OpenVPN - шифрование. (вопрос)

До TAP шифрованный трафик а уже с TAP он не шифровнный, т.к. кто его в гугле будет дешифровать? Они же Ваших ключей не знают. Если нужно и далее шифрованно ходить https Вам в помощь, там где поддерживается.

ок.

как мне убедиться на 200% процентов, что трафик от меня шифруется до моего сервера?

Точный алгоритм действий и команд подскажите пожалуйста.

устройства на сервере: eth0, lo, tap0

Создайте виртуальную машину с линуксом, настройте соеденение в интернет через нее и просмотрите через tcpdump содержимое пакетов

Удачи!

Вы с eth0 трафик снимите тогда посмотрите

а с помощью tcpdump и без создания виртуалок разве нельзя убедиться в шифровании на самом сервере? )

---------- Добавлено 09.06.2013 в 19:00 ----------

Уважаемые СПЕЦИАЛИСТЫ!

Пожалуйста, точный алгоритм действий и команд подскажите пожалуйста.

что и где выполнить, на каком устройстве посмотреть трафик и как.

---------- Добавлено 09.06.2013 в 19:01 ----------

для меня это темный лес!

извините.

---------- Добавлено 09.06.2013 в 19:04 ----------

Так можно ответить или не реально сложно? )):

Выполнить команду такую то и там то:

Если результат будет таким - значит шифруется.

Если результат такой - не шифруется.

---------- Добавлено 09.06.2013 в 19:22 ----------

пробовал такой вариант, но так и не понял на что обращать внимание (

при включенном и выключенном шифровании разницы не увидел - по каким данным можно определить шифрование?

Для проверки шифрования канала можно воспользоваться утилитой tcpdump и послушать, что именно проходит через наши интерфейсы например запустив ping -t google.com с клиентской (в нашем случае windows машины):

tcpdump -i tun0 -lenx для прослушивания интерфейса tun0:



07:35:39.039836 > ip 76: IP 64.233.167.99 > 10.8.0.6: icmp 40: echo reply seq 52992

0***215;0000: 4500 003c 5024 0000 f501 8342 40e9 a763 E..



0***215;0010: 0a08 0006 0000 825b 0400 cf00 6162 6364 …….[….abcd
0***215;0020: 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 efghijklmnopqrst

0***215;0030: 7576 7761 6263 6465 6667 6869 uvwabcdefghi

07:35:39.935597 < ip 76: IP 10.8.0.6 > 64.233.167.99: icmp 40: echo request seq 53248

0***215;0000: 4500 003c 502d 0000 8001 f839 0a08 0006 E.. 0***215;0010: 40e9 a763 0800 795b 0400 d000 6162 6364 @..c..y[….abcd
0***215;0020: 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 efghijklmnopqrst

0***215;0030: 7576 7761 6263 6465 6667 6869 uvwabcdefghi

07:35:40.039872 > ip 76: IP 64.233.167.99 > 10.8.0.6: icmp 40: echo reply seq 53248

0***215;0000: 4500 003c 502d 0000 f501 8339 40e9 a763 E.. 0***215;0010: 0a08 0006 0000 815b 0400 d000 6162 6364 …….[….abcd
0***215;0020: 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 efghijklmnopqrst

0***215;0030: 7576 7761 6263 6465 6667 6869 uvwabcdefghiВидим, что пакеты не шифрованы, но ведь так и надо для этого интерфейса :-)

Теперь посмотрим как шифруется канал между клиентской машиной и нашим сервером по интерфейсу eth0:



tcpdump -i eth0 udp port 1194 -lenx смотрим



07:49:27.636106 00:13:8f:a3:3c:bf > 00:0c:db:b6:21:00, ethertype IPv4 (0***215;0800),

length 143: IP ss.ss.ss.ss.1194 > cc.cc.cc.cc.4286: UDP, length 101

0***215;0000: 4500 0081 acc4 4000 4011 2e6d 5995 c3a1 E…..@.@..mY…

0***215;0010: 52d1 ef32 0bd6 10be 006d 2773 3022 cd46 R..2…..m’s0″.F

0***215;0020: fdbe bd8e eb73 1d90 ff19 14a3 f2a6 a484 …..s……….

0***215;0030: b34d 227c 0dc8 3115 f6bd 9f68 04b4 5b6d .M”|..1….h..[m
0***215;0040: 9f9e 5ff1 f8a0 e8de 5963 f8de 41fc 66ac .._…..Yc..A.f.

0***215;0050: f652

07:49:28.647961 00:13:8f:a3:3c:bf > 00:0c:db:b6:21:00, ethertype IPv4 (0***215;0800),

length 143: IP ss.ss.ss.ss.1194 > cc.cc.cc.cc.4286: UDP, length 101

0***215;0000: 4500 0081 acc5 4000 4011 2e6c 5995 c3a1 E…..@.@..lY…

0***215;0010: 52d1 ef32 0bd6 10be 006d 3ee2 3001 88d0 R..2…..m>.0…

0***215;0020: 19de 5eb9 6ece ee5f 4088 16a0 7ccb fed4 ..^.n.._@…|…

0***215;0030: c097 7c7e c546 9cd5 3c88 960e d87d dfdf ..|~.F..< ….}..

0***215;0040: 931f d1b5 b620 9fd1 6e70 898e 9753 aaeb ……..np…S..

0***215;0050: 2337



где ss.ss.ss.ss адрес нашего сервера, а cc.cc.cc.cc адрес нашего клиента.

Как видно из дампа наш канал зашифрован.

Ну что вы, вроде все разжевали. Да и на правильном вы пути.

Без VPN запустите:

tcpdump -i eth0 -A -s 2000 2>1 | grep ya.ru

и откройте в браузере http://ya.ru (или лучше командой curl http://ya.ru)

Подождите некоторое время и в выводе от grep увидите Host: ya.ru

Затем запустите openvpn и проделайте тоже самое.

"Host: ya.ru" вы уже не увидите. Значит траффик шифрованный.

Как без "Без VPN запустите:" не понял как запустить, да и неважно.

Выполнил и получил такое при подключенном OpenVPN:

Using username "root".
Last login: Mon Jun 10 00:16:56 2013 from МОЙ ПРОВАЙДЕР
[root@vm111 ~]# tcpdump -i eth0 -A -s 2000 2>1 | grep ya.ru
00:19:53.303183 IP АДРЕС СЕРВЕРА.49362 > resolver1.opendns.com.domain:  29237+ A? ya.ru. (23)
E..3.!.....&m..e.C.....5..>.r5...........ya.ru.....
E.....@.<....C..m..e.5....ZRr5...........ya.ru..............&..MX...........&..W............&..W............&..W............&..]............&..]............&...............&......
Host: ya.ru
Referer: http://ya.ru/
Set-Cookie: yandex_gid=213; Expires=Tue, 09-Jul-2013 20:19:53 GMT; Domain=.ya.ru; Path=/
Set-Cookie: yp=; Expires=Thu, 12-Jun-2003 20:19:53 GMT; Domain=.ya.ru; Path=/
Set-Cookie: yp=1373401193.ygu.1; Expires=Wed, 07-Jun-2023 20:19:53 GMT; Domain=.ya.ru; Path=/
E.....@.....m..eW..O...f.....*..P.C.....<stream:stream to='ya.ru' xmlns='jabber:client' xmlns:stream='http://etherx.jabber.org/streams' version='1.0'>
E`....@.8..!W..Om..e.f...*.....mP.7.|...<?xml version='1.0'?><stream:stream xmlns='jabber:client' xmlns:stream='http://etherx.jabber.org/streams' id='3770419039' from='ya.ru' version='1.0' xml:lang='en'>
.........0.......Gq.....;...._...............p..E..\..v.SH..5c
00:21:20.913807 arp who-has node1.audiohrestomatiya.ru tell 46.182.24.1
00:21:20.915909 IP dns-a.selectel.org.domain > АДРЕС СЕРВЕРА.39060:  6044 1/0/0 PTR node1.audiohrestomatiya.ru. (83)
E..o..@.?.h..]..m..e.5...[...............57.24.182.46.in-addr.arpa.............Q....node1.audiohrestomatiya.ru.
00:21:20.915922 IP dns-a.selectel.org.domain > АДРЕС СЕРВЕРА.39487:  33033 1/0/0 PTR node1.audiohrestomatiya.ru. (83)
E..o..@.?.h..]..m..e.5.?.[.p.   ...........57.24.182.46.in-addr.arpa.............Q....node1.audiohrestomatiya.ru.

[root@vm111 ~]#

получается канал открытый?

а так на tap0 выдает:

[root@vm11130 ~]# tcpdump -i tap0 -A -s 2000 2>1 | grep ya.ru

Host: ya.ru

Referer: http://ya.ru/

---------- Добавлено 10.06.2013 в 00:37 ----------

в обоих конфигах есть строка: cipher AES-128-CBC # AES

---------- Добавлено 10.06.2013 в 00:43 ----------

конфиги:

client

proto udp

remote АДРЕС СЕРВЕРА

port 1194

dev tap



resolv-retry infinite

nobind



redirect-gateway def1

route-method exe



tls-client

tls-auth ta.key 1

dh dh1024.pem

ca ca.crt

cert client.crt

key client.key



persist-tun

persist-key



cipher AES-128-CBC # AES

proto udp

dev tap

port 1194

tls-server

tls-auth ta.key 0

ca ca.crt

cert server.crt

key server.key

dh dh1024.pem

mode server

ifconfig 192.168.231.5 255.255.255.0

ifconfig-pool 192.168.231.6 192.168.231.200

push "route-gateway 192.168.231.5"

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 208.67.220.220"

user nobody

group nobody

cipher AES-128-CBC # AES

# comp-lzo

persist-tun

persist-key

# Для работы OpenVPN

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

echo 1 > /proc/sys/net/ipv4/ip_forward

sysctl -p

iptables -I FORWARD 1 -i tap0 -p udp -j ACCEPT

iptables -I FORWARD 1 -i tap0 -p tcp -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.231.0/24 -o eth0 -j SNAT --to-source АДРЕС СЕРВЕРА

iptables -A INPUT -p udp --dport 1194 -j ACCEPT

Прослушайте трафик через виртуалку

ТС,

вы ----- тут шифровано ----- сервер впн ------тут не шифровано ------мировой интернет.

для того что бы убедится, что соединение до сервера шифруется, нужно выполнить

tcpdump -A -s0 -ni tap0 | grep Host

и в броузере набрать http://yandex.ru - вот и посмотрим - что вам терминал сервера выдаст в ответ

спасибо за совет, нет возможности устанавливать виртуалку.

[root@vm111 ~]# tcpdump -A -s0 -ni tap0 | grep Host
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap0, link-type EN10MB (Ethernet), capture size 65535 bytes
Host: mc.yandex.ru
Host: www.yandex.ru
Host: yandex.st
Host: yandex.st
Host: awaps.yandex.ru
Host: yandex.st
Host: yandex.st
Host: yandex.st
Host: yandex.st
Host: yandex.st
Host: yabs.yandex.ru
Host: yabs.yandex.ru
Host: yandex.st
Host: yabs.yandex.ru
Host: mc.yandex.ru
Host: pass.yandex.ru
Host: mc.yandex.ru
Host: yandex.st
Host: www.tns-counter.ru
Host: ar.tns-counter.ru
Host: yandex.st
Host: clck.yandex.ru
Host: yandex.st
Host: mc.yandex.ru
Host: ru-mg42.mail.yahoo.com
Host: mc.yandex.ru

Ведь как только трафик проходит 1194 порт, то он уже в расшифрованном виде на устройствах tap0 и eth0 и какой смысл на них смотреть трафик или я не прав??

Можно ли таким способом успокоится и быть уверенным, что трафик шифруется в туннеле? )

Запретил шифрование в туннеле
выполнил tcpdump -i eth0 udp port 1194 -A -s 10000 2>1 | grep yandex.ru
в браузере открыл yandex.ru и увидел заголовки, титле и так далее....

Включил шифрование
выполнил tcpdump -i eth0 udp port 1194 -A -s 10000 2>1 | grep yandex.ru
в браузере открыл yandex.ru, а в ответ тишина... )