Quellport des vServers (VPN-Verbindung/Wireguard)

[francy_space]

Hallo,

ich kann über einen VPN-Server (Raspberry Pi) und meiner Connect Box (DS-Lite, Unitymedia) erfolgreich eine VPN-Verbindung über Wireguard aufbauen. Bei der Portfreigabe habe ich als Quell-IP die IPv6-Adresse des vServers, und als Ziel-IP die IPv6-Adresse des VPN-Servers eingetragen. Zielport ist bei mir 1194, welches ich bei der Wireguard-Installation mitangegeben hatte.

Ich habe einen Problem mit dem Quellport. Mit Wireshark habe ich mich auf die Suche danach gemacht. Ich habe gesehen, dass mit jeder neuen VPN-Verbindung auf meinem Handy ein neuer Quellport (zufällig) vergeben wird. Mich stört das ein bisschen. Wie kann ich den Quellport statisch machen? Ich habe keine Lust mit jeder neuen Verbindung den Quellport an der Portfreigabe zu ändern. Klar, ich könnte den Quellport auch als "beliebig" einstellen. Das möchte ich aber nicht. Ich will eine konkrete Eingabe machen, die sich nicht ändert.

Nebenbei: Auf meinem vServer habe ich in der Firewall den Port 1194 freigegeben. Dieser Port ist aber unabhängig vom Quellport zu sehen, welcher sich ständig ändert. Der vServer bekommt zwar die Pakete von meinem Handy auf Port 1194 und schickt sie auch an Port 1194 am VPN-Server.
Der Port von dem aus sich der vServer mit dem VPN-Server verbindet ist aber ein zufällig gewählter anderer Port. (=Quellport).

 

[Harrdy]

Für den Quellport brauchst du gar keine Portweitetleitung.

 

[francy_space]

@Harrdy Das möchte ich auch nicht. Ich habe nur eine Portweiterleitung definiert, wo ich die Pakete von vServer zu VPN-Server übertragen will. Dabei muss ich auch Quell- und Zielport eintragen. Zielport ist statisch, nur der Quellport ist zufällig, was ich nicht will.

 

[burglar225]

Hat das einen speziellen Grund, warum du das so möchtest? Du hast dadurch ja keine Vorteile, im Zweifel eher Nachteile.
Ansonsten kenne ich mich mit Wireguard nicht aus, eine kurze Rechereche ergab aber keine entsprechenden Möglichkeiten.

 

[lokon]

Listen Port Konfigurationsoption steuert auch den Quellport.
Quelle: Wireguard Mailingliste via google

 

[KillerCow]

Mehr oder weniger jede Netzwerkanwendung wählt als Quellport einen zufälligen Port in den oberen Portregionen. Damit wird sichergestellt, dass die Anwendung stets einen freien Port beim OS angefordert bekommt. Solltest du jetzt einen festen Port als Quellport wählen, kann es theoretisch passieren, dass dieser Port durch eine andere Anwendung belegt ist und die Verbindung nicht aufgebaut werden kann.

Wenn du keinen wirklich richtig richtig richtig wichtigen und trifftigen Grund hast, belasse es beim Standardverhalten... ist ein gut gemeinter Rat.

 

[snaxilian]

Bin ich hier der Einzige, der den Aufbau des TEs nicht ganz nachvollziehen kann?
Er hat einen DSlite Anschluss mit der Connectbox, einen Raspi auf dem Wireguard läuft, einen vServer und ein Handy was sich (per VPN/Wireguard?) mit dem vServer verbindet der dann irgendwie etwas weiter leiten soll an den Raspi?
Ist der vServer jetzt nur ein Portmapper oder besteht zwischen Raspi und vServer ein Site-to-Site VPN und zusätzlich zwischen Handy und vServer ein Client-to-Site VPN?

 

[Datax]

Ich habe einen Problem mit dem Quellport. Mit Wireshark habe ich mich auf die Suche danach gemacht. Ich habe gesehen, dass mit jeder neuen VPN-Verbindung auf meinem Handy ein neuer Quellport (zufällig) vergeben wird. Mich stört das ein bisschen. Wie kann ich den Quellport statisch machen? Ich habe keine Lust mit jeder neuen Verbindung den Quellport an der Portfreigabe zu ändern. Klar, ich könnte den Quellport auch als "beliebig" einstellen. Das möchte ich aber nicht. Ich will eine konkrete Eingabe machen, die sich nicht ändert.

Der Quellport wird wie gesagt dynamisch vom Betriebssystem festgelegt.
Das ist unter "Linux" genauso wie unter "Windows" der Fall, darauf hast du keinen Einfluss.
Ein (Server)-Dienst antwortet natürlich immer von seinem entsprechenden Server-Port (UDP bzw. TCP),
der Quell-Port einer Client-Anwendung hingegeben (z.B. WireGuard-Client) wird vom Betriebssystem dynamisch festgelegt.

Du hättest aus Security-Sicht auch keinen Vorteil, wenn du den Quell-Port der reinkommenden VPN-Verbindung einschränken würdest.

Was du möchtest ist: "Ich akzeptiere ausschließlich dann eine reinkommende VPN-Verbindung,
wenn das Betriebssystem des vServers (zufälligerweise) die VPN-Verbindung über einen ganz bestimmten Quell-Port an deinen RasPi weiterleitet."

Ob der Quell-Port 44925 ist oder ob er 22942 ist oder ob er 51355 ist ist Jacke wie Hose.
Oder hast du schon mal einen Unterschied beim WebSurfing festgestellt,
wenn dein PC die HTTP(S)-Verbindung über Quell-Port 33541 und beim nächsten Mal Quell-Port 22113 aufgebaut hat?

Du kannst wie oben erwähnt nicht noch mehr Sicherheit oder sonstwas erreichen, wenn du auch noch die Quell-Port(s) festlegen würdest, über die dein vServer die VPN-Verbindungen zu deinem RasPi durchreicht. Der Quell-Port wird vom Betriebssystem vergeben.

Hier noch als Info zum Thema "Quell-Port":
"Dynamic Ports
Ports 49152 bis 65535 (C000hex bis FFFFhex)

Diese Ports werden vom Betriebssystem dynamisch an Clientprogramme vergeben.

Ergänzung: Linuxsysteme halten sich sehr oft nicht an diesen Standard und vergeben die Clientports im Bereich zwischen 32768 und 61000. Ursprünglich waren von der IANA die Ports ab 1024 für Clientprogramme vorgesehen. Bei der Umstellung des Portbereiches gab es jedoch einige Diskussionen, bis sich die heutige Einteilung durchsetzte. Die Umstellung wurde in Linux allerdings während der Diskussionszeit vorgenommen und nicht auf den endgültigen Standard umgesetzt. Als Begründung hierfür wird auch immer wieder angeführt, dass der Bereich der Dynamic Ports zu klein ist. Einige NAT-Router verwenden sogar noch niedrigere Ports."

Link:
https://de.wikipedia.org/wiki/Port_(Protokoll)