Wie im Titel schon angedeutet geht es um OpenVPN und einen SSH-Tunnel. Erstmal ein paar Infos zum derzeitigen Stand:
Der OpenVPN-Server ist ein Debian-Rechner hinter einer FritzBox, die Clients sind Windows-Kisten. Die FritzBox blockt aus Sicherheitsgründen jeden Port, abgesehen von Port 22 für SSH (der wird auf den Debian-Rechner weitergeleitet). Um zum VPN verbinden zu können, loggt man sich als bestimmter Nutzer (jeder VPN-Nutzer benutzt den selben Debian-User) in SSH ein und erstellt einen Tunnel zum OpenVPN-Server. Anschließend kann man sich mit OpenVPN verbinden.
So, das ganze funktioniert. Meine Frage ist: Macht es Sinn, sich erst über SSH einloggen zu müssen um sich mit dem VPN verbinden zu können (Sicherheitstechnisch), oder bin ich ein wenig zu paranoid? Ich gehe halt von einer simplen Rechnung aus: Ein weitergeleiteter Port bietet eben nur eine Angriffsmöglichkeit (sshd angreifbar), zwei weitergeleitete Ports eben zwei (sshd + openvpn angreifbar).
Andererseits kann ich mir gut vorstellen, dass OpenVPN auch ziemlich sicher gegen Angreifer ist. Die Debian-User können übrigens keine shell öffnen, Tunnel sind erlaubt, aber keine Shell (no-pty Option in authorized_keys).
Was denkt ihr? Einfach einen weiteren Port von der FritzBox aus weiterleiten oder so lassen?
Danke für eure Tipps
