Тема : openvpn mitm


exename  30-12-2009 00:21
Добрый вечер
Нужна консультация
ситуация следующая - есть openvpn сервер с белым ip и клиент с серым (ip выбирается из небольшого диапазона)
соответственно в логах сервера и клиента эти ip постоянно фигурируют
Белый ip кстати выдается по не совсем понятной мне схеме:
сам сервер в локалке городской сети с фейк ипом, но (скорее всего форвардом) получает пакеты адресованные на белый ип
итак, просматривая логи, вместо привычных ип из диапазона, наткнулся на незнакомый белый ип, оказавшийся ns сервером провайдера белово ипа
вот логи сервера:
openvpn[1154]: TCP connection established with ип_ns_сервера:порт
openvpn[1154]: Socket Buffers: R=[87380->131072] S=[16384->131072]
openvpn[1154]: TCPv4_SERVER link local (bound): [undef]:порт_сервера
openvpn[1154]: TCPv4_SERVER link remote: ип_ns_сервера:порт
openvpn[1154]: Peer Connection Initiated with ип_ns_сервера:порт
openvpn[1154]: Initialization Sequence Completed

в логах клиента все зеркально только ип_сервера правильный
конфиг сервера:
port порт
proto tcp-server
dev tun0
secret /etc/openvpn/кей.key
ifconfig ип_1_конца ип_2_конца
route 10.Х.Х.0 255.255.255.0
tun-mtu 1405
keepalive 10 120
comp-lzo
max-clients 100
user nobody
persist-key
daemon
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

remote ип_сервера
dev tun3
proto tcp-client
ifconfig ип_2_конца ип_1_конца
port порт
secret /usr/local/etc/openvpn/кей.key
tun-mtu 1405
resolv-retry infinite
comp-lzo
keepalive 10 120
persist-key
persist-tun
verb 3
log-append /var/log/openvpn3.log

никаких дополнительно подозрительных вещей типа долбления по ssh внутренних ип не было
Запись конекта с этого ип единична и больше нигде не повторяется
соответсвенно вопрос: меня поимели или же это как то можно объяснить вещами типа изменения маршрутизации у провайдера и тп ?
ЗЫ Также характерно, что перед этим событием белый ип был некоторое время недоступен, возможно проходили тех работы у провайдера

olegon  30-12-2009 09:20
Провайдер-то что на это говорит?

Smithson  30-12-2009 09:51
exename:
Сервер слушает на стандарном порту? Порт 1194 часто сканят.
В логах других сетевых служб нет коннектов с этого же ip?
Похоже на банальный скан.

exename  30-12-2009 10:57
провайдер ничего не говорит, он еще не был об этом спрошен) коннект происходил с его ип, так что может кто из админов баловался.
нет, порт не стандартный, на скан не похоже, так как в логах именно коннект с опенвпн, был бы телнет или что нибудь банальное оно бы не отразилось в логах таким образом,
после коннекта соединение провисело около 6ти часов

cyberb  30-12-2009 16:29
Я давно не работал с опенвнп, но чего-то мне кажется странным, у тебя ж есть конфиг для точка-точка, как может левак (ты вот даже говоришь с другим ИПом) фигурировать в логах, если конфа этот неправильный ИП не учитывает. В моем понимании МИТМ это когда те же ИПшники, тока кто-то прозрачно в середине. Вообщем причем тут МИТМ не понял.

exename  30-12-2009 18:07
это было мое единственное предположение - кривой митм
что это еще может быть?
у меня четко прописан только ип сервера. ип клиента может быть любым

дело в том что по логам клиента в это же время было соединение с сервером

cyberb  30-12-2009 19:47
а в конфиге у тя написано - жесткий точка-точка с привязкой ИП. думаю ты напрасно мандраж наводишь. ну потрогали тебя? что с того? чего впадать в панику