Topic: SME 7 und openVPN

[capri]

Wenn man einen Router mit DSL Modem hat, muss man ihn zur Verwendung als DSL-Modem konfigurieren (der ist dann kein Router mehr und bridged alles weiter).

Das stimmt so nicht!!

Bei mir ging es mit einigen DSL Modem Routern von Netgear.

Es ist darauf zu achten das der Router die relevanten Ports an die Adresse der externen Schnittstelle des SME Servers leitet dann geht das auch.

[psc]

Wenn man einen Router mit DSL Modem hat, muss man ihn zur Verwendung als DSL-Modem konfigurieren (der ist dann kein Router mehr und bridged alles weiter).

Das stimmt so nicht!!

Bei mir ging es mit einigen DSL Modem Routern von Netgear.

Es ist darauf zu achten das der Router die relevanten Ports an die Adresse der externen Schnittstelle des SME Servers leitet dann geht das auch.

Also dann mal so:
Wenn man einen Router mit DSL Modem hat und die Installation des SME ordentlich machen will, muss man ihn zur Verwendung als DSL-Modem konfigurieren (der ist dann kein Router mehr und bridged alles weiter).
[/b]

Natürlich funktioniert "es" auch mit Routern und Portweiterleitungen, das ist aber imho Pfusch !

[stefan24]

Bei mir läuft OpenVPN jetzt!

Massive Probleme gab es mit der Weiterleitung des UDP Ports 1194 durch die AVM Fritzbox auf den SME 7 Server, der als Server only läuft, wobei ich nicht sagen kann, wo der Fehler lag. Nach Umstellung auf TCP, Weiterleiten des TCP Ports 1194 von dem AVM Router und der Freischaltung dieses TCP Ports auf dem SME Server klappt der Zugriff von einem anderen DSL-Netz problemlos.

Vorgehensweise:

Exakt nach dem Howto von Jesper Knudsen (auf www.smeserver.de/download/sme7/contribs/openVPN/ "etwas" druckerfreundlicher, hier sind auch alle erforderlichen Dateien zu finden), wobei ich allerdings statt UDP TCP verwendet habe.
Die SME-Server, die direkt als Server und Gateway im Internet stehen oder die einen anderen Hardware-Router benutzen, könnten auch mit UDP problemlos zurechtkommen. UDP ist auch eher zu empfehlen (irgendwo auf http://www.openvpn.net steht dazu auch eine Begründung), deshalb probiert zuerst das aus.

Mein Install Script (s. URL oben) nimmt etwas Handarbeit ab, ist aber nicht unbedingt erforderlich.

Wenn der Server als Server Only läuft, muss man irgendwann im Lauf der Installation mit folgenden Befehlen den Port freischalten:

Code: [Select]

config set openvpn service status enabled access public UDPPort 1194
signal-event remoteaccess-update


Die Meldung  beim Starten des OpenVPN "SIOCDELRT: No such process" sollte übrigens kein Problem sein. Soweit ich herausgefunden haben, kommt die beim Löschen von Routen und beim Start wird die Route auf das virtuelle Netz 192.168.100.0 gelöscht, existiert aber IMHO zu diesem Zeitpunkt gar nicht.

Logs stehen nicht (wie man vermuten könnte) in /var/log/openvpn, sondern in der /var/log/messages. Im ersteren Verzeichnis findet man die Logins bzw. Login Versuche der VPN User.

Bei der Client Anmeldung muss man einen Benutzer und Passwort angeben. Ich denke, es reicht ein beliebiger angelegter Benutzer, allerdings nicht root oder admin (es wird auf User ID > 5000 geprüft).

Zugriffe auf das interne Netz sind möglich (inkl. /server-manager), ein net use hat zumindest über net use x: \\ip-adresse\sharename problemlos geklappt.

Vorsicht! Es gibt (siehe Heise Newsticker) seit kurzem eine neue OpenVPN Version 2.06, die eine kleinere Sicherheitslücke behebt. Ich habe noch nicht nach einem neuen RPM Paket für den SME Server gesucht, demnächst sollte aber etwas verfügbar sein.

Noch Fragen?

[capri]

Natürlich funktioniert "es" auch mit Routern und Portweiterleitungen, das ist aber imho Pfusch !

Fast jeder  Sicherheitsleitfaden für Serverbetrieb erwähnt das ein externer Firewall (Rechner/FW Router) einem Internen vorzuziehen ist, bei mir läufts seit drei Jahren so, das zusäzlich zum Internen Firewall eine ein Netgear FR328S ProSave Firewwallrouter nochmal nach Außen absichert, Probleme gab es dabei weder mit W2K3 Server, Gentoo, Debian, SuSe noch mit SME Server.

Was an der Router Lösung Pfusch sein soll verstehe ich nicht, die meißten Router arbeiten Intern mit Iptables, also den gleichen Mechanismus wie die meißten Linux Firewalls, mir sind nur Router die auch einen Schutz auf Applikationsebene verwenden zu Teuer drum laß ich diese Ebene dann doch den Server machen (SeLinux), auch wenn es Besser wäre wenn diese Aufgabe auch der FW Router übernimmt.

Zu Testzwecken habe ich jetzt mal den SME Server 7.0 (Neuinstallation) ohne Router nur mit DSL Modem betrieben, nach Außen war er gleich schnell wie mit Router, greift man aber vom internen Netzwerk auf das Internet zu ist subjektiv deutlich eine Verzögerung bei der Domainauflösung zu erkennen.


Ansonsten Thanx an Stefan, wiedermal eine prima Anleitung von ihm für den VPN Zugang!

[psc]

Fast jeder  Sicherheitsleitfaden für Serverbetrieb erwähnt das ein externer Firewall (Rechner/FW Router) einem Internen vorzuziehen ist, bei mir läufts seit drei Jahren so, das zusäzlich zum Internen Firewall eine ein Netgear FR328S ProSave Firewwallrouter nochmal nach Außen absichert, Probleme gab es dabei weder mit W2K3 Server, Gentoo, Debian, SuSe noch mit SME Server.

Warum soll das auch Probleme bereiten ?
Das Problem ist, da JEDER Router der auch nur ansatzweise Packetfilter bietet dick und fett Firewall auf die Packung druckt ... und leider "Otto Normalanwender" denkt "was gedruckt ist muss ja auch stimmen".
Application Proxy´s sind hier ein äußert wichtiger Punkt.

Was an der Router Lösung Pfusch sein soll verstehe ich nicht, die meißten Router arbeiten Intern mit Iptables, also den gleichen Mechanismus wie die meißten Linux Firewalls, mir sind nur Router die auch einen Schutz auf Applikationsebene verwenden zu Teuer drum laß ich diese Ebene dann doch den Server machen (SeLinux), auch wenn es Besser wäre wenn diese Aufgabe auch der FW Router übernimmt.

Wie gesagt, ein Paketfilter ist nur ein Teil einer Firewall.

Zu Testzwecken habe ich jetzt mal den SME Server 7.0 (Neuinstallation) ohne Router nur mit DSL Modem betrieben, nach Außen war er gleich schnell wie mit Router, greift man aber vom internen Netzwerk auf das Internet zu ist subjektiv deutlich eine Verzögerung bei der Domainauflösung zu erkennen.

Wenn es eine "deutliche" Verzögerung nach mehrfachem Verwenden einer Adresse ist, ist wohl was falsch konfiguriert. Ansonsten: Mehr (und bessere) Firewall-Prüfungen dauert halt (i.d.R. minimal) länger.
------------------------
Denkbar ist natürlich auch eine andere dennnoch sichere Konfiguration:

Der Router macht weiter wie bisher und hat z.B. eine interne IP: 192.168.1.1.
Der SME wird auf Server und Gateway mit fester IP konfiguriert:
externe IP: 192.168.1.2 Gateway 192.168.1.1
interne IP: 192.168.2.1

Der Router wird also (auf der internen) Seite mit einem Cross-Over Kabel an die externe Schnittstelle des SME angeschlossen.
Die andere (also interne) Schnittstelle des SME geht zum internen Switch.

Alle LAN Clients kennen nur noch den SME.

Alle Standard Funktionen gehen jetzt schon.

Für alles andere einzelne (oder alle !) Ports vom Router auf den SME forwarden.

Immer wenn ich SME schreibe kann man jederzeit auch z.B. eine IPCop, ClarkConnect o.ä. verwenden.

[capri]

Der Router macht weiter wie bisher und hat z.B. eine interne IP: 192.168.1.1.
Der SME wird auf Server und Gateway mit fester IP konfiguriert:
externe IP: 192.168.1.2 Gateway 192.168.1.1
interne IP: 192.168.2.1

Eben, genauso läufts bei mir, nur das kein Crossover Kabel nötig ist wozu auch, der Router diehnt ja nur als externes Firewall und es ist, außer mal zu Testzwecken, nur die externe Schnittstelle des SME angeschlossen, für das interne Netzwerk werkelt ein 1000Mbps Switch.

Hatte einige Lösungen durchgespielt, aber die Verwendete kam mir am sichersten und sinnvollsten vor.

Vielleicht noch ein kleiner Vorteil auch die Dienste die im Internet bereitgestellt werden (HTTP/S, POP3, IMAP usw.) laufen intern auf einer anderen IP als der offiziellen Statischen unter der die Domainen zu erreichen sind.

Der Geschinwidkeitsvorteil kann daher rühren das der FR328S einen schnellen RISC Prozessor hat, der Paketadressierung und -filterung schneller bewältigt, aber auch ein DG834B hat sich recht performant geschlagen.

[psc]

Eben, genauso läufts bei mir, nur das kein Crossover Kabel nötig ist wozu auch, der Router diehnt ja nur als externes Firewall und es ist, außer mal zu Testzwecken, nur die externe Schnittstelle des SME angeschlossen, für das interne Netzwerk werkelt ein 1000Mbps Switch.
....
Der Geschinwidkeitsvorteil kann daher rühren das der FR328S einen schnellen RISC Prozessor hat, der Paketadressierung und -filterung schneller bewältigt, aber auch ein DG834B hat sich recht performant geschlagen.

Ohne Crossover ist der Router direkt an das interne Netz angeschlossen, eben davon rate ich jedoch ab, da der Router KEINE Firewall ist sonder nur Firewall-Funktionalitäten bietet.
Für den Hobby Anwender sicherlich genug, jedoch keinesfalls im professionellen Einsatzbereich, in dem sich ein SME Server durchaus zu Hause fühlt.

Der Geschwindigkeitsvorteil ist logisch da, so ein Router macht ja auch nur einen Bruchteil der Arbeit einer Firewall.

[capri]

Ich vermute du verwechselst da was?

Es gibt Firewall Router und Firewall Router, der FR328 ist imho im mittleren Bereich zu sehen, ihm fehlt nur Hardware VPN Tunneling und ein Application Firewall, wer ein Application Firewall warten muß wird aber wissen, das es mit den Vorhandensein nicht getan ist, sondern das da laufend Arbeit anfällt die nicht gerade Trivial ist.

Bisher konnte der FR328 recht gut filtern, keine Meldung des internen Firewalls, nur gab es eine Zeit vor ein paar Monaten, da versuchten 'Scherzbolde' Sin Flood Attacken, die er aber erkannte und abblockte.

Das ein Firewallrouter der mit den Server über WLAN verbunden ist keinen Sinn macht dürfte bekannt sein, aber 100% Sicherheit gibts halt nur wenn man den Netzstecker zieht

[capri]

Was passieren kann wenn man SME Server 7.0rc1 ohne vorgeschaltenen guten Firewall Router, also nur mit DSL Modem betreibt, siehe den anderen neuen Beitrag von mir.

[psc]

Was passieren kann wenn man SME Server 7.0rc1 ohne vorgeschaltenen guten Firewall Router, also nur mit DSL Modem betreibt, siehe den anderen neuen Beitrag von mir.

Das ist nun wieder völliger Unsinn. Nicht alles was hinkt ist automatisch auch ein Vergleich. Ein ordentlich konfigurierter SME ist eine vollständige Firewall und auch reichlich im Einsatz. Auf welchem Gerät wurde das von Dir selbst installierte Root-Kit doch gleich wieder erkannt ?

Mit ist immer noch kein Fall bekannt, bei der ein "gepflegte" SME Server "geknackt" wurde.

Wenn man natürlich, wie hier passiert, selbst ein root-kit installiert ist alles verloren, es spricht nichts gegen Erweiterungen des SME, aber bitte nur wenn man auch genau weiss was man da macht.

Es ist diese Window$ Mentaliät, einfach mal als Zauberlehrling testweise alles installieren was möglichst bunt und neu ist, die root-kits und Co. Tür und Tor öffnet.

...sondern das da laufend Arbeit anfällt die nicht gerade Trivial ist.

Richtig !

So, jetzt langt es mir aber mit dem Thema, ich klinke mich hier aus.

[capri]

Ein ordentlich konfigurierter SME ist eine vollständige Firewall und auch reichlich im Einsatz. Auf welchem Gerät wurde das von Dir selbst installierte Root-Kit doch gleich wieder erkannt ?

Wie soll auch ein externes Sicherheitsgerät ein RootKit auf einen dahintergeschalteten Rechner erkennen? Das ginge doch, wenn überhaupt, höchstens mit einem eigenbauten Application Firewall und das auch nur wenn der AF auf den aktuellsten Stand ist.

Und warum wird jeder erfahrene Admin sagen "Ein externes Firewall (Rechner/Sicherheitsrouter)" ist einem Internen auf jeden Fall vorzuziehen"?
Ist doch ganz einfach, ist der Schädling mal auf dem Server hat er mehr Möglichkeiten den Schutz auszuhebeln als wenn er schon Vorher abgefangen wurde, auf einem Gerät auf den sonst keine Dienste außer denen für die Sicherheit laufen und in dem kein Medium ist auf den Daten gespeichert werden können.

Ich dachte das sei Allgemein bekannt?

Mit ist immer noch kein Fall bekannt, bei der ein "gepflegte" SME Server "geknackt" wurde.

Mir auch nicht, aber ist es nicht so das sich Viele schämen zuzugeben das sie gehackt wurden? Kann man doch dann nicht mehr mit seinem 'sicheren Server' prahlen und schließlich sind die meißten Probleme nicht von der Software her sondern im weiteren Sinne Fehler des Admins, ich möchte mich da auf keinen Fall ausnehmen

Dabei wäre es hilfreicher wenn man es zugibt und die gefundenen Daten auswertet, damit der Schutz verbessert werden kann.

Alles ist Hackbar, wissen wir doch spätestens seit Hackbar the Lion

Wenn man natürlich, wie hier passiert, selbst ein root-kit installiert ist alles verloren, es spricht nichts gegen Erweiterungen des SME, aber bitte nur wenn man auch genau weiss was man da macht.

Woher willst du bitte wissen das ich selbst Schuld, bin ich habe nicht viele Erweiterungen eingebaut sme7admin und Testweise die Caprisuite das wars, das Jamoola wurde in einen lokalen Ibay aus einer Originalen sauberen Datei installiert, einzig deutsche Sprache wurde über das Jamoola System direkt nachinstalliert.

Nach dem Hack wurden die maßgeblichen Passwörter geändert und natürlich der Schädling, soweit gefunden, entfernt, und Jetzt wieder ein kleiner Hack auf eine andere meiner Seiten, diese Seite lief zuvor auf einen W2K3 Server über 2 Jahre ohne einen Angriff der durchkam.

Es ist diese Window$ Mentaliät, einfach mal als Zauberlehrling testweise alles installieren was möglichst bunt und neu ist, die root-kits und Co. Tür und Tor öffnet.

Sorry, aber schön Langsam habe ich die Schn*** voll von den PHP CMS Zeugs das Zugriff auf das Dateisystem erlaubt (Stichwort 777 Verzeichnisse, openbasdir etc.)

[irian]

Code: [Select]

+-----+
| DSL |
|Modem|
+-----+
   |
   |
   |
   |
   |eth1
+------+       +-------+         +---+
|  SME |eth0   |LAN    |---------|PC1|
|Server|-------|Switch |         +---+
+------+       |od. Hub|-------+
               +-------+       | +---+
                               +-|PC2|
                                 +---+

Kann jemand immerhin mal erklaeren wie mann es konfiguriert mit einen Modem-Router und SME in Server Only Mode?
Da der dsl account einen dynamischen IP hat, ist auch noch dyndns installiert.

Ich versuche dann als Roadwarrior von einen anderen Lan (aendert staendig, aus verschiedene orten in Europa) zugang zu bekommen.

Oder geht das gar nicht?

Gruss,
Irian

[capri]

Das Bild zeigt aber eine typische Server - Gateway Situation.

Es gibt verschiedene Wege dein Vorhaben zu realisieren, der wohl Gebräuchlichste wäre nur einen VPN Zugriff von Außen auf den Server zu erlauben und alle anderen Ports dicht machen, eine vernüftige Lösung wäre da imho statt ein Modem einen guten DSL Router mit integriertem VPN einzusetzen, den die SME7 Sicherheit trägt nur solang man keine 'Löcher' aufreißt und das ist bei einer fehlerhaften VPN Einstellung schnell geschehen.

Was auch öfter Verwendung findet alles benötigten Dienste über SSH zu tunneln, was aber von der Einrichtung her etwas schwieriger ist.

[DaJackel]

Hallo!
Vielleicht hilft das jemanden:

http://sme.firewall-services.com/HowtoOpenVPN.pdf