VPN Plus Server ervaringen

[Erwin1]

Qua veiligheid kan het ook niet tippen aan OpenVPN

Wat is het verschil met de veiligheid dan?

Sinds een aantal dagen ook actief met SSL VPN, en ik ben erg tevreden. Is makkelijk in te stellen, en werkt super.
Ook de client voor iPhone werkt erg goed. Misschien dat dit ook wel de oplossing is voor internetlocaties welke de opbouw van een vpn connectie niet toelaten?

[Birdy]

Mooie uitleg (vind ik).
Op de zaak gebruiken wij ook SSL VPN (Cisco) en maken connectie via de browser vandaar, het is niet "Synology eigen"..

[Pippin]

Ben geen expert, bij lange na niet, anders was het mijn werk wel geweest
Het ging mij om:

Deze synology eigen variant lijkt sterk op de OpenVPN variant

Er wordt wel gebruik gemaakt van SSL maar betekent niet vergelijkbaar, OpenVPN is een eigen protocol.

Wat eigen is aan Synology is de schil die om bestaande technologie heen gebouwd is.

WebVPN (client-less VPN) geeft beperkt toegang tot diensten, web gebaseerd.
SSL VPN is anders, lijkt misschien wat meer op b.v. stunnel, vaak is Java benodigd en er wordt een IP toegewezen zodat een client "deel" wordt van het netwerk. Als ik mij niet vergis kunnen bijna alle protocollen "door de tunnel" gaan.
Elk type heeft dus zijn functie en als het aan de eis voldoet dan prima 

Cisco kent dit b.v. al lang als WebVPN en Anyconnect WebVPN.

Edit:
Mooie link van @Birdy

[Pippin]

Wat is het verschil met de veiligheid dan?

OpenVPN heeft meer "lagen" van protectie die gebroken moeten worden voordat men een probleem heeft, mits zodanig geconfigureerd.
Dit is b.v. ook een reden waarom SHA1 i.g.v. OpenVPN nog steeds veilig is.

[aliazzz]

De applicatie heet dan SSLVPN, maar je mag kiezen tussen SSL en TLS... dit had ik toch duidelijk aangegeven;

Ik heb TLSv12 in combinatie met SHA256 en DHE-RSA-AES256 ingesteld.

[aliazzz]

Met de nieuwste srm update werkt zowel vpnplus als sslvpn! Er zit nog wel een reconnect bugje maar die zal gefixed worden.
Ik gebruik beide methoden in tandem. Daar mij dit goed bevalt heb ik op dit moment geen persoonlijke behoefte voor openvpn meer.

Bij vragen hoe ik dit heb ingesteld hoor ik graag.

[pvkan]

Ook maar even gaan stoeien met SSL-VPN.
Helaas vergeet ik ergens iets, want ik krijg het niet aan de praat.
Alles keurig geconfigureerd (je kan het eigenlijk niet fout doen), op de firewall nog even het juiste poortje opengezet, maar helaas.

In een browser krijg ik allerlei waarschuwingen over me heen die eindigen in een 403 error,
Inloggen met de Android app eindigt na ingave van mijn credentials met de melding "Dit is geen VPN Plus server".

Ik stoei even verder, maar als iemand een hint heeft hoor ik dat graag.

[Edit: Laat maar, uit automatisme zette ik de vpn poort open naar mijn NAS....
Dat is niet handig natuurlijk.....]

Peter

[pvkan]

Probleempje ontdekt met SSL-VPN

Ik gebruik op mijn router 2pass-verification.
Daar gaat het echter in IE en Edge mis, niet in Chrome.

Zodra ik via SSL VPN verbinding wil maken via de browser worden in eerste instantie mijn credentials goedgekeurd.
Zodra daarna om de (2pass-verification) code wordt gevraagd wordt deze niet geaccepteerd in IE en Edge.
De VPN server komt in IE terug met de melding dat mijn password niet klopt (dat is vreemd, want een scherm terug vond hij ze nog prima ). EDGE accepteert mijn 2pass code niet. (Iets wat overigens bij de NAS vlekkeloos verloopt).

Wat ook opvalt in IE en EDGE is dat de cursor in het code inputveld op een vreemde plek staat en ik in eerste instantie niets kan intikken.
Zodra ik met de muis de cursor op zijn plek heb gezet, kan ik wel de code ingeven, maar volgt dus de foutmelding.
In Chrome en mijn Android app gaat alles vlekkeloos (hoewel Chrome nog wat zeurt over https en het onveilig zijn).

Dit zou dus betekenen dat IE en EDGE incompatible zijn met SSL VPN van Synology. Zou dit iets met Java van doen hebben ?

Peter

[aliazzz]

Tsja, geen idee 

Ik gebruik firefox en de ios en android apps.
Meteen maar een ticket naar synology schieten! Dan kan je bug worden nageen en verholpen.

[pvkan]

Ik denk dat ik weet waar de schoen wringt: Ik vermoed dat het (ontbreken van) een SSL certificaat hier roet in het eten gooit.
Nu is het vrij simpel om via bv Free-SSL een certificaatje aan te maken maar dat lukt dan alleen door een TXTrecord op te nemen
in de DNS (de router heeft geen webserver).
Mijn domeinen en daarmee mijn DDNS instellingen zitten bij Strato en ik heb daar geen mogelijkheid om een TXTrecord toe te voegen
zolang DDNS actief is. DUs dan zou ik mijn DDNS om zeep moeten helpen...dat schiet dan ook niet op.

Jammer dat Let's encrypt niet op de Rt2600ac te vinden is. Dat werkt op de NAS perfect.

Iemand een idee om SSL VPN toch behoorlijk aan de praat te krijgen ? Misschien een andere DDNS provider ?

Peter

[Babylonia]

Bij VPN Plus hoort een certificaat, maar wil je er meerdere (per verschillende Client ??) zou je die moeten kopen.
Lees de help files daarover wat je zou moeten doen (ikzelf heb VPN Plus niet geïnstalleerd).
Van welke instantie het certificaat wordt uitgegeven lijkt me verder niet het probleem.
Certificaten kun je gewoon in de router importeren. Daar hoef je geen aparte "web-server" voor te laten draaien.
Ik heb een SSL certificaat van Comodo, wat ik zowel in mijn NAS als in de router heb geïmporteerd.
Gekoppeld aan een NL-domein wat ik heb vastgelegd aan het WAN IP-adres van mijn internetverbinding.

[pvkan]

Het certificaat is niet het probleem (dat is appeltje eitje).
Het probleem ligt bij in mijn geval bij Strato. Die staat geen TXTrecord toe vanwege het feit dat de DDNS van de router ook al actief is bij hen. TXTrecord heb ik echter nodig omdat op de router geen webserver draait.

Dus misschien andere DDNS provider gebruiken...

Peter

[tf-zuid]

Ik heb ook zojuist VPN Plus werkend gekregen..
Wel leuk om te zien dat het zo gebruiksvriendelijk klaar gemaakt is..
Nu ga ik eens uitzoeken hoe ik dan via de vpn bij de bestanden van de synology kan komen, dan hoef ik alleen maar de weg van de vpn open te zetten, en alles van de NAS dicht te laten. Lijkt me een stuk beter qua indringingsmogelijkheden...

Mvg Nigel

EDIT:
Dit met RT2600, een up te date firmware.
Gedaan via een  browser en dan  webvpnplus pagina .
Gaat hier om de SSL VPN.
Andere vpn mogelijkheden heb ik uit staan.

[Babylonia]

Kun je ook aangeven welke specifieke protocollen je gebruikt en welk router model, de RT1900ac of de RT2600ac ?
Die VPN-opties die alleen via VPN Plus zijn in te zetten, of heb je ook geprobeerd de standaard conventionele VPN methoden te testen?
De Standaard VPN methoden zijn ondergebracht onder het kopje "Standaard VPN" van het menu.
(Zoals ook beschikbaar bij het oude VPN-server package en vergelijkbaar zoals het package beschikbaar voor DSM bij een NAS).

Dit om beter inzicht te krijgen wat er nu precies wel werkt, en wat niet.
Kan het lijstje eerder in de draad  < HIER >  worden aangevuld.

[aliazzz]

Beste mede synofans,

Ik heb zojuist bevestigd gekregen van synology support via email dat 2pass authentication feature voor VPN Plus server met een toekomstige update uitgerold gaat worden. Dit staat dus op de shortlist. Het indienen van feature requests helpt dus zeker, men luistert ernaar en geeft zelfs feedback. Hulde! (Deze feature was natuurlijk wel voor de hand liggend, maar dan nog)