Reihner
Anmeldungsdatum: 14. Juni 2017
Beiträge: 157
Wohnort: Klendathu
|
Ich habe in letzter Zeit festgestellt das viele offene W-Lan-Netzwerke sehr rigoros blocken. und da scheinbar fast alles was nicht "normales" internet ist. OpenVPN, L2TP/IPsec, L2TP-Xauth, selbst pptp, alles wird geblockt. die verantwortlichen für die netzwerke wissen natürlich von gar nichts. sie haben das irgendwo zugekauft und wissen im allgemeinen weder was ein Port ist noch was Protokolle sind. die frage ist nun welches protokoll/port sollte ich nutzen damit mein OpenVPN dennoch funktioniert UND ich davon keine sicherheitsrisiken für das eigene netzwerk befürchten muss?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5350
|
Wenn du OpenVPN und Konsorten auf Port 40 oder 443 nutzt, hast du schon wesentlich groessere Chancen durchzukommen, aber nur bei normalen Portblockaden. Wenn die Infrastruktur auch noch deep packet inspection macht, dann wirds kompliziert ☺
|
Reihner
(Themenstarter)
Anmeldungsdatum: 14. Juni 2017
Beiträge: 157
Wohnort: Klendathu
|
ist der Port443 (auf dem protokol TCP) nicht für https "reserviert"? besteht dann eine gefahr wenn ich den in meinen router weiterleiten lasse? ist "deep packet inspection" nicht eigentlichen verboten?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5350
|
Reihner schrieb: ist der Port443 (auf dem protokol TCP) nicht für https "reserviert"?
443 ist der standardmaessig dafuer genutzte und reservierte Port, ja. besteht dann eine gefahr wenn ich den in meinen router weiterleiten lasse?
Wie sieht dein Netzwerksetup denn aus? Ich dachte bisher es ginge darum, dass du in fremden oeffentlichen WLANs OpenVPN nutzen willst? ist "deep packet inspection" nicht eigentlichen verboten?
Ich weiss jetzt nicht um welche Rechtslage es dir im Speziellen geht, und bin weiters kein Jurist, aber das wird von vielen Firewalls und aehnlichem Schnickschnack gemacht.
|
Reihner
(Themenstarter)
Anmeldungsdatum: 14. Juni 2017
Beiträge: 157
Wohnort: Klendathu
|
besteht dann eine gefahr wenn ich den in meinen router weiterleiten lasse?
Wie sieht dein Netzwerksetup denn aus? Ich dachte bisher es ginge darum, dass du in fremden öffentlichen WLANs OpenVPN nutzen willst?
ich habe eine öffentliche und statische IP-adresse, eine fritz!box7490 und dahinter eine synology diskstation mit OpenVPN-Server. der OpenVPN-Server läuft auf der zweiten LAN-Schnittstelle. die mögliche gefahr sehe/vermute ich darin das eine feindliche anfrage nicht von der firewall abgefangen wird
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5350
|
Reihner schrieb: die mögliche gefahr sehe/vermute ich darin das eine feindliche anfrage
Welchen Unterschied siehst du in freundlich und feindlich? Wie kann diese von der Firewall unterschieden werden? nicht von der firewall abgefangen wird
Was macht die Firewall? Und warum ist dies nur dann relevant, wenn du den Port 443 nutzt und nicht einen anderen?
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Es gibt auch Optionen welche OpenVPN und HTTPS auf dem gleichen Port erlauben, möglich wird das durch die unterschiedlichen Header nach dem Connect. Wirf mal einen Blick auf die --port-share Option in der Manpage. mfg Stefan
|
Reihner
(Themenstarter)
Anmeldungsdatum: 14. Juni 2017
Beiträge: 157
Wohnort: Klendathu
|
wenn ich tcp443 nutze und dies ganz normal über den browser ansteuere antwortet das NAS mit "�@¯ß.+Æ:�����" oder es wird eine "ungültige Antwort gesendet". andererseits wird dabei die anmeldung im netzwerk umgangen tcp40 und udp40 schaffen keine abhilfe, das problem bestehen. udp443 lässt sich seltsamer weise nicht einrichten.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5350
|
Reihner schrieb: wenn ich tcp443 nutze und dies ganz normal über den browser ansteuere antwortet das NAS mit "�@¯ß.+Æ:�����" oder es wird eine "ungültige Antwort gesendet".
Mit oder ohne Portshare? andererseits wird dabei die anmeldung im netzwerk umgangen
Welche Anmeldung? udp443 lässt sich seltsamer weise nicht einrichten.
Weil?
|
Reihner
(Themenstarter)
Anmeldungsdatum: 14. Juni 2017
Beiträge: 157
Wohnort: Klendathu
|
sebix schrieb: Reihner schrieb: wenn ich tcp443 nutze und dies ganz normal über den browser ansteuere antwortet das NAS mit "�@¯ß.+Æ:�����" oder es wird eine "ungültige Antwort gesendet".
Mit oder ohne Portshare?
Ich habe nicht die geringste Ahnung. Das Interface dafür sieht so aus ... wie binde ich hier Bilder ein? ich hoffe der Anhang kommt mit hoch zugegriffen über SSH kann ich den Befehl --port-share dafür nicht ausführen und weis auch nicht welchen ich sonst benutzen könnte sebix schrieb: andererseits wird dabei die anmeldung im netzwerk umgangen
Welche Anmeldung?
in den meisten öffentlichen Netzwerken muss man sich "anmelden"
da kommt halt eine anmeldeseite mit:
hier ankreuzen obwohl ich die agb nie gelesen habe und diese jedem scheis egal sind u.u. datenschutz anhacken obwohl den auch keiner liest "ich stimme zu", "ich bestätige XYZ", "jetzt anmelden"
das kann man so in den meisten fällen umgehen.
natürlich ist mir bewusst das die "verwalter" des öffentlichen netzwerks dies überhaupt nicht mögen sebix schrieb: udp443 lässt sich seltsamer weise nicht einrichten.
Weil?
wenn ich das wüsste ... es scheint aber etwas damit zu tun zu haben das dass NAS zwei ethernetports hat. auf port1 kommen die daten rein und auf port2 gehen diese raus. diese problem ist scheinbar jedoch nur bei udp443 der fall udp1194 geht problemlos
- Bilder
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5350
|
Reihner schrieb: sebix schrieb: Reihner schrieb: wenn ich tcp443 nutze und dies ganz normal über den browser ansteuere antwortet das NAS mit "�@¯ß.+Æ:�����" oder es wird eine "ungültige Antwort gesendet".
Mit oder ohne Portshare?
Ich habe nicht die geringste Ahnung. Das Interface dafür sieht so aus ... wie binde ich hier Bilder ein? ich hoffe der Anhang kommt mit hoch zugegriffen über SSH kann ich den Befehl --port-share dafür nicht ausführen und weis auch nicht welchen ich sonst benutzen könnte
Die Verwendung von --port-share ist in der Manpage von openvpn beschrieben.
|