OpenVPN #1: Beter beveiligen

[Banaan99]

Dan eerst VPN Center deinstalleren, DS herstarten, weer installeren en handleiding vanaf dat moment volgen.

Krijg het niet weer aan de praat... Deze stappen heb ik doorlopen
- VPN deinstall
- DS restart
- openvpn.conf.user verwijderd (ander kan je de VPN IP etc niet instellen)
- VPN install
- Stap 2
- VPN stop
- Stap 3 - enkel terugplaatsen openvpn.conf.user. Lijkt mij niet nodig om de ta.key opnieuw aan te maken toch??? En -> /usr/syno/etc.defaults/rc.sysv/apparmor.sh start + exit gedaan
- VPN start

Bij connectie zelfde foutmeldingen

[Pippin]

Ok, dus de mappen van de server zijn na de herstart blijven staan, komt dan waarschijnlijk door de extra map VPNcerts, maar mag geen probleem zijn als alle rechten nog goed staan.
Apparmor was niet nodig geweest maar mag ook geen probleem zijn.
ta.key hoeft niet opnieuw gemaakt te worden.
.....
.....
openvpn.conf.user...niet aan gedacht, daar kwam je dan achter na opnieuw installeren van VPN Center.
Kun je het nog eens doen en dan eerst openvpn.conf.user verwijderen?
Dus:
VPN Center stoppen
openvpn.conf.user verwijderen
en dan weer verder maar dan zonder het apparmor deel, dat is alleen nodig als je een ta.key moet maken.

Maar dit

VPN network interface has been changes to eth0

kan ik niet thuisbrengen. Dat heeft er iets mee te maken naar mijn idee.

[Banaan99]

Het werkt weer. Mogelijk dat ik ergens ook nog een tijdje mijn mijn mobiel op mijn eigen netwerk zat en dat helpt ook niet natuurlijk :-)

De VPN app van Arne Schwabe lost idd mijn probleem op voor de connected laptop :-)

Nog 1 opmerking. In de log van de Arne Schwabe app zag ik staan -> remote/local TLS keys are out of sync (of iets dergelijks). Maar ondanks dat wel connectie. Ik heb de ta.key opnieuw geladen op mijn mobiel en nu komt de melding niet meer. De key lijkt echter gene waarde te hebben in deze config.

Mooi werk!

Bedankt weer

[Pippin]

remote/local TLS keys are out of sync

Server herstart terwijl je nog was verbonden met je telefoon?
In dat geval is het eenmalig.
De ta.key behoud zijn waarde ;-)

Maar, goed dat het nu (weer) werkt, toppie.

[RaymondMMouthaan]

Mijn VPN Server en clients draaien als een zonnetje door dit topic, nogmaals bedankt!

Nu heb ik nog de volgende vraag ...

Is het mogelijk, nadat een client is geconnect, om deze te benaderen vanaf een andere client in het lan? Het idee er achter is om een vpn client met RDP of VNC of iets dergelijks te beheren.

Mvg,
Ray

[Pippin]

Daar doen we het voor 

Ja, client-to-client is mogelijk.
Hoe is afhankelijk van het aantal clients....

Er zijn twee manieren, alleen client-to-client toevoegen aan de server waarbij je moet bedenken dat alle clients elkaar kunnen zien.
Dat kan onwenselijk zijn i.v.m. b.v. ransomware (denk aan Synolocker en consorten), virus, "lastige gebruikers",etc.
Als je de enige gebruiker bent of slechts 2-3 die niet continu verbonden zijn kan het een oplossing zijn.

De tweede manier is een heel stuk gecompliceerder waarbij je eerst goed op papier moet hebben wie welke routes gezet krijgen.
Daarmee kun je LAN(S) die achter clients zitten benaderbaar maken. Die optie heet client-config-dir.
Daarover vindt je meer hier: Routed LANS
Dat heb ik echter zelf nooit geprobeerd omdat die behoefte er niet is. En daarbij ben ik zeker geen netwerk specialist.
Om te begrijpen hoe dat werkt is een gedegen verstand van netwerken wel vereist.

[RaymondMMouthaan]

client-to-client is volgens mij om twee (of meerdere) vpn clients elkaar te laten "zien", echter wil ik met een lan machine (192.168.1.x) de vpn client (10.8.0.x) kunnen "zien". Dit heb ik nu geprobeerd door een static route toe toevoegen op de lan machine.

Voor OSX (lan machine):

Code: [Selecteer]

route -n add -net 10.8.0.0/16  192.168.1.10waarbij 10.8.0.0 het vpn netwerk is en 192.168.10 het ip adres van de NAS.

Door deze route toe te voegen is de vpn client te benaderen vanaf de lan machine en kan ik een vnc connectie maken met de vpn client.

[Pippin]

client-to-client is volgens mij om twee (of meerdere) vpn clients elkaar te laten "zien"

Dat klopt en kan ook een oplossing zijn, alleen verbind je dan op het VPN-IP van de client, 10.8.0.x

Het gaat dus om 1 machine die bereikbaar moet zijn.
Dan is jouw oplossing een prima oplossing.

[RaymondMMouthaan]

Wellicht is het nog mogelijk om de "route" op/door de nas in te stellen, zodat deze van 192.168.1.x netwerk routeert naar het 10.8.0.x netwerk, maar ach nu werkt het ook wel

[Pippin]

Edit:
Ik zit niet op te letten 
Onderstaande geldt voor VPN clients, niet voor LAN clients
De OVPN server kan natuurlijk niet automatisch routes zetten op machines die niet met hem verbonden zijn.
Laat het toch staan want het is wel informatief 

#####

Dat is precies wat de client-config-dir methode doet.
Het voordeel daarvan is, dat wanneer je meerdere gebruikers hebt, je niet op elke client machine de route hoeft te zetten.
Die worden dan gepushed door de server op het moment dat een client verbindt en die routes zijn on-the-fly te wijzigen.
Bedrijven en VPN aanbieders b.v. doen dat op die manier.

Standaard maakt OpenVPN (nog) gebruik van een net30 topologie, d.w.z. de server en elke client krijgen 4 IP`s toegewezen.
net30 gaan ze waarschijnlijk verwijderen omdat het eigenlijk obsolete geworden is.
Dan wordt het een subnet topology waarbij de server en elke client slechts één IP krijgt.
De server zit dan op 10.8.0.1 met dhcp op 10.8.0.254
Dat is dan natuurlijk makkelijker te administreren en overzichtelijker.

Daarvoor hoef je alleen

topology subnet
push "topology subnet"

toe te voegen aan de server config.

Indien je client-config-dir (ccd) wilt toepassen moet je wel in

/volume1/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnf

overwriteccfiles=true

wijzigen in

overwriteccfiles=false

Anders worden de client files overschreven door Radius.
Elke client file dient de CommonName van zijn certificaat te hebben
Zo wordt het eventueel mogelijk specifieke routes per client/groep te zetten.
Policy routing

De ccd directory, waar de client files in staan, plaats je dan in

/var/packages/VPNCenter/etc/openvpn/ccd

En aan de server config dan nog

client-config-dir ccd

toevoegen.

Als je bovenstaande link van Routed LANS (en eventueel Policy routing) volgt kun je zien hoe je dat moet doen, vermoed dat je daar wel uitkomt.

[RaymondMMouthaan]

Ik ga hier zeker even mee aan de slag als ik weer ff tijd heb. Bedankt maar weer!!!

[Pippin]

Zie wel even mijn Edit 

[RaymondMMouthaan]

LOL 

[aliazzz]

Beste MMD,

Ik lees helaas de volgende meldingen in /var/log/openvpn.log;

Sun Feb 14 19:30:49 2016 us=690751 188.207.100.160:6720 ++ Certificate has key usage  0090, expects 0080
Sun Feb 14 19:30:49 2016 us=690776 188.207.100.160:6720 ++ Certificate has key usage  0090, expects 0008
Sun Feb 14 19:30:49 2016 us=690801 188.207.100.160:6720 ++ Certificate has key usage  0090, expects 0088

Uiteraard ben ik dus gaan kijken wat er met de certificaten aan de hand is;
Server crt details;
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication

Client crt details;
X509v3 Key Usage:
Digital Signature, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication

Enig idee waar ik verder moet zoeken?


Alvast dank

[Pippin]

Hallo @aliazzz

Client crt details;
X509v3 Key Usage:
Digital Signature, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication

Data Encipherment klopt niet, dient Key Agreement te zijn ;-)

Zie Stap 1 sub 4.

Op de Key usage tab selecteren we links alleen Digital Signature en Key Agreement.