Auteur Topic: VPN client met certificaat ipv user/pass, hoe doe ik dat?  (gelezen 4797 keer)

Offline elsinga

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 19
    • www.pc5e.nl
VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Gepost op: 08 december 2014, 18:58:51 »
Hallo,

ik wil met mijn DS412+ een OpenVPN verbinding opzetten met een ander netwerk (in dit geval 44.0.0.0/8, AMPR.org) en heb daarvoor een ovpn bestand gekregen met daarin een ce, cert, key en tls-auth key/certificaat.

client
dev tun
remote gw-44-137-ext.ampr.org
remote-cert-tls server
comp-lzo
nobind

ca [inline]
cert [inline]
key [inline]
tls-auth [inline] 1

***en hier alle inline certificaten****

Maar hoe krijg ik die in mijn DS412+? Ik lees overal posts/blogs over aparte certificaten bestanden en dergelijke. Maar dat is hier niet zo.

Kan ik gewoon een dummy OpenVPN verbinding aanmaken (Controlpanel , Network INterface, Create, OpenVPN) en dan de inhoud van het configuratiebestand vervangen door de inhoud van mijn ovpn bestand? En dan natuurlijk verder van de GUI afblijven, omdat anders de configfile weer overschreven wordt. ;)

En hoe zorg ik er dan voor dat alleen verkeer voor 44.0.0.0/8 de VPN op gaat en niet alle verkeer? Moet ik dat vooraf al in de GUI regelen? Of er een static route voor aanmaken?
DS412+ (4x 4TB Barracuda) als NAS, DS415play (4x 2TB Samsung) als backup locatie

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #1 Gepost op: 10 december 2014, 17:36:37 »
Je hebt dus een .ovpn gekregen dat er ongeveer zo uit ziet?

client
dev tun
remote gw-44-137-ext.ampr.org
remote-cert-tls server
comp-lzo
nobind

**********

<cert>
-----BEGIN CERTIFICATE-----

Hier inhoud van cert bestand

-----END CERTIFICATE-----
</cert>


<key>
-----BEGIN PRIVATE KEY-----

Hier inhoud van key bestand

-----END PRIVATE KEY-----
</key>


<ca>
-----BEGIN CERTIFICATE-----

Hier inhoud van het ca bestand

-----END CERTIFICATE-----
</ca>


<tls-auth>
-----BEGIN OpenVPN Static key V1-----

Hier inhoud van ta.key bestand

-----END OpenVPN Static key V1-----
</tls-auth>

**********

Dan zou je inderdaad de inhoud van de dummy kunnen vervangen en proberen of het dan werkt.
Bij het aanmaken van de dummy krijg je een keus of al het verkeer over de VPN moet of niet, gewoon aanvinken dan.

Of heb je vier bestanden erbij gekregen?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline elsinga

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 19
    • www.pc5e.nl
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #2 Gepost op: 10 december 2014, 18:09:13 »
Nee, 1 ovpn bestand met inderdaad de bovengenoemde inhoud. Maar die 1-op-1 in de client_oXXXXXXX zetten werkt niet. Ook de certificaten en keys er uit halen en in aparte bestanden zetten (en naar die bestanden verwijzen in de client_oXXXX) werkt niet. :(
DS412+ (4x 4TB Barracuda) als NAS, DS415play (4x 2TB Samsung) als backup locatie

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #3 Gepost op: 10 december 2014, 18:53:33 »
Ok dat is dan duidelijk, je hebt alleen een .ovpn gekregen.

Ik zie ook geen poort- proto-instelling in de config? Of heb je die eruit gehaald i.v.m. het hier posten?
B.v.:
proto udp (of tcp)
port 1194 (of andere)

Ik neem aan dat je via SSH (PuTTY of WinSCP) de dummy op de NAS opgezocht hebt? In welke map staat deze?
Heb geen ervaring met de VPN client in DSM, wel de VPN server en daarin staan in verschillende mappen dezelfde bestanden.
Als dat voor de VPN client ook zo is dan zou het kunnen dat je de verkeerde (dummy) te pakken hebt.
Let wel op dat je de originele bewaart door b.v. te hernoemen, zowel op de NAS als degeen die je nu hebt.

En vermeld ook eventuele foutmeldingen die je krijgt en kijk eens in var/log op de NAS of er een log tussen staat waar je iets wijzer uit kunt worden.

Edit: Zet ook de rechten op de .ovpn hetzelfde als de originele (dummy)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline elsinga

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 19
    • www.pc5e.nl
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #4 Gepost op: 10 december 2014, 19:19:06 »
Ik heb goed op internet gezocht en daar staan enkele pagina's waarin verteld wordt welke bestanden je moet hebben. In die bestanden staan ook settings die lijken op wat in de ovpn staan.

En nee, geen poortnummer (staat in de ovpnclient.conf in dezelfde folder), ook geen proto. Maar standaard is UDP/1194, dus dat gaat gebruikt worden.

Even uit /var/log/messages:
Dec 10 18:58:26 elsinga synovpnc: connection.c:112 SYNONetLookupIP() failed!! szHost=[gw-44-137-ext.apmr.org]
Dec 10 18:58:26 elsinga synovpnc: connection.c:882 SetServerIP() failed
Dec 10 18:58:26 elsinga synovpnc: connection.c:1388 SLIBCSzHashGetValue(route) failed
Dec 10 18:58:26 elsinga synovpnc: connection.c:1231 CreateOVPNConnection(o1418060352) failed
Dec 10 18:58:26 elsinga synovpnc: synovpnc.c:375 VPN id 'o1418060352' is failed to create

En nu wat bestanden.

Het oorspronkelijke ovpnclient.conf bestand:
[o1418060352]
nat=yes
protocol=udp
redirect-gateway=no
comp-lzo=yes
pass=XeJc
port=1194
reconnect=yes
conf_name=HAMnet
user=pc5e
remote=hamnet

Dit is wat ik in de GUI allemaal heb ingevoerd.

Ik heb daar het volgende van gemaakt:
[o1418060352]
nat=yes
protocol=udp
redirect-gateway=no
comp-lzo=yes
pass=
port=1194
reconnect=yes
conf_name=HAMnet
user=
remote=gw-44-137-ext.apmr.org

Dus goede host ingevuld en user/pass leeggemaakt (weghalen kan niet, verdwijnt de VPN verbinding onder Network Interfaces).

In de bijbehorende originele client_o1418060352 staat:
dev tun
tls-client
remote hamnet 1194
pull
proto udp
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
ca ca_o1418060352.crt
comp-lzo
script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down
auth-user-pass /tmp/ovpn_client_up

En daar is uit de ovpn dit van over gebleven:
client
dev tun
remote gw-44-137-ext.ampr.org
remote-cert-tls server
comp-lzo
nobind

ca ca.crt
cert cert.crt
key private.key
tls-auth tls.key 1

En natuurlijk bestaan alle crt/key bestanden ook en wel in dezelfde folder als dit bestand.

Nu verschillen de originele client_o1418060352 en de door mij verbouwde nogal... en ben ik het kwijt.
DS412+ (4x 4TB Barracuda) als NAS, DS415play (4x 2TB Samsung) als backup locatie

Offline elsinga

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 19
    • www.pc5e.nl
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #5 Gepost op: 10 december 2014, 19:25:00 »
Zonet nog even geprobeerd om alle zaken die wel in de originele clietn_oXXX staan toe te voegen:
client
dev tun

tls-client

remote gw-44-137-ext.ampr.org
remote-cert-tls server

pull
proto udp
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up

comp-lzo
nobind

ca ca.crt
cert cert.crt
key private.key
tls-auth tls.key 1

script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down
auth-user-pass /tmp/ovpn_client_up

Geeft alleen exact dezelfde foutmelding in /var/log/messages:
Dec 10 19:21:52 elsinga synovpnc: connection.c:112 SYNONetLookupIP() failed!! szHost=[gw-44-137-ext.apmr.org]
Dec 10 19:21:52 elsinga synovpnc: connection.c:882 SetServerIP() failed
Dec 10 19:21:52 elsinga synovpnc: connection.c:1388 SLIBCSzHashGetValue(route) failed
Dec 10 19:21:52 elsinga synovpnc: connection.c:1231 CreateOVPNConnection(o1418060352) failed
Dec 10 19:21:52 elsinga synovpnc: synovpnc.c:375 VPN id 'o1418060352' is failed to create

Helaas...

Oh, gezien de eerste regel van de foutmelding:
root[member=24934]elsinga[/member]:/usr/syno/etc/synovpnclient/openvpn > ping gw-44-137-ext.ampr.org
PING gw-44-137-ext.ampr.org (213.222.29.194): 56 data bytes
64 bytes from 213.222.29.194: seq=0 ttl=56 time=12.488 ms
64 bytes from 213.222.29.194: seq=1 ttl=56 time=12.383 ms
64 bytes from 213.222.29.194: seq=2 ttl=56 time=12.312 ms
64 bytes from 213.222.29.194: seq=3 ttl=56 time=9.855 ms

De Syno kan dus op zich prima het IP adres van de host uitzoeken.
DS412+ (4x 4TB Barracuda) als NAS, DS415play (4x 2TB Samsung) als backup locatie

Offline elsinga

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 19
    • www.pc5e.nl
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #6 Gepost op: 10 december 2014, 19:33:51 »
Oeps... zie een tikfaut in het remote adres in de ovpnclient.conf.  ::) :oops: Naa aanpassing duurt het connecten ineens veeeeel langer....

Nu een andere foutmelding:
Dec 10 19:30:46 elsinga openvpn[3816]: WARNING: file '/tmp/ovpn_client_up' is group or others accessible
Dec 10 19:30:46 elsinga openvpn[3816]: ERROR: username from Auth authfile '/tmp/ovpn_client_up' is empty
Dec 10 19:32:19 elsinga synovpnc: connection.c:918 Wait 30 seconds; Failed to get net card info 'tun0' [0x3600]
Dec 10 19:32:19 elsinga synovpnc: connection.c:1231 CreateOVPNConnection(o1418060352) failed
Dec 10 19:32:19 elsinga synovpnc: synovpnc.c:375 VPN id 'o1418060352' is failed to create

Dat de username leeg is klopt, maar die hoeft ook niet gebruikt te worden. Daar is de tls.key voor.
DS412+ (4x 4TB Barracuda) als NAS, DS415play (4x 2TB Samsung) als backup locatie

Offline elsinga

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 19
    • www.pc5e.nl
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #7 Gepost op: 10 december 2014, 19:36:34 »
Oke, als we nu eens de user en pass vullen met iets willekeurigs...

Yep! Nu werkt het!

Dec 10 19:34:38 elsinga openvpn[8715]: WARNING: file '/tmp/ovpn_client_up' is group or others accessible
Dec 10 19:34:38 elsinga openvpn[8715]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Dec 10 19:34:38 elsinga openvpn[8715]: WARNING: file 'private.key' is group or others accessible
Dec 10 19:34:38 elsinga openvpn[8715]: WARNING: file 'tls.key' is group or others accessible
Dec 10 19:34:38 elsinga openvpn[8747]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Dec 10 19:34:41 elsinga ovpn-up: vpn-client tun0 is up

En in de syno is de verbinding nu Connected en ik krijg het juiste IP adres.

Hoei!  8) :D :D :D
DS412+ (4x 4TB Barracuda) als NAS, DS415play (4x 2TB Samsung) als backup locatie

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #8 Gepost op: 10 december 2014, 20:40:23 »
Mooi zo.

Je kunt ook nog het volgende toevoegen:

auth-nocache
script-security 2
user nobody
group nobody

En kun je nu via de VPN het internet op?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline elsinga

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 19
    • www.pc5e.nl
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #9 Gepost op: 10 december 2014, 20:52:44 »
Dit is een ander soort VPN, niet om het internet op te gaan. :) Ben zendamateur en dit is een apart netwerk voor zendamateurs onderling. Vaak gekoppeld via draadloze verbindingen, maar als je die (nog) niet hebt kun je er ook via een VPN bij komen. Het netwerk is gesloten, dus je kunt er vanaf internet niet op komen (behalve via een VPN dus) en je kunt vanaf dit netwerk ook het internet niet op komen.

Maar het werkt dus. :)
DS412+ (4x 4TB Barracuda) als NAS, DS415play (4x 2TB Samsung) als backup locatie

Offline elsinga

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 19
    • www.pc5e.nl
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #10 Gepost op: 10 december 2014, 20:59:22 »
En even een pagina gemaakt waarin ik alles wat ik heb gedaan heb vastgelegd voor anderen: http://www.pc5e.nl/info/hamnet
DS412+ (4x 4TB Barracuda) als NAS, DS415play (4x 2TB Samsung) als backup locatie

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: VPN client met certificaat ipv user/pass, hoe doe ik dat?
« Reactie #11 Gepost op: 10 december 2014, 21:03:32 »
 :)Leuk, denk nu terug aan lang geleden, aan de plaatselijke elektronica boer.
Heb er heel wat uurtjes doorgebracht in z`n winkel en z`n broers schuurtje met een gigantische yagi op uitschuifbare mast tot iets van 30 Mtr.
PA3BZH was het geloof ik, 32 jaar geleden.

Lekker prutsen met stentors, mrf237, mrf238 en ook nog met QQ`s  ;D
Toen was alles nog zo magisch....
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

OpenVPN Client plots down..

Gestart door VronskyBoard VPN Server

Reacties: 7
Gelezen: 1712
Laatste bericht 27 juni 2021, 13:23:35
door Briolet
Drive client onbekende UDP poort

Gestart door NoobOnTour024Board Netwerk algemeen

Reacties: 2
Gelezen: 450
Laatste bericht 18 januari 2022, 20:52:29
door NoobOnTour024
Synology als VPN client (wat vragen)

Gestart door wontcachmeBoard VPN Server

Reacties: 1
Gelezen: 1628
Laatste bericht 26 december 2014, 15:38:13
door Erwin1
VPN Client

Gestart door jsrijkeeBoard VPN Server

Reacties: 0
Gelezen: 1709
Laatste bericht 20 september 2012, 19:07:02
door jsrijkee
The lun is being backed up by another user

Gestart door StefanBoard Data replicator & overige backupsoftware

Reacties: 3
Gelezen: 3219
Laatste bericht 05 november 2015, 17:09:42
door Birdy