OpenVPN 安全性疑问

2022-05-03 19:37:25 +08:00
 yzc27

想请教各位大佬,假如我有家用公网 ip ,只开 OpenVPN 的(高位)端口,别的端口都没开。

这种情况下,如果端口被人知道了,那么 OpenVPN 被人爆破的可能性大吗?

2548 次点击
所在节点    问与答
19 条回复
XiLingHost
2022-05-03 19:38:56 +08:00
用证书登录
muhahaha
2022-05-03 19:39:41 +08:00
证书登录问题不大
yzc27
2022-05-03 19:40:06 +08:00
@XiLingHost 是的,是用证书登录。
XiLingHost
2022-05-03 19:41:02 +08:00
@yzc27 我的意思是,如果使用证书登录,那么可能性不大
yzc27
2022-05-03 19:42:28 +08:00
@muhahaha 我可以认为,只要是证书登录的话,哪怕被知道 ip 和端口,也几乎很难从 openvpn 爆破进内网,对吗?
eason1874
2022-05-03 19:43:00 +08:00
跟 SSH 一样,肯定有机器来爬,但你只用证书登录就问题不大
heyjei
2022-05-03 19:43:21 +08:00
安全,我的 OpenVPN 也在公网。
iClass
2022-05-03 19:43:55 +08:00
用公網 無隱私
heyjei
2022-05-03 19:44:19 +08:00
@eason1874 SSH 有人来试密码,OpenVPN 大部分用的都是证书,估计没人来试密码吧。
yzc27
2022-05-03 19:44:56 +08:00
@XiLingHost 明白,谢谢大佬
yzc27
2022-05-03 19:48:38 +08:00
@heyjei 因为突然想起今天没事做在网上随手找了个端口扫描的网站全端口地扫了下自己 ip ,可以扫到 openvpn 的端口。后来才想起,这网站不知道可不可靠,会不会在后台记录下 ip 端口,事后来慢慢爆破 openvpn
yzc27
2022-05-03 19:54:41 +08:00
@eason1874 想确认一下,证书登录,是不是就是用 easy-rsa 生成那几个 ca 、cert 、key 文件?我当时是按网上教程跟着搞的。
hdp5252
2022-05-03 19:55:04 +08:00
日本甲骨文安装 openvpn 已稳定运行 3 年,用证书登录
ssh 也是证书一直没改过,再也不怕穷举。
hdp5252
2022-05-03 19:56:03 +08:00
@yzc27 对呀
这 3 个证书可以放进.ovpn 里面
muhahaha
2022-05-03 19:56:31 +08:00
@yzc27 是的 可以考虑只开放这个端口,然后链接回家庭网络,组建局域网
yzc27
2022-05-03 20:16:00 +08:00
@hdp5252 #13 明白,谢谢大佬!
yzc27
2022-05-03 20:17:59 +08:00
@muhahaha #15 是的,目前我就是这么做。只是今天没事做在网上随手找了个端口扫描的网站全端口地扫了下自己 ip ,可以扫到 openvpn 的端口。后来才想起,这网站不知道可不可靠,会不会在后台记录下 ip 端口,担心事后来被人慢慢爆破 openvpn 。虽说没啥价值,但要是被爆破进内网,自己也担心。
jim9606
2022-05-03 23:34:59 +08:00
目前主流的 ovpn setup 都是 TLS 双向认证的,爆破基本不可能,主要是软件漏洞、证书密钥泄漏和错误配置。
前者勤更新别用太老的版本就行(推荐 openvpn>=2.4 ,openssl>=1.1.0 ),中者可能的是你意外公开了客户端 ovpn 或者 ssh 用弱密码登录被爆破。后者就看你有没有看了坑人教程了,例如填了 verify-client-cert none 。
yzc27
2022-05-04 06:20:22 +08:00
@jim9606 明白了,谢谢大佬!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/850674

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX