Auteur Topic: Directory server en VPN gebruiken  (gelezen 6080 keer)

Offline mas

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 7
Directory server en VPN gebruiken
« Gepost op: 19 september 2018, 16:28:24 »
Hallo allen,

Na heel wat topics te hebben gelezen op o.a. dit forum denk ik dat ik een oplossing heb bedacht voor een netwerk oplossing binnen een klein bedrijfje van een vriend van mij. Omdat ik zelf geen ervaring heb met opzetten van (active) directory server en vpn zou ik graag bij jullie willen toetsen of wat ik bedacht heb zal werken. Dit alles icm synology nas die we hebben (volgens mij DS216j).

Alvast excuses als de vraag hier niet thuis hoort!

Situatie:
1 locatie met ong. 7 werkplekken. Hier draait de NAS die als fileserver dient en lokaal wordt benaderd. Dit werkt allemaal prima en is recht toe recht aan.
Binnenkort openen ze een tweede locatie waar in eerste instantie 3 werkplekken komen, maar in de toekomst meer. De bedoeling is dat de gebruikers op deze locatie ook bij de bestanden kunnen die op de NAS staan.
Alle machines draaien op Windows 10.

Wens
  • Gebruikers kunnen vanuit beide locaties de shares benaderen op de NAS
  • Gebruikers en toegang centraal beheren

Wat ik bedacht heb
Als ik de verschillende topics hier goed heb begrepen kan ik bovenstaande bereiken met de VPN Server en Directory Server (Active directory server is niet beschikbaar voor de DS216j).
VPN ga ik configureren volgens het OpenVPN beter beveiligen topic :
https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/

Toegang en autorisatie kan ik via Directory Server regelen icm pGina, ook via dit forum:
https://www.synology-forum.nl/directory-server-package/directory-server-ingesteld-maar-windows-machine-niet-te-koppelen-met-directory/

Alvast dank voor het meedenken!

Ben(V)

  • Gast
Re: Directory server en VPN gebruiken
« Reactie #1 Gepost op: 19 september 2018, 19:38:21 »
Wat jij wilt is een site-to-site VPN, zodat de twee netwerken op die locaties aan elkaar gekoppeld worden.
Dat kan niet met de VPN server die in je Nas zit.
De VPN in je Nas kan ofwel een server zijn voor een client-sever configuratie of een client voor een andere VPN-server maar geen site-to-site server.

De Synology router kan dat wel.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Directory server en VPN gebruiken
« Reactie #2 Gepost op: 19 september 2018, 21:52:36 »
Wat betreft het OpenVPN deel.

Locatie 1:
NAS als fileshare en OpenVPN Server
7 werkplekken

Locatie 2:
3 of meer werkplekken

Met gebruik van het OpenVPN beter beveiligen topic kan dat prima mits elke PC op locatie 2 individueel verbindt naar locatie 1.
Indien je het crypto deel wilt aanpassen zodat de CPU last minder wordt op de NAS, dan laat het maar weten.

Weet niet wat er over de lijn moet maar denk ook aan de up/download snelheden aan beide zijden.

In hoeverre Directory Server kan samenwerken met OpenVPN op de NAS weet ik niet, geen ervaring mee.
Misschien dat er onder Accounttype in VPN Server -> Algemene instellingen een keuze bijkomt...
 :?:
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mas

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 7
Re: Directory server en VPN gebruiken
« Reactie #3 Gepost op: 20 september 2018, 12:22:23 »
Dank beiden voor jullie reactie. Site to site VPN kende ik niet, zal me eens in verdiepen.

@MMD het is geen probleem als ze op locatie 2 telkens individueel verbinding moeten maken met locatie 1. Wat een probleem zou kunnen zijn is het down/upload snelheid. Maximaal wat ze kunnen halen is 34/5 Mbit, maar dat moet straks in de praktijk blijken hoeveel hinder ze hiervan gaan vinden. Het gaat toch met name om office bestanden van gem < 1 MB.

Citaat
Indien je het crypto deel wilt aanpassen zodat de CPU last minder wordt op de NAS, dan laat het maar weten.

Heel graag!!

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Directory server en VPN gebruiken
« Reactie #4 Gepost op: 20 september 2018, 12:50:47 »
Dan in de configuratie bestanden van server en client(s) het volgende wijzigen:
Server:
push "sndbuf 524288"
push "rcvbuf 524288"
sndbuf 524288
rcvbuf 524288
cipher AES-128-CBC
auth SHA256
# verwijderen:
prng SHA256 32
Client(s):
cipher AES-128-CBC
auth SHA256
# verwijderen:
prng SHA256 32
In het geval er elk uur om het wachtwoord gevraagd wordt, dit ook verwijderen uit de cient config bestanden:
auth-nocache
Succes.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mas

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 7
Re: Directory server en VPN gebruiken
« Reactie #5 Gepost op: 20 september 2018, 17:31:32 »
Dank je wel MMD! Zondag ben ik daar op locatie dus kan het gaan proberen.

Offline mas

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 7
Re: Directory server en VPN gebruiken
« Reactie #6 Gepost op: 15 oktober 2018, 09:37:14 »
Dit weekend dan eindelijk aan toegekomen om het uit te proberen. Helaas heb ik geen internet meer nadat ik de VPN verbinding heb opgezet. Zo op het eerste gezicht lijkt het een DNS issue, omdat pingen naar externe (en interne) ip-adressen wel werkt (bijv. ping 8.8.8.8 gaat goed, maar ping google.com  geeft could not find host foutmelding). Geen idee wat ik fout doe :oops: De server en client log heb ik als bijlage toegevoegd.

Wat wel werkt:
- VPN verbinding opzetten
- Benaderen van de NAS/Shares
- Benaderen andere apparaten op de LAN van de NAS

Wat niet werkt:
- Internet op de cliënt zodra VPN verbinding is opgezet

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Directory server en VPN gebruiken
« Reactie #7 Gepost op: 15 oktober 2018, 12:25:54 »
Lijkt inderdaad een DNS issue.
Zie ook geen DNS in het client log...
In het client config bestand kun je één of meerdere DNS servers opgeven:
#dhcp-option DNS vul.hier.ip1.in ### IP van DNS server 1
#dhcp-option DNS vul.hier.ip2.in ### IP van DNS server 2
# weghalen die ervoor staat.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mas

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 7
Re: Directory server en VPN gebruiken
« Reactie #8 Gepost op: 15 oktober 2018, 15:29:19 »
Dat ik die DNS opties in de config over het hoofd heb gezien :o Maar wederom dank @MMD, het werkt. DSM versie 6.2.1, windows 10 client.

Nu aan de slag met de LDPA server icm met vpn.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Directory server en VPN gebruiken
« Reactie #9 Gepost op: 15 oktober 2018, 15:48:13 »

Ben benieuwd of het gaat...

In afwachting van Uw bericht...  ;)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mas

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 7
Re: Directory server en VPN gebruiken
« Reactie #10 Gepost op: 17 oktober 2018, 14:07:19 »
Oke alvast een update. Inloggen op een windows machine met ldap account icm pGina werkt super en was vrij simpel te configureren aan de hand van de video. Maar ik loop nu tegen een probleem met de OpenVPN client aan. Deze moet ik als admin runnen, maar de gebruiker heeft geen admin rechten (het is ook niet de bedoeling dat gebruikers dit krijgen). Helaas heb ik nog niet de tijd gehad om naar mogelijke oplossingen te kijken. Maar als dat eenmaal gaat werken, dan verwacht ik dat opzetten van de VPN verbinding geen probleem zal zijn (dat werkt namelijk al).

Wordt dus nog vervolgd...

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Directory server en VPN gebruiken
« Reactie #11 Gepost op: 17 oktober 2018, 14:51:26 »
Zoek eens naar "interactive Windows service".
Citaat
New interactive Windows service

    The installer starts OpenVPNServiceInteractive automatically and configures it to start at system startup.

    The interactive Windows service allows unprivileged users to start OpenVPN connections in the global config directory (usually C:\Program Files\OpenVPN\config) using OpenVPN GUI without any extra configuration.

    Users who belong to the built-in Administrator group or to the local "OpenVPN Administrator" group can also store configuration files under %USERPROFILE%\OpenVPN\config for use with the interactive service.
https://github.com/OpenVPN/openvpn/blob/release/2.4/Changes.rst
Uitleg daarvan:
https://community.openvpn.net/openvpn/wiki/OpenVPNInteractiveService
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mas

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 7
Re: Directory server en VPN gebruiken
« Reactie #12 Gepost op: 24 oktober 2018, 16:16:08 »
Dank je @MMD , dat had ik al inderdaad gezien maar had geen tijd om het door te lezen.

Inmiddels is het wel gelukt met de genoemde Service. In pGina is het mogelijk om gebruikers aan een local groep toe te voegen na het inloggen. Ik heb eerst de groep "OpenVPN Administrator" aangemaakt met een local admin account. Vervolgens in pGina ingesteld dat gebruikers aan deze local groep toegevoegd worden met als resultaat dat de gebruiker de openVPN client kan runnen zonder admin rechten :D

Daarna mbt van 2 batch scripts de shares kunnen mappen naar drives. Nu nog bezig logica te bouwen om shares wel/niet te mounten op basis van de gebruiker groep. Deit puur voor het tonen van de juiste shares. De toegang tot de shares is uiteraard geregeld in de NAS en dat werkt prima!

Mocht ik het allemaal werkend krijgen zal ik in een post beschrijven hoe het opgezet is, misschien heeft er iemand wat aan :)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Directory server en VPN gebruiken
« Reactie #13 Gepost op: 24 oktober 2018, 16:25:15 »
 :thumbup: en wederom benieuwd...

In afwachting van Uw handleiding... ;)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

Spotweb installatie in verkeerde directory en foutmeldingen

Gestart door EciruamBoard Spotweb

Reacties: 27
Gelezen: 6980
Laatste bericht 02 september 2016, 16:37:00
door Eciruam
Maillogmelding over 'Incoming Work Directory'

Gestart door arnorBoard Mail Server

Reacties: 1
Gelezen: 932
Laatste bericht 09 april 2019, 11:50:11
door Briolet
Photo's directory niet te zien...

Gestart door smietjeBoard Photo Station mods

Reacties: 0
Gelezen: 4696
Laatste bericht 03 januari 2013, 17:06:24
door smietje
Geheel verwijderde directory door andere gebruiker?

Gestart door fdriveBoard Cloud Station & Drive

Reacties: 8
Gelezen: 3262
Laatste bericht 12 november 2013, 16:03:46
door Birdy
Active Directory

Gestart door jvdvBoard Algemeen

Reacties: 3
Gelezen: 5876
Laatste bericht 24 mei 2007, 12:35:40
door Björn