Hallo zusammen,
nachdem ich schon viele Beiträge in diesem Forum gelesen und verfolgt habe, habe auch ich jetzt mal ein Anliegen, bei dem ich nicht weiter komme.
Ich habe bei Netcup einen gemieteten VPS-Server mit CentOS 7, auf welchem unter anderem ein OpenVPN 2.4.6 Server läuft. Seit mehreren Tagen beobachte ich in der Log-Datei folgendes:
Sun Sep 23 04:53:29 2018 us=828279 74.91.119.108:6336 TLS: Initial packet from [AF_INET]74.91.119.108:6336, sid=6a22eb44 5adb63fe
Sun Sep 23 04:53:30 2018 us=17301 74.91.119.108:2726 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 23 04:53:30 2018 us=17456 74.91.119.108:2726 TLS Error: TLS handshake failed
Sun Sep 23 04:53:30 2018 us=17601 74.91.119.108:2726 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Sep 23 04:53:30 2018 us=17830 74.91.119.108:39595 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 23 04:53:30 2018 us=17869 74.91.119.108:39595 TLS Error: TLS handshake failed
Sun Sep 23 04:53:30 2018 us=17950 74.91.119.108:39595 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Sep 23 04:53:30 2018 us=18031 74.91.119.108:55599 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 23 04:53:30 2018 us=18054 74.91.119.108:55599 TLS Error: TLS handshake failed
Sun Sep 23 04:53:30 2018 us=18111 74.91.119.108:55599 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Sep 23 04:53:30 2018 us=365242 74.91.119.108:39851 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 23 04:53:30 2018 us=365345 74.91.119.108:39851 TLS Error: TLS handshake failed
Sun Sep 23 04:53:30 2018 us=365495 74.91.119.108:39851 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Sep 23 04:53:30 2018 us=498140 MULTI: multi_create_instance called
Sun Sep 23 04:53:30 2018 us=498311 74.91.119.108:17454 Re-using SSL/TLS context
Sun Sep 23 04:53:30 2018 us=498355 74.91.119.108:17454 LZO compression initializing
Sun Sep 23 04:53:30 2018 us=498538 74.91.119.108:17454 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
Sun Sep 23 04:53:30 2018 us=498585 74.91.119.108:17454 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Sun Sep 23 04:53:30 2018 us=498649 74.91.119.108:17454 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Sun Sep 23 04:53:30 2018 us=498674 74.91.119.108:17454 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Display More
Diese Zugriffe gibt es von den verschiedensten IP Adressen und die Dauer ist auch immer unterschiedlich. Teilweise ist es nur ein Verbindungsversuch, teilweise dauern die Versuche auch eine halbe Stunde. Ebenfalls ist dies rund um die Uhr zu beobachten.
Am Freitag habe ich mir daher mit Fail2Ban einen Filter gebaut, welcher die IP Adressen nach drei Versuchen blockiert. Bis jetzt sind 88 unterschiedliche IP Adressen gesperrt, aber es kommen immer weiter neue dazu. Ich bin mir daher nicht mehr ganz sicher, ob dies der richtige Weg ist.
Eine konkrete Fragen von mir wäre: Handelt es sich hierbei wirklich um einen Versuch eine Verbindung mit meinem OpenVPN Server herzustellen (also den Tunnel zu knacken) oder habe ich die Logs vielleicht falsch interpretiert und es sind nur harmlose Bots, die verschiedene Server nach offenen Ports abfragen?
Vielleicht hat hier ja jemand eine Idee.
Viele Grüße
Denik