OPEN VPN Client Konfigurationsdatei | ARCHER C5400X | TP-Link

AiMwasNeD

Cadet 2nd Year
Registriert
Aug. 2015
Beiträge
18
Tach zusammen đź‘‹

Wie schon im Titel steht, nachfolgend ein Auszug der OPEN VPN Client-Konfigurationsdatei, welche mein Router ARCHER C5400X | TP-Link selbständig auswirft beim exportieren. Ist dieses noch zeitgemäß / sicher?
Zertifikate, DNS & Ports wurden btw entfernt.


client
dev tun
proto tcp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
remote-cert-tls server
persist-key
persist-tun
remote XXXXXXX XXXXXXX


<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----

Ehy/
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>
 
Ob es sicher genug ist hängt auch von dem Nutzungskontext drauf an.
 
madmax2010 schrieb:
wie meinst?

ist halt eine standard openvpn config.

ist ausreichend. Geht "sicherer"? Ja, aber:
AES@256 bit brauchen auch deutlich mehr rechenleistung. Das wird die CPU vermutlich nicht gescheit mitmachen

Fujiyama schrieb:
Ob es sicher genug ist hängt auch von dem Nutzungskontext drauf an.

Es kommt beim Verbinden mit dieser config zb. ein WARNING: compression has been used in the past to break encryption. Iwo habe ich aufgefasst dass "comp-lzo" im Grunde nicht mehr wirklich zeitgemäß wäre und auch aus den configs früher oder später verschwinden wird.

Genutzt sollte das ganze auf meinem Laptop werden, um mit dem Firmenserver zu connecten.
Office / Outlook im daily use
 
Was sagt den deine Firmen IT dazu?
 
  • Gefällt mir
Reaktionen: redjack1000, Tornhoof und madmax2010
AiMwasNeD schrieb:
compression has been used in the past to break encryption.
Konzeptionell ist Komprimierung in Kombination mit Verschlüsselung ein möglicher Angriffsvektor, nannte sich u.a BREACH und/oder CRIME.
https://en.wikipedia.org/wiki/BREACH

Ist aber praktisch ĂĽberall mitigiert und mir sind keine Schwachstellen bei OpenVPN dazu bekannt.
 
  • Gefällt mir
Reaktionen: AiMwasNeD und _anonymous0815_
Kompression ist pfui, genauso wie TCP,
Ich hänge Dir mal meine relativ aktuelle Config an, dann sieht man ggf. besser die Unterschiede:

Code:
port 1194

mode server #Server Config

proto udp4 #UDP ĂĽber IPv4

dev tun

user nobody #tritt erhöhte Nutzerrechte nach Start ab
group nogroup

server 172.16.0.0 255.255.255.0 #Subnetz des VPN-Netzes
topology subnet

push "dhcp-option DNS 192.168.178.10" #Ăśbergabe eines DHCP-Servers
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway def1" #leite kompletten Traffic des Clients ĂĽber VPN

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/debian-vpn.crt
key /etc/openvpn/server/debian-vpn.key  # This file should be kept secret

dh /etc/openvpn/server/dh.pem #Diffie-Hellmann kann durch elliptische Kurven ersetzt werden (ist nicht mehr ganz aktuell)

remote-cert-tls client
verify-client-cert require
tls-version-min 1.3
auth SHA256
tls-crypt /etc/openvpn/server/ta.key
tls-ciphersuites TLS_AES_128_GCM_SHA256
cipher AES-128-GCM #aktuelle und noch sichere VerschlĂĽsselung, in Verbindung mit auth SHA256 verwenden
tls-server

client-to-client #Clients können sich untereinander erreichen

keepalive 10 20
persist-key
persist-tun

log /etc/openvpn/openvpn.log #optionale Logs
verb 3
 
  • Gefällt mir
Reaktionen: AiMwasNeD
Herzlichen Dank fĂĽr den Input soweit! Werde mich in die Thematik jetzt mal etwas mehr reinlesen.

Fujiyama schrieb:
Was sagt den deine Firmen IT dazu?

Ist ein relativ kleines Unternehmen, ich bin quasi die Firmen IT xD
Darum wollte ich mir eben hier Meinungen einholen bevor damit gearbeitet wird.

_anonymous0815_ schrieb:
Kompression ist pfui, genauso wie TCP,
Ich hänge Dir mal meine relativ aktuelle Config an, dann sieht man ggf. besser die Unterschiede:

Danke fürs anhängen einer aktuellen Config! Ähnelt grundsätzlich der, welche derzeit noch auf unseren WinServer läuft. Der Server sollte aber bei Zeiten aufgelöst und durch etwas anderes (ev. NAS, noch nicht sicher) ersetzt werden.

Und wenn der Router einen VPN Server bietet warum nicht auch nutzen? Wäre das VPN Thema zumindest mal vom Tisch,...... So war zumindest der Grundgedanke. Die Configs sind halt leider kaum bis gar nicht anpassbar.

Auf UDP switchen wäre jedoch kein Problem.
Und Kompression auf "adaptive" ist fĂĽr mich stark relativ. Wird diese dann genutzt oder nicht?

Alles in allem, wäre es grob fahrlässig damit zu arbeiten?
 
ZurĂĽck
Oben