V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yzc27
V2EX  ›  问与答

OpenVPN 安全性疑问

  •  
  •   yzc27 · 2022-05-03 19:37:25 +08:00 · 2521 次点击
    这是一个创建于 695 天前的主题,其中的信息可能已经有所发展或是发生改变。

    想请教各位大佬,假如我有家用公网 ip ,只开 OpenVPN 的(高位)端口,别的端口都没开。

    这种情况下,如果端口被人知道了,那么 OpenVPN 被人爆破的可能性大吗?

    19 条回复    2022-05-04 06:20:22 +08:00
    XiLingHost
        1
    XiLingHost  
       2022-05-03 19:38:56 +08:00
    用证书登录
    muhahaha
        2
    muhahaha  
       2022-05-03 19:39:41 +08:00 via Android
    证书登录问题不大
    yzc27
        3
    yzc27  
    OP
       2022-05-03 19:40:06 +08:00
    @XiLingHost 是的,是用证书登录。
    XiLingHost
        4
    XiLingHost  
       2022-05-03 19:41:02 +08:00
    @yzc27 我的意思是,如果使用证书登录,那么可能性不大
    yzc27
        5
    yzc27  
    OP
       2022-05-03 19:42:28 +08:00
    @muhahaha 我可以认为,只要是证书登录的话,哪怕被知道 ip 和端口,也几乎很难从 openvpn 爆破进内网,对吗?
    eason1874
        6
    eason1874  
       2022-05-03 19:43:00 +08:00
    跟 SSH 一样,肯定有机器来爬,但你只用证书登录就问题不大
    heyjei
        7
    heyjei  
       2022-05-03 19:43:21 +08:00
    安全,我的 OpenVPN 也在公网。
    iClass
        8
    iClass  
       2022-05-03 19:43:55 +08:00 via Android
    用公網 無隱私
    heyjei
        9
    heyjei  
       2022-05-03 19:44:19 +08:00
    @eason1874 SSH 有人来试密码,OpenVPN 大部分用的都是证书,估计没人来试密码吧。
    yzc27
        10
    yzc27  
    OP
       2022-05-03 19:44:56 +08:00 via iPhone
    @XiLingHost 明白,谢谢大佬
    yzc27
        11
    yzc27  
    OP
       2022-05-03 19:48:38 +08:00 via iPhone
    @heyjei 因为突然想起今天没事做在网上随手找了个端口扫描的网站全端口地扫了下自己 ip ,可以扫到 openvpn 的端口。后来才想起,这网站不知道可不可靠,会不会在后台记录下 ip 端口,事后来慢慢爆破 openvpn
    yzc27
        12
    yzc27  
    OP
       2022-05-03 19:54:41 +08:00 via iPhone
    @eason1874 想确认一下,证书登录,是不是就是用 easy-rsa 生成那几个 ca 、cert 、key 文件?我当时是按网上教程跟着搞的。
    hdp5252
        13
    hdp5252  
       2022-05-03 19:55:04 +08:00
    日本甲骨文安装 openvpn 已稳定运行 3 年,用证书登录
    ssh 也是证书一直没改过,再也不怕穷举。
    hdp5252
        14
    hdp5252  
       2022-05-03 19:56:03 +08:00
    @yzc27 对呀
    这 3 个证书可以放进.ovpn 里面
    muhahaha
        15
    muhahaha  
       2022-05-03 19:56:31 +08:00 via Android
    @yzc27 是的 可以考虑只开放这个端口,然后链接回家庭网络,组建局域网
    yzc27
        16
    yzc27  
    OP
       2022-05-03 20:16:00 +08:00
    @hdp5252 #13 明白,谢谢大佬!
    yzc27
        17
    yzc27  
    OP
       2022-05-03 20:17:59 +08:00
    @muhahaha #15 是的,目前我就是这么做。只是今天没事做在网上随手找了个端口扫描的网站全端口地扫了下自己 ip ,可以扫到 openvpn 的端口。后来才想起,这网站不知道可不可靠,会不会在后台记录下 ip 端口,担心事后来被人慢慢爆破 openvpn 。虽说没啥价值,但要是被爆破进内网,自己也担心。
    jim9606
        18
    jim9606  
       2022-05-03 23:34:59 +08:00
    目前主流的 ovpn setup 都是 TLS 双向认证的,爆破基本不可能,主要是软件漏洞、证书密钥泄漏和错误配置。
    前者勤更新别用太老的版本就行(推荐 openvpn>=2.4 ,openssl>=1.1.0 ),中者可能的是你意外公开了客户端 ovpn 或者 ssh 用弱密码登录被爆破。后者就看你有没有看了坑人教程了,例如填了 verify-client-cert none 。
    yzc27
        19
    yzc27  
    OP
       2022-05-04 06:20:22 +08:00 via iPhone
    @jim9606 明白了,谢谢大佬!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3613 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 04:35 · PVG 12:35 · LAX 21:35 · JFK 00:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.