OpenVPN #1: Beter beveiligen

[Chris12]

ja de ta.key staat in de VPNcerts folder op de SDcard.

[Pippin]

Oude profiel eerst verwijderen dan gewijzigde opnieuw importeren.

[Pippin]

Ok, ik heb de regel:
tls-auth ta.key 1
toegevoegd aan: /var/pacakges/VPNCenter/etc/openvpn openvpn.conf

openvpn.conf ?
Je bedoelt openvpn.conf.user neem ik aan ?

Aan de server zijde dient ta.key 0 te staan.
Aan de client zijde ta.key 1

Je hebt toch de handleiding op de letter gevolgd?
Dat staat n.l. in de config bestanden al goed en zou niets aan gewijzigd hoeven worden.

[Pippin]

Dit pad klopt ook niet, wordt niet gebruikt...

Code: [Selecteer]

/var/pacakges/VPNCenter/etc/openvpn openvpn.conf
Even voor gaan zitten
Kijk even in reactie #3, daar staan de paden beschreven.

[Chris12]

In openvpn.conf.user staat:
tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0

In de openvpn.ovpn file (op android phone) staat:
tls-auth ta.key 1

Heb de handleiding gevolgd (incl de inline file support, zodat ik alle certs in de ovpn file heb zitten), en in de files geen verdere aanpassingen gedaan.

Ik heb de wijziging in de ander file (tls-auth ta.key 1) weer ongedaan gemaakt.
Profile op mobiel opnieuw geladen

Zodat we nu weer op zelfde punt zitten als bij mij eerste post.

Welke settings moet de OpenVPN server op de DS415+ hebben voor:
- codering (BF-CBC ?)
- verificatie (SHA256 ?)

[Chris12]

Ik heb alle stappen nog een keer nagelopen, en inderdaad bij stap 3 was ik onderstaande (stap 3 van 3) vergeten: 

3. WinSCP

Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn

Download onderaan deze post het configuratie bestand openvpn-server.zip, pak het uit en volg de instructies die in openvpn.conf.user staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.conf.user in bovenstaande map.

Hierna de VPNcenter package stop-start gedaan.

Nu kan ik connecten:   OpenVPN: Connected
En tevens als test de DS415+ ook benaderd via de webbrowser

Ik zie in de vpn.log file wel een groot aantal meldingen van:
MULTI: bad source address from client [xxx.yyy.zzz.www], packet dropped

[Pippin]

Ok, dit gaat om DSM 6.x

De handleiding maakt gebruik van:
codering: AES-256-CBC
verificatie: SHA512

Dit hoeft echter niet perse ingevuld te worden want het staat al in de config bestanden van deze handleiding.

De openvpn.conf.user is een "verborgen" optie die niet door de GUI gebruikt wordt.
Wanneer openvpn.conf.user aanwezig is wordt die geladen en de GUI uitgeschakeld.
Vandaar dat men "OpenVPN-configuratie is aangepast" ziet in het scherm van OpenVPN.

[Pippin]

MULTI: bad source address from client [xxx.yyy.zzz.www], packet dropped

Je mobiel zit in een zogenaamd CGN netwerk, xxx.yyy.zzz.www zal wel een 100.xxx.xxx.xxx adres zijn.
Betekent achter één IP adres zitten vele mobieltjes middels NAT.
Die melding kun je negeren en zul je vaker zien wanneer je via 4G verbonden bent.

Eind goed, al goed 

[alexander]

Bedankt MMD voor de heldere beschrijving en de vele tijd die je hierin gestoken hebt. Ik heb het doorgevoerd op mijn DS213 en het werkt prima.
Mijn studerende dochters in Tilburg en Helsinki kunnen beiden bij de NAS, en belangrijker, hun data blijft gesynct op de NAS.

Leuke feitjes:
1) ik heb een Telfort ADSL abo thuis, met 50/25 mbit down/up. Mijn dochter in Finland kan behoorlijk snel grote bestanden van de NAS halen: haar maximum download blijft hangen op ongeveer 2,5Mb/s. Dus mijn upload is de beperkende factor, de rest tussen NL en Finland is sneller 
2) mijn dochter in Finland kan via NPO en RTL tv kijken. Een andere Nederlandse student mopperde dat ze geen NL tv kon kijken. Een bijeffect wat we van tevoren niet bedacht hadden, maar wel erg prettig is voor haar.

Nogmaals bedankt, zonder deze beschrijving was ik waarschijnlijk weken zoet geweest om het goed beveiligd werkend te krijgen met certicaten, nu was ik in 2 avondjes klaar.

[Pippin]

Mooi dat het ook voor jullie werkt 

[rene6921]

Aan de kenners:
Deze topic loopt al sinds 2014. In het eerste bericht staat dat de vpnserver pakket van synology niet geheel veilig is, o.m. MITM.
Geldt dat nog steeds of is het pakket met OpenVPN inmiddels al wel safe?

Dank voor de reacties.

[André PE1PQX]

Voor zover ik er enige kennis van heb opgestoken:

Een Man In The Middle wisselt geen (geldige) certificaten uit, de modificatie in dit topic verifiëren de cliënt en server elkaar door middel van die certificaten.

[Pippin]

Nog altijd ben ik van mening dat Synology zich weinig voor een veilige OpenVPN inzet.
Diegenen die nog op DSM versie 5.2 zitten en er niets aan gedaan hebben zijn kwetsbaar.
https://www.synology.com/nl-nl/support/security/Sweet32
De oplossing (die nooit gelezen wordt) die daar voor hen geboden wordt is niet zo eenvoudig dat iedereen dat zomaar even kan.
Een SIMPELE update van OpenVPN (versie en config) en het is opgelost maar het is ze schijnbaar teveel moeite.

Ook onder DSM 6.x bestaan er nog altijd kwetsbaarheden maar ze verekken het OpenVPN op de laatste versie te brengen. Kan nog veel meer schrijven maar ga nu beter maar slapen, morgen nuchter weer op
https://www.synology.com/nl-nl/support/security/Synology_SA_17_23_OpenVPN
 

[André PE1PQX]

Na een gedwongen upgrade van mijn smartphone, kan ik melden dat het ook prima lijkt te functioneren onder Andoid 7 (Samsung Galaxy S7).

Ik was de originele gegenereerde bestanden kwijt, dus was ook gedwongen de eerste stappen te herhalen. Wat mij opviel was dat het genereren van de Diffie Hellman parameters crashte de XCA utility bij het bewegen van de muis... (Win 7, x64 met 16Gbyte RAM)
Ook maakte ik van deze gelegenheid gebruik voor meerdere users de certificaten en key bestanden aan te maken.

Onder Windows 7 met mijn vouw-pjoeter zal ik de boel tzt (ander account) ook eens testen.
Onder Windows 7 met een extra aangemaakte account werkt het ook.

[Pippin]

Bedankt, Android 7 toegevoegd aan het lijstje.

Het genereren vereist een zo random mogelijke input, PRNG (pseudorandom number generator).
PRNG wordt gevoed door hardware events (o.a. bewegen van de muis).
Misschien dat er een bug in XCA zit of bepaalde versie Windows i.c.m. XCA.