Sicheres CS über ano VPN ???

Da sind jetzt mehrere Fehler drin - hauptsachlich Formatierungsfehler
durchs Drag & Drop.

Aber ich sag es jetzt nochmal.

Mach die Firewall aus !!!!! (ich sehe du hast Webmin drauf - damit gehts auch ohne weitere Kenntnisse)

Ändere deinen Cccamserverport auf den weitergeleiteten Port !

Und wenn dann alles lüppt dann können wir alles drumherum aufbauen.

 

[sscully]

AW: Sicheres CS über ano VPN ???

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Ein paar mehr infos wären schon hilfreich.
Was sagen denn die logs ??

Aber wenn es gleich der Anleitung von Ivacy gemacht hast schau mal hier :

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Oder du versuchst folgendes : den Haken für alle Benutzer verfügbar entfernen und das eingegebene Passwort löschen.

 

[allonso]

AW: Sicheres CS über ano VPN ???

ich denke solange diese Thu Jun 23 21:12:42 2011 WARNING: potential route subnet conflict between local LAN [1.2.112.0/255.255.255.0] and remote VPN [1.0 .0.0/255.0.0.0]
e wird nicht gehe !!

das ist von openvpn server.conf
dev tun
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway"
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
group daemon
daemon

client.conf

client
;dev tap
dev tun
#dev tun0
;proto tcp
proto udp
remote openvpn.ivacy.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
ca /etc/openvpn/ivacy-ca.crt
cert /etc/openvpn/ivacy-client.crt
key /etc/openvpn/ivacy-client.key
tls-auth /etc/openvpn/ivacy-tls.key 1
ns-cert-type server
comp-lzo
verb 3
auth-user-pass /etc/openvpn/password.txt
redirect-gateway
script-security 3
reneg-sec 0

debian:~# route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
213.232.200.171 fritz.box 255.255.255.255 UGH 0 0 0 eth0
213.232.200.170 fritz.box 255.255.255.255 UGH 0 0 0 eth0
213.232.200.172 fritz.box 255.255.255.255 UGH 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
1.2.124.0 * 255.255.255.0 U 0 0 0 tun0
1.0.0.0 1.2.124.1 255.0.0.0 UG 0 0 0 tun0
default 1.2.124.1 0.0.0.0 UG 0 0 0 tun0
debian:~# ifconfig
eth0 Link encap:Ethernet Hardware Adresse 00:21:27:c9:4b:4c
inet Adresse:192.168.1.136 Bcast:192.168.1.255 Maske:255.255.255.0
inet6-Adresse: fd00::221:27ff:fec9:4b4c/64 Gültigkeitsbereich:Global
inet6-Adresse: fe80::221:27ff:fec9:4b4c/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:739734263 errors:0 dropped:0 overruns:0 frame:0
TX packets:856536173 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:4292746948 (3.9 GiB) TX bytes:47486307 (45.2 MiB)
Interrupt:21 Basisadresse:0xe000
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metrik:1
RX packets:91205633 errors:0 dropped:0 overruns:0 frame:0
TX packets:91205633 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:3857768421 (3.5 GiB) TX bytes:3857768421 (3.5 GiB)
tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:1.2.124.106 P-z-P:1.2.124.106 Maske:255.255.255.0
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX packets:426 errors:0 dropped:0 overruns:0 frame:0
TX packets:2138 errors:0 dropped:10 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:71088 (69.4 KiB) TX bytes:183167 (178.8 KiB)

 

[sscully]

AW: Sicheres CS über ano VPN ???

Zuerst nimm mal die server.conf aus dem Verzeichnis.

Danach alle openvpn prozesse stoppen.

jetzt die routingtable posten.

Jetzt die client.conf mit openvpn starten.

Dann die routingtable und das startlog posten.

Und jetzt sollten wir den Fehler finden ;=) (ach und bitte das ganze als root)

 

[smuso]

AW: Sicheres CS über ano VPN ???

Hy

ich komme auch nicht weiter

clientserver

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

route

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

kann es sein das ich dem Clientserver noch sagen muss das er über tun0 rausfahren soll? Wenn ja wie mache ich das am Besten?

mfg

 

[Wassertropfen]

AW: Sicheres CS über ano VPN ???

Wassertropfens Anmerkung .....

VPN Lösung für CS ? Nein,würde ich nicht empfehlen ... zuviele Störfaktoren und abbruchproblematiken,Wieso ?

Sicherheitsdefiniertes denken ? Ja,begrenzt, ein VPN hat ja die Aufgabe 2 untereinander kommunizierende Geräte zu Verbinden ... schlecht konfiguriert kann es sogar sein das man selbst im VPN unter "Klarsicht" sendet,das sollten hier einige bitte bedenken und das zweite grösste Dilemma besteht im moment darin das es Google geschaft hat mit ihrem Fahrzeug auch die AP´s eurer Router (wenn ihr denn verzeichnet seit) zu lokalisieren und dem dazugehörigen standort einzutragen ? na Baff ? Probiert einfach eure Standort/positionsbestimmung (Geofunktion) eures Browsers aus .... einmal bitte mit Wlan und einmal bitte mit Lankabel .... verblüffend nicht ? jetzt fragen sicherlich viele "und was hat das mit VPN zu tun ?" Ganz einfach ich bin über VPN immer verbunden ich nutze Goldenfrog schon seit gefühlten unendlichen Jahren um meine IP zu verschleiern,sicherlich kostet es mich im Monat etwas,aber der Clou kommt jetzt die Geolokalisierung im Browser ist höllisch über den Router genau ...ich sag mal bis zur Hausnummer ...Woher ich das weiss ? Facebook geolokalisation eingeschaltet für Freunde und was musste ich feststellen ? trotz VPN bin ich aufs millimeter genau Lokalisierbar sehr erschreckend ... schnell nach gegoogelt und festgestellt HOPSAA das geht ja nicht nur mir so,sondern anderen auch .... mal schnell nicht mehr die Dream übers WLAN betrieben sondern per LAN angeschlossen und siehe da! Geolokalisation ausgetrickst und meine VPN verbindung sagt Facebook immer das ich jetzt in Honkong,L.A.,Amsterdam oder in England Hocke.Wlan dran und zack wieder trotz VPN exakt Lokalisiert,viele würden das gar nicht bemerken,weil sie ja nicht um ihre Sicherheit besorgt sein müssen aber manchmal sollte man auch über den Tellerrand schauen,deshalb probiert es einfach mal aus mit eurer VPN verbindung und Geolokalisierung/Wlan. Allerdings ist das nur ein Faktor der noch hinzukommt ...ich denke der Wichtigste aber er gehört angesprochen.noch ein Faktor ist das google eurem PC/Router eine bestimmte Nummer verpasst,das heisst einmal eingewählt kann Google euren Rechner 2 Wochenlang identifizieren .... Ja ich kann das noch beliebig weiter fortsetzen ....aber das ist alles erst neu deshalb Leute gebt fein Acht wie eure ersteinwahl aussieht,ich möchte hier kein Schreckenszenario auftischen aber das ist leider die reine Wahrheit.CS wird niemals sicher sein ausser Home CS zu identifizieren seit ihr immer generell ...nehmt ihr einen Anbieter wie ich,müsst ihr auch ihm vertrauen ...... ausserdem ist ja noch nie ein CS Mensch festgenommen worden Anhand seiner IP,immer waren es Leute die jemanden verraten haben ... also sucht eure Freunde gut aus .... das ist der beste Tip den ich euch geben kann,dieser Tip ist Gold wert und besser als jede VPN verbindung

 

[sscully]

AW: Sicheres CS über ano VPN ???

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Es sieht so aus als wenn deinem Client die Route fehlt.
ich weiß nicht was du für ein linux nutzt - aber probier mal eine route hinzuzufügen. Beispiel:
route add 0.0.0.0 netmask 0.0.0.0 gw 10.8.0.1 -i tun0
dann sollte der ausgehende verkehr über das gw geroutet werden
bzw mit iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o tun0 - MASQUERADE solte dann auch sämtlicher Verkehr genattet werden....

 

[proto]

AW: Sicheres CS über ano VPN ???

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Hallo,

habe ein kleines Problem ich weis aber das es mal funktioniert hat.

Und zwar habe ich ubuntu10.10-server-edition auf einem laptop zum testen.


Ich habe das hier gemacht
unter ubuntu
groupadd openvpn
useradd openvpn --shell /bin/false --gid openvpn --home-dir /etc/openvpn

dann habe ich die client.conf mit
user openvpn
group openvpn
ergänzt.

Wenn ich dann openvpn starte bekomme ich die Fehlermeldungen


WARNING: file '/etc/openvpn/pass.txt' is group or others accessible

event_wait : Interrupted system call (code=4)
TCP/UDP: Closing socket
/sbin/route del -net 132.123.123.1 netmask 255.255.255.255
SIOCDELRT: Operation not permitted
ERROR: Linux route delete command failed: external program exited with error status: 7
/sbin/route del -net 0.0.0.0 netmask 128.0.0.0
SIOCDELRT: Operation not permitted
ERROR: Linux route delete command failed: external program exited with error status: 7
/sbin/route del -net 128.0.0.0 netmask 128.0.0.0
SIOCDELRT: Operation not permitted
ERROR: Linux route delete command failed: external program exited with error status: 7
Closing TUN/TAP interface
/sbin/ifconfig tun0 0.0.0.0
SIOCSIFADDR: Permission denied
SIOCSIFFLAGS: Permission denied
Linux ip addr del failed: external program exited with error status: 255
SIGTERM[hard,] received, process exiting

Die IP Adresse wird aus dem route nicht gelöscht.


Wenn ich
user openvpn
group openvpn
wider aus der conf rausnehme läuft alles ganz normal durch.

muß der ordner /etc/openvpn bestimmte rechte haben oder die Dateien ??

danke


EDIT:
Das hat sich nun erledigt wenn ich das richtig verstanden habe sind die Fehlermeldungen ja so korrekt.
In der conf habe ich ja angegeben das nach dem start von openvpn die rechte an den user openvpn übergeben werden sollen
und gestartet habe ich den Dienst als root.

Wenn ich dann openvpn stop eingebe als root dann hat ja der user openvpn eigentlich die rechte über den Prozess .

Richtig??

 

[proto]

AW: Sicheres CS über ano VPN ???

Hallo,

so nun nach vielen Informationen die ich in den letzten Tagen gesaugt habe,
sieht das im Moment so aus.

Also wenn der x86 Server hinter einem FB Router angeschlossen wird, benötigt man keinerlei
Portweiterleitung für den x86 Server. Somit wäre der x86 Server hinter der FB unter der normalen internen IP nicht erreichbar.

Wenn man dan den OpenVPN Client auf dem x86 Server startet und den DynDNS Dienst ddclient so eingestellt hat
das nur von tun0 die IP an den DynDNS Anbieter gesendet wird funktioniert es.

Das heist der x86 Server ist mit dem VPN Tunnel durch den FB Router in allen Ports erreichbar.


Mein Problem ist nun wie stelle ich die Firewall ein??

Ich bin etwas durcheinander es gibt IPtables / Routing / Portweiterleitung / Packetfilter usw...

Beinhaltet die Webmin Firewall schon das alles?

Wenn ich OpenVpn Client starte bekomme ich unter route -n ein neues Interface tun0 mit einer IP nun sollte ich
doch einstellen das alle Ports von tun0 geblockt werden sollen außer z.b. Port 18000.
Und wenn der OpenVpn-Client gestoppt wird sollte diese Regel nicht auf die normale eth0 angewendet werden.

Damit würde man ja erreichen das wenn der VPN Tunnel nicht aufgebaut werden kann, das weder die IP für DynDNS aktuallisiert wird
noch die Portweiterleitung bzw. Firewall eingreift weil ja tun0 nicht vorhanden ist.


Wenn conf benötigt werden bitte bescheid geben

Danke

 

[flyy]

AW: Sicheres CS über ano VPN ???

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Naja, wenn du nur über Internet völlig fremden deine C-Line gibst, dann wirst du auch anhand deine IP verfolgt. anders geht es ja gar nicht. Und irgendwie leuchtet mir das, was du zur Lokalisierung bzgl WLAn geschrieben hast, noch nicht ein.
Dass man auf Smartphones und Tables per WLAN weiß wo man ist, ist mir bekannt. Aber normale Rechner können das auch - anhand des WLANs?

 

[proto]

AW: Sicheres CS über ano VPN ???

Würde jemand mal hier drüber schauen?

Ich glaube, das ich es soweit hinbekommen das Anfragen an dem Port zugelassen werden und ansonsten wird alles geblockt was über tun0 reinkommen will?

Sollte man an dem freigegebenen Port noch was einstellen?

Ich habe unter webmin einfach das hier ausgewählt

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

und dann habe ich alle Regeln gelöscht bis auf dieses

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

und das habe ich hinzugefügt

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

In der /etc/iptables.up.rules steht nun folgendes

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Ich habe noch ein kleines Problem nach exakt einer Stunde wird meine
VPN Verbindung getrennt mit folgender Fehlermeldung:

OpenVPN 2.1.0

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Ich habe folgende openvpn-client.conf

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Hat das vielleicht mit der Version zu tun oder ist es vielleicht dieses auth-nocache ??
Oder muß ich dafür noch ein Port freischalten?

Zudem kommt dieses "WARNING: file '/etc/openvpn/pass.txt' is group or others accessible" kann man das ignorieren??

Danke