[gelöst] Brauche mal Hilfe bei Protokoll-Einträgen

[TomL]

Guten Morgen @ all

Gerade eben habe ich mal meine Logs durchgesehen.... mittlerweile läuft ja mein PI den dritten Tag... und ich war neugierig, ob ich irgendwas beunruhigendes finde. Und ja, ich habe was gefunden. Wobei das jetzt nur am Rande mit Linux zu tun hat, die Linux-Logs sind nämlich alle sauber. Aber ich habe das im OpenVPN-Log gefunden:

Code: Alles auswählen

Sat Aug  8 02:02:28 2015 TCP connection established with [AF_INET]128.178.76.29:53338
Sat Aug  8 02:02:28 2015 128.178.76.29:53338 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1547 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Sat Aug  8 02:02:28 2015 128.178.76.29:53338 Connection reset, restarting [0]
Sat Aug  8 02:02:28 2015 128.178.76.29:53338 SIGUSR1[soft,connection-reset] received, client-instance restarting
Sat Aug  8 03:37:44 2015 TCP connection established with [AF_INET]141.212.122.82:29830
Sat Aug  8 03:37:44 2015 141.212.122.82:29830 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1547 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Sat Aug  8 03:37:44 2015 141.212.122.82:29830 Connection reset, restarting [0]
Sat Aug  8 03:37:44 2015 141.212.122.82:29830 SIGUSR1[soft,connection-reset] received, client-instance restarting

Definitiv war ich um die Uhrzeit nicht online. Wie muss ich jetzt diese Einträge verstehen/interpretieren? Hat jemand zufällig meine WAN-IP erwischt und weiterhin zufällig den VPN-Port (der nicht 1194 ist) getroffen? Sind die beiden bei der IP angezeigten Ports 53338 und 29830 die Ports, die auf dem fremdem System geöffnet sind....?... diese Ports sind nämlich bei mir nicht verwendet. So wie ich das verstehe, hat in beiden Fällen OpenVPN die Verbindung sofort getrennt. Aber ist das alles so richtig interpretiert?

Der ganz Netztechnik-IP-Kram ist überhaupt nicht mein Ding .... ich habe da kaum Durchblick

[orcape]

Hi Thomas,

Definitiv war ich um die Uhrzeit nicht online.

...musst Du ja auch nicht. Reicht ja wenn der Raspi im Netz hängt.

So wie ich das verstehe, hat in beiden Fällen OpenVPN die Verbindung sofort getrennt. Aber ist das alles so richtig interpretiert?

Das sehe ich auch so.
Du hast wohl einen Provider der Dir den Tunnel anbietet. Somit bist Du auch auf dessen Sicherheit angewiesen.
Ist eben der Nachteil, gegenüber einer Tunnelverbindung die direkt zu einem remoten Standort führt.
Aber sei es drum, selbst wenn sich hier über MTU, Port etc. beschwert wird, müsste der Angreifer immer noch die Verschlüsselung knacken.
Also einfach mal weiter beobachten und im Ernstfall den Provider mal kontaktieren.
Gruß orcape

[TomL]

Moin Orcape

Du hast wohl einen Provider der Dir den Tunnel anbietet. Somit bist Du auch auf dessen Sicherheit angewiesen.
Ist eben der Nachteil, gegenüber einer Tunnelverbindung die direkt zu einem remoten Standort führt.
Aber sei es drum, selbst wenn sich hier über MTU, Port etc. beschwert wird, müsste der Angreifer immer noch die Verschlüsselung knacken.
Also einfach mal weiter beobachten und im Ernstfall den Provider mal kontaktieren.

Provider...?... Tunnel...?... na ja, eigentlich weiss mein Provider nix von meinem VPN-Server, ich habe da ja nur eine ganz normale Internet-Flatrate. Einen Tunnel "nach Hause" (und nur bei Bedarf aufgebaut) nutze ich ja nur von meinem S3 oder dem Laptop, wenn ich irgendwo unterwegs bin. Aber beim drüber Nachdenken ist mir noch eine Idee gekommen .... wahrscheinlich wissen die Besucher gar nix von meinem VPN-Server auf meinem PI, der bereit wäre, über diesen Port einen Tunnel aufzubauen. Vielleicht haben die einfach nur meine WAN-IP und zufällig die im Router freigegebene Port-No zum VPN getroffen. Und als sie dann am VPN-Server angekommen sind, wars vorbei... eben weil sie keine Zertifikate und keine Schlüssel hatten.

Ich werde das jetzt wirklich mal ein paar Tage beobachten, ob sich solche Vorfälle wiederholen.

[orcape]

wahrscheinlich wissen die Besucher gar nix von meinem VPN-Server auf meinem PI, der bereit wäre, über diesen Port einen Tunnel aufzubauen. Vielleicht haben die einfach nur meine WAN-IP und zufällig die im Router freigegebene Port-No zum VPN getroffen.

Das läuft ja nun heute alles automatisch ab. Das sind nicht mehr die Scriptkiddys die sich versuchen.
Hast Du einen DynDNS-Account ? Feste IP wirst Du ja wohl nicht haben.