OpenVPN logging, tls-auth Problem und Härtung

[dmant]

Hallo

Ich betreibe einen OpenVPN Server auf meinem Root-Server. Dieser läuft auch soweit ganz gut jedoch habe ich ein paar "logging" Probleme. Ich verwende folgende Scripts,

client-connect => https://nopaste.dmant.ovh/?v=vee7Booy1pho
client-disconnect => https://nopaste.dmant.ovh/?v=miedai7zaeF0

Das ganze klappt auch jedoch würde ich gerne noch die zugewiesene IP vom OpenVPN mit loggen, also bei mir 10.8.0.X jedoch finde ich dazu nichts. Das einzige was mir jetzt einfallen würde wäre die Datei ipp.txt nach dem common_name zu durchsuchen und dann die ip nachträglich in die Datenbank zu schreiben. Gibts da denn keine direkte Möglichkeit?

Meine OpenVPN server.conf ist relativ "kurz" gehalten.

https://nopaste.dmant.ovh/?v=eiV7xo7iched

Welche Möglichkeiten habe ich noch den OpenVPN zu "härten"? Wenn ich den tls teil aktiviere bekomme ich keine Verbindung mit den Clients. Hier mal das log.

https://nopaste.dmant.ovh/?v=eiyazee5DieR

und die client.ovpn https://nopaste.dmant.ovh/?v=ahCh7vahfaek

Weiß da jemand vielleicht rat?

[rendegast]

Du kannst doch vor dem 'echo ...' in den beiden Skripten alles mögliche machen, um die Werte zu ermitteln und an das echo zu übergeben.

[TomL]

Mit sind hier nur zwei Dinge aufgefallen, die ich ändern würde. Hier nur gekürzte Auszüge:

Auf dem Server:

Code: Alles auswählen

tls-auth /etc/openvpn/easy-rsa/keys/ta.key
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
:::
cipher AES-256-CBC
auth SHA512

Auf dem Client fehlte die 1 bei ta.key. Ich würde aber beide weglassen, also auch ohne 0 beim Server, wie jetzt hier vorgeschlagen. Den Parameter "key-direction" gibts nicht... keine Ahnung, wo der herkommt, ich habe ihn hier entfernt.

Code: Alles auswählen

tls-auth ta.key
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
:::
cipher AES-256-CBC
auth SHA512

Cipher und Auth gehören zu den Channel-Encryption-Parameters, die TLS-Parameter gehören imho zur Authenfizierungschicht. Und weil es sich hier nur um eine zusätzliche Signatur vor der Authentifizierung handelt, würde ich auf tls-version-min verzichten und nur TLS-DHE-RSA-WITH-AES-256-CBC-SHA vorgeben - zumal Deine Cipher auch nur TLS 1.0 entsprechen. Das hat aber -soweit ich das verstanden habe- sowieso keinen Einfluss auf die Sicherheit des Channel-Encypts, sondern nur darauf festzustellen, wer Pakete sendet - um eben Pakete mit falscher oder fehlender Signatur zu droppen, bevor die eigentlich Authentifizierung überhaupt startet. Wenn man dann noch die Keys zuvor noch mit Passphrase erstellt hat, sollte das schon ziemlich sicher sein. Sag mal bescheid, ob das zur Lösung verholfen hat.

[dmant]

Hallo,

habe ich mal probiert, leider weiterhin erfolglos.

https://nopaste.dmant.ovh/?v=meiShah8oshe

[dmant]

Jetzt gehts. Hatte das mit der key-directive vergessen, also ich diese gelöscht habe, also nur noch so geschrieben habe wie du mir geschrieben hast ging es. Jetzt bekomme ich auch eine Verbindung. Dann kann ich mich ja weiter an das loggin Problem machen. Ich hoffe da findet sich auch noch ein Weg. Danke schonmal dafür

[TomL]

Das ganze klappt auch jedoch würde ich gerne noch die zugewiesene IP vom OpenVPN mit loggen, also bei mir 10.8.0.X jedoch finde ich dazu nichts.

Doch, steht imho auf der OpenVPN-Project-Seite prima beschrieben. Guckstu:

Code: Alles auswählen

Environmental variable values:
ifconfig_pool_remote_ip

Allerdings weiss ich nicht, was 10.8.0.X ist. Aber wenns das war, Thread auf "gelöst" setzen.