Na da bist mit fail2ban wohl erfolgreicher. Die Verbindungen werden sehr wahrscheinlich aus allen Regionen der Welt sein
Ja, das denke ich auch. Die IP Adressen kommen wirklich von überall. Hatte am Wochende mal ausrechnen lassen, wie viele verschiedene IP Adressen es waren. Es waren so um die 100 Adressen.
Habe jetzt Fail2Ban so eingestellt, dass bei 3 Fehlversuchen die IP für eine Stunde gesperrt wird.
Hallo zusammen,
ich habe jetzt ein paar Dinge umgesetzt:
Im Log sieht es jetzt wie folgt aus:
Sun Sep 23 18:31:31 2018 us=961663 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987
Sun Sep 23 18:31:31 2018 us=961788 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987
Sun Sep 23 18:31:36 2018 us=859728 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987
Sun Sep 23 18:31:36 2018 us=859851 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987
Sun Sep 23 18:31:40 2018 us=545131 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987
Sun Sep 23 18:31:40 2018 us=548046 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987
Sun Sep 23 18:31:41 2018 us=813450 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987
Sun Sep 23 18:31:41 2018 us=813687 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987
Sun Sep 23 18:31:46 2018 us=740685 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]79.133.54.200:9987Die Tatsache dass Verbindungsversuche stattfinden kann keiner von uns ändern. Aber ich fühle mich mit den oben genannten Punkten doch schon etwas sicherer als vorher.
Vielen Dank für die Hilfe 
Viele Grüße
Denik
Hallo zusammen,
erneut vielen Dank für für Antworten.
Bezüglich iptables-recent müsste ich mich erst einmal ein bisschen einlesen. Da kann ich so spontan noch nicht sagen, ob dies eine Alternative wäre.
Das verify.pl Script verwende ich sogar schon
Hier kommt mal die aktuelle Konfiguration von mir:
Server:
local x.x.x.x
port 1194
proto udp
dev tun
management 127.0.0.1 5555
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
route 192.168.0.0 255.255.255.0 10.8.0.2
route 192.168.178.0 255.255.255.0 10.8.0.3
route 192.168.1.0 255.255.255.0 10.8.0.4
push "dhcp-option DNS 10.8.0.1"
client-to-client
keepalive 10 120
cipher AES-256-CBC
compress
comp-lzo yes
push "comp-lzo yes"
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 4
tls-verify "./verify-cn userlist.txt"
script-security 2Client:
client
dev tun
proto udp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
cipher AES-256-CBC
comp-lzo yes
verb 3Was ich aktuell nicht verwende ist folgendes:
#For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
;tls-auth ta.key 0 # This file is secretWäre dies vielleicht sinnvoll?
Grüße
Denik
Vielen Dank für die schnelle Antwort.
Also der Port ist Standard 1194.
Abgesichert ist das Ganze wie in jeder Standard Anleitung. Also Client Zertifikate von einer CA erstellt. Jeder Client hat seine eigene .key-Datei und .cert. Es ist nur eine Verbindung pro Client Zertifikat erlaubt.
Wenn ich später wieder zu Hause bin kann ich auch die Server.conf und eine client.ovpn zeigen, sofern erforderlich.
Hallo zusammen,
nachdem ich schon viele Beiträge in diesem Forum gelesen und verfolgt habe, habe auch ich jetzt mal ein Anliegen, bei dem ich nicht weiter komme.
Ich habe bei Netcup einen gemieteten VPS-Server mit CentOS 7, auf welchem unter anderem ein OpenVPN 2.4.6 Server läuft. Seit mehreren Tagen beobachte ich in der Log-Datei folgendes:
Sun Sep 23 04:53:29 2018 us=828279 74.91.119.108:6336 TLS: Initial packet from [AF_INET]74.91.119.108:6336, sid=6a22eb44 5adb63fe
Sun Sep 23 04:53:30 2018 us=17301 74.91.119.108:2726 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 23 04:53:30 2018 us=17456 74.91.119.108:2726 TLS Error: TLS handshake failed
Sun Sep 23 04:53:30 2018 us=17601 74.91.119.108:2726 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Sep 23 04:53:30 2018 us=17830 74.91.119.108:39595 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 23 04:53:30 2018 us=17869 74.91.119.108:39595 TLS Error: TLS handshake failed
Sun Sep 23 04:53:30 2018 us=17950 74.91.119.108:39595 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Sep 23 04:53:30 2018 us=18031 74.91.119.108:55599 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 23 04:53:30 2018 us=18054 74.91.119.108:55599 TLS Error: TLS handshake failed
Sun Sep 23 04:53:30 2018 us=18111 74.91.119.108:55599 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Sep 23 04:53:30 2018 us=365242 74.91.119.108:39851 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Sep 23 04:53:30 2018 us=365345 74.91.119.108:39851 TLS Error: TLS handshake failed
Sun Sep 23 04:53:30 2018 us=365495 74.91.119.108:39851 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Sep 23 04:53:30 2018 us=498140 MULTI: multi_create_instance called
Sun Sep 23 04:53:30 2018 us=498311 74.91.119.108:17454 Re-using SSL/TLS context
Sun Sep 23 04:53:30 2018 us=498355 74.91.119.108:17454 LZO compression initializing
Sun Sep 23 04:53:30 2018 us=498538 74.91.119.108:17454 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
Sun Sep 23 04:53:30 2018 us=498585 74.91.119.108:17454 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Sun Sep 23 04:53:30 2018 us=498649 74.91.119.108:17454 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Sun Sep 23 04:53:30 2018 us=498674 74.91.119.108:17454 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'Diese Zugriffe gibt es von den verschiedensten IP Adressen und die Dauer ist auch immer unterschiedlich. Teilweise ist es nur ein Verbindungsversuch, teilweise dauern die Versuche auch eine halbe Stunde. Ebenfalls ist dies rund um die Uhr zu beobachten.
Am Freitag habe ich mir daher mit Fail2Ban einen Filter gebaut, welcher die IP Adressen nach drei Versuchen blockiert. Bis jetzt sind 88 unterschiedliche IP Adressen gesperrt, aber es kommen immer weiter neue dazu. Ich bin mir daher nicht mehr ganz sicher, ob dies der richtige Weg ist.
Eine konkrete Fragen von mir wäre: Handelt es sich hierbei wirklich um einen Versuch eine Verbindung mit meinem OpenVPN Server herzustellen (also den Tunnel zu knacken) oder habe ich die Logs vielleicht falsch interpretiert und es sind nur harmlose Bots, die verschiedene Server nach offenen Ports abfragen?
Vielleicht hat hier ja jemand eine Idee.
Viele Grüße
Denik
