NetworkManager und OpenVPN, Sicherheit

[ingo2]

Ich bringe diese Problematik noch mal hoch, da bisherige Posts dazu schon uralt sind.

Habe hier unter Wheezy mit LXDE und dem NetworkManger alles konfiguriert und es (VPN-Verbindungen) geht auch.

Aus Sicherheitsgründen habe ich dem gnome-keyring ein vom Login abweichendes Passwort verpaßt. Den gnome-keyring will ich nicht auch für VPN nutzen. Grund: der nm besteht darauf, den login.keyring zu verwenden, und damit sind beide Passwörter identisch. Ich habe meine VPN-Keys mit separatem Schlüssel gesichert.

Jetzt speichert der nm die Verbindungsdaten in der /etc/NetworkManager/system-connections/<VPN-name>:

Code: Alles auswählen

[connection]
id=VPN-name
uuid=xxxxxxxxx
type=vpn
permissions=user:meine uid:;
autoconnect=false
timestamp=1398498201
....

Beim Verbinden gibt es jetzt 2 Pop-Ups:

1. Passwort für den gesicherten VPN-(Schlüssel)Key
2. Passwort für gnome-keyring

Es reicht jedoch, das PW für den VPN-Key einzugeben. Damit und den Angaben in /etc/NetworkManager/system-connections/<VPN-name> wird die Verbindung aufgebaut. Das 2. Pop-Up kann ich problemlos "dismissen"/abbrechen.

Wie kann man bei VPN das lästige Pop-Up für den gnome-keyring abstellen???

Habe da schon lange dran rumgebastelt und gegoogelt - ohne Erfolg
Hat vielleicht schon Jemand hier eine Lösung gefunden?

Ingo

P.S.: Entfernen der Zeile permissions=user:meine uid:; in system-connections/<VPN-name> ändert garnichts, scheint obsolet.

[orcape]

Hi ingo2,
ich kann Dir bei Deinem Problem zwar nicht direkt helfen, aber warum nutzt Du für OpenVPN überhaupt den Netzwerkmanager.
Ich habe hier auf meinem PC einen OpenVPN-Client laufen, ohne dafür den NW-Manager zu nutzen.
Der Tunnel aktiviert sich allerdings automatisch, wenn der OpenVPN-Server remote läuft.
Ich sehe aber auch keinen Grund den Tunnel abzuschalten, zumindest keinen sicherheitstechnischen.
Gruß orcape

[ingo2]

.... aber warum nutzt Du für OpenVPN überhaupt den Netzwerkmanager.

Meine Anwendung für OpenVPN ist anders. Der Server läuft hier zu Hause auf meinem NAS. Den Client nutze ich vom Laptop aus, wenn ich unterwegs|im Urlaub bin und nur unsicheres WLAN habe. Dann surfe ich durch den Tunnel über meinen heimischen DSL-Anschluß. Ok, die Download-Geschwindigkeit ist dann nur noch mein DSL-Uplink, aber dafür ist's sicher.

Und gerade auf dem Laptop will ich aus Sichereitsgründen unterschiedliche Passwörter für Login, root und VPN-Keys haben. Und hier macht mir der NetworkManager den Ärger: er benutzt den login.keyring, welcher beim Login automatisch entsperrt wird. Deshalb habe ich das jetzt "unterbunden", indem ich unterschiedliche Passwörter für Login und den Keyring gesetzt habe.

Eine Lösung wäre ja, wenn man dem blöden nm pro Verbindung einen bestimmten/abweichenden Keyring zuweisen könnte - oder wenigstens einen eigenen (nicht den login.keyring) Keyring für alle Verbindungen.

Beste Grüße,
Ingo

[orcape]

Meine Anwendung für OpenVPN ist anders. Der Server läuft hier zu Hause auf meinem NAS.

...nein, die ist nicht anders. Bei mir läuft der Server auf dem Router zu Hause und mit entsprechenden Regeln erreiche ich LAN und NAS.
Auf meinem Laptop ist die OpenVPN-Config incl. der Schlüssel und keys in der /etc/openvpn gespeichert und der Tunnel braucht keinen NWM.
Noch nicht mal ein Portforwarding auf dem vorgeschalteten UMTS-Router ist notwendig.
Gruß orcape

[ingo2]

Auf meinem Laptop ist die OpenVPN-Config incl. der Schlüssel und keys in der /etc/openvpn gespeichert und der Tunnel braucht keinen NWM.

Und wie baust du den Tunnel auf bzw. beendest ihn? Ich benutze den Tunnel nur kurzzeitig und vorher muß ich ja eine (unsichere) WLAN-Verbindung aufbauen (und dafür nutze ich den NM), um im DNS meine heimische IP zu erfragen?

Viele Grüße,
Ingo

[orcape]

Ich benutze den Tunnel nur kurzzeitig und vorher muß ich ja eine (unsichere) WLAN-Verbindung aufbauen

...der Tunnel baut sich unmittelbar mit der WLAN-Vebindung auf und steht dann aber so lange der Laptop läuft.
Was spricht gegen einen ständig laufenden Tunnel ? Ein unsicheres Netzwerk auf der anderen Seite ? ...dann könnte ich auch auf den Tunnel verzichten.
Das lässt sich alles konfigurieren, was für den Tunnel bestimmt ist.
Gruß orcape

[ingo2]

Ich benutze den Tunnel nur kurzzeitig und vorher muß ich ja eine (unsichere) WLAN-Verbindung aufbauen

...der Tunnel baut sich unmittelbar mit der WLAN-Vebindung auf und steht dann aber so lange der Laptop läuft.
Was spricht gegen einen ständig laufenden Tunnel ?

Aus meiner Sicht 2 Dinge:
1. Bei einem ständig laufenden Tunnel hast du wohl auch OpenVPN-Schlüssel im "~/.gnome2/keyrings/login.keyring" gesichert. Der wird beim Login am System entsperrt und alle Secrets darin sind immer lesbar, solange der Laptop an ist - auch wenn du den Tunnel nicht nutzt. Bei einer solchen Konfiguration gäbe es mein geschildertes Problem garnicht. Und das Passwort für den login.keyring ist bei dir identisch mit dem Login-PW - genau das will ich aus Sicherheitsgründen nicht!

2. Für viele Dinge ist mir der DSL-Upstream von nur 70kB/s einfach zu wenig, da braucht ja ein PDF mit 5MB schon über 1 Minute.

Viele Grüße,
Ingo