OPNsense Forum

International Forums => German - Deutsch => Topic started by: titzi266 on March 27, 2017, 09:27:24 am

Title: OpenVPN welcher Port?
Post by: titzi266 on March 27, 2017, 09:27:24 am
Hi,

ich benutze zur Zeit OpenVPN auf 1194/UDP (dem OpenVPN Standard Port).
Ich suche allerdings einen "sinnvolleren" Port. 1194/UDP ist oft in public WLANs über Firewalls geblockt und damit ist dann kein VPN möglich.
Welchen Port würdet ihr denn empfehlen? Bräuchte irgendein Port, der "immer" frei ist.

Auf 443/TCP habe ich einen nginx laufen.

Grüße
Titzi266
Title: Re: OpenVPN welcher Port?
Post by: theq86 on March 27, 2017, 10:14:14 am
Theoretisch kannst du dafür jeden Port verwenden, bspw. auch Port 80. Über Sinn und Unsinn darüber lässt sich streiten. Ich persönlich würde es vermeiden Dienste auf "fremde well-known Ports" zu binden, da diese ja durchaus einen Zweck erfüllen.

Nimmst du Port 80/443 für deinen OpenVPN Server, so musst du zum Surfen dann eben über nen Proxy hinter dem VPN gehen. Was in nem öffentlichen WLAN ohnehin zu empfehlen wäre. Von daher wären die HTTP Ports für mich auch die "sinnvollsten" Möglichkeiten.
Title: Re: OpenVPN welcher Port?
Post by: fabian on March 27, 2017, 10:31:42 am
Würde dir raten, 443/TCP zu nehmen, das funktioniert üblicherweise gut und du kannst in OpenVPN die HTTPS-Anfragen an einen Webserver weiterleiten (so du einen betreibst) . Das einzige was darunter leidet, sind die Protokolle, weil dann überall beim Webserver die lokale IP drin steht. Geht natürlich auch umgekehrt (Webserver vorne, OpenVPN hinten).
Title: Re: OpenVPN welcher Port?
Post by: titzi266 on March 28, 2017, 08:54:04 am
Danke. Ich glaube ich versuche OpenVPN auf 444/TCP lauschen zu lassen und den nginx Anfragen auf vpn.[domain] weiterleiten zu lassen an die OPNsense DMZ IP auf 444.
So kommen Anfragen per 443/TCP rein, zum nginx und von dort zum OpenVPN.
Title: Re: OpenVPN welcher Port?
Post by: chemlud on March 28, 2017, 11:01:23 am
Blöde Frage: Gibt es einen "guten" Grund, nicht z.B. Port 22222 zu nehmen? Oder port 31313?
Title: Re: OpenVPN welcher Port?
Post by: fabian on March 28, 2017, 11:46:46 am
Für das setup ist es ziemlich egal. Wichig ist nur, das der Client den Port 443 verwendet.
Title: Re: OpenVPN welcher Port?
Post by: JeGr on March 28, 2017, 01:19:02 pm
Danke. Ich glaube ich versuche OpenVPN auf 444/TCP lauschen zu lassen und den nginx Anfragen auf vpn.[domain] weiterleiten zu lassen an die OPNsense DMZ IP auf 444.
So kommen Anfragen per 443/TCP rein, zum nginx und von dort zum OpenVPN.

Macht gerade für mich gar keinen Sinn? Wozu den OpenVPN dann auf 444 laufen lassen, dann kannst du ihn auch einfach an localhost binden. Warum übrigens nicht andersherum? OpenVPN hat ja explizit die Möglichkeit Verbindungen als Proxy zu beantworten, die nicht VPN sind. Dazu muss dann auch keine Subdomain o.ä. herhalten. Einfach OpenVPN auf 443/tcp hören lassen und als Custom Commands des Servers noch

port-share x.x.x.x 443

für die IP, wo die restlichen Zugriffe auf 443 hin sollen.
Title: Re: OpenVPN welcher Port?
Post by: fabian on March 28, 2017, 03:19:02 pm
Der Unterschied ist, wer die Client-IP-Adresse sieht (erster Server). Der zweite Server sieht eine IP-Adresse des vorherigen Servers. Wenn das bei dem Protokollen nicht stört, ist es egal, wer zuerst kommt.
Title: Re: OpenVPN welcher Port?
Post by: titzi266 on March 28, 2017, 03:49:19 pm
Genau da liegt mein Problem beim Port-Share. Soweit ich weiß, würde ich dann am Web-Server in den Logs die IP von OPNsense / OpenVPN sehen, statt der externen IP. Oder kann man die original IP durchreichen an den Web-Server?

Kann ich im OPNsense Webinterface Einstellungen wie port-share x.x.x.x 443 setzten oder geht das nur auf der Shell im OpenVPN Config file?
Title: Re: OpenVPN welcher Port?
Post by: titzi266 on March 28, 2017, 06:53:11 pm
Ok, es lässt sich direkt im Webinterface hinterlegen.
Unter Advanced habe ich nun folgendes beim OpenVPN Server:
keepalive 1800 3600;
push "redirect-gateway def1 bypass-dhcp";
port-share 10.2.0.6 443;

Allerdings kommt so tatsächlich in den Logs des Webservers die IP von OPNsense an und nicht mehr die externe IP die etwas aufruft. Außerdem dauert es ca 3 Sekunden bis die Seiten laden, da OpenVPN zu lange braucht, bis es die Anfrage weiter gibt. Etwas doof alles. Muss es doch über den nginx versuchen...
Title: Re: OpenVPN welcher Port?
Post by: titzi266 on March 29, 2017, 07:19:58 pm
Also über den nginx wird es auch schwierig, wenn man mehrere name-based vHosts auf 80 und 443/TCP betreibt, OpenVPN connections namensbasiert an OpenVPN weiterzugeben, da vom Client natürlich kein HTTP Header mit name mitgegeben wird.

Problem am port-share von OpenVPN war, dass in den Logs am nginx nur noch die IP von OPNsense sichtbar war und es ca. 3 Sekunden nach einer Client Verbindung zu einem vHost gedauert hat, bis OpenVPN es weitergereicht hat an den nginx.

Daher fallen für mich für den OpenVPN leider 80/TCP und 443/TCP raus.

Was kann man denn noch empfehlen, was in den meisten public WLANs offen ist?
Genauer gesagt geht es mir z.B. um Hotel-WLANs (auch im Ausland), öffentliche WLANs bei Starbucks usw.
80/TCP und 443/TCP wären eigentlich optimal gewesen (mal abgesehen davon, dass es TCP statt UDP ist), da diese eigentlich immer offen sind.

Was gibt es denn noch was (fast) "immer" offen ist?
53/UDP? Viele verwenden vermutlich interne DNS und haben es daher nach außen zu, oder?
21/TCP? FTP, wahrscheinlich auch oft zu, oder?
Gibt es ganz andere Ideen?
Was verwendet ihr für OpenVPN?

Wäre für Tipps dankbar. :)

Grüße
Titzi266
Title: Re: OpenVPN welcher Port?
Post by: JeGr on March 30, 2017, 09:45:47 am
> Was verwendet ihr für OpenVPN?

1194/udp normal, 443/tcp für den Ausnahmefall, genau wegen

> Genauer gesagt geht es mir z.B. um Hotel-WLANs (auch im Ausland), öffentliche WLANs bei Starbucks usw.
> Was kann man denn noch empfehlen, was in den meisten public WLANs offen ist?

Im Zweifelsfall ist bei den meisten offenen Netzen nämlich aus genau diesem Grund außer 80/443 kaum was offen, sehr viele Betreiber keine Lust haben, dass man aus deren Netzen dann irgendwelche Mailbomben zündet o.ä.
Deshalb kann man sich meist nur auf 80/443 verlassen, dass das offen ist.