Auteur Topic: OpenVPN: Beter beveiligen  (gelezen 39271 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
OpenVPN: Beter beveiligen
« Gepost op: 24 november 2014, 01:14:22 »
In overleg met de TS slotje eraf. Maaaaaar ......
Andere openvpn gerelateerde vragen svp in een nieuw draadje. Dat maakt zoeken in het forum ook makkelijker !

Dit draadje werkt de TS starter nog wel bij.

* Edit:
Met de komst van DSM 6 heeft Synology het OpenVPN Server deel verbeterd.
Wat er exact verbeterd is en hoe dat voor een model DS uitpakt weet ik niet want zelf heb ik DSM 6 niet geïnstalleerd.
Deze handleiding is, zo is inmiddels de ervaring van anderen, tevens geschikt voor DSM 6.
*

De belangrijkste reden om deze handleiding te schrijven was dat Synology het OpenVPN Server package niet zo veilig beschikbaar stelt als mogelijk is. Het is namelijk gevoelig voor een Man In The Middle attack. Om dit risico tegen te gaan heb ik een aantal zaken gewijzigd in het OpenVPN Server package. De wijziging betreft echter niet alleen de MITM attack. Verderop in de handleiding daarover meer.
De handleiding heb ik gaandeweg geschreven en wil ik hier op het forum delen. Het is geschreven op een "klik dit klik dat" achtige wijze om het volgen van de stappen zo simpel mogelijk te houden. Erg moeilijk uit te voeren is het niet maar je moet er wel even voor gaan zitten.

Het geeft verder niet veel info over de werking van OpenVPN en het staat een ieder vrij om verbeteringen voor te stellen en/of mij te corrigeren.
Uiteindelijk gaat het erom dat men relatief veilig onderweg is...

De handleiding beschrijft de stappen om een VPN tunnel op te bouwen vanuit een Android telefoon maar het werkt ook met andere cliënts zoals Windows, Apple, Linux, etc. Een verbinding tussen twee DS`en is ook mogelijk, kijk dan even hier. Als daar vragen over zijn, stel die dan in dat topic.

Deze handleiding is een verzameling van info die zodanig in elkaar steekt dat er een relatief veilige verbinding ontstaat.
Zeker 90% komt van de OpenVPN documentatie en de OpenVPN manual 2.4.

De OpenVPN Server heeft de mogelijkheid een eigen configuratie te gebruiken en daar wordt in deze handleiding gebruik van gemaakt. Deze mogelijkheid wordt niet officieel door Synology ondersteund.
Dit zorgt er mede voor dat de configuratie niet overschreven wordt door een update of herstart. Vanaf DSM 5.0 tot op heden kan ik zeggen dat het mij nog niet gebeurt is. Desalniettemin kan het voorkomen dat het toch gebeurt, we weten immers niet welke veranderingen Synology met toekomstige updates aanbrengt.
De eigen configuratie optie heeft tot gevolg dat je in het scherm van OpenVPN Server geen instellingen meer kunt doen en onderin krijg je de melding in blauw: Configuratie is aangepast (in NL zo ongeveer)
22587-0
Om toch aanpassingen te kunnen maken gebruik ik het package Config File Editor.
Daarin geef je het pad op naar openvpn.conf.user

De aanpassing zit zodanig in elkaar dat de gegenereerde certificaten alleen voor OpenVPN gebruikt worden.
Gekochte/gratis SSL certificaten die geïmporteerd worden in DSM blijven functioneren, ook als ze reeds geïmporteerd zijn.

Na het uitvoeren van de stappen zijn via deze VPN verbinding naar de NAS, de apparaten in het netwerk waar de NAS/VPN Server staat via hun IP benaderbaar. Het is tevens mogelijk apparaten via DNS te benaderen maar ook via de NetBIOS naam (Lees: Computernaam).

Getest:
DS115
DS213j • DS214 • DS215j • DS215+ • DS216play
DS 713+
DS414 • DS415+
DS1512+
DS1813+
DS2411+

DSM 5 tot en met DSM 6

Clients:
Android 4.2.2 • 4.4.2 • 5.0.1 • 5.0.2 • 5.1.1
Android 6.x Mogelijk dient de energie spaar functie voor de VPN App uitgeschakeld te worden, zie hier en hier. Dat is een Android issue en staat los van deze handleiding.
Citaat
Samsung 6.x VPN is reported not to work unless the VPN app is excempted from Powersave features
OpenVPN Connect voor Android t/m versie 1.1.17 build 76
OpenVPN for Android (Arne Schwabe) t/m versie 0.6.60 (aanbevolen op Android 5.1 en hoger)

Windows 7 t/m 10
OpenVPN cliënt voor Windows:
Installer, Windows Vista and later - openvpn-install-2.4.0-I601.exe

DS414
DS2411+

pfSense (FreeBSD) 2.2 en hoger
OpenATV 5.1 en hoger

Het doel is:
Gebruiker/Wachtwoord - Standaard
Cliënt identificatie (server die cliënt identificeert) - Standaard
Server identificatie (cliënt die server identificeert) - Gaat Man In The Middle atacks tegen (MITM) - Niet standaard
Diffie Hellman Perfect Forward Secrecy met 2048 bits encryptie - Standaard 1024 bits
Sterkere versleuteling
tls-auth - Biedt onder andere bescherming tegen DoS attacks, UDP port flooding/scanning en nog wat meer - Niet standaard

Toegevoegde waarde:
Server identificatie
DH Perfect Forward Secrecy 2048 bits
Sterkere versleuteling voor control en data channel
tls-auth

Wat hebben we nodig:
Windows machine met XCA erop, download is hier
VPN Server te vinden in het Package Center
WinSCP
PuTTY
Hoe gebruik je WinSCP en PuTTY
Android telefoon
Officiële cliënt App OpenVPN Connect
Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
Re: Beter beveiligde OpenVPN
« Reactie #1 Gepost op: 24 november 2014, 01:15:00 »
Stap 1

cert, key en DH bestanden


We beginnen met het genereren van de certificate, key`s en het Diffie Hellman bestand.
Dit gaan we doen met XCA.

Met XCA kunnen we een CA (Certificate Authority), server en cliënt certificaten/key`s genereren en ondertekenen.
Tevens kunnen we DH parameters genereren.
De certificaten met bijbehorende private key`s worden in een database opgeslagen.


Om de bestanden die we gaan maken op te slaan maken we een map aan met de naam Database.

1.
Database maken.

Start XCA en klik op File --> New DataBase.
Sla de database op met de naam OpenVPN en geef een wachtwoord op.
Dit wachtwoord hebben we ook nodig om later de database weer te kunnen openen mochten we die nog nodig hebben.

Wat als we meer certificaten willen genereren ten behoeve van meerdere cliënts?
Daarvoor zul je de stappen om cliënt certificaten en cliënt key`s te genereren en exporteren moeten herhalen.
Dit zijn de stappen 4. 8. 9.
Vul voor elke cliënt de gebruikersnaam, die hij/zij heeft in DSM, in het veld commonName en Internal name in, commonName is een vereiste.
Elk van de cliënts moet ook een gebruiker zijn in DSM en de rechten moeten hebben VPN te mogen gebruiken, dit stel je in, in de VPN Server onder Rechten.


2.
CA genereren.

Klik op het tabblad Certificates --> New Certificate.
Op het tabblad Source selecteren we:
               Create a self signed certificate with the serial 1
               Signature algorithm SHA 256
               [default] CA
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName CA in.
Klik Generate a new key.
Het volgende scherm: CA, RSA, 2048 bit en klik Create.

Op de Extensions tab zetten we de Time range op 10 Years en klikken Apply.

Op de Key usage tab selecteren we links alleen Certificate Sign en CRL Sign.
Rechts selecteren we niets.

Op de Netscape tab halen we alleen het comment weg en klikken op Ok.

Nu hebben we een CA gegenereerd waarmee we de server en cliënt(s) certificaten kunnen ondertekenen.
Deze CA verschijnt nu onder de tab Certificates.


3.
Server certificaat genereren.

Op het tabblad Certificates --> New certificate.
Op het tabblad Source selecteren we:
               Use this Certificate for signing CA
               Signature algorithm SHA 256
               [default] HTTPS_server
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName Server in.
Klik Generate a new key.
Het volgende scherm: Server, RSA, 2048 bit en klik Create.

Op de Extensions tab zetten we de Time range op 5 Years en klikken Apply.

Op de Key usage tab selecteren we links alleen Digital Signature, Key Encipherment.
Rechts selecteren we alleen TLS Web Server Authentication.

Op de Netscape tab de-selecteren we alles en halen het comment weg en klikken Ok.

Nu hebben we een server certificaat gegenereerd die op de OpenVPN server komt te staan.
Op tabblad certificates klik je op het pijltje naast de CA zodat deze tevoorschijn komt.


4.
Cliënt certificaat genereren. (Herhalen voor meerdere cliënts)

Op het tabblad Certificates --> New certificate.
Op het tabblad Source selecteren we:
               Use this Certificate for signing CA
               Signature algorithm SHA 256
               [default] HTTPS_client
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName client in. (Voor meerdere cliënts de gebruikersnaam invullen)
Klik Generate a new key.
Het volgende scherm: gebruikersnaam, RSA, 2048 bit en klik Create.

Op de Extensions tab zetten we de Time range op 5 Years en klikken Apply.

Op de Key usage tab selecteren we links alleen Digital Signature en Key Agreement.
Rechts selecteren we alleen TLS Web Cliënt Authentication.

Op de Netscape tab deselecteren we alles en halen het comment weg en klikken Ok.

Nu hebben we een cliënt certificaat gegenereerd die op de OpenVPN cliënt komt te staan.


5.
CA exporteren.

Op het tabblad Certificates selecteer CA en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


6.
Server certificaat exporteren.

Op het tabblad Certificates selecteer Server en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


7.
Server private key exporteren.

Op het tabblad Private Keys selecteer Server en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


8.
Cliënt certificaat exporteren. (Herhalen voor elke cliënt)

Op het tabblad Certificates selecteer cliënt en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


9.
Cliënt private key exporteren. (Herhalen voor elke cliënt)

Op het tabblad Private Keys selecteer cliënt en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


10.
Diffie Hellman parameters genereren.

Klik op Extra --> Generate DH parameter (XCA versie ouder dan 1.3.2 onder File)
DH parameter bits 2048 en klik op Ok.
Dit kan even duren laat het z`n gang gaan en wacht.....
Kies de map Database die we eerder aangemaakt hebben en klik Ok.

Als het goed gegaan is hebben we nu in de map Database de volgende bestanden:

Openvpn.xdb
CA.crt
client.crt (of <gebruikersnaam>.crt)
client.pem (of <gebruikersnaam>.pem)
dh2048.pem
Server.crt
Server.pem
Hernoem client.pem naar client.key (of <gebruikersnaam>.key)
Hernoem Server.pem naar Server.key
Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
Re: Beter beveiligde OpenVPN
« Reactie #2 Gepost op: 24 november 2014, 01:15:28 »
Stap 2

De VPN Server installeren en instellen.


In het Package Center vinden we onder Hulpprogramma`s de VPN Server.
Nadat deze geïnstalleerd en gestart is gaan we wat instellingen doen.

Open Hoofdmenu en klik op VPN Server.
In het scherm zien we nu het overzicht.

Onder Rechten delen we nu eerst de rechten uit.

Onder PPTP en L2TP geven we niemand rechten tenzij je dat ook gebruikt.
Klik op Toepassen.

Ga naar OpenVPN, links in het menu.

In dit scherm vinken we aan:
OpenVPN-server inschakelen
Compressie op de VPN-koppeling inschakelen
Cliënts toegang geven de LAN-server

Bij Dynamisch ip-adres: 192.168.168.0
Klik op Toepassen.

De rest kan zo blijven.

Stop nu in het Package Center de VPN Server.

****************************************************************************************************************

IP/routeer conflicten voorkomen.
We hebben te maken met drie IP bereiken:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel adres)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Deze drie mogen niet in hetzelfde bereik zitten.

Omdat je eigenlijk bijna nooit invloed hebt op het IP-adres die je client van het remote netwerk (WiFi hotspot, LAN) krijgt, is het dus verstandig om het netwerk waar de VPN Server/DS in staat (local netwerk) alsook Dynamisch IP-adres (tunnel adres) ergens in het midden te kiezen.
Voor het local netwerk b.v.: 192.168.150.xxx (i.p.v. de standaard adressen die router fabrikanten gebruiken)
Voor het tunnel adres b.v.: 192.168.168.0
Zo wordt de kans dat het remote netwerk (WiFi hotspot, LAN), van waaruit je verbind, hetzelfde bereik gebruikt kleiner.

****************************************************************************************************************

In de router zal UDP poort 1194 doorgestuurd moeten worden naar de NAS.
Meld je op het forum voor de router en eventueel de firewall omdat dit specifiek is voor een ieder.

Als je nog geen gebruik maakt van "Automatisch blokkeren" is het daar nu mooi de tijd voor.
Configuratiescherm-->Beveiliging-->Automatisch blokkeren

Elk model DS heeft een maximaal aantal VPN gebruikers die je terug vind in de specificaties van je model.

Nu laten we de VPN Server uit en gaan we "onder de motorkap".
Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
Re: Beter beveiligde OpenVPN
« Reactie #3 Gepost op: 24 november 2014, 01:15:52 »
Stap 3

De VPN Server aanpassen.

Nu gaan we de certificaten en key`s, die we in Stap 1 hebben gemaakt, op de juiste plek zetten.
We gaan ook nog een ta.key maken die nodig is op de server en cliënt voor nog een extra bescherming.

Eerst even een overzicht van wat waar komt te staan:

/usr/syno/etc/packages/VPNCenter/VPNcerts
CA.crt
Server.crt
Server.key
dh2048.pem
ta.key

/usr/syno/etc/packages/VPNCenter/openvpn
Hier komt openvpn.conf.user te staan.


1. WinSCP

Navigeer naar: /usr/syno/etc/packages/VPNCenter
Maak een nieuwe map genaamd:
VPNcerts

Kopieer de nieuw aangemaakte CA.crt, Server.crt, Server.key en dh2048.pem naar de map.
Permissies als volgt:
0400 voor CA.crt, Server.crt, Server.key
0644 voor dh2048.pem

Permissies zetten we in WinSCP met rechter-muistoets->properties op het betreffende bestand.

2. PuTTY (Terminal is ook aanwezig in WinSCP. Zie menu Commands --> Open Terminal)

SSH naar de NAS en type na elkaar het volgende in:
cd /usr/syno/etc/packages/VPNCenter/VPNcerts
/usr/syno/etc.defaults/rc.sysv/apparmor.sh stop
openvpn --genkey --secret ta.keyEr is nu in de map VPNcerts een ta.key te vinden.
Permissies (met WinSCP) als volgt:
0600 voor ta.key

En als laatste type je in:
/usr/syno/etc.defaults/rc.sysv/apparmor.sh start
exitDe ta.key heb je straks in de OpenVPN Connect App ook nodig.
Handig als je hem nu met WinSCP naar de Database map kopieert.

3. WinSP

Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn

Download onderaan deze post het configuratie bestand openvpn-server.zip, pak het uit en volg de instructies die in openvpn.conf.user staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.conf.user in bovenstaande map.


Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.

Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /var/log en open openvpn.log om te kijken wat de melding is.
Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
Re: Beter beveiligde OpenVPN
« Reactie #4 Gepost op: 24 november 2014, 01:16:20 »
Stap 4


Stop je sd-kaart van de telefoon in de PC en maak een map aan met de naam VPNcerts.
Kopieer de bestanden die we in de eerste stap hebben gemaakt naar deze map.
CA.crt, client.crt en client.key. (of gebruikersnaam.crt en gebruikersnaam.key)

Kopieer de ta.key uit stap 3 hier ook naartoe.

Download onderaan deze post het configuratie bestand openvpn-client.zip, pak het uit en volg de instructies die in openvpn.ovpn staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.ovpn ook in de VPNcerts map en daarna stop je de sd-kaart terug in de telefoon.


Download in de Play store OpenVPN Connect van OpenVPN en installeer deze.
Open de App en importeer Profile from SD card.
Navigeer naar de map VPNcerts op de sd-kaart waar we de CA, crt, key, ta en ovpn opgeslagen hebben.
Selecteer het openvpn.ovpn profiel en vul je gebruikersnaam en wachtwoord in.

De rest van de bestanden worden automatisch met het openvpn.ovpn profiel geïmporteerd.
Dit betekent dan ook dat als je het profiel bewerkt, dat je het opnieuw moet importeren.
Zodra de verbinding werkt kun je de map VPNcerts wissen uit veiligheidsoverweging.

Er is ook een optie om CA.crt, client.crt, client.key en ta.key in het ovpn profiel op te slaan.
Dan hoef je maar één bestand te overhandigen aan een gebruiker.
Deze optie vind je hier.
Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 663
  • -Ontvangen: 147
  • Berichten: 1.376
Re: Beter beveiligde OpenVPN
« Reactie #5 Gepost op: 24 november 2014, 08:59:05 »
Ga dit eens proberen van de week. 
Iig alvast dank voor alle moeite die je erin gestopt hebt
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 5.2-5644 Update 5
SHR

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 765
  • -Ontvangen: 3400
  • Berichten: 20.301
Re: Beter beveiligde OpenVPN
« Reactie #6 Gepost op: 24 november 2014, 09:07:51 »
Ziet er goed uit, handig en overzichtelijk op een rijtje gezet.
Ga deze procedure zeker eens doorlopen en kijken of ik het aan de praat krijg  ;D

Als ik mag toevoegen: WinSCP procedure hier (voor de zekerheid)  ;)
Birdy.

Gelieve mij niet in een PB om steun vragen, doe dit in een Topic, zo heeft iedereen er wat aan.


DS111    1 x WD800BEVT       DSM 5.2-5967-2   [TEST]
DS411+II 4 x HDS724040ALE640 DSM 5.2-5967-2
DS413j   4 x WD20EARX        DSM 5.2-5967-2
DS716+II 1 x HDS722020ALA330 DSM 6.1-15022    [RC]
DS716+II     Virtueel        DSM 6.0.2-8451-9 [TEST]
DS716+II     Virtueel        DSM 6.1-14871    [Beta]

Offline Ben(V)

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 63
  • -Ontvangen: 1054
  • Berichten: 5.795
Re: Beter beveiligde OpenVPN
« Reactie #7 Gepost op: 24 november 2014, 10:23:21 »
Goed verhaal MMD.

Kleine opmerking, aangezien je aangaf liever niet met putty te werken en omdat als je het met een tool kan doen waarom met twee.

WinScp heeft ook een terminal optie (blauwe venster met prompt icon) daar krijg je een command line tot je beschikking, heb je geen putty meer nodig.
  • Mijn Synology: DS414
  • HDD's: 4 x 3TB WD30EFRX

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
Re: Beter beveiligde OpenVPN
« Reactie #8 Gepost op: 24 november 2014, 11:46:04 »
Heb ik me rot gelezen en gezocht terwijl Terminal voor me neus stond  ::) :lol:
Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 663
  • -Ontvangen: 147
  • Berichten: 1.376
Re: Beter beveiligde OpenVPN
« Reactie #9 Gepost op: 24 november 2014, 13:52:40 »
Misschien een newbie vraag, maar als je al een certificaat hebt zoals een :
SSL-certificaat: Domain Validation - Comodo EssentialSSL.

Dan kun je die toch gewoon gebruiken?

DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 5.2-5644 Update 5
SHR

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 60
  • -Ontvangen: 1062
  • Berichten: 6.425
Re: Beter beveiligde OpenVPN
« Reactie #10 Gepost op: 24 november 2014, 14:20:39 »
Hier gaat het om een inlogprocedure waarmee elke gebruiker met een eigen certificaat authenticeert i.p.v. met wachtwoord.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 663
  • -Ontvangen: 147
  • Berichten: 1.376
Re: Beter beveiligde OpenVPN
« Reactie #11 Gepost op: 24 november 2014, 14:59:49 »
@Briolet thnx, ik zat even helemaal verkeerd te denken idd.
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 5.2-5644 Update 5
SHR

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 663
  • -Ontvangen: 147
  • Berichten: 1.376
Re: Beter beveiligde OpenVPN
« Reactie #12 Gepost op: 24 november 2014, 16:13:18 »

5. WinSP

Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn
Hernoem openvpn.conf naar openvpnoud.conf

Download onderaan deze post het config .zip bestand ovpn-server.zip en pak het uit.
Plaats openvpn.conf uit het .zip bestand in bovenstaande map waar de hernoemde versie staat EN VOLG DE INSTRUCTIES die in het bestand staan.

Ik kan de melding ook niet vinden, maar heb nu ook een huilend kind naast me staan.
Dat verstoord ook een beetje de aandacht, vanavond maar even verder prutsen!!

Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.

Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /usr/syno/etc/packages/VPNCenter/openvpn en open openvpn.conf.
Haal # weg voor #log-append /var/log/openvpn.log, sla op en start opnieuw de VPN Server.
Navigeer naar /var/log en open openvpn.log om te kijken wat de melding is.

Hier gaat het bij mij fout, en ik snap eigenlijk nog niet wat ik fout doe.
Kun je geen screenshot maken van wat er moet staan in het nieuwe openvpn.conf?
Of het verschil tussen oud en nieuw?

Ik heb nu een huilend kind naast me staan, dat verstoord wel een beetje de concentratie....
Vanavond nog maar even verder prutsen!!!
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 5.2-5644 Update 5
SHR

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline wizjos

  • Administrator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 90
  • -Ontvangen: 135
  • Berichten: 1.757
    • Wizjos' Syno Pages
Re: Beter beveiligde OpenVPN
« Reactie #13 Gepost op: 24 november 2014, 16:19:13 »
#kind  ;D
  • Mijn Synology: DS1513+

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 394
  • Berichten: 2.028
Re: Beter beveiligde OpenVPN
« Reactie #14 Gepost op: 24 november 2014, 16:27:42 »

Je moet ook niet alleen alle snoepjes opeten :D
Wou een grap vertellen over UDP maar wist niet of die wel aan zou komen.
DS414 • DSM 5.2-5967-2 • HP 1810-8G-V2 • Netgear GS105-V4 • APC BX950U-GR • 2xSSD • 2xHDD
¤ OpenVPN: > Beter beveiligen > Beter beveiligen als client > Inline certificaten > Instellingen behouden na herstart/update > Host name resolution (NETBIOS)
                     > Poort delen/proxy > Live switchen van udp naar tcp en andersom


 

OpenVPN client blijft "connecting..."

Gestart door mknopsBoard VPN Server

Reacties: 6
Gelezen: 1612
Laatste bericht 27 december 2013, 23:53:19
door mknops
PPTP werkt, maar openVPN werkt niet

Gestart door albydetweedeBoard VPN Server

Reacties: 6
Gelezen: 1373
Laatste bericht 29 december 2015, 19:38:36
door albydetweede
OpenVPN hulp bij script t.b.v. tls-verify/auth-user-pass-verify

Gestart door MMDBoard Overige mods

Reacties: 7
Gelezen: 3214
Laatste bericht 06 oktober 2015, 17:48:24
door MMD
OpenVPN gebruiker ziet steeds alle mappen, terwijl ze er maar twee mag

Gestart door remhopsterBoard VPN Server

Reacties: 4
Gelezen: 1052
Laatste bericht 20 oktober 2015, 14:45:35
door MMD
L2TP en OpenVPN Server werken niet meer na migratie + upgrade.

Gestart door Tim__Board VPN Server

Reacties: 25
Gelezen: 3484
Laatste bericht 18 september 2015, 16:38:50
door Birdy
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology.