• Zarejestrowany: 2010-12-28
  • Posty: 75

Temat: Problem z bezpieczeństwem VPN

Używam VPNu dostarczanego przez Cyberghosta i zauważyłem następujący, moim zdaniem bardzo poważny błąd.
Zablokowałem cały ruch poza VPN, połączenie jest zestawiane i wyświetlana jest informacja o uzyskanym IP. Po wejściu na jakąkolwiek stronę identyfikującą adres IP, odczytane IP jest z puli dostawcy VPN, więc wszystko w porządku. Następnie po kilkudziesięciu sekundach po ponownym sprawdzeniu IP, zmienia się na moje rzeczywiste IP. To bardzo poważny błąd - w tym momencie nie jestem w żaden sposób chroniony. Trwa to kolejne sekundy i wszystko wraca do normy. Po sprawdzeniu logów przyczyną wydaje się być przeładowywanie firewalla. Problem polega na tym, że dzieje się to (niemal?) za każdym razem po włączeniu routera i zestawieniu nowego połączenia. Od tego momentu wszystko działa już normalnie.

To bardzo niebezpieczna sytuacja - w końcu po to korzysta się z usług tego typu, żeby chronić swoją prywatność poprzez ukrywanie prawdziwego IP.

Mar  9 07:59:35 Gargoyle daemon.notice openvpn(custom_config)[3453]: /sbin/ifconfig tun0 10.x.x.x pointopoint 10.x.x.x mtu 1500
Mar  9 07:59:35 Gargoyle daemon.notice netifd: Interface 'vpn' is now up
Mar  9 07:59:35 Gargoyle daemon.notice openvpn(custom_config)[3453]: /etc/openvpn.up tun0 1500 1558 10.x.x.x 10.x.x.x init
Mar  9 07:59:35 Gargoyle user.notice root: openvpn up script called
Mar  9 07:59:36 Gargoyle user.notice firewall: Reloading firewall due to ifup of vpn (tun0)
Mar  9 07:59:50 Gargoyle daemon.notice openvpn(custom_config)[3453]: /sbin/route add -net 79.x.x.x netmask 255.255.255.255 gw 192.x.x.x

2 Odpowiedź przez alossek (edytowany przez alossek 2015-03-09 13:19:46)

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: Problem z bezpieczeństwem VPN

maryjan1 napisał/a:

Po wejściu na jakąkolwiek stronę identyfikującą adres IP, odczytane IP jest z puli dostawcy VPN, więc wszystko w porządku. Następnie po kilkudziesięciu sekundach po ponownym sprawdzeniu IP, zmienia się na moje rzeczywiste IP.

Za https://openvpn.net/index.php/open-sour … l#redirect
cyt.
"By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN."

Zatem generalnie wchodząc przez stronę nie przechodzisz przez VPN, ja walczyłem coś podobnie z tym (na gołym openwrt), ale może coś Ci to pomoże:
http://eko.one.pl/forum/viewtopic.php?id=9959
Warto też przeczytać wskazany link z openvpn.net

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

3 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

Tutaj sytuacja jest nieco inna. Wszystko działa prawidłowo, tyle że następuje przeładowanie firewalla i w tym momencie przez kilkanaście sekund ruch puszczany jest z pominięciem VPN, pomimo zaznaczenia opcji, że cały ruch ma przechodzić właśnie przez VPN. Jest to całkiem logiczne, bo firewall dba o prawidłowe przekierowywanie danych a kiedy się restartuje, to ruch idzie bez tych ograniczeń i ujawnia  moje prawdziwe IP. To bardzo niebezpieczna sytuacja. Jeżeli firewall się restartuje, to powinno nastąpić wstrzymanie całego ruchu do czasu zakończenia restartu. Może ktoś z twórców się wypowie?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

Jak rozumiem zrobiłeś sobie klienta VPN. Masz więc po prostu problem konfiguracyjny - trzeba było domyślnie odciąć cały ruch (np. przez wywalenie gatewaya i tym samym trasy domyślnej, zostawiając tylko trasę do serwera vpn), przez co przy braku vpn nie miał byś w ogóle ruchu.

Gargoyle zapewnia pewne funkcjonalności, ale w życiu nie zaspokoi oczekiwać wszystkich użytkowników i spełni w 100% wszystkie może scenariusze. Zrobiłeś konfigurację ale nie przemyślałeś jak to działa.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

Odświeżę trochę temat. Właśnie testuję oprogramowanie Rooter Multiweb dla routerów 16MB i mam pewien kłopot z konfiguracją OpenVPN. Oprogramowanie umożliwia konfigurację VPN z poziomu LuCI (tak, wiem, wiem...) i łatwe sterowanie wieloma konfiguracjami VPN, dlatego wydaje się być dla mnie interesujące.

Uzyskuję połączenie z serwerami CyberGhosta, skrypt dodaje nowe routes i otrzymuję komunikat: "Initialization Sequence Completed"

Dodaję nowy interfejs tun0 i dane są do niego wysyłane - liczba TX się zwiększa. Niestety brak jest połączenia z internetem a liczba danych odebranych wynosi RX 0.

1. O ile dobrze kombinuję, to konfiguracja CyberGhosta przebiegła poprawnie i nie muszę tutaj szukać żadnych błędów?
2. Wyłączyłem całkowicie Firewall, aby wyeliminować błędy w jego konfiguracji - ciągle bez zmian.
3. Trasy zostają automatycznie dodane, ale na wszelki wypadek próbowałem też mostkować interfejsy między sobą, ale oprócz uzyskania dostępu do internetu z pominięciem VPN nie przyniosło to efektów.

Co jeszcze powinienem sprawdzić? Oczywiście wrzucę jakieś logi, jeżeli będzie taka potrzeba.

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

Druga strona tunelu się pinguje?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

...
/sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.129.4.25
/sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.129.4.25
/sbin/route add -net 10.129.0.1 netmask 255.255.255.255 gw 10.129.4.25
Initialization Sequence Completed

mam spingować 10.129.0.1?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

10.129.4.25

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

Brak odpowiedzi. To samo kiedy próbuję spingować np. onet.pl, chociaż DNS znajduje jego ip

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

Może że jednak masz albo źle konfigurację albo samego firewalla. Dns działa bo nazwę rozwiązuje, ale reszta nie. Zaoraj, zrób domyślną  konfigruację nie ruszając nic i dopal jeszcze raz openvpna.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

Najwięcej problemów sprawiło mi dodawanie interfejsów np. tun0, bo ten interfejs się nie pojawia samoczynnie po uruchomieniu VPNa (jest tylko LAN i WAN) a następnie przypisywanie ich do istniejących już interfejsów oraz stref firewalla. Można gdzieś poczytać na temat zarządzania routingiem oraz interfejsami? Tak dla początkujących, nie musi być po polsku.

Dla pewności wyłączyłem firewalla (/etc/init.d/firewall stop), więc to pewnie coś z konfiguracją, ale chyba nie samego CyberGhosta, tylko raczej właśnie interfejsami?

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

Wiki openwrt.org ma ładnie openvpn opisany.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

Spróbuję ponownie.
Dla jasności: router WR703, połączenie z internetem po WiFi, połączenie z komputerem po kablu,

Po konfiguracji CyberGhosta muszę dodać interfejs np. tun0:

Robię to tak:
- nazwa interfejsu: tun0
- Protocol of the new interface: unmanaged
- i teraz mam do wyboru "Cover the following interface":
  Eth0, teql0, Wireless Network Client WWAN, Custom

Nie bardzo wiem co to jest teql0 i do którego mam się podłączyć, bo próbowałem już chyba wszystkich opcji a następnym krokiem jest przypisanie do strefy firewalla

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

Z palca to zrób w /etc/config/network: http://wiki.openwrt.org/doc/howto/vpn.c … penvpn.tun

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

właśnie tutaj jest problem - po edycji za pomocą vi a następnie wejściu przez LuCI w tę konfigurację wywala się skrypt na tej podstronie i strona nie jest wyświetlona. Próbowałem nawet skopiować za pomocą tftp konfiguracje network, firewall, routes z działającej wersji pod Gargoylem i też się wywala.

Nie wiem, czy testowałeś to oprogramowanie Rooter z Router And Man, ale są pewne różnice. Np. z pod LuCi wrzucam klucze ca, key, crt, ale nie pojawiają się w katalogu /etc/openvpn - w ogóle nic tam nie ma. Oprogramowanie jest naprawdę wypasione w wersji dla 16MB. Poza tym, przy całej swojej wielkości nadal szybko się bootuje i szybko działa.

Czego brakuje mi w Gargoyle, to wybór kilku konfiguracji VPN, np. jedna dla CyberGhosta, druga dla VPN do firmy, trzecia VPN do domu itp. Czy można byłoby coś takiego kiedyś wprowadzić?

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

Są różnice, przecież gargoyle ma przepisane openvpn pod swoje potrzeby. Inaczej po prostu jest.

Ktoś musi po prostu takie coś napisać. A że gargoyle nie ma zapędów na obsługę wielu interfejsów to może możesz na to długo czekać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

Zrobiłem wszystko od nowa, łącze się z serwerem VPN

Mon May  4 10:59:48 2015 daemon.notice openvpn(client_tun_0)[1521]: Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon May  4 10:59:48 2015 daemon.notice openvpn(client_tun_0)[1521]: Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Mon May  4 10:59:48 2015 daemon.notice openvpn(client_tun_0)[1521]: Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon May  4 10:59:48 2015 daemon.notice openvpn(client_tun_0)[1521]: Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Mon May  4 10:59:48 2015 daemon.notice openvpn(client_tun_0)[1521]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon May  4 10:59:48 2015 daemon.notice openvpn(client_tun_0)[1521]: [CyberGhost] Peer Connection Initiated with [AF_INET]79.141.166.12:80
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: SENT CONTROL [CyberGhost]: 'PUSH_REQUEST' (status=1)
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 95.169.183.219,dhcp-option DNS 89.41.60.38,dhcp-option DNS 37.221.175.198,comp-lzo yes,route 10.129.0.1,topology net30,ping 10,ping-restart 60,ifconfig 10.129.4.26 10.129.4.25'
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: OPTIONS IMPORT: timers and/or timeouts modified
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: OPTIONS IMPORT: LZO parms modified
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: OPTIONS IMPORT: --ifconfig/up options modified
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: OPTIONS IMPORT: route options modified
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: Preserving previous TUN/TAP instance: tun0
Mon May  4 10:59:50 2015 daemon.notice openvpn(client_tun_0)[1521]: Initialization Sequence Completed

ale nadal nie mogę spingować 10.129.4.25.  Co ciekawe pinguję serwer VPN pod 79.141.166.12

Najgorzej jak wszystkie ustawienia wyglądają na poprawne a nadal nic nie działa sad

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

Zakładając ze konfig masz od nich - pisz do suportu. Równie dobrze coś po ich stronie może być.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

raczej nie, bo ten sam konfig pod Gargoylem działa bez problemu

20 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

Z tą różnicą że gargoyle ma starszą wersję openvpn. Zresztą możesz żywcem skopiować pliki z gargoyle i zobaczyć czy będzie działać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

21 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

podmieniłem binarkę na tą z Gargoyla, łączy się tak samo i tak samo nie mogę pingować. Spróbuje jeszcze ze starszą wersją rootera, bo już nie mam pomysłów sad

22 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

Po "ręcznej" edycji pliku konfiguracji vpn wywala mi tę opcję z LuCI.

/usr/lib/lua/luci/dispatcher.lua:433: Failed to execute cbi dispatcher target for entry '/admin/services/openvpn'.
The called action terminated with an exception:
/usr/lib/lua/luci/cbi.lua:311: Unable to read UCI data: openvpn
stack traceback:
    [C]: in function 'assert'
    /usr/lib/lua/luci/dispatcher.lua:433: in function 'dispatch'
    /usr/lib/lua/luci/dispatcher.lua:168: in function </usr/lib/lua/luci/dispatcher.lua:167>

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,902

Odp: Problem z bezpieczeństwem VPN

uci show openvpn zrób bo chyba coś zepsułeś w pliku. A przynajmniej gui nie potrafi tego parsować.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

24 Odpowiedź przez maryjan1

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

plik się psuje, bo konfiguracja nie wygląda już jak poprzednio, dla przykładu jedna z opcji:
poprzednia składnia w pliku konfiguracji: nobind
aktualna składnia w pliku konfiguracji: option nobind '1'

VPN wreszcie ruszył, ale okrężną drogą. Najpierw wrzuciłem Twoją wersję z LuCI i po zrobieniu konfiguracji wg. opisu, wszystko ruszyło od kopa. Następnie nadpisałem firmware tym od ROOTera z zachowaniem konfiguracji i teraz działa aczkolwiek poprzez www widoczne ustawienia są jakieś bzdurne.

Mam jeszcze problem z innymi drobiazgami. Na przykład jeżeli wyłączę VPNa chciałbym używać połączenia bezpośredniego. Dodaję więc interfejs WiFi do firewalla, zapisuję i działa. Po restarcie VPN jest nadal wyłączony, więc Ok, ale do WWAN nic nie jest już dopisane (empty) i internet nie działa, dopóki ponownie nie dopiszę do niego WiFi. I tak w kółko. Zastanawiam się, czy to właśnie nie przez tę kombinację z nadpisaniem firmware przy zachowaniu ustawień z innej wersji.

25 Odpowiedź przez maryjan1 (edytowany przez maryjan1 2015-05-05 08:47:51)

  • Zarejestrowany: 2010-12-28
  • Posty: 75

Odp: Problem z bezpieczeństwem VPN

Nie wiem, czy z tymi obrazami ROOTER coś jest nie tak, czy ja coś robię źle, ale po wrzuceniu czystego obrazu - dla pewności z poziomu uboota pepe - wciąż to samo. W czystym systemie zaprogramowałem tylko wifi i po każdym resecie to wifi wypada mi z przypisania do WWAN, który zostaje pusty i automatycznie brak jest połączenia z internetem. Przypisuje go do WWAN, internet działa, reset, WWAN pusty, brak internetu i tak w kółko.

Dla przypomnienia - router WR703N - połączenie WiFI z bramą internetową a LAN z komputerem