redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21733
Wohnort: Lorchhausen im schönen Rheingau
|
TomLu schrieb: Erstens würde ich für SSH sowieso nicht den Port 22 verwenden, sondern einen exotischen >50000
Auch hier: Kerckhoffs Prinzip 2: Die Sicherheit des Dienstes darf nciht vom Port abhängen. SSH _muss_ grundsätzlich so konfiguriert sein, dass es am Standardport als hinreichend sicher zu erachten ist. Das einzige, was dir eine Portänderung bringt, ist dass das Skriptkiddi-Grundrauschen im Log fehlt, was dir aber bei hinreichend sicherer Konfiguration auch egal sein kann. Und wer liest schon das auth.log, wenn er ehrlich ist? 😉 sondern OpenVPN, welches ich mit Zertifkaten und Keys je Client (Roadwarrior) ordentlich "personifizieren" kann.
Auch SSH kann man mit Keys nutzen, sogar mit mehreren Keys pro Login... Und auch da verwende ich nicht den Standard-Port 1194, sondern wieder einen exotischen >50000.
Siehe open, die gleichen Ausführungen gelten natürlich auch fürs VPN Das VPN zu starten und den Tunnel zu etablieren ist ein Klick und dauert nur 3-6 Sekunden.
Das ist wohl wahr.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
redknight schrieb: Auch hier: Kerckhoffs Prinzip 2: Die Sicherheit des Dienstes darf nciht vom Port abhängen. SSH _muss_ grundsätzlich so konfiguriert sein, dass es am Standardport als hinreichend sicher zu erachten ist.
Ja, das gilt ja immer... die Verschiebung des Ports hat für mich wirklich nur 2 Gründe: zum einen eben das Script-Kid-Rauschen leiser zu stellen und zum anderen, es auch dann verwenden zu können, wenn der WISP-Port 22 tatsächlich mal explizit gesperrt sein sollte. Aber der zweite Punkt("hinreichend sicher") war für mich der ausschlaggebende, nicht mehr SSH für "von draußen" zu verwenden. Natürlich habe ich zuvor den PWD-Login deaktiviert, root darf sich natürlich nicht anmelden, es geht alles nur über RSA-Keys. Aber kennst Du das Bauchgefühl "hier fehlt noch irgendwas oder irgendwas ist hier nicht richtig" ohne das erklären zu können, und man nicht weiss, ob das irrational ist oder nicht? Bei SSH hatte ich das Gefühl, ich kanns nicht erklären... vielleicht einfach nur mangels Sachkenntnis... bei OpenVPN hab ich das nicht. 🙄
|
wacken
(Themenstarter)
Anmeldungsdatum: 7. Juni 2014
Beiträge: 98
|
So ich weiß jetzt warum ein SSH Public-Key Login nicht möglich ist.
Ich habe es nicht hingekriegt das auf meinem Android zum laufen zu kriegen. Ebenso habe ich es nicht geschafft auf einem Windowssystem SFTP Login zu realisieren.
Der SFTP-Login ist nicht für mich und dem Nutzer ist eine VPN-Anwendung nicht zuzumuten. So wie ich das sehe bleibt mir also nur ein ausweichen auf einen anderen Port, hier habe ich aber Probleme gehabt, muss nicht zwingend an geblocken Ports gelegen haben, aber ich konnte keine Verbindung aufbauen. Oder eben doch eine Mitteilung der momentan verwendeten IP-Adressen per Dyn-Sync. und einen dementsprechenden Eintrag in die Firewall. Ich wäre froh wenn ihr mir hierbei helfen könntet wie ich das realisieren kann.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21733
Wohnort: Lorchhausen im schönen Rheingau
|
wacken schrieb: So ich weiß jetzt warum ein SSH Public-Key Login nicht möglich ist.
Ich habe es nicht hingekriegt das auf meinem Android zum laufen zu kriegen.
Connectbot sollte das können. Gehört aber nicht in dieses Forum. Ebenso habe ich es nicht geschafft auf einem Windowssystem SFTP Login zu realisieren.
Mindestens Putty (einen SFTP-Kommandozeilen-Client gibts da auch) und WinSCP beherrschen Public-Key-Login. Gehört eigentlich auch nicht in dieses Forum. Der SFTP-Login ist nicht für mich und dem Nutzer ist eine VPN-Anwendung nicht zuzumuten.
Wie bitte? Einem Nutzer ist eine VPN nicht zuzumuten? Also eine one-click-Anwendung auch unter Windows? Glaubst Du ernsthaft, ein sauberes Einrichten von SFTP und VPN wäre weniger Arbeit, als das was Du hier durchziehen willst?
|
wacken
(Themenstarter)
Anmeldungsdatum: 7. Juni 2014
Beiträge: 98
|
redknight schrieb: wacken schrieb: So ich weiß jetzt warum ein SSH Public-Key Login nicht möglich ist.
Ich habe es nicht hingekriegt das auf meinem Android zum laufen zu kriegen.
Connectbot sollte das können. Gehört aber nicht in dieses Forum.
Danke, muss ich mir mal angucken. Ich nutze momentan JuiceSSH
Ebenso habe ich es nicht geschafft auf einem Windowssystem SFTP Login zu realisieren.
Mindestens Putty (einen SFTP-Kommandozeilen-Client gibts da auch) und WinSCP beherrschen Public-Key-Login. Gehört eigentlich auch nicht in dieses Forum.
Ja kann es und ist mir auch bekannt, aber es ist nicht nutzerfreundlich. Der SFTP-Login ist nicht für mich und dem Nutzer ist eine VPN-Anwendung nicht zuzumuten.
Wie bitte? Einem Nutzer ist eine VPN nicht zuzumuten? Also eine one-click-Anwendung auch unter Windows? Glaubst Du ernsthaft, ein sauberes Einrichten von SFTP und VPN wäre weniger Arbeit, als das was Du hier durchziehen willst?
Ja es gibt für Windows ein Programm, dass das SFTP als Netzlaufwerk einbindet. Dies kann ich mit dem Systemstart ausführen. Eine Dauerhafter VPN-Verbindung ist nicht akzeptabel, da die Internetgeschwindigkeit darunter zu stark leiden würde.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21733
Wohnort: Lorchhausen im schönen Rheingau
|
wacken schrieb: Eine Dauerhafter VPN-Verbindung ist nicht akzeptabel, da die Internetgeschwindigkeit darunter zu stark leiden würde.
Komisch, wenn ich meine VPN aufbaue und keine Daten darüber transferiere, leidet "die Internetgeschwindigkeit"™ nicht darunter. Woher nimmst Du die Annahme?
|
wacken
(Themenstarter)
Anmeldungsdatum: 7. Juni 2014
Beiträge: 98
|
redknight schrieb: wacken schrieb: Eine Dauerhafter VPN-Verbindung ist nicht akzeptabel, da die Internetgeschwindigkeit darunter zu stark leiden würde.
Komisch, wenn ich meine VPN aufbaue und keine Daten darüber transferiere, leidet "die Internetgeschwindigkeit"™ nicht darunter. Woher nimmst Du die Annahme?
Wenn der VPN aktiv ist, wird der ganze Internettraffic über die Internetleitung des Servers geschickt. Jedoch habe ich hier nicht einen so hohen Upload, dass es Sinn macht über die VPN Verbindung zu surfen.
Es ist also nur Sinnvoll sich mit dem Server zu verbinden, wenn ich auch wirklich mit ihm Daten austauschen will.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21733
Wohnort: Lorchhausen im schönen Rheingau
|
Dann ist deine Verbindung nicht so konfiguriert, wie sie es - in dem speziellen Fall - sein sollte. Man kann auch nur den Traffic in den Tunnel leiten, der zu den Adressen hinter dem Tunnel geht und den restlichen Traffic weiterhin lokal ins Netz schicken.
|
wacken
(Themenstarter)
Anmeldungsdatum: 7. Juni 2014
Beiträge: 98
|
redknight schrieb: Dann ist deine Verbindung nicht so konfiguriert, wie sie es - in dem speziellen Fall - sein sollte. Man kann auch nur den Traffic in den Tunnel leiten, der zu den Adressen hinter dem Tunnel geht und den restlichen Traffic weiterhin lokal ins Netz schicken.
Danke,das klingt super. Kannst du mir bitte sagen wonach ich da genau googlen müsste oder mir direkt einen Link zum Thema schicken.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
wacken schrieb: redknight schrieb: Dann ist deine Verbindung nicht so konfiguriert, wie sie es - in dem speziellen Fall - sein sollte. Man kann auch nur den Traffic in den Tunnel leiten, der zu den Adressen hinter dem Tunnel geht und den restlichen Traffic weiterhin lokal ins Netz schicken.
Danke,das klingt super. Kannst du mir bitte sagen wonach ich da genau googlen müsste oder mir direkt einen Link zum Thema schicken.
Die Standard-Einstellung ist, das nur der Traffic für die VPN-Gegenseite durch den Tunnel geht. Willst Du das anders, also alles durchs VPN, musst Du das einstellen: https://openvpn.net/index.php/open-source/documentation/howto.html#redirect
|
wacken
(Themenstarter)
Anmeldungsdatum: 7. Juni 2014
Beiträge: 98
|
Ich habe das glaube ich mit dem Tut https://wiki.ubuntuusers.de/OpenVPN/ eingerichtet. Hier steht:
um den Internet-Verkehr des Clients über den VPN-Tunnel zu lenken, muss noch folgende Zeile aktiviert werden (Semikolon am Beginn entfernen): push "redirect-gateway def1 bypass-dhcp" Wenn ich das jetzt richtig verstanden habe, darf ich das nicht ausführen, und dann funktioniert alles wie ich mir das vorstelle?
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
wacken schrieb: push "redirect-gateway def1 bypass-dhcp"
Wenn ich das jetzt richtig verstanden habe, darf ich das nicht ausführen, und dann funktioniert alles wie ich mir das vorstelle?
Im ersten Absatz des Links im meinem Vorposting steht: By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN. In certain cases this behavior might not be desirable....
Das ist eindeutig und beschreibt das Standardverhalten. Und es bedeutet, Du kannst das Standardverhalten ändern, wenn Du das möchtest. Der "gepushte" Redirect des Gateways wäre eine solche Änderung - die Du aber momentan nicht möchtest.
|
wacken
(Themenstarter)
Anmeldungsdatum: 7. Juni 2014
Beiträge: 98
|
Perfekt.
Danke euch nochmal für die Hilfe. Ich probiere das dann mal aus.
|