Frage zur Verschlüsselung via OpenVPN

    Erstmal ein fröhliches Hallo an alle.


    Ok zu meinem Anliegen:


    Ich habe einen "vServer 1536" bei netcup (sagt man?) gemietet (werd vielleicht bald auf einen Gold upgraden aber darum geht es hier nicht).
    Dieser wird momentan und soll auch zum Großteil weiterhin für folgendes genutzt werden:


    • SVN, Ticketsystem (momentan Trac) für kleinere Projekte (Studium und privat)
    • VoIP (momentan Teamspeak)
    • einige PHP Scripte (Galleries, selbstgeschriebenes, ...)
    • ...


    Das wofür dieser vServer am meisten genutzt wird ist SVN und Trac (bei Zeiten soll auch noch ein Buildserver drauf aber ist momentan nicht nötig)
    Trac ist über https erreichbar. SVN wird momentan über SSH getunnelt (Portbinding). Ich vertrau den Leuten soweit das sie sich mit SSH verbinden dürfen (haben natürlich nur eingeschränkte Rechte und ich update auch immer (vorallem bei Bugmeldungen) aber bei Leuten denen ich nicht "trauen" würde wäre dies schon mal keine wirkliche Option), ... vielleicht der grösste Fehler.


    Das was mich etwas "nervt" ist das sobald etwas neues in die Entwicklungsache mit eingebunden werden soll (neues Ticketsystem, Buildserver, ...) man wieder schauen muss wie dies wenigstens ETWAS abgesichert wird (... Passwörter im Klartext senden geht mal garnicht).


    Deswegen hatte ich folgende Idee: OpenVPN nutzen um die Verbindung zu sichern so das jeder der "Entwickler" / Mitstudierenden sich nur ins OpenVPN einlogen muss um auf SVN und die entsprechenden Webseiten / Systeme zu gelangen.


    1. Frage:
    Geht dies überhaupt, also ist es möglich einen vServer so zu betreiben, das sich einige Leute (vorallem gleichzeitig!) per OpenVPN "einloggen" können?


    2. Frage:
    Ich hatte mir schon das Tun Device freischalten lassen und es scheint auch zu exestieren:

    Code
    ~# ifconfig -a
tun0      Protokoll:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00


    jedoch beim testen der Config oder beim Starten von OpenVPN:

    Code
    ~# openvpn --config /etc/openvpn/server_.conf
Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)

    Die Config sieht momentan nur noch so aus:

    Code
    ifconfig-noexec
route-noexec
port 1194
dev tun0

    3. Frage:
    Hat jemand eine andere Idee, wie es möglich wäre etwas aufzubauen, damit ich mich nicht mehr um die Verschlüsselung der Verbindung kümmern muss sobald etwas neues mit in die Entwicklung soll.



    MfG Maik


    EDIT: Oh ist aber viel Text geworden... Dafür hoffe ich das alle Informationen enthalten sind.

    War nicht sonst die Rede von einem Neustart? ;)


    Bei mir laufen sowohl Trac als auch SVN über HTTPS, sodass die Verbindung bei den beiden Sachen schonmal abgesichert ist. Wenn du mit Buildserver sowas wie Hudson meinst, müsste das ja auch über HTTPS gehen. Falls du Anwendungen hast, die nicht über HTTP laufen, kannst du dir Stunnel ansehen. Das wird auf dem Server installiert, der Client muss allerdings das Gegenstück dazu installieren/starten. Angenommen du hast eine Anwendung auf Port 123 laufen. Mit Stunnel würde der Client sich nicht auf den Server verbinden, sondern auf localhost:456 (je nachdem, wie der Stunnel-Client eingestellt ist). Von dort wird eine SSL-Verbindung zum Server aufgemacht, allerdings nicht direkt zu Port 123 (da ja das Programm damit nichts anfangen kann), sondern beispielsweise zu Port 789. Dort lauscht der Stunnel-Server und leitet die Anfrage dann intern an Port 123 weiter. Vorteil: funktioniert für die meisten Fälle. Nachteile: Man muss den Client dafür starten und für die eigentliche Anwendung kommt die Verbindung von localhost statt der externen IP.

    Zitat von [netcup] Alex;6478

    Wurde der Server nach der Freischaltung des tun dev mal neu installiert?


    Nein, jedoch wurde Debian Etch auf Lenny geupgraded. (Und es wurde davor neugestartet)
    Muss eine Neuinstallation durchgezogen werden um das device richtig zu erkennen?


    EDIT:
    Robert: Hmm werd mir mal Stunnel angucken, scheint wohl so ähnlich zu sein wie ein ssh Tunnel.
    Und bei ssh Tunnel oder OpenVPN muss man sich ja auch einloggen / ein Programm starten. Das sollten die meisten aber schaffen ;)

    Zitat von [netcup] Alex;6486

    Ist das tun dev unter /dev gelistet?


    Nein, auch nicht unter /dev/net
    -> Ticket an den Support?


    Ansonsten stellt sich halt immer noch die Frage ob das ganze ÜBERHAUPT so funktionieren kann wie ich mir das vorstelle?

    Zitat von [netcup] Alex;6478

    Wurde der Server nach der Freischaltung des tun dev mal neu installiert?


    Wenn man das wirklich machen muss, dann hätte ich folgenden Vorschlag:


    • vServer übers openVCP Control Panel sichern.
    • Recovery Modus starten
    • Alle Verzeichnisse (außer /vserver/dev) nach /vserver/backup kopieren
    • vServer neuinstallieren
    • Wieder im Recovery Modus booten
    • Alle Inhalte in /vserver löschen (außer /vserver/backup und /vserver/dev)
    • Alles aus dem /vserver/backup Ordner wieder nach /vserver zurückspielen.
    • vServer wieder normal starten


    Denn Hardware kann man leider selbst nicht anlegen, das wäre also die einzige Lösung trotz Neuinstallation alles zu behalten. Denn der /backup Ordner (der vermutlich erst angelegt werden muss) bleibt bei einer Neuinstallation erhalten! Frage aber vorher mal den Support, vielleicht können die es ja direkt einrichten. Ich übernehme übrigens keine Garantie auf Richtigkeit bei meiner Anleitung, ist ungetestet! Falls dabei aber etwas schief geht hast immer noch das Backup vom openVCP ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von killerbees19;6493


    Frage aber vorher mal den Support, vielleicht können die es ja direkt einrichten. Ich übernehme übrigens keine Garantie auf Richtigkeit bei meiner Anleitung, ist ungetestet! Falls dabei aber etwas schief geht hat immer noch das Backup vom openVCP ;)


    Ok danke und ist klar das keiner hier irgenwelche Garantien übernimmt ;)