Netzwerksicherheit Grundkurs

Status des OpenVPN-Tunnels überprüfen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Das Programm Wireshark ermöglicht es, den Status eines OpenVPN-Tunnels auszuwerten, wobei die Pakete innerhalb des Tunnels protokolliert werden. Zusätzlich erläutert das Video einige Optionen, um auftretende Fehler zu beseitigen.

Transkript

Der OpenVPN SSL-Server ist eingerichtet, der OpenVPN SSL-Client ist ebenfalls eingerichtet. Nur: Unterhalten die sich miteinander? Das schauen wir uns jetzt mal an. Möchten Sie also feststellen, ob Client und Server miteinander können, dann kann man das tun, indem man hier auf "Status" geht, und sich den Unterpunkt OpenVPN auswählt. Einmal ausgewählt, bekommen Sie hier die Zustände, die in unserem Fall der Server hat. Wenn Sie auf der Gegenseite gucken, umgekehrt: der Client. Wir können hier sehr schön sehen, dass der Server auf dem Port 1194 aktiv ist, sprich: ab. Hier haben Sie die Konnektzeit, hier haben wir dementsprechend die virtuelle Adresse, den Remote Host, und die gesendeten bzw. empfangenen Bytes. Der "Service" kann hier bei Bedarf neu gestartet werden, oder aber auch gänzlich beendet werden. Das sieht also alles schon mal sehr gut aus. Sollte es mal nicht so gut ausschauen, dann muss man in dem Fall schauen: Haben wir hier ein grünes Zeichen, dann ist grundsätzlich von der Einstellung her alles, weil es geht, okay. Wenn wir dennoch ein Down hier drin haben, dann sollte man mal bei den Firewall-Regeln nachschauen. Haben wir hier ein Rot, dann signalisiert es, dass der Service aus irgendwelchen Gründen nicht läuft. Dann muss man natürlich ein bisschen tiefer bohren: Schlüssel falsch, oder irgendwelche Einstellungen falsch gewählt. Das kann dann doch schon eine ganze Menge sein. Haben wir hier ein Grün und der Status ist wie gesagt auf "down", dann haben wir natürlich hier auch keine Informationen dazwischen stehen, dann ist meine erste Wahl immer mal bei der Firewall nachzuschauen. Das heißt: Wir gehen auf "Rules" und schauen nach, ob wir hier diesen Eintrag im WAN-Bereich haben. Der Eintrag mit 1194 (OpenVPN), wenn dieser Eintrag drin steht, dann ist es gut, wenn nicht, einfach nachführen oder gegebenenfalls einschalten, falls er ausgeschaltet ist. Also hier würde ich als erstes schauen, weil hier wird quasi der Port dazu benutzt um die Verbindung aufzubauen. Das gilt natürlich auf der Server-Seite wie auf der Client-Seite. Ob dann da was durchkommt, das ist eine andere Sache. Das wäre dann die Aufgabe dieser Regel. Da muss man dann noch nachschauen, das kommt dann als nächstes. Also grundsätzlich von der Reihenfolge erst einmal schauen: Ist der Tunnel aufgebaut und können darüber schon Informationen fließen, bzw. haben wir schon einen Tunnel, der aktiv ist. Der nächste Punkt, den ich jetzt durchführen möchte, ist: Natürlich auch mal einen Livetest machen. Da nimmt man ja am liebsten immer den Ping, dafür ist er ja auch da, und pingen jetzt mal auf die Gegenseite: 192.168.10.100. Ich drücke "return" und Sie sehen: Hier kommen Informationen an. Das heißt: Wir haben hier ein Echo zurückbekommen. Das Paket, was Sie hier sehen, ist immer das Paket, was von der Gegenseite stammt. Und da möchte ich mal auf eine Sache noch hinweisen: dieses TTL. Dieses TTL (Time to Live) liegt hier in dem Fall bei 126. Das bedeutet, dass wir zwei Übergänge hatten. Denn wir haben auf der Gegenseite eine Microsoft-Maschine. Microsoft-Maschinen haben grundsätzlich immer - es sei denn man hat etwas manipuliert - 128 als TTL Max. Wenn Sie jetzt abziehen, zwei Übergänge, 128 minus 2, dann kommen Sie auf 126. Hätten Sie 253, dann wäre auf der Gegenseite gegebenenfalls eine Unix-Maschine. Ist übrigens, nur so nebenbei, auch ein Mechanismus, mit dem man härten kann. Denn jedes OS oder jedes Betriebssystem hinterlässt einen Abdruck im Netzwerk. Das wäre auch einer, an dem man z.B. erkennen kann: Kollege kommt mit Client 128 daher, das ist eine Windows-Maschine. Dass jemand über 128 Übergänge hat, das ist sehr unwahrscheinlich. Kommt er mit einer höheren Wertigkeit, also so um die 250 oder 245, dann kann man davon ausgehen, dass es eine Linux oder Unix-Maschine ist. Will man so etwas ändern, dann manipuliert man diese TTL. Das hat mit der Übertragung eigentlich nichts zu tun, aber man kann da schon wiederum ein ganz, ganz kleines Stückchen Sicherheit schaffen. Gut. Also wir haben hier 126, zwei abgezogen von 128, sind wir dementsprechend hier auch dort korrekterweise über zwei Schnittstellen beziehungsweise über zwei Übergänge gegangen. Jetzt schauen wir uns noch mal unseren Sniffer an. Dafür lege ich jetzt mal den Ping auf lange Zeit, mit -t für andauernd, also permanent, und schalte mal zu unserem Sniffer um. Der hat die S2. Hier kann man sehr schön sehen, dass wir also kontinuierlich im gleichen Takt wie wir eben gerade den Ping gesehen haben, bekommen wir hier Informationen. Was man sehr schön sehen kann: Es handelt sich ausschließlich um OpenVPN-Informationen. Das Protokoll wird angezeigt. Sie sehen hier: Ich habe einen Filter gesetzt, um das ganze hier etwas klarer zu machen. Da spritzt immer noch mal das eine oder andere Protokoll von einem anderen Server dazwischen. Aber für uns ist im Prinzip ja der Weg zwischen der 10.0.0.1 und der 10.0.0.2 von Interesse. Hier sehen wir ausschließlich Pakete vom Typ OpenVPN, also verschlüsselte Pakete. Wir haben gesehen: Ein Client und ein Server, die können zusammen einen Tunnel generieren. In diesem Tunnel sind wir tatsächlich in der Lage, verschlüsselte Informationen zu transferieren, so wie wir das für eine VPN gerne hätten.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Exklusiv für Abo-Kunden
Ihr(e) Trainer:
Erscheinungsdatum:30.05.2014
Laufzeit:11 Std. 47 min (142 Videos)

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!