Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 47524 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 429
  • Berichten: 2.200
OpenVPN #1: Beter beveiligen
« Gepost op: 24 november 2014, 01:14:22 »
In overleg met de TS slotje eraf. Maaaaaar ......
Andere openvpn gerelateerde vragen svp in een nieuw draadje. Dat maakt zoeken in het forum ook makkelijker !

Dit draadje werkt de TS starter nog wel bij.

* Edit:
Met de komst van DSM 6 heeft Synology het OpenVPN Server deel verbeterd.
Wat er exact verbeterd is en hoe dat voor een model DS uitpakt weet ik niet want zelf heb ik DSM 6 niet geïnstalleerd.
Desalniettemin is de ervaring van anderen dat het tevens geschikt is voor DSM 6.
*
* Edit:
Tot op de dag van vandaag, 07-06-2017, is er ook nog steeds niets tegen de SWEET32 attack gedaan door Synology, in ieder geval t/m DSM 5.2/VPN Center 1.2-2456. Dit is vooral voor diegenen van belang die een 24/7 verbinding hebben naar de NAS en/of een grote hoeveelheid data naar b.v. een backup schrijven over OpenVPN. Hoe waarschijnlijk het is dat zoiets echt gebeurt weten we natuurlijk niet maar wat eenvoudig dichtgespijkerd kan worden door toevoegen van twee regeltjes moeten ze naar mijn mening niet nalaten, maar helaas.
De configuratie beschreven in deze handleiding was nooit/is niet gevoelig voor SWEET32.
*

De belangrijkste reden om deze handleiding te schrijven was dat Synology het OpenVPN Server package niet zo veilig beschikbaar stelt als mogelijk is. Het is namelijk gevoelig voor een Man In The Middle attack doordat er geen verificatie van certificaten plaatsvindt van zowel de Server als de Client(s).
Autorisatie vindt dus alleen plaats door gebruikersnaam/wachtwoord. Om het MITM risico tegen te gaan heb ik een aantal zaken gewijzigd in het OpenVPN Server package. De wijziging betreft echter niet alleen de MITM attack.

Het is geschreven op een "klik dit klik dat" achtige wijze om het volgen van de stappen zo simpel mogelijk te houden. Erg moeilijk uit te voeren is het niet maar je moet er wel even voor gaan zitten. Het beschrijft de stappen om een VPN tunnel op te bouwen vanuit een Android telefoon maar het werkt ook met andere cliënts zoals Windows, Apple, Linux, etc.

Het steekt zodanig in elkaar dat er een relatief veilige verbinding ontstaat.
Zeker 90% komt van de OpenVPN documentatie en de OpenVPN manual 2.3.


De OpenVPN Server heeft een "verborgen" mogelijkheid een eigen configuratie te gebruiken en daar wordt in deze handleiding gebruik van gemaakt. Deze mogelijkheid wordt niet officieel door Synology ondersteund.
Dit zorgt er mede voor dat de configuratie niet overschreven wordt door een update of herstart. Vanaf DSM 5.0 tot op heden kan ik zeggen dat het mij nog niet gebeurt is. Desalniettemin kan het voorkomen dat het toch gebeurt, we weten immers niet welke veranderingen Synology met toekomstige updates aanbrengt.
De eigen configuratie optie heeft tot gevolg dat je in het scherm van OpenVPN Server geen instellingen meer kunt doen en onderin krijg je de melding in blauw: Configuratie is aangepast (in NL zo ongeveer)
22587-0

De aanpassing zit zodanig in elkaar dat de gegenereerde certificaten in deze handleiding alleen voor OpenVPN gebruikt worden. Gekochte/gratis/Let`s encrypt/etc. SSL certificaten die geïmporteerd worden in DSM blijven functioneren, ook als ze reeds geïmporteerd zijn.
Kort gezegd wordt OpenVPN van de rest van het systeem gescheiden wat dit betreft, zoals het hoort dus.

Na het uitvoeren van de stappen zijn via deze VPN verbinding naar de NAS, de apparaten in het netwerk waar de NAS/VPN Server staat via hun IP benaderbaar.

Getest:
DS115
DS213 • DS213j • DS214 • DS215j • DS215+ • DS216play • DS216j
DS713+
DS414 • DS415+
DS1512+
DS1813+
DS2411+

DSM 5 tot en met DSM 6


Clients:
Android 4.2.2 • 4.4.2 • 5.0.1 • 5.0.2 • 5.1.1
Android 6.x Mogelijk dient de energie spaar functie voor de VPN App uitgeschakeld te worden, zie hier en hier. Dat is een Android issue en staat los van deze handleiding.
Citaat
Samsung 6.x VPN is reported not to work unless the VPN app is excempted from Powersave features
OpenVPN Connect voor Android t/m versie 1.1.17 build 76
OpenVPN for Android (Arne Schwabe) t/m versie 0.6.66 (aanbevolen op Android 5.1 en hoger)

DS414
DS2411+

Windows 7 t/m 10
OpenVPN cliënt voor Windows:
Installer, Windows Vista and later - openvpn-install-2.4.2-I601.exe

pfSense (FreeBSD) 2.2 en hoger
Debian 8.7 jessie
Ubuntu 14.04 LTS
OpenATV 5.1 en hoger


Het doel is:
Gebruiker/Wachtwoord - Standaard
Cliënt identificatie d.m.v. certificaat (server die cliënt identificeert) - Niet standaard
Server identificatie d.m.v. certificaat (cliënt die server identificeert) - Niet standaard
Diffie Hellman Perfect Forward Secrecy met 4096 bits encryptie - Standaard 1024/3072 bits, versie afhankelijk
Sterkere versleuteling
tls-auth - Niet standaard - Biedt onder andere bescherming tegen DoS attacks, UDP port flooding/scanning en nog wat meer


Toegevoegde waarde:
Eigen root certificate authority uitsluitend voor OpenVPN
Cliënt identificatie d.m.v. certificaat
Server identificatie d.m.v. certificaat
DH Perfect Forward Secrecy 4096 bits
Sterkere versleuteling voor control en data channel
tls-auth


Wat hebben we nodig:
Windows machine met XCA erop, download is hier
VPN Server te vinden in het Package Center
WinSCP
PuTTY
Hoe gebruik je WinSCP en PuTTY
Android telefoon
Officiële cliënt App OpenVPN Connect

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 429
  • Berichten: 2.200
Re: Beter beveiligde OpenVPN
« Reactie #1 Gepost op: 24 november 2014, 01:15:00 »
Stap 1

cert, key en DH bestanden


We beginnen met het genereren van de certificaten, key`s en het Diffie Hellman bestand.
Dit gaan we doen met XCA.

Met XCA kunnen we een CA (Certificate Authority) opzetten, Server en cliënt certificaten/key`s genereren en ondertekenen.
De certificaten met bijbehorende private key`s worden in een database opgeslagen en vervolgens exporteren we die om op de server en client(s) te gebruiken.

Om de bestanden die we gaan maken op te slaan maken we een map aan met de naam Database.

1.
Database maken.

Start XCA en klik op File --> New DataBase.
Sla de database op met de naam OpenVPN en geef een wachtwoord op.
Dit wachtwoord hebben we ook nodig om later de database weer te kunnen openen mochten we die nog nodig hebben.

* Edit:
Templates toegevoegd.
Download eerst de XCA templates voor deze handleiding.
Importeer deze vervolgens op het tabblad Templates in XCA voordat je de volgende stappen volgt.
*


Wat als we meer certificaten willen genereren ten behoeve van meerdere cliënts?
Daarvoor zullen we de stappen om cliënt certificaten en cliënt key`s te genereren en exporteren moeten herhalen.
Dit zijn de stappen 4. 8. 9.
Vul voor elke cliënt de exacte gebruikersnaam, die hij/zij heeft in DSM, in het veld commonName en Internal name in, commonName is een vereiste Internal name is voor de herkenbaarheid.
Elk van de cliënts moet ook een gebruiker zijn in DSM en zal de rechten moeten hebben VPN te mogen gebruiken, dit stel je in, in de VPN Server onder Rechten.


2.
CA genereren.

Klik op het tabblad Certificates --> New Certificate.
Op het tabblad Source selecteren we:
               Create a self signed certificate with the serial 1
               Signature algorithm SHA 256
               CA
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName CA in.
Klik Generate a new key.
Het volgende scherm: CA, RSA, 4096 bit en klik Create.

Op de Extensions tab zetten we de Time range op 10 Years en klikken Apply.

Op de Key usage tab selecteren we links:
Digital Signature
Key Encipherment
Data Encipherment
Key Agreement
Certificate Sign
CRL Sign
Rechts selecteren we niets.

Op de Netscape tab halen we alleen het comment weg en klikken op Ok.

Nu hebben we een CA gegenereerd waarmee we de server en cliënt(s) certificaten kunnen ondertekenen.
Deze CA verschijnt nu onder de tab Certificates.

3.
Server certificaat genereren.

Op het tabblad Certificates --> New certificate.
Op het tabblad Source selecteren we:
               Use this Certificate for signing CA
               Signature algorithm SHA 256
               SERVERCERT
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName Server in.
Klik Generate a new key.
Het volgende scherm: Server, RSA, 4096 bit en klik Create.

Op de Extensions tab zetten we de Time range op 5 Years en klikken Apply.

Op de Key usage tab selecteren we links:
Digital Signature
Key Encipherment
Rechts selecteren we alleen TLS Web Server Authentication.

Op de Netscape tab de-selecteren we alles en halen het comment weg en klikken Ok.

Nu hebben we een Server certificaat gegenereerd die op de OpenVPN Server komt te staan.
Op tabblad certificates klik je op het pijltje naast de CA zodat deze tevoorschijn komt.


4.
Cliënt certificaat genereren. (Herhalen voor meerdere cliënts)

Op het tabblad Certificates --> New certificate.
Op het tabblad Source selecteren we:
               Use this Certificate for signing CA
               Signature algorithm SHA 256
               CLIENTCERT
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName client in. (Voor meerdere cliënts de gebruikersnaam invullen)
Klik Generate a new key.
Het volgende scherm: gebruikersnaam, RSA, 4096 bit en klik Create.

Op de Extensions tab zetten we de Time range op 5 Years en klikken Apply.

Op de Key usage tab selecteren we links:
Digital Signature
Key Agreement
Rechts selecteren we alleen TLS Web Cliënt Authentication.

Op de Netscape tab deselecteren we alles en halen het comment weg en klikken Ok.

Nu hebben we een cliënt certificaat gegenereerd die op de OpenVPN cliënt komt te staan.


5.
CA exporteren.

Op het tabblad Certificates selecteer CA en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


6.
Server certificaat exporteren.

Op het tabblad Certificates selecteer Server en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


7.
Server private key exporteren.

Op het tabblad Private Keys selecteer Server en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


8.
Cliënt certificaat exporteren. (Herhalen voor elke cliënt)

Op het tabblad Certificates selecteer cliënt en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


9.
Cliënt private key exporteren. (Herhalen voor elke cliënt)

Op het tabblad Private Keys selecteer cliënt en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


10.
Diffie Hellman parameters genereren.

Klik op Extra --> Generate DH parameter (XCA versie ouder dan 1.3.2 onder File)
DH parameter bits 4096 en klik op Ok.
Dit gaat een tijdje duren laat het z`n gang gaan, drink wat en wacht.....
Drink nog wat.....
.....
....
...
..
Kies de map Database die we eerder aangemaakt hebben en klik Ok.

Als het goed gegaan is hebben we nu in de map Database de volgende bestanden:

Openvpn.xdb
CA.crt
client.crt (of <gebruikersnaam>.crt)
client.pem (of <gebruikersnaam>.pem)
dh4096.pem
Server.crt
Server.pem
Hernoem client.pem naar client.key (of <gebruikersnaam>.key)
Hernoem Server.pem naar Server.key


Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 429
  • Berichten: 2.200
Re: Beter beveiligde OpenVPN
« Reactie #2 Gepost op: 24 november 2014, 01:15:28 »
Stap 2

De VPN Server installeren en instellen.


In het Package Center vinden we onder Hulpprogramma`s de VPN Server.
Nadat deze geïnstalleerd en gestart is gaan we wat instellingen doen.

Open Hoofdmenu en klik op VPN Server.
In het scherm zien we nu het overzicht.

Onder Rechten delen we nu eerst de rechten uit.

Onder PPTP en L2TP geven we niemand rechten tenzij je dat ook gebruikt.
Klik op Toepassen.

Ga naar OpenVPN, links in het menu.

In dit scherm vinken we aan:
OpenVPN-server inschakelen
Compressie op de VPN-koppeling inschakelen
Cliënts toegang geven de LAN-server

Bij Dynamisch ip-adres: 192.168.160.1
Klik op Toepassen.

De rest kan zo blijven.

Stop nu in het Package Center de VPN Server.

****************************************************************************************************************

IP/routeer conflicten voorkomen.
We hebben te maken met drie IP bereiken:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel netwerk)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Deze drie mogen niet in hetzelfde bereik zitten.

Omdat je eigenlijk bijna nooit invloed hebt op het IP-adres dat je van het remote netwerk krijgt, is het dus verstandig om het netwerk waar de VPN Server/DS in staat alsook Dynamisch IP-adres ergens in het midden te kiezen.
Voor het local netwerk b.v.: 192.168.150.xxx (i.p.v. de standaard adressen die router fabrikanten gebruiken, zie lijst hieronder)
Voor het Dynamisch IP-adres b.v.: 192.168.160.1
Zo wordt de kans dat het remote netwerk van waaruit je verbind, hetzelfde bereik gebruikt kleiner.

Bruikbare private bereiken zijn:
Klasse A: 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
Klasse B: 172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
Klasse C: 192.168.0.0 - 192.168.255.255 (192.168.0.0/16)

De onderstaande lijst zijn standaard subnetten die fabrikanten gebruiken, d.w.z. voor zover ik heb kunnen vinden.
Die wil je dus niet als local netwerk of Dynamisch IP-adres gebruiken.

10.0.0
10.0.1
10.1.1
10.1.10
10.2.0
10.8.0
10.10.1
10.90.90
10.100.1
10.255.255

169.254 # APIPA #

172.16.0
172.16.16
172.16.42
172.16.68

172.19.3

172.20.10 # IPhone ingebouwde hotspot #

192.168.0
192.168.1
192.168.2
192.168.3
192.168.4
192.168.5
192.168.6
192.168.7
192.168.8
192.168.9
192.168.10
192.168.11
192.168.13
192.168.15
192.168.16
192.168.18
192.168.20
192.168.29
192.168.30
192.168.33
192.168.39
192.168.40
192.168.43 # Android ingebouwde hotspot #
192.168.50
192.168.55
192.168.61
192.168.62
192.168.65
192.168.77
192.168.80
192.168.85
192.168.88
192.168.98
192.168.99
192.168.100
192.168.101
192.168.102
192.168.111
192.168.123
192.168.126
192.168.129
192.168.137 # Windows Phone ingebouwde hotspot #
192.168.168
192.168.178
192.168.190
192.168.199
192.168.200
192.168.220
192.168.223
192.168.229
192.168.240
192.168.245
192.168.251
192.168.252
192.168.254

200.200.200


****************************************************************************************************************

In de router zal UDP poort 1194 doorgestuurd moeten worden naar de NAS.
Meld je op het forum voor de router en eventueel de firewall omdat dit specifiek is voor een ieder.

Als je nog geen gebruik maakt van "Automatisch blokkeren" is het daar nu mooi de tijd voor.
Configuratiescherm-->Beveiliging-->Automatisch blokkeren

Elk model DS heeft een maximaal aantal VPN gebruikers die je terug vind in de specificaties van je model.

Nu laten we de VPN Server uit en gaan we "onder de motorkap".

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 429
  • Berichten: 2.200
Re: Beter beveiligde OpenVPN
« Reactie #3 Gepost op: 24 november 2014, 01:15:52 »
Stap 3

De VPN Server aanpassen.

Nu gaan we de certificaten en key`s, die we in Stap 1 hebben gemaakt, op de juiste plek zetten.
We gaan ook nog een ta.key maken die nodig is op de server en cliënt voor nog een extra bescherming.

Eerst even een overzicht van wat waar komt te staan:

/usr/syno/etc/packages/VPNCenter/VPNcerts
CA.crt
Server.crt
Server.key
dh4096.pem
ta.key

/usr/syno/etc/packages/VPNCenter/openvpn
Hier komt openvpn.conf.user te staan.


1. WinSCP

Navigeer naar: /usr/syno/etc/packages/VPNCenter
Maak een nieuwe map genaamd:
VPNcerts

Kopieer de nieuw aangemaakte CA.crt, Server.crt, Server.key en dh4096.pem naar de map.
Permissies als volgt:
0400 voor CA.crt, Server.crt, Server.key
0644 voor dh4096.pem

Permissies zetten we in WinSCP met rechter-muistoets->properties op het betreffende bestand.

2. PuTTY (Terminal is ook aanwezig in WinSCP. Zie menu Commands --> Open Terminal)

SSH naar de NAS en type na elkaar het volgende in:
cd /usr/syno/etc/packages/VPNCenter/VPNcerts
Afhankelijk van model kan het zijn dat er geen Apparmor aanwezig is.
Om de ta.key te genereren moeten we eerst Apparmor stoppen:
/usr/syno/etc.defaults/rc.sysv/apparmor.sh stop
ta.key genereren:
openvpn --genkey --secret ta.keyEr is nu in de map VPNcerts een ta.key te vinden.
Permissies (met WinSCP) als volgt:
0600 voor ta.key
De ta.key is straks in de OpenVPN Connect App ook nodig.
Handig als je die nu met WinSCP naar de Database map kopieert.

Apparmor weer starten:
/usr/syno/etc.defaults/rc.sysv/apparmor.sh start
En als laatste:
exit
3. WinSP

Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn

Download onderaan deze post het configuratie bestand openvpn-server.zip, pak het uit en volg de instructies die in openvpn.conf.user staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.conf.user in bovenstaande map.


Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.

Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /var/log en open openvpn.log om te kijken wat de melding is.

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 429
  • Berichten: 2.200
Re: Beter beveiligde OpenVPN
« Reactie #4 Gepost op: 24 november 2014, 01:16:20 »
Stap 4


Stop je sd-kaart van de telefoon in de PC en maak een map aan met de naam VPNcerts.
Kopieer de bestanden die we in de eerste stap hebben gemaakt naar deze map.
CA.crt, client.crt en client.key. (of CA.crt, gebruikersnaam.crt en gebruikersnaam.key)

Kopieer de ta.key uit stap 3 hier ook naartoe.

Download onderaan deze post het configuratie bestand openvpn-client.zip, pak het uit en volg de instructies die in openvpn.ovpn staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.ovpn ook in de VPNcerts map en daarna stop je de sd-kaart terug in de telefoon.


Download in de Play store OpenVPN Connect van OpenVPN en installeer deze.
Open de App en importeer Profile from SD card.
Navigeer naar de map VPNcerts op de sd-kaart waar we de CA, crt, key, ta en ovpn opgeslagen hebben.
Selecteer het openvpn.ovpn profiel en vul je gebruikersnaam en wachtwoord in.

De rest van de bestanden worden automatisch met het openvpn.ovpn profiel geïmporteerd.
Dit betekent dan ook dat als je het profiel bewerkt, dat je het opnieuw moet importeren.
Zodra de verbinding werkt kun je de map VPNcerts wissen uit veiligheidsoverweging.

Er is ook een optie om CA.crt, client.crt, client.key en ta.key in het ovpn profiel op te slaan.
Dan hoef je maar één bestand te overhandigen aan een gebruiker.
Deze optie, "Inline file support" genaamd vind je hier.

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 672
  • -Ontvangen: 148
  • Berichten: 1.385
Re: Beter beveiligde OpenVPN
« Reactie #5 Gepost op: 24 november 2014, 08:59:05 »
Ga dit eens proberen van de week. 
Iig alvast dank voor alle moeite die je erin gestopt hebt
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 5.2-5644 Update 5
SHR

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 798
  • -Ontvangen: 3769
  • Berichten: 22.497
Re: Beter beveiligde OpenVPN
« Reactie #6 Gepost op: 24 november 2014, 09:07:51 »
Ziet er goed uit, handig en overzichtelijk op een rijtje gezet.
Ga deze procedure zeker eens doorlopen en kijken of ik het aan de praat krijg  ;D

Als ik mag toevoegen: WinSCP procedure hier (voor de zekerheid)  ;)
Birdy.

Gelieve mij niet in een PB om steun vragen, doe dit in een Topic, dan heeft iedereen er wat aan.


DS411slim 1 x WD2500BEKT
          1 x HTS723280L9A362
          1 x HTS541680J9SA00
          1 x WD800BEVT       DSM 6.0.2-8451-10  [FUN]
DS411+II  4 x HDS724040ALE640 DSM 5.2-5967-2     [PROD]
DS413j    4 x WD20EARX        DSM 5.2-5967-2     [BACKUP]
DS716+II  1 x HDS722020ALA330 DSM 6.1.2-15132    [TEST]

Offline Ben(V)

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 1147
  • Berichten: 6.315
Re: Beter beveiligde OpenVPN
« Reactie #7 Gepost op: 24 november 2014, 10:23:21 »
Goed verhaal MMD.

Kleine opmerking, aangezien je aangaf liever niet met putty te werken en omdat als je het met een tool kan doen waarom met twee.

WinScp heeft ook een terminal optie (blauwe venster met prompt icon) daar krijg je een command line tot je beschikking, heb je geen putty meer nodig.
  • Mijn Synology: DS414
  • HDD's: 4 x 3TB WD30EFRX
  • Extra's: DS116

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 429
  • Berichten: 2.200
Re: Beter beveiligde OpenVPN
« Reactie #8 Gepost op: 24 november 2014, 11:46:04 »
Heb ik me rot gelezen en gezocht terwijl Terminal voor me neus stond  ::) :lol:

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 672
  • -Ontvangen: 148
  • Berichten: 1.385
Re: Beter beveiligde OpenVPN
« Reactie #9 Gepost op: 24 november 2014, 13:52:40 »
Misschien een newbie vraag, maar als je al een certificaat hebt zoals een :
SSL-certificaat: Domain Validation - Comodo EssentialSSL.

Dan kun je die toch gewoon gebruiken?

DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 5.2-5644 Update 5
SHR

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 1168
  • Berichten: 7.159
Re: Beter beveiligde OpenVPN
« Reactie #10 Gepost op: 24 november 2014, 14:20:39 »
Hier gaat het om een inlogprocedure waarmee elke gebruiker met een eigen certificaat authenticeert i.p.v. met wachtwoord.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 672
  • -Ontvangen: 148
  • Berichten: 1.385
Re: Beter beveiligde OpenVPN
« Reactie #11 Gepost op: 24 november 2014, 14:59:49 »
@Briolet thnx, ik zat even helemaal verkeerd te denken idd.
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 5.2-5644 Update 5
SHR

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 672
  • -Ontvangen: 148
  • Berichten: 1.385
Re: Beter beveiligde OpenVPN
« Reactie #12 Gepost op: 24 november 2014, 16:13:18 »

5. WinSP

Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn
Hernoem openvpn.conf naar openvpnoud.conf

Download onderaan deze post het config .zip bestand ovpn-server.zip en pak het uit.
Plaats openvpn.conf uit het .zip bestand in bovenstaande map waar de hernoemde versie staat EN VOLG DE INSTRUCTIES die in het bestand staan.

Ik kan de melding ook niet vinden, maar heb nu ook een huilend kind naast me staan.
Dat verstoord ook een beetje de aandacht, vanavond maar even verder prutsen!!

Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.

Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /usr/syno/etc/packages/VPNCenter/openvpn en open openvpn.conf.
Haal # weg voor #log-append /var/log/openvpn.log, sla op en start opnieuw de VPN Server.
Navigeer naar /var/log en open openvpn.log om te kijken wat de melding is.

Hier gaat het bij mij fout, en ik snap eigenlijk nog niet wat ik fout doe.
Kun je geen screenshot maken van wat er moet staan in het nieuwe openvpn.conf?
Of het verschil tussen oud en nieuw?

Ik heb nu een huilend kind naast me staan, dat verstoord wel een beetje de concentratie....
Vanavond nog maar even verder prutsen!!!
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 5.2-5644 Update 5
SHR

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline wizjos

  • Administrator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 90
  • -Ontvangen: 137
  • Berichten: 1.763
    • Wizjos' Syno Pages
Re: Beter beveiligde OpenVPN
« Reactie #13 Gepost op: 24 november 2014, 16:19:13 »
#kind  ;D
  • Mijn Synology: DS1513+

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 429
  • Berichten: 2.200
Re: Beter beveiligde OpenVPN
« Reactie #14 Gepost op: 24 november 2014, 16:27:42 »

Je moet ook niet alleen alle snoepjes opeten :D


 

OpenVPN client blijft "connecting..."

Gestart door mknopsBoard VPN Server

Reacties: 6
Gelezen: 1909
Laatste bericht 27 december 2013, 23:53:19
door mknops
PPTP werkt, maar openVPN werkt niet

Gestart door albydetweedeBoard VPN Server

Reacties: 6
Gelezen: 1635
Laatste bericht 29 december 2015, 19:38:36
door albydetweede
OpenVPN hulp bij script t.b.v. tls-verify/auth-user-pass-verify

Gestart door MMDBoard Overige mods

Reacties: 7
Gelezen: 3523
Laatste bericht 06 oktober 2015, 17:48:24
door MMD
OpenVPN gebruiker ziet steeds alle mappen, terwijl ze er maar twee mag

Gestart door remhopsterBoard VPN Server

Reacties: 4
Gelezen: 1177
Laatste bericht 20 oktober 2015, 14:45:35
door MMD
OpenVPN '#redirect-gateway def1' werkt niet met gecomprimeerde data-overdracht

Gestart door BabyloniaBoard VPN Server

Reacties: 8
Gelezen: 211
Laatste bericht 13 juni 2017, 17:29:24
door Babylonia
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology.