Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 209508 keer)

Offline J-J

  • Bedankjes
  • -Gegeven: 37
  • -Ontvangen: 17
  • Berichten: 206
Re: OpenVPN: Beter beveiligen
« Reactie #240 Gepost op: 25 november 2016, 13:29:59 »
Ik heb de file verder aangepast, en nu werkt het! top!

Te vroeg gejuigd :(
Op mijn iOS apparaten werkt het, maar op mijn laptop wilt hij niet verbinden. Na aanmelden, blijft hij wat hangen en vraagt dan opnieuw naar mijn login en wachtwoord... (* openvpn.log.txt)
Ik heb de zelfde bestanden gebruikt als op mijn iOS apparaten.
  • Mijn Synology: DS412+
  • HDD's: 4x ST4000VN000
  • Extra's: 2GB DDR3 / DSM6.2

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #241 Gepost op: 25 november 2016, 13:42:44 »
Lijkt alsof gebruikersnaam en/of wachtwoord niet juist is.

Het kan ook zijn dat je te snel van iOS naar Windows wisselt.
Als je dat doet wacht dan tenminste twee minuten.
De server krijgt namelijk niet direct mee dat je uitlogt en "denkt" vervolgens dat het een "poging tot inbraak" is.

Je kunt overigens niet twee keer met hetzelfde account ingelogd zijn,..... als het mij goed bijstaat.

Er staat op de DS een log:
/var/log/openvpn.logDaarin is waarschijnlijk de reden te zien waarom het mislukt is.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #242 Gepost op: 02 december 2016, 09:38:14 »

OpenVPN 2.4_beta2 -- released
Download
Changes
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline GravityRZ

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 19
Re: OpenVPN: Beter beveiligen
« Reactie #243 Gepost op: 04 december 2016, 11:11:35 »
Hallo,

openvpn werkt nog steeds super op de synology.

Na een DSM update en/of reboot werkt het echter niet meer.

De package wordt automatisch gestart, ik kan nog steeds een verbinding maken met openvpn(connected, geen foutmelding) alleen kom ik niet meer bij mijn lokale netwerk.
iemand enig idee waar ik dit moet zoeken?

als ik de package stop en weer start werkt alles wel weer
Het lijkt er dus op dat een start na een reboot anders is dan een stop/start na opbooten.
wellicht dat hij na een reboot gedeeltelijk terugvalt op het standaard profiel ipv het altenatieve profiel


  • Mijn Synology: DS112+
  • HDD's: 1x WD30EZRX

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #244 Gepost op: 04 december 2016, 14:31:05 »

Dan zal het inderdaad samenhangen met de DSM update.

Kan lastig uit te zoeken zijn...zeker nu het zogenaamde "nieuwe VPN gedoe" is geïntroduceerd.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline GravityRZ

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 19
Re: OpenVPN: Beter beveiligen
« Reactie #245 Gepost op: 05 december 2016, 17:51:55 »
nee het heeft niets met de update te maken.

als de synology reboot dan start de openvpn blijkbaar wel op maar hij werkt niet
je hebt wel een goede verbinding(openvpn zegt connected) maar je kunt er niets mee
een stop/start van de package lost het op.

wat het ook oplost is een taak aanmaken waarin je dit elke dag laat doen

/var/packages/VPNCenter/target/scripts/openvpn.sh restart

heb je dus een openvpn verbinding die na verloop van tijd instabiel wordt dan is deze reset een goede oplossing

blijft natuurlijk raar dat er blijkbaar bij het opstarten toch iets niet helemaal goed gaat.

wellicht als je dit in de crontab zet dat het ook werkt maar dit vond ik wat eenvoudiger.


  • Mijn Synology: DS112+
  • HDD's: 1x WD30EZRX

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #246 Gepost op: 16 december 2016, 17:33:14 »

We zijn er al bij voordat de kippen erbij zijn :), OpenVPN 2.4 RC2
Directe download, klik
Changes
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #247 Gepost op: 16 december 2016, 20:32:35 »

En nu ook te vinden op de download pagina.

Release staat gepland op 28 December.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Gemarkeerd als beste antwoord door cyrus1977 Gepost op 16 december 2016, 22:19:13

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Re: OpenVPN: Beter beveiligen
« Reactie #248 Gepost op: 16 december 2016, 21:57:31 »
In overleg met de TS slotje eraf. Maaaaaar ......

Andere openvpn gerelateerde vragen svp in een nieuw draadje. Dat maakt zoeken in het forum ook makkelijker !

Dit draadje werkt de TS starter nog wel bij.
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #249 Gepost op: 27 december 2016, 15:49:25 »

Een dag voor geplande release:
OpenVPN 2.4 hier te vinden.
Changes.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Mbwum73

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN: Beter beveiligen
« Reactie #250 Gepost op: 21 februari 2017, 12:37:24 »
Allereerst ontzettend bedankt voor de heldere uitleg van de stappen. Het werkt bij mij allemaal prima op zowel Android als Windows 10.
Het heeft je ongetwijfeld veel tijd en moeite gekost. Super gedaan!

De enige wijziging die ik heb gedaan is het TCP protocol i.p.v. het UDP protocol. Verder heb ik op  mijn router poort 443 aan de buitenkant geforward naar TCP poort 1493 aan de binnenkant. Op die manier kan ik eigenlijk altijd wel verbinden.
Ik moest daarvoor in de configuratie dus UDP wijzigen in TCP. Voor Windows in TCP Client.

Het werkt dus allemaal prima, maar....
Ik heb toch een klein probleempje. Gebleken is dat ik namelijk met maar 1 gebruiker tegelijk kan inloggen. Zodra ik een tweede gebruiker de verbinding op laat zetten (zelfs als ik die 2e gebruiker zelf ben op een ander apparaat) dan wordt de bestaande gebruiker verbroken. Hoe komt dit? Is hier iets aan te doen? Ik heb het aantal toegestane connecties op 5 gezet, maar kennelijk werkt dat niet.

Ik gebruik een DS216+ met DSM 6.0.2-4851 Update 9.

Verder heb ik de VPN server volledig bijgewerkt tot de meest recente versie (21-02-2017).
Het viel me op dat ik twee nieuwe instellingen heb bij de OpenVPN instellingen in de GUI. Codering (staat nu op BF-CBC) en Verificatie (Staat op SHA-1). Klopt dit? De rest blijft grijs en wordt door de aangepaste config files bepaald, maar ik was dus even benieuwd naar die 2 nieuwe instellingen.
  • Mijn Synology: DS216+
  • HDD's: 2 x WD RED 3 GB
  • Extra's: 8 GB

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #251 Gepost op: 21 februari 2017, 16:14:56 »

Hallo, graag gedaan.

Zelf draai ik geen DSM 6.X, grote kans dat er iets gewijzigd is met updates.
Wat sowieso al anders is, maak ik op uit je bericht, is dit:
Citaat
twee nieuwe instellingen.....Codering (staat nu op BF-CBC) en Verificatie (Staat op SHA-1)

Vaak laten logs/configs het beter zien, dus hang die eens aan met verb 4 in de configs, staat dacht ik ook beschreven.
Dan logs posten vanaf starten server tot verbinden/verbreken van clients.
Vervang dan wel even de externe IP`s in de logs (zoeken vervangen in Notepad++)
B.v.:
Extern IP-server: 1.1.1.1
Extern IP-client1: 2.2.2.2
Extern IP-client2: 3.3.3.3

Zou je ook het start script aan kunnen hangen?
Staat waarschijnlijk hier:
/volume1/@appstore/VPNCenter/scripts/openvpn.sh

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Mbwum73

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN: Beter beveiligen
« Reactie #252 Gepost op: 22 februari 2017, 10:56:01 »
Bedankt voor de hulp!

Ik heb de logs in een zip bestandje bijgevoegd. Ook alle configuratiebestanden en de log aan de client kant heb ik bijgevoegd.
Op zich werkt het dus prima, maar met 1 machine tegelijk. Elke volgende machine resulteert in een IP conflict. Elke machine krijgt 192.168.160.6. Wellicht een fout in de configuratie van mijn VPN client. Ik hoop dat je de fout ziet.

Voor wat betreft die 2 nieuwe instellingen lijkt het er op dat die overruled worden door de instellingen in de configuratiebestanden. Je zou alleen verwachten dat Synology dan die instellingen grijs maakt, maar dat is niet het geval.
  • Mijn Synology: DS216+
  • HDD's: 2 x WD RED 3 GB
  • Extra's: 8 GB

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #253 Gepost op: 22 februari 2017, 12:00:58 »
Citaat
MULTI: new connection by client 'client' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Lijkt erop dat er één certificaat met commonname 'client' wordt gebruikt?
Dat kan n.l. niet met deze handleiding.
Elke gebruiker dient dan een eigen certificaat met zijn gebruikersnaam als commonname te hebben.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Mbwum73

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN: Beter beveiligen
« Reactie #254 Gepost op: 22 februari 2017, 14:36:07 »
Nee, ik gebruik voor elke gebruiker een eigen certificaat. Ik heb echter in de logs de naam van dat gebruikerscertificaat weer vervangen door de algemene naam client.
Simpelweg omdat ik geen gebruikersnamen in de logging wilde laten zien hier. Maar in de onbewerkte logs staat hier dus gewoon mijn certificaat.

Maar ook dan gaat het fout.
Stel ik heb twee gebruikers. Jan en Piet. Jan werkt op een Windows PC en Piet op een tablet.
Jan maakt met zijn eigen useraccount en password een VPN verbinding. Werkt prima. Zodra echter Piet op zijn tablet ook verbindt, wordt de verbinding van Jan verbroken. Ondanks dat ze allebei een eigen certificaat hebben en dit certificaat ook in hun config vermeld is.
Het lijkt er dan toch op dat ze beiden hetzelfde IP krijgen.
Ik zal dit scenario nog even checken.

Wat zeker weten fout gaat is twee keer dezelfde gebruiker. En dat is in feite wat ik nu doe. Ik heb een Windows machine en een Android telefoon. Beiden gebruiken hetzelfde certificaat en dezelfde username. Kortom, ik wil simpelweg onder hetzelfde account twee verbindingen opzetten. Dat lukt dus niet. Ik was in de veronderstelling dat het certificaat puur een extra identificatielaag was gekoppeld aan het userid. Dus als ik inlog, moet ik daar ook MIJN certificaat voor hebben. Als ik jou echter goed begrijp moet ik per device een ander certificaat hebben, zelfs als op die devices dezelfde user gebruikt wordt.
Dat zou best onhandig zijn. Dan moet ik dus voor elk apparaat een nieuw certificaat maken i.p.v. voor elke gebruiker.
Of begrijp ik je nu verkeerd?
Of kan ik dat oplossen met die --duplicate-cn instelling? En ik welke config file moet ik die instelling dan zetten?

Ik zou het liefst een situatie hebben waarbij elke gebruiker een eigen certificaat heeft wat gekoppeld is aan zijn username.
Dus Jan heeft ook het Jan certificaat nodig. En Piet het Piet certificaat.
Maar Jan en Piet mogen met hun eigen certificaat wel meerdere keren inloggen.
Ik ben bang dat die --duplicate-cn instelling ook betekent dat Jan met het certifcaat van Piet mag inloggen. En dat is uit security oogpunt niet wenselijk.
  • Mijn Synology: DS216+
  • HDD's: 2 x WD RED 3 GB
  • Extra's: 8 GB


 

Wachtwoord OpenVPN Certificaat

Gestart door mcmurdyyBoard Synology DSM BETA versies

Reacties: 6
Gelezen: 6138
Laatste bericht 20 maart 2016, 20:18:38
door Pippin
OpenVPN werkt, kan niet bij bestanden

Gestart door EgBoard VPN Server

Reacties: 1
Gelezen: 1545
Laatste bericht 05 november 2018, 19:11:30
door Pippin
OpenVPN installeren lukt niet

Gestart door ajansen66Board VPN Server

Reacties: 22
Gelezen: 6631
Laatste bericht 19 juni 2017, 00:07:59
door hbancy
Aangepaste OpenVPN werkt na update DSM niet meer

Gestart door André PE1PQXBoard VPN Server

Reacties: 37
Gelezen: 7620
Laatste bericht 15 juni 2023, 00:34:33
door biomass
LAN niet bereikbaar OpenVPN tunnel met OpnSense

Gestart door bitripBoard Synology Router

Reacties: 5
Gelezen: 1805
Laatste bericht 31 maart 2019, 20:23:21
door Pippin