OpenVPN - Port knocking


#1

Nezkousel tu nekdo nastavit port knock na openvpn? Chtel bych v idealnim pripade mit z venku otevreny jen port na ssh honeypot a port pro openvpn jen po zaklepani na urcitou sekvenci. Pripadne nezvazuje se tato moznost v nejake budouci verzi forisu?


#2

Je k dispozici tenhle balicek “luci-app-fwknopd” takze by to melo jit pres Luci.


#3

neni tu nekdo kdo fwknopd pouziva a pomohl by s nastavenim? nainstaloval sem “fwknopd” a “luci-app-fwknopd”, v luci se objevilo services -> firewall knock daemon

tam sem nechal vsechno default a jenom povolil config overwrite a do open ports dal udp/1194

na vpn se ale pripojim i bez “zaklepani” a kdyz sem si udelal z venku quick scan pomoci zenmap tak nasel otevreny 22 (honeypot), 23 (telnet - default ma byt otevreny?), 3128 (squid-http) + 8080 (http-proxy) a pritom zadnou proxy nepouzivam

chtel bych se dostat do stavu kdy bude otevreny jen honeypot a po zaklepani pouze vpn

update: port knock sam o sobe funguje, kdyz poslu z klienta SPA packet tak vidim v logu ze ho prijal a prida se access rule. takze problem bude asi jen v nastaveni firewallu, ze je vpn dostupna i bez zaklepani


#4

Tak vyreseno, problem byla jen vyjimka ve firewallu co povoluje vpn port vzdy. A porty 23+3128+8080 sem nasel ve firewallu v chain ucollect_fake tak predpokladam, ze je vyuziva interne ucollect a nejedna se o zadne riziko.

Kdyztak pro ostatni pridavam kompletni postup:

System -> Software

  • nainstalovat fwknopd + luci-app-fwknopd

Services -> Firewal Knock Daemon

  • check Enable config overwrite
  • open_ports: udp/1194

Network -> Firewall -> Traffic rules

  • zrusit enable pro “vpn_turris_rule”

Klient pro win / linux / mac / android
https://incomsystems.biz/fwknop-gui/index.php