OpenVPN Konfiguration Empfehlung

Das schwierige Thema VPN!
Post Reply
micha100
Posts: 3
Joined: November 14th, 2018, 9:38 am

OpenVPN Konfiguration Empfehlung

Post by micha100 » November 14th, 2018, 9:52 am

Hallo zusammen,

ich habe vorher den IPCop im Einsatz gehabt und nun IPFire. Beim IPCop gab es nicht soviel Auswahlmöglichkeiten bei den VPN Einstellungen, gibt es hier bei IPFire Empfehlungen bei der Verschlüsselung, Protokoll (TCP/UDP usw.)? Als Client soll Tunnelblick unter OS X genutzt werden. Ich habe aktuell mal Camellia-CBC 128 Bit und Protokoll: TCP gewählt, wobei das Arbeiten mit RDP nicht so flüssig ist wie vorher beim IPCop, liegt dies ggf, an der TCP Auswahl statt UDP? Danke Gruß Micha

zargano
Posts: 192
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: OpenVPN Konfiguration Empfehlung

Post by zargano » November 14th, 2018, 11:23 am

Auch habe IPCop im Einsatz gehabt. Eigentlich ist alles ganz ähnlich. Ich arbeite mit folgenden globalen Einstellungen:
  • Protokoll: UDP
  • Port: 1194
  • MTU: 1400
  • Verschlüsselung: AES-CBC
Grüße, zargano

micha100
Posts: 3
Joined: November 14th, 2018, 9:38 am

Re: OpenVPN Konfiguration Empfehlung

Post by micha100 » November 14th, 2018, 2:35 pm

Danke für die Info.
Welche AES-CBC, 256 Bit?

zargano
Posts: 192
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: OpenVPN Konfiguration Empfehlung

Post by zargano » November 14th, 2018, 5:28 pm

Ja, AES-CBC (256 Bit).

Die restlichen Dinge sollten eigentlich ziemlich gleich wie beim IPCop sein, z.B. das Einrichten einer Roadwarrior-Verbindung. Die erweiterten Einstellungen können, müssen aber nicht, angepaßt werden.

Grüße, zargano

ummeegge
Community Developer
Community Developer
Posts: 4998
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN Konfiguration Empfehlung

Post by ummeegge » November 22nd, 2018, 6:36 pm

Hallo zusammen,
ich finde GCM ist auch eine Willkommene Abwechselung . CBC ist nach Sweet32 --> https://community.openvpn.net/openvpn/wiki/SWEET32 auch öfters (nicht nur wegen 64bit Block Ciphern) in der Kritik, OpenVPN hat GCM {256bit und dann 128bit} mit der 2.4er Version mit '--ncp-enable' zum Default gemacht. CBC erscheint mir manchmal wie ein Fallback ;-).

Den ta.key (--tls-auth) würd ich bei jeder Konfiguration mithinzufügen (Server auch absichern).
Welchen HMAC verwendest du ?

Kleines Feedback von hier mal.

Grüsse,

UE
Image
Image

zargano
Posts: 192
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: OpenVPN Konfiguration Empfehlung

Post by zargano » November 22nd, 2018, 8:20 pm

Hai UE,
ummeegge wrote:
November 22nd, 2018, 6:36 pm
ich finde GCM ist auch eine Willkommene Abwechselung . CBC ist nach Sweet32 --> https://community.openvpn.net/openvpn/wiki/SWEET32 auch öfters (nicht nur wegen 64bit Block Ciphern) in der Kritik, OpenVPN hat GCM {256bit und dann 128bit} mit der 2.4er Version mit '--ncp-enable' zum Default gemacht. CBC erscheint mir manchmal wie ein Fallback ;-).
Danke für diese Challenge, ich habe was dazugelernt. Ich meine, daß ich die mit AES-CBC (256 Bit) schlicht auf die Default-Einstellungen (von Core 118; das war meine initiale Installation) zurückgegriffen habe. Kann das sein?
ummeegge wrote:
November 22nd, 2018, 6:36 pm
Den ta.key (--tls-auth) würd ich bei jeder Konfiguration mithinzufügen (Server auch absichern).
Welchen HMAC verwendest du ?
Auch hier habe ich die Defaults verwendet, nämlich HMAC tls-auth nicht aktiviert...

Täusche ich mich, oder ist das Wiki https://wiki.ipfire.org/configuration/s ... vanced_set ein bißchen dünn, um Halbwissende wie mich mit konkreten Empfehlungen zu den o.g. Punkten auszustatten?

So denn nicht schon geschehen, wäre es nicht gut, derlei "good practices" in Bezug auf Hardening in die Defaulteinstellungen aufzunehmen?

Grüße, zargano

ummeegge
Community Developer
Community Developer
Posts: 4998
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN Konfiguration Empfehlung

Post by ummeegge » November 23rd, 2018, 10:52 am

Hallo zargano,
zargano wrote:
November 22nd, 2018, 8:20 pm
Danke für diese Challenge, ich habe was dazugelernt. Ich meine, daß ich die mit AES-CBC (256 Bit) schlicht auf die Default-Einstellungen (von Core 118; das war meine initiale Installation) zurückgegriffen habe. Kann das sein?
freut mich das ich ein paar News zutragen konnte und ja der Galouise-Counter-Mode ist erst mit Core 120 gekommen da IPFire OpenVPN mit Core 120 erst auf die 2.4er Version gehoben hat. Aber das Default ist derzeit immer noch auf AES-256-CBC eingestellt, das liegt unter anderem auch daran das es noch ältere Clients =< 2.4 da draussen gibt welche GCM noch nicht können, das sollte sich allerdings auch in der nächsten Zeit weitflächig geändert haben.
zargano wrote:
November 22nd, 2018, 8:20 pm
Auch hier habe ich die Defaults verwendet, nämlich HMAC tls-auth nicht aktiviert...
Es gab da früher Probleme mit z.b. Smartphones soweit ich mich erinnere weswegen die Direktive nicht per Default angeschaltet war, ist mittlerweile glaube ich aber auch nicht mehr so ? Weiss da einer der Smartphone Nutzer event. mehr ?
zargano wrote:
November 22nd, 2018, 8:20 pm
Täusche ich mich, oder ist das Wiki https://wiki.ipfire.org/configuration/s ... vanced_set ein bißchen dünn, um Halbwissende wie mich mit konkreten Empfehlungen zu den o.g. Punkten auszustatten?
Da muss ich dir recht geben, das Wiki beschränkt sich ziemlich stark auf "Welche Direktive ist das" und einwenig was sie macht.
zargano wrote:
November 22nd, 2018, 8:20 pm
So denn nicht schon geschehen, wäre es nicht gut, derlei "good practices" in Bezug auf Hardening in die Defaulteinstellungen aufzunehmen?
Es gab da auf der Dev Mailingliste auch schon die eine oder andere Diskussion da das "good practices" Probleme mit Backwards Compatibility machen kann (siehe u.a. auch oben). Ich bin mir z.b. sehr sicher das es relativ unbekannt ist das z.b. --comp-lzo (generell alle Kompressionsalgorithmen) Exploitable sind --> viewtopic.php?t=21265 und dennoch verwendet werden. Einfach abschalten über das WUI geht auch nicht so einfach da dann bestehende Verbindungen nicht mehr funktionieren wenn es mal ein ovpnmain.cgi update gibt und die, die das Memo nicht gelesen haben ;), auch nicht wissen woran das liegt (Änderungen müssen in solchen Fällen auf beiden Seiten Client/Server gemacht werden und bei 50 oder mehr Clients fällt da richtig Arbeit an).

Ich fände es eine gute Idee sowas z.b. über das Wiki zumachen, wäre hierfür jemand zu haben ?

Grüsse,

UE

P.S.: Es kommt bald TLSv1.3, das neue OpenSSL-1.1.1 hab ich hier schon mal gebaut und OpenVPN ist, wie es aussieht, da auch schon aktiv --> https://github.com/OpenVPN/openvpn/blob ... _openssl.c --> https://github.com/OpenVPN/openvpn/blob ... hanges.rst <-- ChaCha20-Poly1305 Cipher support für den Datenkanal wird es mit der 2.5 auch geben, '--tls-crypt' (schon verfügbar) ist denke ich im Vergleich auch besser wie '--tls-auth' ... Da kommen noch einige Neuerungen.


EDIT:
micha100 wrote:
November 14th, 2018, 9:52 am
TCP gewählt, wobei das Arbeiten mit RDP nicht so flüssig ist wie vorher beim IPCop, liegt dies ggf, an der TCP Auswahl statt UDP?
TCP in TCP zu kapseln kann tatsächlich problematisch sein --> http://sites.inka.de/bigred/devel/tcp-tcp.html dennoch hat OpenVPN da scheinbar auch was gemacht --> https://community.openvpn.net/openvpn/ticket/2 allerdings weiss ich da nicht wieweit das schon gediegen ist, ich nutze immer UDP.
Image
Image

ummeegge
Community Developer
Community Developer
Posts: 4998
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN Konfiguration Empfehlung

Post by ummeegge » November 26th, 2018, 5:15 pm

Hallo zusammen,
was haltet ihr denn von so einer Idee --> https://gitlab.com/ummeegge/scripts/blo ... checker.sh ? Da könnte sowas wie das --> https://gitlab.com/ummeegge/scripts/blo ... n_check.sh event. auch noch mitrein...

Is natürlich noch nicht fertig(/wird´s wahrscheinlich nie) aber wäre toll wenn euch dazu noch was einfällt.

Grüsse,

UE
Image
Image

zargano
Posts: 192
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: OpenVPN Konfiguration Empfehlung

Post by zargano » November 27th, 2018, 6:36 pm

Ich traue mir nicht zu, solche Scripte selber "from scratch" zu schreiben. Trotzdem: die Ideen, die ich da herausgelesen finde ich super.

Ein "Editorial" hab ich aber gesehen: die Variable HOSTKEYLENGHT funktioniert zwar sicher, aber "T" und "H" sollten für korrektes englisches Spelling vertauscht sein: HOSTKEYLENGTH O0

Grüße, zargano

ummeegge
Community Developer
Community Developer
Posts: 4998
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN Konfiguration Empfehlung

Post by ummeegge » November 28th, 2018, 6:58 pm

Autsch, aber unterliegt die Namensgebung von Variablen der englischen Rechtschreibung ^-^ ? Aber danke für den Hinweis.

Grüsse,

UE
Image
Image

zargano
Posts: 192
Joined: December 29th, 2017, 7:50 pm
Location: Nordlicht im Ländle

Re: OpenVPN Konfiguration Empfehlung

Post by zargano » November 28th, 2018, 7:35 pm

ummeegge wrote:
November 28th, 2018, 6:58 pm
aber unterliegt die Namensgebung von Variablen der englischen Rechtschreibung
Nee, natürlich nicht ;D Hatte ich ja auch ausdrücklich als Editorial benannt...

ummeegge
Community Developer
Community Developer
Posts: 4998
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN Konfiguration Empfehlung

Post by ummeegge » November 29th, 2018, 8:32 am

Image
Image

Post Reply