Verschlüsselung bei OpenVPN

Duff

Neuer User
Mitglied seit
18 Jun 2005
Beiträge
157
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich habe eine Frage zu OpenVPN. Und zwar habe ich das ganze soweit zum Laufen bekommen. Ich starte openvpn als daemon auf der Fritzbox (Server)
Code:
 ./openvpn --config server.ovpn --dev-node /dev/misc/net/tun --daemon
im Verzeichnis /var/tmp. Die server.ovpn sieht so aus:
Code:
	ifconfig 10.0.0.1 10.0.0.2
	secret /var/tmp/secret.key
	proto tcp-server
	port 1194
	tun-mtu 1400
	float
	keepalive 10 60
	verb 4
	mssfix
	route 10.0.0.0 255.255.255.0
	push "route 10.0.0.0 255.255.255.0"
	daemon

Der Server wird mit also gestartet und wartet auf Anfragen.


Mit meinem Client kann ich nun auch eine Verbindung zum Server aufbauen, wenn ich den vpn-client so starte:
Code:
openvpn --config client.ovpn

Die client.ovpn sieht so aus:
Code:
	ifconfig 10.0.0.2 10.0.0.1
	remote meineAdresse.no-ip.info 
	secret /home/user/fritzbox/secret.key 
	dev tun0
	proto tcp-client
	port 1194
	ping 15
	ping-restart 300 # 5 minutes
	resolv-retry 300 # 5 minutes
	#resolv-retry infinite
	tun-mtu 1400
	mssfix
	persist-tun
	persist-key
	verb 4
	route 10.0.0.0 255.255.255.0
	push "route 10.0.0.0 255.255.255.0"
	push "dhcp-option DNS 10.0.0.1"
	route-gateway 10.0.0.1
	redirect-gateway

Die beiden verwendeten Schlüssel sind 2048 bit static keys. Ein pingen vom Server zum Client und umgekehrt ist möglich. Mit einem ifconfig -a sieht man auch die angelegten tun-devices.
Die route auf dem Server sieht so aus:
Code:
	Kernel IP routing table
	Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
	10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
	192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
	192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
	192.168.178.0   *               255.255.255.0   U     0      0        0 lan
	192.168.178.0   *               255.255.255.0   U     0      0        0 eth0
	10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
	192.168.1.0     *               255.255.255.0   U     0      0        0 lan
	default         *               0.0.0.0         U     2      0        0 dsl

So, dass was ich ja bisher gezeit habe, ist fast so was wie eine kleine Anleitung, wie es sie ja hier gibt.

Mir ist aber jetzt noch nicht ganz klar, ob die Verbindung nun auch verschlüsselt ist. Meiner Meinung nach eigentlich nicht, weil die statischen Schlüssel doch nur zur Authentifikation benötigt werden, oder sehe ich dass falsch?
Müsste ich für eine Verschlüsselung nicht noch ein Protokoll zum Verschlüsseln angeben, wie z.B. ssl oder ipsec, oder was auch immer?
 
Hallo,

hat denn keiner eine passende Antwort für mich???
Hier sind doch so viele, die auch openvpn benutzen.

Ich habe zwar auch schon Artikel, wie diesen hier
preshared Key

Bei Austausch eines "preshared key" (ein statischer Schlüssel) werden die Daten mit diesem ver- und entschlüsselt. Das Verfahren ist einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhanden kommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden. Daher sollte man einen "vertrauenswürdigen" Installationsort (z.B. PGP-Disk Container) wählen, damit der Schutz der Schlüssel garantiert ist. Der Schlüssel kann über ein automatisiertes Verfahren durch eine laufende Verbindung hindurch ausgetauscht werden.

gefunden, bin mir aber trotzdem nicht sicher, weil meiner Meinung nach, die Schlüssel doch nur bei der Authentifizierung benutzt werden.
 
Verschlüsselung

Hallo Duff,

der tunnel wird aufgebaut, die Daten im Tunnel mit dem Schlüssel verschlüsselt, kennt die Gegenstelle den Schlüssel nicht, gibt es Datenmurks.

Gruß
Tom
 
Ja, danke.

Habe mittlerweile auch herausgefunden, welche STANDARD-Verschlüsselung gewählt wird, wenn man keine angibt.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.