OpnVPN über TCP 443

Started by PiMas, January 05, 2021, 09:49:46 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
January 05, 2021, 09:49:46 PM
Hallo

Ich möchte den OpnVPN Dienst auf TCP 443 umkonfigurieren. Allerdings habe ich auf 443 bereits meine Nextcloud am laufen. Diese ist via HAProxy eingerichtet, nach dieser Anleitung: https://schulnetzkonzept.de/opnsense.

Ist es überhaupt möglich, OpnVPN auch noch über 443 zu betreiben?

lg
January 05, 2021, 10:08:35 PM #1 Last Edit: January 05, 2021, 10:11:01 PM by chemlud
Warum soll denn der Tunnel über den Port für HTTPS aufgebaut werden? Man kann doch irgendeinen Port (12345? whatever...) verwenden.

https://serverfault.com/questions/391887/running-multiple-services-on-one-port-443-is-possible
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 05, 2021, 10:45:44 PM #2
Es gibt halt Netze wo nur 80 & 443 erlaubt sind.
January 05, 2021, 11:34:43 PM #3
Die Firewall kann Anhand des eingehenden Interfaces, des Ports und des Protokolls entscheiden wie ein Paket behandelt wird.

Wenn auf Interface WAN, Port 443, Protokoll TCP der HA Proxy die Weiterleitung des Pakets erhält, hast du immer noch die Möglichkeit mit Interface WAN, Port 443, Protokoll UDP das OpenVPN Paket an den OpenVPN Server in der Opnsense zu senden.
Hardware:
DEC740
January 06, 2021, 06:40:34 AM #4
Es gibt das Programm sslh zum splitten, allerdings nur via cli, ohne plugin
January 06, 2021, 01:30:36 PM #5
Danke für eure Antworten.

Wenn in einem eingeschränkten Netz nur 443/TCP freigegeben ist, reicht die Lösung via UDP leider auch nicht.

Gibt es denn mit dem HAProxy eine Möglichkeit zu "splitten"?
January 06, 2021, 04:21:16 PM #6
Nicht das ich wüsste, glaub der kann nur http oder TCP.
January 06, 2021, 04:54:35 PM #7
Quote from: PiMas on January 06, 2021, 01:30:36 PM

Wenn in einem eingeschränkten Netz nur 443/TCP freigegeben ist, reicht die Lösung via UDP leider auch nicht.


Wer betreibt denn sowas? Schulen?
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 06, 2021, 05:03:55 PM #8
Hotels zB. Schon mehr als einmal erlebt.
January 06, 2021, 06:31:36 PM #9 Last Edit: January 06, 2021, 07:06:37 PM by lewald
Rein theoretisch geht das.

Open Vpn kann ja TCP und dann auch port 443.

Mit Pfsense hat jemand sowas schon gebaut.

https://forum.netgate.com/topic/149715/haproxy-with-openvpn-over-tcp-443-on-pfsense

Ich habe auch tricks gesehen die das via Port 53 machen. Da ginge auch udp und das ist auch offen (meistens).

Mit 443 auf haproxy braucht es halt idealerweise eine subdomain für vpn und eine für den webserver.

Zum Beispiel vpn.domain.de und www.domain.de. Damit der haproxy auf die backend verteilen kann.

PS: Bei einem Kunden von uns macht der Softwaredienstleister das OpenVPN via 443 und TCP.
Ob da ein Proxy am anderen Ende ist weiß ich allerdings nicht.

Je nach Firewall hilft das aber eben auch nicht. Weil es gibt durchaus Produkte die eine Protoll Inspection machen. Heißt die schauen ob das typische Protokoll für einen Port auch genutzt wird. Weicht es ab verhindern die das. Ich kenne das aus den von uns bisher verwendten  kommerziellen Produkten. Da gibst sowas wie erkenne Tunnel auf anderen Ports.
January 06, 2021, 06:50:42 PM #10
...wenn (nicht) 53 geht, warum nicht vielleicht 123? :-)
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 06, 2021, 08:20:55 PM #11
Quote from: lewald on January 06, 2021, 06:31:36 PM
Rein theoretisch geht das.

Open Vpn kann ja TCP und dann auch port 443.

Mit Pfsense hat jemand sowas schon gebaut.

https://forum.netgate.com/topic/149715/haproxy-with-openvpn-over-tcp-443-on-pfsense

Ich habe auch tricks gesehen die das via Port 53 machen. Da ginge auch udp und das ist auch offen (meistens).

Mit 443 auf haproxy braucht es halt idealerweise eine subdomain für vpn und eine für den webserver.

Zum Beispiel vpn.domain.de und www.domain.de. Damit der haproxy auf die backend verteilen kann.

PS: Bei einem Kunden von uns macht der Softwaredienstleister das OpenVPN via 443 und TCP.
Ob da ein Proxy am anderen Ende ist weiß ich allerdings nicht.

Je nach Firewall hilft das aber eben auch nicht. Weil es gibt durchaus Produkte die eine Protoll Inspection machen. Heißt die schauen ob das typische Protokoll für einen Port auch genutzt wird. Weicht es ab verhindern die das. Ich kenne das aus den von uns bisher verwendten  kommerziellen Produkten. Da gibst sowas wie erkenne Tunnel auf anderen Ports.

Hallo lewald

Das Problem mit Protoll Inspection muss ich wohl in Kauf nehmen, für den Rest klingt das nach einer Lösung.

Ich habe für VPN und Web zwei verschiedene Subdomains.

Da ich zu wenig Erfahrung mit HAProxy habe, verstehe ich die Logik der Anleitung von netgate.com nicht. Reicht es "frontend TCP_HTTPS"  & "backend pfsense_openvpn_tcp_1194_ipvANY" zum meiner bestehenden Konfig hinzuzufügen?

lg
January 07, 2021, 03:38:40 PM #12
Quote from: PiMas on January 06, 2021, 08:20:55 PM
Quote from: lewald on January 06, 2021, 06:31:36 PM
Rein theoretisch geht das.

Open Vpn kann ja TCP und dann auch port 443.

Mit Pfsense hat jemand sowas schon gebaut.

https://forum.netgate.com/topic/149715/haproxy-with-openvpn-over-tcp-443-on-pfsense

Ich habe auch tricks gesehen die das via Port 53 machen. Da ginge auch udp und das ist auch offen (meistens).

Mit 443 auf haproxy braucht es halt idealerweise eine subdomain für vpn und eine für den webserver.

Zum Beispiel vpn.domain.de und www.domain.de. Damit der haproxy auf die backend verteilen kann.

PS: Bei einem Kunden von uns macht der Softwaredienstleister das OpenVPN via 443 und TCP.
Ob da ein Proxy am anderen Ende ist weiß ich allerdings nicht.

Je nach Firewall hilft das aber eben auch nicht. Weil es gibt durchaus Produkte die eine Protoll Inspection machen. Heißt die schauen ob das typische Protokoll für einen Port auch genutzt wird. Weicht es ab verhindern die das. Ich kenne das aus den von uns bisher verwendten  kommerziellen Produkten. Da gibst sowas wie erkenne Tunnel auf anderen Ports.

Hallo lewald

Das Problem mit Protoll Inspection muss ich wohl in Kauf nehmen, für den Rest klingt das nach einer Lösung.

Ich habe für VPN und Web zwei verschiedene Subdomains.

Da ich zu wenig Erfahrung mit HAProxy habe, verstehe ich die Logik der Anleitung von netgate.com nicht. Reicht es "frontend TCP_HTTPS"  & "backend pfsense_openvpn_tcp_1194_ipvANY" zum meiner bestehenden Konfig hinzuzufügen?

lg

Hast du bereits einen HAProxy am laufen?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
January 07, 2021, 04:32:32 PM #13
Hi Ifirewall1234

Ja, HAProxy läuft bereits.
Meine aktuelle Konfiguration entspricht dem Punkt "Reverse-Proxy" von hier: https://schulnetzkonzept.de/opnsense
Damit wird Nextcloud zugänglich gemacht.
January 07, 2021, 04:35:08 PM #14
Quote from: PiMas on January 07, 2021, 04:32:32 PM
Hi Ifirewall1234

Ja, HAProxy läuft bereits.
Meine aktuelle Konfiguration entspricht dem Punkt "Reverse-Proxy" von hier: https://schulnetzkonzept.de/opnsense
Damit wird Nextcloud zugänglich gemacht.

Würde es dann wie folgt versuchen

OpenVPN auf dem Standard Port laufen lassen. Im HAProxy eine Regel einrichten für "Host enthält vpn.domain.de" und als Backend dann auf deinen VPN Server.

Die Regel dann im öffentlichen Bereich des HAProxys hinterlegen.

Denke das sollte dann laufen
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1 2
User actions