OpenVPN #1: Beter beveiligen

[Birdy]

Je zal wel root moeten zijn, geef het commando:

Code: [Selecteer]

sudo -ien geef het password in van admin.

[Birdy]

Overigens, welke stap 3 ?
Er zijn n.l. ruim 370 reacties.

[André PE1PQX]

In deze post misschien??
https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135814/#msg135814

[Birdy]

Dat is dan waarschijnlijk stap 3.1 en WinSCP, om dan root te zijn, kijk dan hier.

[JohnnyR]

Het was inderdaad stap 3.1, het probleem begint al wanneer ik in de shell line invoer sudo -i.
dankrijg ik de melding:

Fout tijdens het overslaan van het opstartbericht. Uw shell is mogelijk niet compatibel met de toepassing (BASH wordt aangeraden).

bij invoer van /sudo i krijg ik server stuurde opdracht beëindigingsstatus 127.

Ik heb alle instellingen zoals die in de post nas benaderen met SSH gecontroleerd. en met putty krijg ik wel de admin status.
bedankt voor de snelle reactie trouwens

geprobeerd via een opdracht regel en dan krijg ik

/$ sudo -i
sudo: no tty present and no askpass program specified

[Birdy]

Dan heb je toch iets niet goed gedaan, dus nog even goed nalezen.
https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty

[Pippin]

In verband met de Voracle attack zijn de configuratie bestanden voor de server en client aangepast.
Dit geldt alleen voor verkeer dat niet reeds versleuteld is.
Zo is b.v. HTTPS dat door de tunnel gaat niet gevoelig voor deze attack.

De aanpassing betreft de compressie die nu uitgeschakeld is zodat deze attack onmogelijk wordt.

[André PE1PQX]

Goed bezig @MMD , maar even een (mogelijk onzinnige) vraag:
Wat zijn de wijzigingen in de config bestanden. Had al gezien dat zowel de server config als de client config gewijzigd zijn (download teller stond op nul).

Als er maar 1 of 2 regels gewijzigd zijn of toegevoegd hoef je toch niet de hele config te vervangen? Of denk ik te simpel?

[Pippin]

Nee hoor, je denkt niet te simpel maar als men hier nieuw is gaat men waarschijnlijk niet de hele thread doornemen en dan is deze pleister niet geplakt 

Wijzigingen:
1. "comp-lzo" ---> "comp-lzo no" voor server en client(s)
Dat is al voldoende tegen Voracle.

2. "nobind" toegevoegd voor de client(s).
Kiest een willekeurige poort voor reply packets.

3. "float" toegevoegd voor de client(s).
Hiermee kunnen clients "floaten", b.v. wanneer men in de auto rijdt en van 4G mast naar 4G mast verbindt of als een client een dynamisch IP krijgt toegewezen van zijn ISP.

[André PE1PQX]

Bedankt!! 

[GravityRZ]

ik heb de laatste aanpassingen gedaan in zowel server als client files
toegevoegd comp-lzo no, nobind, float prng SHA256 32, auth SHA256

weggehaald reneg-sec 0


verbinden gaat prima maar als ik in de log kijk zie ik staan compress:LZO_STUB

betekent dit nu dat compressie uit staat?
ik kan overigens in de settings van openvpn(v3.0.1) de compressie op NO, Full of downlink only zetten maar alles blijft gewoon werken(waarschijnlijk omdat dit overruled wordt door de config files )

ik heb eea veranderd omdat ik begrepen heb dat upgraden naar 3.0.2 problemen geeft als je compressie nog hebt aan staan

[Pippin]

Als comp-lzo no gebruikt wordt staat het uit.
De melding in het log is alleen de initialisatie van compressie o.i.d.

Versie 3.0.x, dat zal voor Apple zijn?
Daar heb ik geen ervaring mee.

[GravityRZ]

ok thanks

3.0.2(ios 12) geinstalleerd en die doet het ook

[willieaames]

ik heb de laatste aanpassingen gedaan in zowel server als client files
toegevoegd comp-lzo no, nobind, float prng SHA256 32, auth SHA256

weggehaald reneg-sec 0


verbinden gaat prima maar als ik in de log kijk zie ik staan compress:LZO_STUB

betekent dit nu dat compressie uit staat?
ik kan overigens in de settings van openvpn(v3.0.1) de compressie op NO, Full of downlink only zetten maar alles blijft gewoon werken(waarschijnlijk omdat dit overruled wordt door de config files )

ik heb eea veranderd omdat ik begrepen heb dat upgraden naar 3.0.2 problemen geeft als je compressie nog hebt aan staan

Dit is afhankelijk van de externe "firewall" pakketinspectieapparatuur die ze gebruiken. Als ze een geavanceerde gebruiken, detecteert de poort de handshake, ongeacht de poort en blokkeert de verbinding met de VPN. Vooral bij gebruik van vrij verkrijgbare VPN-protocollen.

[Wuter]

Ben onlangs overgeshakeld van VPN LTP naar OpenVPN via jullie tutorial dit allemaal zeer vlot gelukt enkel heb ik nog 1 probleem met het inline plaatsen van alle keys/certs voor een android apparaat. Op mijn vaste PC werkt het maar op men gsm krijg ik steeds volgende foutmelding. Maar vindt niet direct waar het aan kan liggen.