Auteur Topic: OpenVPN #5: Live switchen van udp naar tcp en andersom  (gelezen 9788 keer)

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #15 Gepost op: 19 juni 2015, 14:11:58 »
Dat is mij allemaal duidelijk  @Ben(V) :)

Het gaat mij om b.v. de camping die evt. ook protocollen blokt.

Tja het is ook mogelijk om het VPN protocol te blokkeren en alleen http en https door te laten.
Zoals ik al zei VPN is geen HTTPS.

Het is met openVpn volgens mij ook mogelijk om VPN over HTTPS op te zetten, dan zal het niet meer te blokkeren zijn (tenzij ze ook https blokkeren).

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #16 Gepost op: 19 juni 2015, 14:13:26 »
 :lol: tegelijk. Zie mijn vorige bericht. ;)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #17 Gepost op: 19 juni 2015, 15:06:03 »
Het is wat mij betreft een leuke oplossing tenzij middels DPI VPN geblokt wordt natuurlijk.

Over DPI gesproken: de aangekondigde Synology router zal ook DPI opties geven volgens hun Duitse promo filmpje. Dat maakt de techniek wel toegankelijk voor een grotere groep.  :'(
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #18 Gepost op: 19 juni 2015, 15:12:49 »
Om het normale VPN protocol te blokken heb je helemaal geen DPI nodig.
Dat zou alleen nodig zijn als je VPN over https zou gebruiken.

Ben wel benieuwd naar die router, want je hebt nogal wat cpu power nodig wil je op volle snelheid DPI uitvoeren zonder afbreuk te doen aan de throughput performance.

De Cisco dozen die dat kunnen zijn onbetaalbaar duur.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #19 Gepost op: 19 juni 2015, 16:58:02 »
@Ben(V) Interessant  :)

OpenVPN gebruikt toch SSL/TLS en "pakt het in" waardoor het er net anders uit ziet?
Is het niet zo dat men packet inspection uitgevonden heeft om o.a. "ongewenst" verkeer te ontdekken/blokken?

Met een SSL/TLS tunnel, zoals stunnel, wordt OpenVPN weer ingepakt waardoor het door packet inspection als normaal HTTPS verkeer gezien wordt.

Interessant is ook: xor.patch, obfsproxy (een Tor project) of met een DNS tunnel waarbij die laatste wel heel erg traag is.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #20 Gepost op: 19 juni 2015, 17:18:32 »
Achtergrond info over detecting van OpenVpn.
https://www.anonyproz.com/supportsuite/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=174

Met wireshark kun je OpenVpn er zo uit pikken. zie:
https://wiki.wireshark.org/OpenVPN

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #21 Gepost op: 19 juni 2015, 17:21:32 »
Die link stond inderdaad al onder mijn favorieten :)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #22 Gepost op: 19 juni 2015, 17:41:37 »
Over DPI gesproken: de aangekondigde Synology router zal ook DPI opties geven volgens hun Duitse promo filmpje. Dat maakt de techniek wel toegankelijk voor een grotere groep.  :'(

Ik neem aan dat je daarmee bedoelt dat als men dat zou instellen de mogelijkheden om een beetje "anoniem" te surfen afnemen.

Vooralsnog ben ik blij dat ik hier woon, dat is niet Nederland overigens.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #23 Gepost op: 20 juni 2015, 10:31:57 »
Nee zo'n optie zou natuurlijk alleen beschikbaar zijn voor de eigenaar van die Synology router.
Het zal bedoelt zijn om te kijken of wat er binnenkomt wel bonafide is en geen hacker.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #24 Gepost op: 20 juni 2015, 11:04:07 »
Ja, daar zal het inderdaad voor bedoelt zijn.
Vind het wel interessant allemaal.

Zag dat je een link naar Wireshark had toegevoegd.
Het filter OpenVPN in Wireshark zal, volgens mij, out of the box, alleen een standaard installatie van OpenVPN kunnen ontdekken, echter niet live als ik het goed lees. Maar zeker leuk om eens mee te expirimenteren.

Het kan eruit gefilterd worden, als ik het goed begrijp, door de afwijkende handshake t.o.v. normaal SSL/TLS.
Je data blijft evengoed beschermt.

Als je b.v. volgens deze handleiding OpenVPN ingericht hebt, wordt het, denk ik, al een pak lastiger om het te vinden met Wireshark.

Citaat
"size of the HMAC header in bytes: The default HMAC algorithm is SHA-1 which generates a 160 bit HMAC, therefore 20 bytes should be ok.

packet-id for replay protection includes optional time_t timestamp?: If the parameter --tls-auth is used, an additional packet-id for replay protection is inserted after the HMAC signature. This field can either be 4 bytes or 8 bytes including an optional time_t timestamp long. The default value is True"

De handleiding gebruikt SHA2 en er zal dan een handmatig filter ingesteld moeten worden om OpenVPN te ontdekken.
Je weet echter niet wat er gebruikt wordt en ben je dus wel even bezig met het instellen van verschillende filters voordat je het kunt ontdekken.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #25 Gepost op: 20 juni 2015, 12:51:46 »
Ja je kunt het vrij lastig maken om een vpn tunnel te herkennen, maar professionele aparatuur en software heeft niet zo veel moeite om het verschil tussen een ssl verbinding en een vpn tunnel te detecteren.

Grote bedrijven willen namelijk absoluut niet dat hun werknemenrs (of wie dan ook) VPN tunnels op gaan zetten en zo hun bedrijfsnetwerk aan een ander netwerk (of het open internet) koppelen.


 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 125
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2065
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1326
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3558
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2577
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX