Auteur Topic: OpenVPN #5: Live switchen van udp naar tcp en andersom  (gelezen 9352 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
OpenVPN #5: Live switchen van udp naar tcp en andersom
« Gepost op: 18 juni 2015, 00:06:12 »
Tot op heden heb ik altijd nog via UDP, op poort 1194, kunnen verbinden met de VPN server.
Voor het geval het eens gebeurt dat dit niet lukt, doordat er poorten geblokkeerd worden, wou ik graag iets achter de hand hebben.

Ik heb aan verschillende dingen gedacht tot ik gisteren op het idee kwam om twee server configuratie bestanden te maken.
Eén zoals ik nu heb via poort 1194 en extra een tweede voor TCP poort 443.

Het volgende was hoe ik de VPN server kon stoppen om de TCP poort 443 configuratie te starten. Men verliest immers de verbinding op het moment dat men de VPN server stopt.......om hem daarna weer met de nieuwe configuratie te kunnen starten, wat dan dus niet gaat.
Daar waren twee scripts voor nodig die dat allemaal doen, één om te switchen naar TCP en een tweede om later weer terug te kunnen switchen naar UDP.

Samen met de hulp van een gebruiker bij de buren is dat gelukt met de volgende twee scripts,

Van UDP naar TCP (tcp.sh):
#!/bin/sh
mv /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.udp
mv /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.tcp /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
/volume1/@appstore/VPNCenter/scripts/openvpn.sh restart


Van TCP naar UDP (udp.sh):
#!/bin/sh
mv /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.tcp
mv /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.udp /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
/volume1/@appstore/VPNCenter/scripts/openvpn.sh restart

Elk script hernoemt eenvoudigweg de actieve configuratie daarna hernoemt het de gewenste configuratie.
Als dat gedaan is herstart de VPN server waarna in de client de config (profiel) gewisseld kan worden.

Je hebt dus twee configuraties in /usr/syno/etc/packages/VPNCenter/openvpn staan.
1 openvpn.conf (UDP) en 1 openvpn.conf.tcp (TCP)

Om te schakelen gebruik ik JuiceSSH op Android en PuTTY op Windows.

De twee scripts heb ik staan in /volume1 met permissie 0755
De één heet tcp.sh om te switchen naar TCP en de ander heet udp.sh om te switchen naar UDP.

Om te switchen naar TCP geef je op de prompt:
sh /volume1/tcp.sh

Om te switchen naar UDP geef je op de prompt:
sh /volume1/udp.sh
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7754
  • Berichten: 43.052
  • EOF
    • Truebase
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #1 Gepost op: 18 juni 2015, 11:13:17 »
Leuke oplossing  :!:

Als ik mag aanvullen, je moet dus de standaard openvpn.conf copieeren naar openvpn.conf.tcp en daarin toevoegen, neem ik aan:
port 443
proto tcp


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #2 Gepost op: 18 juni 2015, 12:22:24 »
Ja, het kopieren klopt.

Op de VPN server staat de poort achter het adres (IP/DDNS)
B.v.:
111.222.111.222 443
proto tcp-server
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 161
  • Berichten: 1.349
  • Yum yum brains...
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #3 Gepost op: 19 juni 2015, 08:58:25 »
Welke redenen zou je kunnen aangeven om (ad-hoc) te willen switchen van UDP naar TCP voor VPN traffic?
Dat immers UDP standaard gebruikt wordt hiervoor heeft immers een legitieme rede.

Ik ben benieuwd.

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
RT6600ax meshed 1 x RT2600ac, 3 x MR2200ac

Homelab;
HP Proliant DL360 Gen9 (aka Pizzabox)
2*XEON E5-2697A V4 total: 32C/64T
256GB RAM, 20TB RAID5 SSD Cluster

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #4 Gepost op: 19 juni 2015, 09:03:00 »
Het antwoord staat in de openingspost :)

"Voor het geval het eens gebeurt dat dit niet lukt, doordat er poorten geblokkeerd worden, wou ik graag iets achter de hand hebben."
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2615
  • Berichten: 16.229
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #5 Gepost op: 19 juni 2015, 09:16:05 »
Het enige wat niet klopt is dat het "Live" gebeurd. Dan zou het ook een onzinnige actie zijn om via VPN ingelogd, naar een ander protocol te switchen.  Bij een echte "Live" switch zou ik verwachten dat je die SSH verbinding via een VPN inlog uitvoert. :D

Ik denk ook dat anderen die via VPN ingelogd zijn, eruit gegooid worden. Bij een echte "live" switch zou ik verwachten dat ze ingelogd blijven.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: "Live" switchen van tcp naar udp en andersom
« Reactie #6 Gepost op: 19 juni 2015, 09:22:14 »
Eerlijk gezegd zat ik te wachten tot iemand zou vragen:
"Maar hoe kun je switchen als je geen verbinding krijgt via UDP?"

Dan kan dat via 2/3/4G of een ander hotspot.

Titel is aangepast.

Het switchen gebeurt trouwens wel tijdens de live VPN verbinding.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #7 Gepost op: 19 juni 2015, 11:00:21 »
Tot op heden heb ik altijd nog via UDP, op een hogere poort dan 1194, kunnen verbinden met de VPN server.
Voor het geval het eens gebeurt dat dit niet lukt, doordat er poorten geblokkeerd worden, wou ik graag iets achter de hand hebben.

Leuk verhaal en mooi uitgedokterd, maar is zie de reden niet(anders dan dat het gewoon kan ;D)

UDP wordt gebruikt binnen de VPN tunnel, dus tussen de twee VPN endpoints.
Als je dus een VPN tunnel kunt opzetten kan geen enkele router die UDP stream blokeren via een port block, want die router ziet alleen die VPN.
Dit zou hooguit nuttig kunnen zijn als je daarna weer verder moet routeren en dat niet met UDP kan/wil.
Het lijkt me dat dit in een thuissituatie nooit voor zal komen..

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #8 Gepost op: 19 juni 2015, 11:11:11 »
Wat ik bedoel is dat als alleen poort 80 en 443 openstaat, zoals b.v. recent hier iemand op het forum die op een camping zat, ik een optie heb om te switchen van b.v. UDP 1194 naar TCP 443.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #9 Gepost op: 19 juni 2015, 13:25:23 »
Aha nu snap ik het.
Je tekst is een beetje verwarrend. Je bedoelt de VPN port en niet de UDP port.

Het gaat om de VPN port en UDP of TCP maakt dan helemaal niets uit.
Je kunt je VPN net zo goed over port 433 (of 80) sturen en UDP gebruiken.

UDP heeft de voorkeur bij VPN, omdat het minder overhead heeft en omdat het ingekapselt is in het VPN protocol heb je de voordelen die TCP bied niet nodig (UDP is stateless en TCP is statefull).

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #10 Gepost op: 19 juni 2015, 13:44:22 »
UDP heeft de voorkeur, dat weet ik.

Ik zie nu op iana.org dat inderdaad zowel protocol UDP, TCP (en SCTP) gebruikt word voor HTTPS.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #11 Gepost op: 19 juni 2015, 13:55:50 »
Je haalt een paar dingen door elkaar.
VPN is geen HTTPS, het lijkt er wel veel op maar is wat anders.
En over een VPN tunnel kun je elk willekeurig protocol gebruiken wat je wilt als je maar aan beide zijden van de tunnel iets hebt dat dat protocol begrijpt.
Voor mijn part stuur je er ipx/spx overheen als je nog een novell server zou hebben.

Onderstaand plaatje is heel verhelderend al is het van een bepaalt merk.


Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #12 Gepost op: 19 juni 2015, 14:01:24 »
Dat is mij allemaal duidelijk  @Ben(V) :)

Het gaat mij om b.v. de camping die evt. ook protocollen blokt.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2615
  • Berichten: 16.229
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #13 Gepost op: 19 juni 2015, 14:06:16 »
Camping? Dat betekend toch vakantie. Hoe is vakantie nu te rijmen met VPN? Die twee zaken zijn volgens mij incompatibel.  ;D

Probeert een campingeigenaar eens echte vakantie bij zijn gasten af te dwingen en is het weer niet goed.

Voor niet-vakantie toepassing is het verhaal overigens wel zeer informatief.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #14 Gepost op: 19 juni 2015, 14:11:36 »
Niet iedereen gebruikt VPN voor zakelijke doeleinden  :P

Het is wat mij betreft een leuke oplossing tenzij middels DPI VPN geblokt wordt natuurlijk.
Maar ook daar zijn mogelijke oplossingen voor, zoekterm "stunnel".
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

OpenVPN installeren lukt niet

Gestart door ajansen66Board VPN Server

Reacties: 22
Gelezen: 6632
Laatste bericht 19 juni 2017, 00:07:59
door hbancy
Aangepaste OpenVPN werkt na update DSM niet meer

Gestart door André PE1PQXBoard VPN Server

Reacties: 37
Gelezen: 7620
Laatste bericht 15 juni 2023, 00:34:33
door biomass
Wachtwoord OpenVPN Certificaat

Gestart door mcmurdyyBoard Synology DSM BETA versies

Reacties: 6
Gelezen: 6138
Laatste bericht 20 maart 2016, 20:18:38
door Pippin
Inloggen via OpenVPN met certificaat

Gestart door UhhhBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 1771
Laatste bericht 20 december 2014, 23:42:32
door Uhhh
OpenVPN werkt, kan niet bij bestanden

Gestart door EgBoard VPN Server

Reacties: 1
Gelezen: 1545
Laatste bericht 05 november 2018, 19:11:30
door Pippin