OpenVPN #1: Beter beveiligen

[Pippin]

IP van 4G netwerk?
Subnet van de tunnel?
Subnet van het LAN waar de NAS staat?

[André PE1PQX]

IP van 4G net (zowel Voda als XS4ALL): dynamisch, niet in een LAN IP-bereik (10.x.y.z, 192.168.y.z etc.)
Subnet van tunnel: 192.168.150.x/255.255.255.0
Subnet van NAS    : 192.168.1.x/255.255.255.0

[Pippin]

Dit is wat ik als verklaring vindt en de reden dat de optie --allow-recursive-routing is toegevoegd:
https://sourceforge.net/p/openvpn/mailman/message/34737692/

[André PE1PQX]

Zie https://forums.openvpn.net/viewtopic.php?f=4&t=23432

Blijkbaar zijn er nog enkelen die dit hebben gezien...
Zal eens de DNS server van mijn LAN (door de Fritz toegekend) invullen en kijken wat ie dan doet...

Edit: Met het handmatig toevoegen van de DNS adressen die je thuis ook toegekend krijgt uit de router gaat het ook goed.
(Verzonden via de VPN en de XS4ALL dongel)

[Pippin]

Zie https://forums.openvpn.net/viewtopic.php?f=4&t=23432

Degene die antwoord gaf in dat topic die ken ik heel goed 

Maar dat staat niet direct in relatie tot DNS.
Wat had je eerst dan ingevuld als DNS server(s)?
Je kunt niets invullen, een openbare of een DNS server die op je LAN staat.
Als je niets invult wordt de DNS van XS4ALL gebruikt, in jou geval.

[André PE1PQX]

Eerst had ik die van google gebruikt, 8.8.8.8 en dat werkte ook.
Nu heb ik die uit mijn Fritz gebruikt welke mijn al mijn apparaten in mijn lan ook van de DHCP server krijgen.
(De fritz fungeert als DNS doorgeefluik voor die van XS4ALL)

[André PE1PQX]

Vraagje: als de package een update krijgt, ben je de aangebrachte wijzigingen van stap 3 dan ook kwijt??

[Pippin]

Die kans is aanwezig maar bij mij is dat nog niet voorgekomen.
Moet ik wel bijzeggen dat ik op DSM 5.2 zit.

Een mogelijke oplossing voor de map VPNcerts zou kunnen zijn die ergens anders neer te zetten.
Dan zal echter het Apparmor profiel aangepast moeten worden.
Apps op de DS worden "bewaakt" door Apparmor en hebben daardoor geen toegang buiten de eigen Apps-mappen, een soort jail zeg maar.

Voor openvpn.conf.user is het nog "lastiger" die ergens anders neer te zetten.

Ik heb zelf een backup van de wijzigingen, mocht het fout gaan kopieer ik de map/openvpn.conf.user terug, zet de rechten en klaar.

De OpenVPN Server heeft een "verborgen" mogelijkheid een eigen configuratie te gebruiken en daar wordt in deze handleiding gebruik van gemaakt. Deze mogelijkheid wordt niet officieel door Synology ondersteund.
Dit zorgt er mede voor dat de configuratie niet overschreven wordt door een update of herstart. Vanaf DSM 5.0 tot op heden kan ik zeggen dat het mij nog niet gebeurt is. Desalniettemin kan het voorkomen dat het toch gebeurt, we weten immers niet welke veranderingen Synology met toekomstige updates aanbrengt.

[André PE1PQX]

Zal de update eens (laten) doen en je een feedback geven... monumentje AUB.

Feedback: Lijkt geen probleem op te leveren. Update  overschrijft de aangepast config bestanden niet.

[Chris12]

Ik heb heel de handleiding gevolgd, port 1194 in mn Ziggo router forwarded naar mn DS415+ en op mn mobiel (android) probeer ik een verbinding te maken.

Dit lukt helaas niet (connection time out)

Ik zie bij de verbindingslijst in de VPNserver echter wel het http_X_forwarded_for IP adres van mn mobiel verschijnen.

Verder zie ik in de log file op mn mobiel dat die naar het juiste externe ip adres van mn Ziggo modem wil connecten, via UDP en daarna via UDPv4. Uiteindelijk is er een KEEPALIVE_TIMEOUT.

Hoe dit verder te troubleshooten?

[Pippin]

Connection time out betekent normaal gesproken dat de server niet bereikt wordt.
Controleer dan goed de port forward en de firewall op de DS.
Probeer het altijd via 4G, dus WiFi uit en als dat niet lukt vanuit een ander netwerk/buren/familie/openbare hotspot....

Kijk ook in het log van de server of de verbindingspoging van je Android daar aankomt en voor eventuele warnings/errors.

Code: [Selecteer]

/var/log/openvpn.log

[Chris12]

Ik heb het getest met 4G (wifi uit op mobiel).

Ik de openvpn.log zie ik het volgende:

Fri Jun 30 21:38:00 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:02 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:04 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:06 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:08 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:10 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:12 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:14 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:16 2017  TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:18 2017  TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jun 30 21:38:18 2017  SYNO_ERR_CERT
Fri Jun 30 21:38:18 2017  TLS Error: TLS handshake failed
Fri Jun 30 21:38:18 2017  SIGUSR1[soft,tls-error] received, client-instance restarting
Fri Jun 30 21:39:00 2017  TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jun 30 21:39:00 2017  SYNO_ERR_CERT
Fri Jun 30 21:39:00 2017  TLS Error: TLS handshake failed
Fri Jun 30 21:39:00 2017  SIGUSR1[soft,tls-error] received, client-instance restarting

Bij Externe toegang --> Router Configuratie heb ik verbindingstest gedaan voor de VPNserver (port 1194, UDP) en deze is OK.
Dus dan kan ik er vanuit gaan dat de port forwarding in de ziggo router goed is.

In de Firewall staat VPN server OpenVPN port 1194 op Toestaan

[Birdy]

Waarschijnlijk is dit aan de orde.

[Chris12]

Ok, ik heb de regel:

tls-auth ta.key 1

toegevoegd aan: /var/pacakges/VPNCenter/etc/openvpn openvpn.conf

(weet niet of die de juiste file/plek is)

Maar helaas nog steeds dezelfde meldingen in de logfile

[Birdy]

ta.key ook naar mobiel gekopieerd ?