Bericht door: Pippin op 24 november 2014, 01:14:22
In overleg met de TS slotje eraf. Maaaaaar ......
Andere openvpn gerelateerde vragen svp in een nieuw draadje. Dat maakt zoeken in het forum ook makkelijker !
Dit draadje werkt de TS starter nog wel bij.
De belangrijkste reden om deze handleiding te schrijven was dat Synology het OpenVPN Server package niet zo veilig beschikbaar stelt als mogelijk is. Het is namelijk gevoelig voor een Man In The Middle attack doordat er geen verificatie van certificaten plaatsvindt van zowel de Server als de Client(s).
Autorisatie vindt dus alleen plaats door gebruikersnaam/wachtwoord. Om het MITM (https://nl.wikipedia.org/wiki/Man-in-the-middle-aanval) risico tegen te gaan heb ik een aantal zaken gewijzigd in het OpenVPN Server package. De wijziging betreft echter niet alleen de MITM attack.
Het is geschreven op een "klik dit klik dat" achtige wijze om het volgen van de stappen zo simpel mogelijk te houden. Erg moeilijk uit te voeren is het niet maar je moet er wel even voor gaan zitten. Het beschrijft de stappen om een VPN tunnel op te bouwen vanuit een Android telefoon maar het werkt ook met andere cliënts zoals Windows, Apple, Linux, etc.
Het steekt zodanig in elkaar dat er een relatief veilige verbinding ontstaat.
Zeker 90% komt van de OpenVPN documentatie (https://openvpn.net/index.php/open-source/documentation/howto.html) en de OpenVPN manual 2.3 (https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage).
De OpenVPN Server (Package VPN Server) heeft een "verborgen" mogelijkheid een eigen configuratie te gebruiken en daar wordt in deze handleiding gebruik van gemaakt. Deze mogelijkheid wordt niet officieel door Synology ondersteund.
Dit zorgt er mede voor dat de configuratie niet overschreven wordt door een update of herstart. Vanaf DSM 5.0 tot op heden kan ik zeggen dat het mij nog niet gebeurt is. Desalniettemin kan het voorkomen dat het toch gebeurt, we weten immers niet welke veranderingen Synology met toekomstige updates aanbrengt.
De eigen configuratie optie heeft tot gevolg dat je in het scherm van OpenVPN Server geen instellingen meer kunt doen en onderin krijg je de melding in blauw: OpenVPN-configuratie is aangepast
[attach=1]
De aanpassing zit zodanig in elkaar dat de gegenereerde certificaten in deze handleiding alleen voor OpenVPN gebruikt worden. Gekochte/gratis/Let`s encrypt/etc. SSL certificaten die geïmporteerd worden in DSM blijven functioneren, ook als ze reeds geïmporteerd zijn.
Kort gezegd wordt OpenVPN van de rest van het systeem gescheiden wat dit betreft, zoals het hoort dus.
Na het uitvoeren van de stappen zijn via deze VPN verbinding naar de NAS, de apparaten in het netwerk waar de NAS/VPN Server staat via hun IP benaderbaar.
Getest:
Elk DS model.
DSM 5 en hoger.
Clients:
Android 4 t/m 10
Android 6 Mogelijk dient de energie spaar functie voor de VPN App uitgeschakeld te worden, zie hier (http://www.synology-forum.nl/the-lounge/open-vpn-via-samsung-galaxy-s6-met-android-6-0-1/msg188977/#msg188977) en hier (https://github.com/schwabe/ics-openvpn/issues/471). Dat is een Android issue en staat los van deze handleiding.
Citaat
Samsung 6.x VPN is reported not to work unless the VPN app is excempted from Powersave featuresOpenVPN Connect voor Android (https://play.google.com/store/apps/details?id=net.openvpn.openvpn) t/m versie 3.0.7
OpenVPN for Android (Arne Schwabe) (https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=nl) t/m versie 0.7.8 (aanbevolen op Android 5.1 en hoger)
Elk DS model.
Windows 7 t/m 10
OpenVPN cliënt voor Windows (https://openvpn.net/community-downloads/):
Windows installer (NSIS, vanaf Vista) - openvpn-install-2.4.8-I602-Win(xx).exe
Windows XP is niet meer ondersteund.
pfSense (FreeBSD) 2.2 en hoger
Debian 8.7 jessie en hoger
Ubuntu 14.04 LTS en hoger
Linux Mint 18 en hoger
MX Linux 18 en hoger
System76 Pop!_OS 18.04
Manjaro
Puppy Linux (XenialPup en hoger (UbuntuLTS16.04))
Tiny Core Linux
OpenATV 5.1 en hoger
OpenPLi 5 en hoger
Het doel is:
Gebruiker/Wachtwoord - Standaard
Cliënt identificatie d.m.v. certificaat (server die cliënt identificeert) - Niet standaard
Server identificatie d.m.v. certificaat (cliënt die server identificeert) - Niet standaard
Diffie Hellman Perfect Forward Secrecy met 4096 bits encryptie - Standaard 1024/3072 bits, versie afhankelijk
Sterkere versleuteling
tls-auth - Niet standaard - Biedt onder andere bescherming tegen DoS attacks, UDP port flooding/scanning en nog wat meer
Toegevoegde waarde:
Eigen root Certificate Authority uitsluitend voor OpenVPN
Cliënt identificatie d.m.v. certificaat
Server identificatie d.m.v. certificaat
DH Perfect Forward Secrecy 4096 bits
Sterkere versleuteling voor control en data channel
tls-auth (ook wel HMAC firewall)
Wat hebben we nodig:
Windows machine met XCA (https://hohnstaedt.de/xca/) erop, download is hier (https://hohnstaedt.de/xca/index.php/download). Ook beschikbaar voor Linux en MAC.
VPN Server te vinden in het Package Center
WinSCP (http://winscp.net/eng/download.php)
PuTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)
Hoe (http://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/) gebruik je WinSCP en PuTTY
Android telefoon
Officiële cliënt App OpenVPN Connect (https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=nl_NL)
Bericht door: Pippin op 24 november 2014, 01:15:00
cert, key en DH bestanden
We beginnen met het genereren van de certificaten, key`s en het Diffie Hellman bestand.
Dit gaan we doen met XCA.
Met XCA kunnen we een CA (Certificate Authority) opzetten, Server en cliënt certificaten/key`s genereren en ondertekenen.
De certificaten met bijbehorende private key`s worden in een database opgeslagen en vervolgens exporteren we die om op de server en client(s) te gebruiken.
Om de bestanden die we gaan maken op te slaan maken we een map aan met de naam Database.
1.
Database maken.
Start XCA en klik op File --> New DataBase.
Sla de database op met de naam OpenVPN en geef een wachtwoord op.
Dit wachtwoord hebben we ook nodig om later de database weer te kunnen openen mochten we die nog nodig hebben.
* Edit:
Templates toegevoegd.
Download (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/?action=dlattach;attach=32270) eerst de XCA templates voor deze handleiding.
Importeer deze vervolgens op het tabblad Templates in XCA voordat je de volgende stappen volgt.
*
Wat als we meer certificaten willen genereren ten behoeve van meerdere cliënts?
Daarvoor zullen we de stappen om cliënt certificaten en cliënt key`s te genereren en exporteren moeten herhalen.
Dit zijn de stappen 4. 8. 9.
Vul voor elke cliënt de exacte gebruikersnaam, die hij/zij heeft in DSM, in het veld commonName en Internal name in, commonName is een vereiste Internal name is voor de herkenbaarheid.
Elk van de cliënts moet ook een gebruiker zijn in DSM en zal de rechten moeten hebben VPN te mogen gebruiken, dit stel je in, in de VPN Server onder Rechten.
2.
CA genereren.
Klik op het tabblad Certificates --> New Certificate.
Op het tabblad Source selecteren we:
Create a self signed certificate with the serial 1
Signature algorithm SHA 256
CA
Klik op Apply all.
Op de tab Subject vullen we bij Internal name en commonName CA in.
Klik Generate a new key.
Het volgende scherm: CA, RSA, 4096 bit en klik Create.
Op de Extensions tab zetten we de Time range op 10 Years en klikken Apply.
Op de Key usage tab selecteren we links:
Digital Signature
Key Encipherment
Data Encipherment
Key Agreement
Certificate Sign
CRL Sign
Rechts selecteren we niets.
Op de Netscape tab halen we alleen het comment weg en klikken op Ok.
Nu hebben we een CA gegenereerd waarmee we de server en cliënt(s) certificaten kunnen ondertekenen.
Deze CA verschijnt nu onder de tab Certificates.
3.
Server certificaat genereren.
Op het tabblad Certificates --> New certificate.
Op het tabblad Source selecteren we:
Use this Certificate for signing CA
Signature algorithm SHA 256
SERVERCERT
Klik op Apply all.
Op de tab Subject vullen we bij Internal name en commonName Server in.
Klik Generate a new key.
Het volgende scherm: Server, RSA, 4096 bit en klik Create.
Op de Extensions tab zetten we de Time range op 5 Years en klikken Apply.
Op de Key usage tab selecteren we links:
Digital Signature
Key Encipherment
Rechts selecteren we alleen TLS Web Server Authentication.
Op de Netscape tab de-selecteren we alles en halen het comment weg en klikken Ok.
Nu hebben we een Server certificaat gegenereerd die op de OpenVPN Server komt te staan.
Op tabblad certificates klik je op het pijltje naast de CA zodat deze tevoorschijn komt.
4.
Cliënt certificaat genereren. (Herhalen voor meerdere cliënts)
Op het tabblad Certificates --> New certificate.
Op het tabblad Source selecteren we:
Use this Certificate for signing CA
Signature algorithm SHA 256
CLIENTCERT
Klik op Apply all.
Op de tab Subject vullen we bij Internal name en commonName client in. (Voor meerdere cliënts de gebruikersnaam invullen)
Klik Generate a new key.
Het volgende scherm: gebruikersnaam, RSA, 4096 bit en klik Create.
Op de Extensions tab zetten we de Time range op 5 Years en klikken Apply.
Op de Key usage tab selecteren we links:
Digital Signature
Key Agreement
Rechts selecteren we alleen TLS Web Cliënt Authentication.
Op de Netscape tab deselecteren we alles en halen het comment weg en klikken Ok.
Nu hebben we een cliënt certificaat gegenereerd die op de OpenVPN cliënt komt te staan.
5.
CA exporteren.
Op het tabblad Certificates selecteer CA en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.
6.
Server certificaat exporteren.
Op het tabblad Certificates selecteer Server en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.
7.
Server private key exporteren.
Op het tabblad Private Keys selecteer Server en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.
8.
Cliënt certificaat exporteren. (Herhalen voor elke cliënt)
Op het tabblad Certificates selecteer cliënt en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.
9.
Cliënt private key exporteren. (Herhalen voor elke cliënt)
Op het tabblad Private Keys selecteer cliënt en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.
10.
Diffie Hellman parameters genereren.
Klik op Extra --> Generate DH parameter (XCA versie ouder dan 1.3.2 onder File)
DH parameter bits 4096 en klik op Ok.
Dit gaat een tijdje duren laat het z`n gang gaan, drink wat en wacht.....
Drink nog wat.....
.....
....
...
..
Kies de map Database die we eerder aangemaakt hebben en klik Ok.
Als het goed gegaan is hebben we nu in de map Database de volgende bestanden:
Openvpn.xdb
CA.crt
client.crt (of <gebruikersnaam>.crt)
client.pem (of <gebruikersnaam>.pem)
dh4096.pem
Server.crt
Server.pem
Hernoem client.pem naar client.key (of <gebruikersnaam>.key)
Hernoem Server.pem naar Server.key
Bericht door: Pippin op 24 november 2014, 01:15:28
De VPN Server installeren en instellen.
In het Package Center vinden we onder Hulpprogramma`s de VPN Server.
Nadat deze geïnstalleerd en gestart is gaan we wat instellingen doen.
Open Hoofdmenu en klik op VPN Server.
In het scherm zien we nu het overzicht.
Onder Rechten delen we nu eerst de rechten uit.
Onder PPTP en L2TP geven we niemand rechten tenzij je dat ook gebruikt.
Klik op Toepassen.
Ga naar OpenVPN, links in het menu.
In dit scherm vinken we aan:
OpenVPN-server inschakelen
Compressie op de VPN-koppeling inschakelen
Cliënts toegang geven de LAN-server
Bij Dynamisch ip-adres: 192.168.160.1
Klik op Toepassen.
De rest kan zo blijven.
Stop nu in het Package Center de VPN Server.
****************************************************************************************************************
IP/routeer conflicten voorkomen.
We hebben te maken met drie subnetten:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel netwerk)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Dit moeten separate subnetten zijn.
Omdat je eigenlijk bijna nooit invloed hebt op het IP-adres die je cliënt van het remote netwerk krijgt, is het dus verstandig om het netwerk waar de VPN Server/DS in staat alsook Dynamisch IP-adres ergens in het midden te kiezen.
Voor het local netwerk b.v.: 192.168.150.xxx (i.p.v. de standaard subnetten die router fabrikanten gebruiken, zie lijst hieronder)
Voor het Dynamisch IP-adres b.v.: 192.168.160.1
Zo wordt de kans dat het remote netwerk van waaruit je verbind met de cliënt naar de VPN Server/DS, hetzelfde subnet gebruikt kleiner.
Bruikbare private subnetten zijn:
Klasse A: 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
Klasse B: 172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
Klasse C: 192.168.0.0 - 192.168.255.255 (192.168.0.0/16)
De onderstaande lijst zijn standaard subnetten die fabrikanten gebruiken, d.w.z. voor zover ik heb kunnen vinden.
Die wil je dus niet als local netwerk of Dynamisch IP-adres gebruiken.
Code: [Selecteer]
10.0.0
10.0.1
10.1.1
10.1.10
10.2.0
10.8.0
10.10.1
10.90.90
10.100.1
10.255.255
169.254 # APIPA #
172.16.0
172.16.16
172.16.42
172.16.68
172.19.3
172.20.10 # IPhone built-in hotspot #
192.168.0
192.168.1
192.168.2
192.168.3
192.168.4
192.168.5
192.168.6
192.168.7
192.168.8
192.168.9
192.168.10
192.168.11
192.168.13
192.168.15
192.168.16
192.168.18
192.168.20
192.168.29
192.168.30
192.168.31
192.168.33
192.168.39
192.168.40
192.168.42 # Android USB tethering #
192.168.43 # Android built-in hotspot #
192.168.50
192.168.55
192.168.61
192.168.62
192.168.65
192.168.77
192.168.80
192.168.85
192.168.88
192.168.98
192.168.99
192.168.100
192.168.101
192.168.102
192.168.111
192.168.123
192.168.126
192.168.129
192.168.137 # Windows Phone built-in hotspot #
192.168.168
192.168.178
192.168.190
192.168.199
192.168.200
192.168.220
192.168.223
192.168.229
192.168.240
192.168.245
192.168.251
192.168.252
192.168.254
200.200.200
****************************************************************************************************************
In de router zal UDP poort 1194 doorgestuurd moeten worden naar de NAS.
Meld je op het forum voor de router en eventueel de firewall omdat dit specifiek is voor een ieder.
Als je nog geen gebruik maakt van "Automatisch blokkeren" is het daar nu mooi de tijd voor.
Configuratiescherm-->Beveiliging-->Automatisch blokkeren
Elk model DS heeft een maximaal aantal VPN gebruikers die je terug vind in de specificaties van je model.
Nu laten we de VPN Server uit en gaan we "onder de motorkap".
Bericht door: Pippin op 24 november 2014, 01:15:52
De VPN Server aanpassen.
Nu gaan we de certificaten en key`s, die we in Stap 1 hebben gemaakt, op de juiste plek zetten.
We gaan ook nog een ta.key maken die nodig is op de server en cliënt voor nog een extra bescherming.
Eerst even een overzicht van wat waar komt te staan:
/usr/syno/etc/packages/VPNCenter/VPNcerts
CA.crt
Server.crt
Server.key
dh4096.pem
ta.key
/usr/syno/etc/packages/VPNCenter/openvpn
Hier komt openvpn.conf.user te staan.
1. WinSCP
Navigeer naar: /usr/syno/etc/packages/VPNCenter
Maak een nieuwe map genaamd:
VPNcerts
Kopieer de nieuw aangemaakte CA.crt, Server.crt, Server.key en dh4096.pem naar de map.
Permissies als volgt:
0400 voor CA.crt, Server.crt, Server.key
0400 voor dh4096.pem
Permissies zetten we in WinSCP met rechter-muistoets->properties op het betreffende bestand.
2. PuTTY (Terminal is ook aanwezig in WinSCP. Zie menu Commands --> Open Terminal)
SSH naar de NAS en type na elkaar het volgende in:
Code: [Selecteer]
cd /usr/syno/etc/packages/VPNCenter/VPNcertsAfhankelijk van het model DS kan het zijn dat er geen Apparmor aanwezig is.
Om de ta.key te genereren moeten we eerst Apparmor stoppen:
Code: [Selecteer]
/usr/syno/etc.defaults/rc.sysv/apparmor.sh stopta.key genereren:
Code: [Selecteer]
openvpn --genkey --secret ta.keyEr is nu in de map VPNcerts een ta.key te vinden.Permissies (met WinSCP) als volgt:
0400 voor ta.key
De ta.key is straks in de OpenVPN Connect App ook nodig.
Handig als je die nu met WinSCP naar de Database map kopieert.
Apparmor weer starten:
Code: [Selecteer]
/usr/syno/etc.defaults/rc.sysv/apparmor.sh startEn als laatste:
Code: [Selecteer]
exit3. WinSP
Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn
Download onderaan deze post het configuratie bestand openvpn-server.zip, pak het uit en volg de instructies die in openvpn.conf.user staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.conf.user in bovenstaande map met rechten 0400.
Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.
Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /var/log en open openvpn.log om te kijken wat de melding is.
Bericht door: Pippin op 24 november 2014, 01:16:20
Stop je sd-kaart van de telefoon in de PC en maak een map aan met de naam VPNcerts.
Kopieer de bestanden die we in de eerste stap hebben gemaakt naar deze map.
CA.crt, client.crt en client.key. (of CA.crt, gebruikersnaam.crt en gebruikersnaam.key)
Kopieer de ta.key uit stap 3 hier ook naartoe.
Download onderaan deze post het configuratie bestand openvpn-client.zip, pak het uit en volg de instructies die in openvpn.ovpn staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.ovpn ook in de VPNcerts map en daarna stop je de sd-kaart terug in de telefoon.
Download in de Play store OpenVPN Connect van OpenVPN en installeer deze.
Open de App en importeer Profile from SD card.
Navigeer naar de map VPNcerts op de sd-kaart waar we de CA, crt, key, ta en ovpn opgeslagen hebben.
Selecteer het openvpn.ovpn profiel en vul je gebruikersnaam en wachtwoord in.
De rest van de bestanden worden automatisch met het openvpn.ovpn profiel geïmporteerd.
Dit betekent dan ook dat als je het profiel bewerkt, dat je het opnieuw moet importeren.
Zodra de verbinding werkt kun je de map VPNcerts wissen uit veiligheidsoverweging.
Er is ook een optie om CA.crt, client.crt, client.key en ta.key in het ovpn profiel op te slaan.
Dan hoef je maar één bestand te overhandigen aan een gebruiker.
Deze optie, "Inline file support" genaamd vind je hier (http://www.synology-forum.nl/vpn-server/openvpn-inline-certificaten-enz/).
Bericht door: Handige Harry op 24 november 2014, 08:59:05
Iig alvast dank voor alle moeite die je erin gestopt hebt
Bericht door: Birdy op 24 november 2014, 09:07:51
Ga deze procedure zeker eens doorlopen en kijken of ik het aan de praat krijg ;D
Als ik mag toevoegen: WinSCP procedure hier (http://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/) (voor de zekerheid) ;)
Bericht door: Ben(V) op 24 november 2014, 10:23:21
Kleine opmerking, aangezien je aangaf liever niet met putty te werken en omdat als je het met een tool kan doen waarom met twee.
WinScp heeft ook een terminal optie (blauwe venster met prompt icon) daar krijg je een command line tot je beschikking, heb je geen putty meer nodig.
Bericht door: Pippin op 24 november 2014, 11:46:04
Bericht door: Handige Harry op 24 november 2014, 13:52:40
SSL-certificaat: Domain Validation - Comodo EssentialSSL.
Dan kun je die toch gewoon gebruiken?
Bericht door: Briolet op 24 november 2014, 14:20:39
Bericht door: Handige Harry op 24 november 2014, 14:59:49
Bericht door: Handige Harry op 24 november 2014, 16:13:18
5. WinSP
Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn
Hernoem openvpn.conf naar openvpnoud.conf
Download onderaan deze post het config .zip bestand ovpn-server.zip en pak het uit.
Plaats openvpn.conf uit het .zip bestand in bovenstaande map waar de hernoemde versie staat EN VOLG DE INSTRUCTIES die in het bestand staan.
Ik kan de melding ook niet vinden, maar heb nu ook een huilend kind naast me staan.
Dat verstoord ook een beetje de aandacht, vanavond maar even verder prutsen!!
Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.
Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /usr/syno/etc/packages/VPNCenter/openvpn en open openvpn.conf.
Haal # weg voor #log-append /var/log/openvpn.log, sla op en start opnieuw de VPN Server.
Navigeer naar /var/log en open openvpn.log om te kijken wat de melding is.
Hier gaat het bij mij fout, en ik snap eigenlijk nog niet wat ik fout doe.
Kun je geen screenshot maken van wat er moet staan in het nieuwe openvpn.conf?
Of het verschil tussen oud en nieuw?
Ik heb nu een huilend kind naast me staan, dat verstoord wel een beetje de concentratie....
Vanavond nog maar even verder prutsen!!!
Bericht door: wizjos op 24 november 2014, 16:19:13
Bericht door: Pippin op 24 november 2014, 16:27:42
Je moet ook niet alleen alle snoepjes opeten :D
Bericht door: Handige Harry op 24 november 2014, 19:13:29
Het zal waarschijnlijk echt aan mijn onkunde liggen, ik wacht even af wanneer anderen dit ook geprobeerd hebben.
Ik zeg wel dat de serverkey geen key bestand was, maar een pem.
Dat zal waarschijnlijk een deel van het probleem zijn denk ik.
Ik probeer het van de week gewoon nog een keer.
Zal de volgende keer een zak van 5 kilo met pepernoten regelen, blijft de kleine tenminste ook stil ;-)
( Dit was mijn kennismaking met winSCP )
Bericht door: Birdy op 24 november 2014, 21:07:09
WinScp heeft ook een terminal optie (blauwe venster met prompt icon) daar krijg je een command line tot je beschikking, heb je geen putty meer nodig.Klopt, en wil je toch PuTTY dan zit die optie naast die terminal optie ;)
[attachimg=1]
Bericht door: Pippin op 24 november 2014, 21:10:55
Dan moet PuTTY wel op je PC staan want de eerste keer vraagt WinSCP naar het pad.
Bericht door: Briolet op 24 november 2014, 21:14:13
Bericht door: Birdy op 24 november 2014, 21:15:46
Dan moet PuTTY wel op je PC staan want de eerste keer vraagt WinSCP naar het pad.Is mij nooit opgevallen, WinSCP heeft mij dat niet gevraagd n.l., althans, kan me niets van herinneren, maar dat kan de leeftijd zijn :lol:
Bericht door: Ben(V) op 24 november 2014, 21:19:46
Met het blauwe icon-tje heb je geen putty nodig.
Bericht door: Pippin op 24 november 2014, 21:22:41
Heb even gekeken en weet nu waarom.
Ik heb de standalone van PuTTY. WinSCP verwacht het pad C:\Progr....x86\PuTTY\...
Vandaar dus de vraag naar het pad in mijn geval.
Bericht door: Birdy op 24 november 2014, 21:24:48
Nooit geweten, maar ja, heb al een eeuwigheid PuTTY op m'n PC staan en WinSCP pas 2 jaar.
PS, PuTTY staat niet in %PATH% ;)
Bericht door: blbean op 25 mei 2015, 22:51:35
/usr/syno/openvpn.auth/
in het configuratiebestand veranderd in deze:
/var/packages/VPNCenter/target/etc/openvpn/keys/
en daar ook alle genoemde bestanden naar toe gekopieerd. Daarna de VPN server opnieuw opgestart en het werkt allemaal weer. Ik twijfel alleen een beetje of ik niks potentieel onveiligs heb gedaan met het plaasten van de bestanden in de genoemde map. Kan één van de specialisten hier daar iets over zeggen?
Bericht door: Pippin op 02 juli 2015, 22:23:44
Als er mensen zijn die deze handleiding toegepast of getest hebben zou ik dat graag weten.
Vermeld dan a.u.b. welke versies, besturingssystemen, Apps, enz.
Dan kan ik "Getest op" in de openingspost updaten.
B.v.d.
Bericht door: ditisstef op 02 juli 2015, 23:57:57
Bericht door: Pippin op 03 juli 2015, 08:41:56
Bericht door: ditisstef op 03 juli 2015, 11:27:27
Bericht door: Pippin op 03 juli 2015, 11:37:28
Dan heb je waarschijnlijk net als @Handige Harry de melding dat het configuratiebestand niet klopt gekregen.
De namen moeten wel kloppen evenals de paden in de configuratiebestanden ;-)
Bericht door: Babylonia op 09 november 2015, 10:59:19
ben ik t/m nummertje 9 gekomen.
Maar dan het genereren van "Diffie Hellman parameters" nr 10
Ik krijg onder het menu "File" helemaal die optie niet te zien ?
Ik heb al gezocht naar andere menu's met "File" maar kom het nergens tegen.
Waar kan ik dat vinden?
Misschien de versie van "X Certificate and Key Management"?? Dat is bij mij Version: 1.3.2
Bericht door: Pippin op 09 november 2015, 11:25:53
In de release notes zie ik staan:
" move some Menu items to "Extra" "
Ik zit nog op versie 1.3.1 en daar zit het nog onder File.
Bericht door: blbean op 10 november 2015, 10:53:31
Ik had niet goed gelezen bij het maken van het client certificaat en de velden Internel name en commonName niet voorzien van de DSM username. Beetje dom, want dat genereerde een X509 certificaat foutmelding.
Enige wat ik toe te voegen heb is dat OpenVPN voor iOS happerde door het gebruik van hoofdletters in de CA.crt. Kennelijk kan het er niet mee overweg dat er in de configuratie ca.crt staat terwijl XCA een CA.crt heeft gegenereerd. Ik heb CA in ca hernoemd en toen werkte het wel. Als je de bestanden uit stap 4 via Itunes (apps, naar beneden scrollen, OpenVPN selecteren, bestanden toevoegen) op je iOS device zet, werkt het prima.
Bericht door: Pippin op 03 december 2015, 11:52:27
Ben een beetje laat zie ik maar bedankt voor de melding.
De beide configs zijn nu aangepast.
Bericht door: @lex op 09 januari 2016, 22:16:37
I have followed your well documented tutorial, but it won't work on my side.
The client keeps getting a "TLS key negotiation failed to occur within 60 seconds" message.
Any clue ?
Thanks !
Bericht door: Pippin op 09 januari 2016, 22:46:26
This message means that your OpenVPN client can`t connect to your NAS.
What client OS?
Did you forward port 1194 to your NAS? That is, if you specified port 1194 in VPN Server.
Port 1194 is opened in the firewall on the NAS?
Always connect from outside your LAN with the client.
Bericht door: @lex op 10 januari 2016, 12:11:41
Used to work OK before the mod (just without server authentication).
I did not change the port forwarding, everything seems OK, I just checked.
I always test for a 3G connection to be outside my LAN as my router will not allow looping back into my LAN.
The problem is still there...
Thanks !
Bericht door: Pippin op 10 januari 2016, 12:14:30
Have a client/server log?
Bericht door: @lex op 10 januari 2016, 13:14:32
Sun Jan 10 12:54:11 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Sun Jan 10 12:54:11 2016 TLS Error: incoming packet authentication failed from [AF_INET6]::ffff:109.140xxxxx
Client looks like everything is ok until "TLS key negotiation failed to occur within 60 seconds".
The only thing I see in the client side: using 'ta.key' as a OpenVPN static key file: there is no path, but I assume openvpn will thus look in the same directory as the conf file...
Thanks !
Bericht door: Pippin op 10 januari 2016, 13:31:23
The server states "HMAC authentication failed".
Check client config to make sure the path is correct:
Code: [Selecteer]
tls-auth ta.key 1If still not working then try the full path:
Code: [Selecteer]
tls-auth "c:\\Program Files\\OpenVPN\\config\\ta.key 1"Watch the double backslashes !
But as far as I know, normally this should not be necessary if you put all files in "c:\Program Files\OpenVPN\config"
Edit:
Sorry, wrong file and forgot the ""
And maybe have to do it for all files.
Bericht door: @lex op 10 januari 2016, 14:23:10
I had to re-copy the ca.crt and server.crt & server.key as enabling the openvpn server had overwritten these files (under the folder /volume1/@appstroe/VPNCenter/etc/openvpn/keys).
I now have this:
Sun Jan 10 13:59:13 2016 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=xxxxxxxxxxx $private data$ xxxx
Sun Jan 10 13:59:13 2016 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Jan 10 13:59:13 2016 TLS Error: TLS object -> incoming plaintext read error
Sun Jan 10 13:59:13 2016 TLS Error: TLS handshake failed
It seems that the server does not like my certificate ?
Bericht door: Pippin op 10 januari 2016, 15:28:43
Citaat
I had to re-copyThat`s strange...some time ago I rewrote this tutorial to avoid overwriting files but maybe I made some mistake.
What version of DSM and VPN Server?
And which DS?
Normally when restarting DSM/VPN Server, the certificates get recopied from the "ssl.xxx" directories.
Did you replace them too as described in the tutorial?
Google translate still doesn`t do a perfect job :-)
If you rename "openvpn.conf" to "openvpn.conf.user" then the overwrite problem could be solved.
But you have to keep a file named "openvpn.conf" because if it`s missing OpenVPN won`t start.
So, both files need to be present for that to work.
I think I will include it in this tutorial.
Citaat
TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failedPlease check certificates/keys one by one or:
Recopy them after renaming openvpn.conf to openvpn.conf.user or:
Generate new ones using XCA.
Make sure to set correct file-permissions as described.
And shut-down/restart VPN Server when modifying things.
Bericht door: Pippin op 14 januari 2016, 00:22:43
Handleiding is nu voor een deel herschreven.
Certificaten in DSM en OpenVPN zijn nu onafhankelijk van elkaar.
Bericht door: @lex op 16 januari 2016, 22:08:23
Het werkt nu voor mij. :)
Bericht door: Pippin op 16 januari 2016, 22:49:01
Nederlands?
Your welcome.
Bericht door: @lex op 17 januari 2016, 11:39:06
Client: W7 met openVPN gui 10.
Bericht door: @lex op 18 januari 2016, 22:35:35
Bericht door: Birdy op 18 januari 2016, 22:41:34
Dit is wel een Nederlands Forum n.l. ;)
Bericht door: mchp92 op 18 januari 2016, 22:54:38
Bericht door: Birdy op 18 januari 2016, 23:03:51
Je zal ze de kost moeten geven die moeite hebben met Engels.
Dit IS een Nederlands Forum, men kan ook naar het Engels talige Forum.
[attachimg=1]
Moet het nog duidelijker ? ;)
Bericht door: Pippin op 18 januari 2016, 23:08:41
Zoals het nu is zal het overleven totdat Synology iets gaat veranderen aan de mappen structuur of Apparmor.
Heb maar even in het Nederlands gedaan ;-)
Bericht door: mchp92 op 18 januari 2016, 23:10:28
Bericht door: Birdy op 18 januari 2016, 23:14:28
En hier zie je ze allemaal. (https://www.synology.com/nl-nl/support/community)
Bericht door: mchp92 op 19 januari 2016, 16:51:49
Jammer dat ze niet via tapatalk benaderbaar zijn (of iig lijken te zijn)
Bericht door: Birdy op 19 januari 2016, 17:35:21
Bericht door: mchp92 op 19 januari 2016, 17:38:03
Engels
Bericht door: Banaan99 op 08 februari 2016, 20:49:07
1. WinSCP
Navigeer naar: /usr/syno/etc/packages/VPNCenter
Ik kan niet inloggen met "root". Toegang geweigerd. Gebruik het wachtwoord van de account die admin is. Dit alles onder Windows 10.
Dank
Bericht door: Birdy op 08 februari 2016, 21:01:38
Bericht door: Banaan99 op 08 februari 2016, 21:13:39
Bericht door: Birdy op 08 februari 2016, 21:20:58
SSH staat aan
Login: root
Password: <het password van gebruiker admin>
Werkt niet ?
Welke versie DSM ?
Bericht door: Banaan99 op 08 februari 2016, 21:37:45
Ik zie wat vage berichten over SSH onder Windows 10 op internet. Vandaar dat ik Windows 10 erbij heb vermeld als OS.
Wanneer ik inlog met gebruikersnaam/wachtwoord geen foutmelding en opent WinSCP zich opnieuw
Bericht door: Birdy op 08 februari 2016, 21:43:33
Citaat
1 - Zorg ervoor dat SSH-Service aan staat: Configuratiescherm > Terminal.IS dus in DSM! Of heb je ook in Windows 10 die optie.
Bericht door: Banaan99 op 08 februari 2016, 21:56:16
Na aanpassing nog het zelfde probleem.... NAS herstart gedaan en nog steeds -> toegang geweigerd.
DSM 5.2-5644 Update 3
DS215j
Dank
Bericht door: Birdy op 08 februari 2016, 22:06:22
Ah zo, dat is voor de niet al te gevorderde gebruiker niet geheel duidelijk uit de beschrijving.Dus, een niet gevorderde gebruiker denkt gelijk aan Windows, vind die optie niet dus, slaan we die maar over ? ;)
Citaat
Na aanpassing nog het zelfde probleem....Bij punt 6 wel het IP-Adres opgegeven van je NAS ?
Bericht door: Banaan99 op 08 februari 2016, 22:10:40
Ja, IP van de NAS. Alles t/m stap 10 gedaan
Het is een raadsel.....lijkt toch niet zo ingewikkeld (buiten mijn verwarring omtrent de SSH setting :-)
Bericht door: Birdy op 08 februari 2016, 22:41:35
Kan je wel inloggen als admin met het password van admin ?
Bericht door: Banaan99 op 08 februari 2016, 22:46:59
Bericht door: Birdy op 08 februari 2016, 22:49:56
Het was alleen maar om te checken of het in principe werkt.
Je moet echt als root kunnen inloggen met hetzelfde password die je voor admin hebt gebruikt :!:
Bericht door: Banaan99 op 08 februari 2016, 23:15:00
Loop nu vast bij:
Plaats openvpn.conf.user uit het .zip bestand in bovenstaande map en volg de instructies die in het bestand staan.
en
Plaats openvpn.ovpn uit het .zip bestand ook in de VPNcerts map en volg de instructies die in het bestand staan.
Welke instructies?
Bericht door: Pippin op 08 februari 2016, 23:18:10
Die in het bestand staan :-)
Die kun je in een tekst editor openen of gewoon dubbelklikken in WinSCP.
Bericht door: Banaan99 op 09 februari 2016, 00:12:26
Dat het mij gelukt is moet de burger moed geven :-)
Thanks!
Bericht door: Banaan99 op 09 februari 2016, 00:22:59
- Duidelijk aangeven dat het om DSM gaat bij SSH
- "Doe vervolgens"..../usr/syno/etc.defaults/rc.sysv/apparmor.sh stop....... Zou ik iets duidelijker omschrijven. Denk niet dat iedereen gelijk begrijpt waar dit in te voeren en wat te doen.
- Duidelijk aangeven hoe je de instructies in de files kan lezen (Notepas / SCP)
- DSM geeft bij verbinding bij 1 of meer verbonden clients:
---Niets aan bij huidige verbinding
---Niets aan in de verbindingslijst
---Wel aan bij Logboek dat er een verbinding is
BTW -> top topic! Bedankt
Welke DS:DS215j
DSM versie: DSM 5.2-5644 Update 3
OpenVPN Server versie: ......?
OS versie van client: Android 5.1.1
OpenVPN client versie: 1.1.1.16 (build 74)
Bericht door: Birdy op 09 februari 2016, 08:50:05
Feedback voor verbetering (voor beginners zoals ik):
- Duidelijk aangeven dat het om DSM gaat bij SSH
Heb ik aangepast in mijn Topic: NAS benaderen met SSH: Windows en OSX (http://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/msg134190/#msg134190)
Bericht door: Pippin op 09 februari 2016, 10:58:22
Handleiding iets aangepast zoals voorgesteld door @Banaan99
Als het duidelijker kan dan laat het maar weten.
Wat betreft de verbindingslijst vraag ik mij af of dit door een DSM/VPN Server update komt want het heeft ooit wel gewerkt.
Misschien kan iemand met een standaard installatie en up-to-date DSM/VPN Server eens kijken of dit wel werkt?
Ik heb zelf een andere configuratie als deze waarbij de verbindingslijst ook leeg blijft.
Vind ik echter niet zo`n probleem.
Citaat
BTW -> top topic! BedanktGraag gedaan.
Bericht door: Banaan99 op 11 februari 2016, 11:56:29
Aanmeldgegevens controleren
"Een vertrouwd certificaat op uw apparaat staat derde partij toe om iw netwerkactiviteit te controleren. waaronder emails, apps en veilige websites......"
Vraag is of jullie deze melding kennen? Is dit inderdaad de bedoeling en zo ja hoe kan ik voorkomen dat deze melding blijft komen?
Nog een tweede vraag.... Ik gebruik VPN ook veel in het buitenland. Dan vooral om NL streaming content te kunnen bekijken. Om dit op mijn werk laptop mogelijk te maken (kan geen VPN op installeren) tether is via USB. Ik gebruik VyprVPN en dat werkt prima. Echter heb ik een data limiet. Ik dacht de VPN via de NAS hiervoor nu te gebruiken maar dat lijkt niet te werken. Krijg wel een IP van mijn mobiele telefoon maar er is geen verbinding met internet. De VPN zoals die nu is ingesteld lijkt dit niet toe te staan. Iemand enig idee hoe dit te fixen.
Dank
Bericht door: Pippin op 11 februari 2016, 20:51:29
Heb zelf geen Android 5.1.1 maar 5.0.2 en heb die melding niet.
Het zou kunnen dat je het certificaat die voor OVPN gebruikt wordt moet toevoegen aan:
Instellingen-->Beveiliging-->onder Opslag van referenties-->Installeren vanaf SD-kaart
Vervolgens selecteer je de twee *.crt bestanden die je in de map VPNcerts hebt staan.
2.
Gebruikt/heeft VyprVPN een eigen App?
Zo ja, dan zet die app de route die nodig is.
Zou je het config bestand van VyprVPN in een PM naar mij kunnen sturen, dan kan ik eens vergelijken.
Als ze gebruik maken van inline certificaten verwijder die dan voordat je het naar mij stuurt.
Verwijder dan alles wat tussen,
Code: [Selecteer]
<ca>
-----BEGIN CERTIFICATE-----
Inhoud van ca.crt
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
Inhoud van gebruiker.crt (client)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
Inhoud van gebruiker.key (client)
-----END RSA PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
Inhoud van ta.key
-----END OpenVPN Static key V1-----
</tls-auth>staat.Bericht door: RaymondMMouthaan op 12 februari 2016, 15:49:44
Helaas heb ik het zelf (nog) niet aan de praat en loop tegen het probleem aan dat de client(s) niet kunnen connecten met de server.
Ik heb vanaf een frisse start, alle stappen van de tutorial doorlopen en krijg bij het connecten met de server de volgende error in de openvpn.log op de server.
Code: [Selecteer]
Fri Feb 12 15:38:42 2016 us=486294 MULTI: multi_create_instance called
Fri Feb 12 15:38:42 2016 us=486453 62.140.132.44:7508 Re-using SSL/TLS context
Fri Feb 12 15:38:42 2016 us=517408 62.140.132.44:7508 LZO compression initialized
Fri Feb 12 15:38:42 2016 us=517633 62.140.132.44:7508 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Feb 12 15:38:42 2016 us=517688 62.140.132.44:7508 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb 12 15:38:42 2016 us=517989 62.140.132.44:7508 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Fri Feb 12 15:38:42 2016 us=518071 62.140.132.44:7508 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Fri Feb 12 15:38:42 2016 us=518139 62.140.132.44:7508 Local Options hash (VER=V4): '162b04de'
Fri Feb 12 15:38:42 2016 us=518190 62.140.132.44:7508 Expected Remote Options hash (VER=V4): '9e7066d2'
Fri Feb 12 15:38:42 2016 us=518273 62.140.132.44:7508 TLS: Initial packet from [AF_INET]62.140.132.44:7508, sid=5e1458ec 44de9ac1
Fri Feb 12 15:38:48 2016 us=894780 62.140.132.44:7508 VERIFY OK: depth=1, CN=CA
Fri Feb 12 15:38:48 2016 us=896201 62.140.132.44:7508 Validating certificate key usage
Fri Feb 12 15:38:48 2016 us=896264 62.140.132.44:7508 ++ Certificate has key usage 00a0, expects 0080
Fri Feb 12 15:38:48 2016 us=896300 62.140.132.44:7508 ++ Certificate has key usage 00a0, expects 0008
Fri Feb 12 15:38:48 2016 us=896334 62.140.132.44:7508 ++ Certificate has key usage 00a0, expects 0088
Fri Feb 12 15:38:48 2016 us=896367 62.140.132.44:7508 VERIFY KU ERROR
Fri Feb 12 15:38:48 2016 us=896480 62.140.132.44:7508 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:lib(20):func(137):reason(178)
Fri Feb 12 15:38:48 2016 us=896519 62.140.132.44:7508 TLS Error: TLS object -> incoming plaintext read error
Fri Feb 12 15:38:48 2016 us=899685 62.140.132.44:7508 SYNO_ERR_CERT
Fri Feb 12 15:38:48 2016 us=899772 62.140.132.44:7508 TLS Error: TLS handshake failed
Fri Feb 12 15:38:48 2016 us=899998 62.140.132.44:7508 SIGUSR1[soft,tls-error] received, client-instance restartingGetest vanaf iOS met OpenVPN client en vanaf Windows 10 met OpenVPN client naar Synology DS1813+ met DSM 5.2-5644 Update 3.
Mvg,
Ray
Bericht door: Pippin op 12 februari 2016, 16:36:07
Citaat
VERIFY KU ERRORDeze error geeft aan dat de Key Usage niet correct is.
Het lijkt er dus op dat er met de certificaten iets niet goed is.
Het eerste waar ik dan aan denk is dat er in Stap 1 sub 3. en/of sub 4. iets mis gegaan is.
Dat kun je controleren door rechtsklik op Server.crt en openen met XCA ---> Details ---> Extensions te kiezen.
Code: [Selecteer]
509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server AuthenticationVoor client.crt
Code: [Selecteer]
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, Key Agreement
X509v3 Extended Key Usage:
TLS Web Client AuthenticationBericht door: RaymondMMouthaan op 12 februari 2016, 16:54:03
Code: [Selecteer]
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, [b]Key Agreement[/b]
X509v3 Extended Key Usage:
TLS Web Client AuthenticationIk had idd Key Encipherment ipv Key Agreement voor het client certificaat, :oops:
Thanks!
Nu zou het nog cool zijn wanneer de dns en evt andere netwerk settings naar de clients gepushed worden
Bericht door: Pippin op 12 februari 2016, 17:09:35
Voor DNS kun je
Code: [Selecteer]
push "dhcp-option DNS ip.van.rou.ter"in de openvpn.conf.user toevoegen. Dan krijgen alle clients die optie gepushed.Wil je dat niet dan kun je in openvpn.ovpn per client
Code: [Selecteer]
dhcp-option DNS ip.van.rou.tertoevoegen.Of je installeert DNS server op de DS en wijzigt ip.van.je.router in het ip.van.je.DS
Met hostname bedoel je neem ik aan NETBIOS (Computernamen), kijk dan hier:
http://www.synology-forum.nl/vpn-server/openvpn-host-name-resolution/
Code: [Selecteer]
evt andere netwerk settingsIets beter omschrijven graag...Bericht door: RaymondMMouthaan op 12 februari 2016, 17:18:26
Code: [Selecteer]
push dhcp-option DNS ip.van.rou.ter heb eerder idd ook gebruikt en zal deze ff toevoegen in de openvpn.config.user. Doordat ik DNS server op de nas heb draaien kan ik tevens via vpn mijn andere devices benaderen op basis van <hostname>.<domain> :) Ik zal ook ff de NETBIOS link bekijken.Code: [Selecteer]
evt andere netwerk settingsKun je wel negeren, het werkt zoals ik wil ;D
Bericht door: Pippin op 12 februari 2016, 17:23:01
In mijn vorige post was ik "" vergeten, het is dan dus:
Code: [Selecteer]
push "dhcp-option DNS ip.van.rou.ter"
Bericht door: Banaan99 op 12 februari 2016, 17:33:13
Het zou kunnen dat je het certificaat die voor OVPN gebruikt wordt moet toevoegen aan:
Instellingen-->Beveiliging-->onder Opslag van referenties-->Installeren vanaf SD-kaart
Vervolgens selecteer je de twee *.crt bestanden die je in de map VPNcerts hebt staan.
"Opslag van referenties" heb ik niet maar wel-> "Installeren uit apparaatopslag". Daar heb ik beide toegevoegd. Zal een kijken wat het oplevert.
Gebruikt/heeft VyprVPN een eigen App?
Zo ja, dan zet die app de route die nodig is.
Het is een gratis Android APP dus mogelijk makkelijker om de APP zelf te installeren. Beperking zit op 500Mb traffic per maand ofzo. Vandaar mijn voorkeur voor een oplossing zonder databeperking.
Bericht door: Pippin op 12 februari 2016, 18:07:08
Ik bedoel eigenlijk, wanneer je verbindt met VyprVPN, gebruik je dan hun app?
Wanneer je verbindt naar je DS gebruik je de OpenVPN Connect app?
Het verschil zit waarschijnlijk in, dat de VyprVPN app een route zet die nodig is om via tether/hotspot naar het internet te komen.
De OpenVPN Connect app doet dat namelijk niet.
Normaal gesproken installeert men de OpenVPN client op de laptop, dan is er geen route nodig maar dat gaat dan in jouw geval niet omdat het niet toegestaan is.
Er is nog een andere goede app van Arne Schwabe, OpenVPN for Android, die kan misschien wel routes zetten?
Zal eens even zoeken vanavond.
Bericht door: Pippin op 12 februari 2016, 18:20:16
Citaat
Zal een kijken wat het oplevert.En werkt?
Heb het volgende gevonden:
Citaat
The VPN connection warning telling you that this app can intercept all traffic is imposed by the system to prevent abuse of the VPNService API.Het ligt er dus aan welke versie Android men heeft.
The VPN connection notification (The key symbol) is also imposed by the Android system to signal an ongoing VPN connection. On some images this notification plays a sound.
Android introduced these system dialogs for your own safety and made sure that they cannot be circumvented. (On some images this unfortunately includes a notification sound)
M.a.w., dit is een Android "issue".
Bericht door: Banaan99 op 12 februari 2016, 18:28:04
Ik bedoel eigenlijk, wanneer je verbindt met VyprVPN, gebruik je dan hun app?Beide ja
Wanneer je verbindt naar je DS gebruik je de OpenVPN Connect app?
Er is nog een andere goede app van Arne Schwabe, OpenVPN for Android, die kan misschien wel routes zetten?App gedownload en daar staat idd het e.e.a. over routes..... Kan even niet met zekerheid zeggen dat dit gaat werken. Buiten dat heb ik geen idee wat en waar ik certificaten etc zou moeten importeren
Bericht door: Banaan99 op 12 februari 2016, 18:53:18
Net per abuis vinkje weggehaald bij 'ken machtigingen alleen toe aan nieuw toegevoegde lokale gebruikers'
Vervolgens kan ik niet meer connecten. Ook niet na weer aanvinken!
Ik zie in de VPN server log: VPN network interface has been changes to eth0
In APP log: Server poll timeout, trying next
Wat nu :-) ?
Bericht door: Pippin op 12 februari 2016, 19:09:12
Tussen het eten koken door :-)
Probeer eens weer terug te zetten zoals het was, niet vergeten op te slaan, VPN Server in het Package Center stoppen.
DS herstarten en in het Package Center VPN Center weer starten.
Dan opnieuw proberen.
Bericht door: Handige Harry op 12 februari 2016, 19:15:22
Bericht door: Banaan99 op 12 februari 2016, 19:45:01
Bericht door: Pippin op 12 februari 2016, 19:55:58
Citaat
VPN network interface has been changes to eth0Die melding ken ik niet... Is "Synology eigen" denk ik.
Hmm... dan ben ik bang dat je overnieuw moet beginnen.
Certificaten kun je nog gebruiken uiteraard, scheelt wat werk.
Dan eerst VPN Center deinstalleren, DS herstarten, weer installeren en handleiding vanaf dat moment volgen.
Bericht door: Banaan99 op 12 februari 2016, 21:06:49
Krijg het niet weer aan de praat... Deze stappen heb ik doorlopen
Dan eerst VPN Center deinstalleren, DS herstarten, weer installeren en handleiding vanaf dat moment volgen.
- VPN deinstall
- DS restart
- openvpn.conf.user verwijderd (ander kan je de VPN IP etc niet instellen)
- VPN install
- Stap 2
- VPN stop
- Stap 3 - enkel terugplaatsen openvpn.conf.user. Lijkt mij niet nodig om de ta.key opnieuw aan te maken toch??? En -> /usr/syno/etc.defaults/rc.sysv/apparmor.sh start + exit gedaan
- VPN start
Bij connectie zelfde foutmeldingen
Bericht door: Pippin op 12 februari 2016, 21:33:57
Ok, dus de mappen van de server zijn na de herstart blijven staan, komt dan waarschijnlijk door de extra map VPNcerts, maar mag geen probleem zijn als alle rechten nog goed staan.
Apparmor was niet nodig geweest maar mag ook geen probleem zijn.
ta.key hoeft niet opnieuw gemaakt te worden.
.....
.....
openvpn.conf.user...niet aan gedacht, daar kwam je dan achter na opnieuw installeren van VPN Center.
Kun je het nog eens doen en dan eerst openvpn.conf.user verwijderen?
Dus:
VPN Center stoppen
openvpn.conf.user verwijderen
en dan weer verder maar dan zonder het apparmor deel, dat is alleen nodig als je een ta.key moet maken.
Maar dit
Citaat
VPN network interface has been changes to eth0kan ik niet thuisbrengen. Dat heeft er iets mee te maken naar mijn idee.
Bericht door: Banaan99 op 13 februari 2016, 00:12:41
De VPN app van Arne Schwabe lost idd mijn probleem op voor de connected laptop :-)
Nog 1 opmerking. In de log van de Arne Schwabe app zag ik staan -> remote/local TLS keys are out of sync (of iets dergelijks). Maar ondanks dat wel connectie. Ik heb de ta.key opnieuw geladen op mijn mobiel en nu komt de melding niet meer. De key lijkt echter gene waarde te hebben in deze config.
Mooi werk!
Bedankt weer
Bericht door: Pippin op 13 februari 2016, 00:51:57
Citaat
remote/local TLS keys are out of syncServer herstart terwijl je nog was verbonden met je telefoon?
In dat geval is het eenmalig.
De ta.key behoud zijn waarde ;-)
Maar, goed dat het nu (weer) werkt, toppie.
Bericht door: RaymondMMouthaan op 13 februari 2016, 11:08:42
Nu heb ik nog de volgende vraag ...
Is het mogelijk, nadat een client is geconnect, om deze te benaderen vanaf een andere client in het lan? Het idee er achter is om een vpn client met RDP of VNC of iets dergelijks te beheren.
Mvg,
Ray
Bericht door: Pippin op 13 februari 2016, 11:32:46
Daar doen we het voor :)
Ja, client-to-client is mogelijk.
Hoe is afhankelijk van het aantal clients....
Er zijn twee manieren, alleen client-to-client toevoegen aan de server waarbij je moet bedenken dat alle clients elkaar kunnen zien.
Dat kan onwenselijk zijn i.v.m. b.v. ransomware (denk aan Synolocker en consorten), virus, "lastige gebruikers",etc.
Als je de enige gebruiker bent of slechts 2-3 die niet continu verbonden zijn kan het een oplossing zijn.
De tweede manier is een heel stuk gecompliceerder waarbij je eerst goed op papier moet hebben wie welke routes gezet krijgen.
Daarmee kun je LAN(S) die achter clients zitten benaderbaar maken. Die optie heet client-config-dir.
Daarover vindt je meer hier: Routed LANS (https://en.wikipedia.org/wiki/Physical_Address_Extension)
Dat heb ik echter zelf nooit geprobeerd omdat die behoefte er niet is. En daarbij ben ik zeker geen netwerk specialist.
Om te begrijpen hoe dat werkt is een gedegen verstand van netwerken wel vereist.
Bericht door: RaymondMMouthaan op 13 februari 2016, 12:31:31
Voor OSX (lan machine):
Code: [Selecteer]
route -n add -net 10.8.0.0/16 192.168.1.10waarbij 10.8.0.0 het vpn netwerk is en 192.168.10 het ip adres van de NAS.Door deze route toe te voegen is de vpn client te benaderen vanaf de lan machine en kan ik een vnc connectie maken met de vpn client.
Bericht door: Pippin op 13 februari 2016, 12:41:47
Citaat
client-to-client is volgens mij om twee (of meerdere) vpn clients elkaar te laten "zien"Dat klopt en kan ook een oplossing zijn, alleen verbind je dan op het VPN-IP van de client, 10.8.0.x
Het gaat dus om 1 machine die bereikbaar moet zijn.
Dan is jouw oplossing een prima oplossing.
Bericht door: RaymondMMouthaan op 13 februari 2016, 12:47:19
Bericht door: Pippin op 13 februari 2016, 13:20:29
Ik zit niet op te letten :lol:
Onderstaande geldt voor VPN clients, niet voor LAN clients ::)
De OVPN server kan natuurlijk niet automatisch routes zetten op machines die niet met hem verbonden zijn.
Laat het toch staan want het is wel informatief :lol:
#####
Dat is precies wat de client-config-dir methode doet.
Het voordeel daarvan is, dat wanneer je meerdere gebruikers hebt, je niet op elke client machine de route hoeft te zetten.
Die worden dan gepushed door de server op het moment dat een client verbindt en die routes zijn on-the-fly te wijzigen.
Bedrijven en VPN aanbieders b.v. doen dat op die manier.
Standaard maakt OpenVPN (nog) gebruik van een net30 topologie, d.w.z. de server en elke client krijgen 4 IP`s toegewezen.
net30 gaan ze waarschijnlijk verwijderen omdat het eigenlijk obsolete geworden is.
Dan wordt het een subnet topology waarbij de server en elke client slechts één IP krijgt.
De server zit dan op 10.8.0.1 met dhcp op 10.8.0.254
Dat is dan natuurlijk makkelijker te administreren en overzichtelijker.
Daarvoor hoef je alleen
Citaat
topology subnettoe te voegen aan de server config.
push "topology subnet"
Indien je client-config-dir (ccd) wilt toepassen moet je wel in
Citaat
/volume1/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnf
Citaat
overwriteccfiles=truewijzigen in
Citaat
overwriteccfiles=falseAnders worden de client files overschreven door Radius.
Elke client file dient de CommonName van zijn certificaat te hebben
Zo wordt het eventueel mogelijk specifieke routes per client/groep te zetten.
Policy routing (https://openvpn.net/index.php/open-source/documentation/howto.html#policy)
De ccd directory, waar de client files in staan, plaats je dan in
Citaat
/var/packages/VPNCenter/etc/openvpn/ccdEn aan de server config dan nog
Citaat
client-config-dir ccdtoevoegen.
Als je bovenstaande link van Routed LANS (en eventueel Policy routing) volgt kun je zien hoe je dat moet doen, vermoed dat je daar wel uitkomt.
Bericht door: RaymondMMouthaan op 13 februari 2016, 13:44:00
Bericht door: Pippin op 13 februari 2016, 13:47:18
Zie wel even mijn Edit ;D
Bericht door: RaymondMMouthaan op 13 februari 2016, 13:48:28
Bericht door: aliazzz op 14 februari 2016, 19:49:14
Ik lees helaas de volgende meldingen in /var/log/openvpn.log;
Sun Feb 14 19:30:49 2016 us=690751 188.207.100.160:6720 ++ Certificate has key usage 0090, expects 0080
Sun Feb 14 19:30:49 2016 us=690776 188.207.100.160:6720 ++ Certificate has key usage 0090, expects 0008
Sun Feb 14 19:30:49 2016 us=690801 188.207.100.160:6720 ++ Certificate has key usage 0090, expects 0088
Uiteraard ben ik dus gaan kijken wat er met de certificaten aan de hand is;
Server crt details;
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
Client crt details;
X509v3 Key Usage:
Digital Signature, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication
Enig idee waar ik verder moet zoeken?
Alvast dank
Bericht door: Pippin op 14 februari 2016, 20:19:21
Hallo @aliazzz
Citaat
Client crt details;
X509v3 Key Usage:
Digital Signature, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication
Data Encipherment klopt niet, dient Key Agreement te zijn ;-)
Zie Stap 1 sub 4.
Citaat
Op de Key usage tab selecteren we links alleen Digital Signature en Key Agreement.
Bericht door: aliazzz op 14 februari 2016, 20:23:20
Dus opnieuw client key/crt aanmaken.
Bericht door: Pippin op 14 februari 2016, 20:25:18
Graag gedaan.
Men leest er makkelijk overheen, zeker als je al even zoekt.
Succes.
Bericht door: aliazzz op 14 februari 2016, 21:01:52
Bericht door: aliazzz op 14 februari 2016, 21:06:28
Uiteraard ook een lang password op het account, overige users mogen geen VPN verbinding opzetten.
Resultaat hiervan is dat ik naast de VPN user inloggen ook de losse apps met hun eigen specifieke user moeten inloggen.
Hoe regel jij dit @MMD?
Bericht door: Pippin op 14 februari 2016, 21:27:37
Als ik het goed begrijp... doe ik dat hetzelfde.
Verbonden via VPN betekent dan niet meteen toegang tot alles.
Bericht door: hevey op 05 maart 2016, 16:26:17
het lukt mij echter niet om een openvpn verbinding tussen twee nas-sen op te zetten.
Dus een server zoals besproken geïnstaleerd op bijvoorbeeld de DS115, en een client op bijvoorbeeld op de DS215+
Ik heb op het forum al gezocht maar geen artiekel gevonden die dit beschijft. Is het mogelijk om dit nog te beschrijven?
Bericht door: Pippin op 05 maart 2016, 16:34:22
Mooi dat het tot zover gelukt is.
Zal dat van de week proberen helder op te schrijven.
Bericht door: Babylonia op 05 maart 2016, 17:31:26
Overigens gebruik ik persoonlijk 1 speciaal VPN user account welke puur dient om de VPN brug te openen.
Uiteraard ook een lang password op het account, overige users mogen geen VPN verbinding opzetten.
Maar dat is standaard toch al in te stellen met de rechten van de gebruikers onder het menu van de VPN-server?
Als jij vind dat slechts één gebruiker een VPN-verbinding mag opzetten, geef je de andere gebruikers toch gewoon geen rechten om dat te doen?
Geef je een andere gebruiker (zijnde niet een admin) wel rechten om een VPN-verbinding op te zetten, heeft hij erna ook slechts de mogelijkheid van enkel zijn eigen share te kunnen bekijken. Tenslotte kent hij de inlog via andere accounts niet.
Bericht door: aliazzz op 05 maart 2016, 20:07:48
Je vergeet echter dat de user nog aangemaakt moet worden en in een eigen gemaakt groep moet.
Daarna moet die groep qua rechten geheel uitgekleed worden. Dus geen enkele app meer openen, nergens leesrecht, laat staan schrijfrecht. Niet onbelangrijk, dit moet je ook uitgebreid testen en verifieren. Daarna geef je alleen die user in het VPN pakket het expliciete vpn recht. Dus, erg standaard is dit niet.
Bericht door: Babylonia op 05 maart 2016, 20:50:04
Met de aanwijzingen erbij hoe dat te doen. En zoveel acties hoef je daar echt niet voor te verrichten.
Bij mij hebben gebruikers van een share alleen toegang tot die shares die hen zijn toegewezen, en niet tot andere mappen.
Bij een VPN-verbinding verandert dat niet (daar hoef ik dus ook niets aan te veranderen). Met "groepen" hoef ik helemaal niets te doen.
Alleen, zou ik tevens alleen zelf een VPN-verbinding willen maken en de andere gebruikers mogen dat niet (waarom niet? Hoe komen die dan via een "beveiligde VPN verbinding" bij hun shares?), moet ik deze afwijkende benadering) inderdaad wel instellen.
Het is wat ik onlangs nog < eerder schreef > (http://www.synology-forum.nl/firmware-algemeen/groep-everyone-heeft-geen-rechten-meer/msg184748/#msg184748):
"Eigenlijk zo min mogelijk veranderingen aanbrengen is het devies.
Standaard gaan de instellingen al gauw uit van de meest voor de hand liggende opties.
Alleen voor de "afwijkende" zaken (stel je nieuwe groepen in), en regel je daarvan afwijkend de rechten."
Dat geldt hier precies zo bij VPN.
Moet ik er wel bij zeggen dat ik de VPN-server op de Synology Router heb geïnstalleerd, en niet op een NAS.
Maar omdat het om precies hetzelfde pakket gaat, vermoed ik om die reden ook overeenkomstige instellingen.
Bericht door: aliazzz op 06 maart 2016, 14:36:10
In jouw geval, met multi-user omgeving, zou ik zeker niet de standaard vpn settings van synology toepassen.
In dat geval zou mijn keuze zijn om elke gebruiker zijn eigen gebruikerscertificaat te geven. Deze werkwijze staat ook duidelijk in het verhaal van @MMD. Zodra er ooit ellende is kan je het desbetreffende certificaat snel intrekken en eventueel een nieuwe uitgeven (zie hiervoor de goede openvpn documentatie om dit te bewerkstelligen).
Wat betreft je mening;
"Eigenlijk zo min mogelijk veranderingen aanbrengen is het devies. Standaard gaan de instellingen al gauw uit van de meest voor de hand liggende opties"
Ik sluit me daar niet bij aan.
Synology heeft danwel zijn uiterste best gedaan om een mooie schil over de openvpn server heen te maken, maar echt veilige settings bezit de default synology variant openvpn implementatie niet. In de praktijk blijkt dat software, welke "out of the box" prettig werkt, default vaak niet erg secure is. Dit heeft alles te maken de default settings, deze zijn vrijwel altijd ingesteld om een maximum aan compatibiliteit te garanderen en te voorzien in een fijne gebruiks-ervaring (lees gemak). Ik pas daarom dan ook vrijwel nooit default settings toe. Een NAS via het internet benaderbaar maken doe ik graag veilig en niet gedreven door gemakszucht.
Bericht door: Babylonia op 06 maart 2016, 16:23:01
Het is dan een keus uit iets wat te omslachtig is om er dan maar helemaal vanaf te zien om in te zetten, tegenover een optie die voor mij wel prima voldoet (zijnde gewoon de standaard methode met standaard gegeven instellingen).
En in die gevallen dat er "ellende" zou zijn met een gebruiker, is het intrekken van diens account voldoende om niet meer te kunnen inloggen door die gebruiker. Met alleen een OpenVPN certificaat maar geen geldend account om een VPN-verbinding op te zetten kan men helemaal niets.
Alleen die ene gebruiker eruit wippen, klaar.
De andere gebruikers merken er verder helemaal niets van. Daar hoef ik ook niets op aan te passen.
Bericht door: Pippin op 10 maart 2016, 22:24:26
OpenVPN: Beter beveiligen als client (http://www.synology-forum.nl/vpn-server/openvpn-beter-beveiligen-als-client/)
Bericht door: Birdy op 10 maart 2016, 22:41:17
Bericht door: FireHeart op 23 maart 2016, 10:31:04
Firstly sorry for posting in English, I have tried to find answers to my questions on this but without luck, and this thread seems the best to answer this.
I have been trying to setup OpenVPN on the NAS DS215j DSM 5.2 5644 to my Windows 7 64bit PC.
When I follow the steps at the start of this thread I complete each one, and then when I add the openvpn.conf.user the OpenVpn application has an error : VPN Server --> Management --> Overview: Status OpenVPN Status: Activation Failed
The log file (/var/log/openvpn.log) states its parameters in the openvpn.conf.user, and when I change go back to the original system openvpn.conf, the OpenVPN Status is: Enabled
Here are the details of the Openvpn.conf.user (basically the same as what has been added to the initial thread:
# This config file must be adapted to your situation
# Change only what is asked!
# A log file is written to:
log /var/log/openvpn.log
# If you have problems connecting to check the openvpn.log
# See also the log of the client
# Will not you come out there, sign up here: http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/
verb 4
################################################## ##############
# This you should take over openvpn.conf in / usr / synonym / etc / packages / VPNCenter / openvpn
# If you have acquired the IP address 192.168.168.0 in the manual which you do not need to change
server 10.8.0.0 255.255.255.0 ### IP replaced by the rule of openvpn.conf
push "route 192.168.1.130 255.255.255.0" ### IP replaced by the rule of openvpn.conf (Local LAN DS)
push "route 10.8.0.1 255.255.255.0" ### IP replaced by the rule of openvpn.conf (Dynamic IP / tunnel)
Max Clients 5 ### 5 is replaced by the number of openvpn.conf
# What it says here under does not need to be changed
################################################################
push "sndbuf 0"
push "rcvbuf 0"
sndbuf 0
rcvbuf 0
management 127.0.0.1 1195
dev tun
proto udp
port 1194
persist-tun
persist-key
cipher AES-256-CBC
tls-version-min 1.2 or-highest
remote-cert-tls client
dh /usr/syno/etc/packages/VPNCenter/VPNcerts/dh2048.pem
ca /usr/syno/etc/packages/VPNCenter/VPNcerts/ca.crt
cert /usr/syno/etc/packages/VPNCenter/VPNcerts/Internal_Server.crt
key /usr/syno/etc/packages/VPNCenter/VPNcerts/Internal_Server.key
tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0
fast-io
comp-lzo
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
status /tmp/ovpn_status_2_result 30
status-version 2
Any help will be welcome.
Thanks.
Bericht door: Pippin op 23 maart 2016, 11:53:48
Hello to you too,
Change this
Code: [Selecteer]
push "route 192.168.1.130 255.255.255.0"
push "route 10.8.0.1 255.255.255.0"toCode: [Selecteer]
push "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"Secondly, make sure you keep openvpn.conf and openvpn.conf.user in the directory.
This is needed because the script that starts OpenVPN will grep some info from openvpn.conf
That`s also the reason why we first have to make settings in the GUI as described in Step 2
Bericht door: FireHeart op 23 maart 2016, 13:23:12
I did try the IP@ change previously and it didn't make a difference.. OpenVPN still not enabled. And I have changed it back to what it should be..
But I have it working now :)
On the openvpn log file it stated: Options error: Unrecognized option or missing parameter(s) in openvpn.conf.user:22: Max (2.3.6)
So in Notepad++ line 22 was: Max Clients 5
On the original open.conf file max clients was in the format: max-clients 5
So changing the openvpn.conf.user line 22 to: max-clients 5
Restarted the OpenVPN package, and now the OpenVPN is Enabled.
Thanks for replying,
And thanks for this thread, very helpful..
Bericht door: Pippin op 23 maart 2016, 14:01:05
You`re welcome, but where did you get this from?
Code: [Selecteer]
Max Clients 5Anyway, nice it works for you too :)
Bericht door: FireHeart op 23 maart 2016, 14:35:10
I just went back to your original download file, and it was correct: max-clients 5
But I did translate the text in openvpn.conf.user to English... To check what I was doing was correct..
Then used the English openvpn.conf.user as my file.
And the translated section (including the Max Clients 5 line) had the mistake in it..
So it was my error..
Bericht door: Pippin op 23 maart 2016, 14:37:17
So it was my error..Let`s blame it on Google translate :D
Bericht door: Banaan99 op 25 maart 2016, 14:33:27
Thanks
Bericht door: Pippin op 25 maart 2016, 14:44:07
Volgens @aliazzz overleeft het een update naar DSM 6 RC, dan zal het nu ook goed gaan schat ik in.
http://www.synology-forum.nl/synology-dsm-5-1-beta/dsm-6-0-7307-rc/msg184781/#msg184781
Aanbevolen:
Stop eerst alle Packages, update en dan 1 voor 1 weer starten.
Je krijgt waarschijnlijk dan ook een update aangeboden voor VPN Center.
Bericht door: Banaan99 op 25 maart 2016, 14:52:51
Vorige posts waren in het Engels en daarop besloot een automatische in mij ook in het Engels te gaan schrijven :)
Groet
Bericht door: Pippin op 25 maart 2016, 15:18:43
De automatische piloot :)
Laat a.u.b. even weten of het gelukt is.
Bericht door: aliazzz op 25 maart 2016, 17:24:04
De aanpassing overleeft ook DSM 6 alpha hoor! Ze draait prima!
Alleen er zit een opmaak foutje in de GUI (was ook zo in DSM 6 RC), maar dit mag de pret niet drukken.
[attach=1]
Bericht door: Banaan99 op 25 maart 2016, 17:51:12
Dank
Bericht door: Pippin op 25 maart 2016, 20:06:30
@Banaan99
Mooi zo...
@aliazzz
Ticket gemaakt en screenshot gestuurd?
Doet de Connection List het nu met DSM 6?
Vermoedelijk een bugje in een binary, ben benieuwd of ze daar iets mee gedaan hebben.
Bericht door: aliazzz op 25 maart 2016, 21:05:32
Bericht door: Banaan99 op 26 maart 2016, 11:03:04
Open VPN Connect app -> de verbinding is tot 30 seconde verbindingstijd zichtbaar. Daarna niet meer.
Open VPN voor Android -> de verbinding is nooit zichtbaar.
In het logboek worden de connect en disconnect in beide gevallen wel weergegeven
Bericht door: Pippin op 26 maart 2016, 13:08:35
Dan hebben ze er waarschijnlijk niets mee gedaan.
Als ik logs wil zien gebruik ik meestal Config File Editor, WinSCP of Notepad++, net waar ik op dat moment mee bezig ben.
Elke 30 sec. wordt er naar status /tmp/ovpn_status_2_result 30 geschreven.
Je ziet dan ook elke 30 sec. deze melding in /var/log/messages/
Citaat
synovpnnet: connection.c:775 not client format
synovpnnet: connection.c:847 SepOpenvpnClientStr(CLIENT_LIST,Cliennaam,PUBLIEK-IP:port,VPN-IP,89951990,330024312,Fri Mar 25 04:32:44 2016,1458876764,Clientnaam) failed
synovpnnet: connection.c:886 ParseOpenvpnClient2DB() failed
synovpnnet: connection.c:914 SetOpenvpnClient2DB() failed
synovpnnet: connection.c:943 failed to refresh openvpn connection DB
Bij mijzelf heb ik 30 gewijzigd in 240 zodat het messages log niet zo volloopt doordat één client 24 uur verbonden is.
Bericht door: Pippin op 31 maart 2016, 19:46:51
Inmiddels is er bericht dat er gewerkt wordt aan identificatie van de server evenals tls-auth.
Hoelang dat nog duurt is onbekend.
Tevens zou het in DSM 6 nu al mogelijk moeten zijn om certificaten per App toe te wijzen.
Draai zelf nog geen DSM 6 dus weet niet of dat functioneert en waar men dat vinden kan in de WebUI.
Voelt iemand zich geroepen?
Bericht door: Pippin op 31 maart 2016, 20:07:27
Tevens zou het in DSM 6 nu al mogelijk moeten zijn om certificaten per App toe te wijzen.Ha, iets gevonden, schijnt nog niet te werken..... ::)
https://forum.synology.com/enu/viewtopic.php?f=173&t=116453
Bericht door: Alias4Fun op 09 april 2016, 09:34:30
Allereerst iedereen bedankt om zoveel tijd in dit forum te steken!!
Zonder al jullie adviezen, tips en handleidingen zou een leek als ik veel minder met de NAS kunnen doen en dat zou jammer zijn.
Inmiddels al paar pogingen gedaan om OpenVPN werkend te krijgen met iPhone.
Vorig weekend net niet af kunnen ronden, maar wel allerlei poorten opengezet dus de DSM Security Advisor even alles laten checken zodat ik toch het gevoel heb dat de NAS beveiligd is. (Ik hoop dat ik daar vanuit mag gaan).
Advisor gaf melding op o.a. de SSH poort 22. Was niet veilig of een risico o.i.d.
Ga dit weekend alle stappen opnieuw doorlopen, maar heb de volgende vragen (om evt. gelijk aan te passen).
Kan ik voor SSH ook een willekeurige andere poort opgeven of moet dit poort 22 zijn?
Dan neem ik gelijk overal mijn gekozen poornr. mee en hoef ik dat niet achteraf overnieuw te doen.
En dit geldt ook voor de DSM poorten http 5000 en https 5001
De security advisor geeft aan hier willekeurige andere poortnummers aan toe te wijzen.
Dat heb ik vorig jaar, toen alles net nieuw binnen was, als één vd eerste dingen gedaan en daar heb ik dus met openvpn niet bij stilgestaan en flink mee zitten tobben.
Ik zou graag de willenkeurige poortnummers voor http en https die ik nu heb blijven gebruiken, maar levert dat geen probleem op met openvpn?
Uiteraard zal ik betreffende poortnummers ook meenemen bij instellingen waar nodig in deze voortreffelijke handleiding.
Of levert dit zoveel problemen op dat ik ze toch beter op http 5000 en https 5001 terug kan zetten?
Alvast bedankt voor jullie advies. :P
Bericht door: Babylonia op 09 april 2016, 09:51:33
Gebruik je die mogelijkheid niet, is er geen reden die poort in je router door te sturen.
Als je OpenVPN gebruikt gaat alles via de poort van de VPN (standaard poort 1194).
Als je die altijd van buitenaf gaat gebruiken, hoef je poort 5000/5001 evenmin in de router door te sturen.
Andere gebruikers "zonder VPN" kunnen je NAS dan sowieso in het geheel niet van buitenaf benaderen.
Bericht door: Alias4Fun op 09 april 2016, 11:56:21
Nog 1 puntje m.b.t. die poort 22.
FTP gebruik ik (nog) niet, maar heb ik die nodig voor PuTTY c.q. WinSCP?
Om daarmee de stappen uit de handleiding (PuTTY / WinSCP) van Birdy te kunnen uitvoeren?
En is het zo dat als ik SSH poort 22 in DSM aanzet, die alleen vanuit mijn eigen netwerk bereikbaar is?
Of is van buitenaf die poort dan ook te benaderen (dus ook evt. door mensen met minder goede bedoelingen)?
[ FTP was toch iets om een website te uploaden? Of ben ik nu het spoor bijster? ]
Alvast bedankt.
Bericht door: Babylonia op 09 april 2016, 12:08:16
Het lijkt me niet dat je van buiten uit op dat niveau met je NAS bezig wilt zijn. Dat is meer iets voor als je thuis bent.
Binnen je thuisnetwerk heb je geen port forwarders nodig. Daar ga je rechtstreeks naar het IP van de NAS en vult dat hooguit aan met de poort van de service die je nodig hebt.
Met VPN heb je verbinding "alsof je in je thuisnetwerk zit".
Dus wil je eventueel alsnog met PuTTY c.q. WinSCP aan de gang zou dat via VPN op afstand in principe ook nog kunnen,
zonder extra port forwaders, alleen die van OpenVPN zelf (poort 1194)
Bericht door: Pippin op 09 april 2016, 12:18:56
@Mod Misschien kan dit verplaatst worden :?:
Citaat
SSH poort 22 is alleen voor FTP om van buitenaf te kunnen benaderen.Tikvoutje denk ik...
SSH en SFTP en SCP protocol = standaard TCP poort 22
FTP protocol = standaard TCP poort 21
Bericht door: Kevin-- op 24 april 2016, 16:50:49
ik ben ook aan de slag gegaan met mijn synology (DS3615xs) maar het wil me echt niet lukken om alles werkend te krijgen.
inmiddels ben ik op het punt aanbeland dat ik de moed om het zelf op te lossen ben kwijtgeraakt.
het is me gelukt om in ieder geval een verbinding met mijn telefoon naar mijn openVPN server te krijgen, maar daar is dan ook alles mee gezegd. soms lukt het om heel snel 1 webpagina te laden maar dan lijkt het alsof de verbinding tussen mijn telefoon (via 4G) en mijn nas (lokaal in mijn netwerk) eruit geknikkerd wordt.
ook in de verbindinglijst van de openVPN server kan ik zien dat de verbinding maximaal 5 tot 10 seconde lijkt te duren voordat de verbinding uit de lijst wordt gehaald.
ik heb alle stappen meermaals doorlopen en goed opgelet of ik alles goed geconfigureerd heb en dat lijkt het geval. zouden jullie mij hiermee kunnen helpen? als jullie iets van mij nodig hebben als mijn config files of iets dergelijks dan hoor ik dat graag!
alvast heel erg bedankt,
Kevin
Bericht door: Handige Harry op 24 april 2016, 16:53:29
Dan moet je je 'spaarstand ' uitschakelen op je mobiel.
Zie link :
http://www.synology-forum.nl/index.php?topic=27449.0
Bericht door: Alias4Fun op 24 april 2016, 21:39:00
Ik ben ook verschillende weekenden aan het puzzelen geweest en had dit weekend ook de moed opgegeven.
Ben verschillende keren helemaal opnieuw begonnen en alle stappen opnieuw uitgevoerd maar niets werkte.
Dus nu wat rigoreus te werk gegaan en heb VPN server van de Nas verwijderd en vervolgens opnieuw geïnstalleerd.
Het was mijn bedoeling om het IP adres opnieuw in te stellen, want dat kon ik niet wijzigen.
Met opnieuw installeren kon ik nog steeds het IP adres niet aanpassen? Maar zag wel dat ik voorheen in IP 192.168.x.x zat en nu 10.0.x.x. heb.
Verder nergens iets veranderd maar.... nu werkt het prima!
Ik vermoed dat ik in het begin ben gestart met de installatie van VPN Server en die met de DSM handleiding heb ingesteld. Toen dat niet werkte allerlei handleidingen gevolgd en zaken opnieuw ingesteld behalve VPN Server op de nas. Nu na herinstallatie werkt het wel dus denk dat daar bij mij het probleem in zat.
Ik wil zeker niemand adviseren om ook VPN Server te verwijderen en opnieuw te installeren, maar dat bleek voor mijn situatie wel de oplossing.
Wellicht dat er mensen in dit forum zijn die aan de hand van mijn ervaring jou en anderen weer verder kunnen helpen. Ik kan het niet verklaren maar ben erg blij dat het bij mij nu werkt.
Dus geef de moed niet op. Ik ben benieuwd naar reacties op dit bericht want wil zelf ook graag begrijpen hoe en wat.
De security check op de NAS geeft aan dat alles in orde is dus probleem heeft m.i. in VPN server op nas gezeten.
Succes!!!
Bericht door: Babylonia op 25 april 2016, 03:20:57
In je uitleg, lijk je te refereren naar de basis-eisen waarop een VPN verbinding moet voldoen, namelijk
De drie subnetten mogen niet in elkaars bereik liggen.
IP/routeer conflicten voorkomen.
We hebben te maken met drie IP bereiken:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel adres)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Deze drie mogen niet in hetzelfde bereik zitten.
Geregeld door @MMD aangehaald, zoals o.a. < HIER (http://www.synology-forum.nl/vpn-server/geen-lokaal-ip-adres-na-verbinding-met-open-vpn/msg188836/#msg188836)>
Het is echter maar zeer de vraag of de problemen van @Kevin-- daar mee te maken zouden hebben. Realiseer je dat deze draad specifiek gaat over een persoonlijk afwijkende OpenVPN configuratie om de verbinding nog meer veiligheid te geven dan standaard al gebeurt.
Zie de aanwijzingen in de allereerste reactie van deze draad. (http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn)
Het is daarbij overigens de vraag of de standaard OpenVPN methode gevoelig zou zijn voor Man In The Middle attacks (https://nl.wikipedia.org/wiki/Man-in-the-middle-aanval)? De discussie of onderbouwing komt verder niet aan de orde in deze draad. Het is alleen een persoonlijke opvatting, waarin je in mee kunt gaan of niet.
Zonder een oordeel te geven in de effectiviteit van die afwijkende configuratie. Als het erom gaat om OpenVPN de allereerste keer in te stellen, zou ik willen adviseren niet meteen te starten met deze afwijkende configuratie, wat voor de meeste "VPN-leken" veel te complex is, om daar mee te beginnen, maar te starten met de "basis-configuratie" van OpenVPN. Pas als je daar ervaring mee hebt opgedaan, en er een tijdje mee hebt gewerkt, en de principes ervan begrijpt, kun je overwegen die afwijkende methode die door @MMD in deze draad wordt gepropageerd te gaan toepassen. Besef dat het een persoonlijke keuze is die je voor jezelf moet afwegen, of je dat de moeite waard vindt.
Het is geen "verplichting" die afwijkende configuratie te gebruiken om OpenVPN als connectie werkend te krijgen.
Bericht door: blbean op 27 april 2016, 01:06:02
Bericht door: Birdy op 27 april 2016, 10:05:27
Bericht door: blbean op 27 april 2016, 17:15:36
Bericht door: Pippin op 27 april 2016, 18:41:24
En fijn dat het/nog weer werkt. 8)
Bericht door: PatrickMarq op 03 mei 2016, 10:57:32
Tevens kan je indien er verschillende lan's / IP ranges zijn deze ook nog verder beveiligen, en het is ook mogelijk om elke client een vast IP adres te geven, dat je ook nog zou kunnen gebruiken in een firewall.
Je gebruikt de CCD opties in de openvpn server config file
client-config-dir ccd
Hierna moet je een file aanmaken met exact dezelfde naam als de commonname die gebruikt is in je certificaat en voeg je de IP range toe die deze client mag gebruiken
iroute 192.168.4.0 255.255.255.0
Het IP adres voor de client
ifconfig-push 10.8.2.5 10.8.2.6
Bericht door: Pippin op 03 mei 2016, 13:58:14
Je kan nog één stapje verder gaan op je openVPN te beveiligen, het idee hierachter is als iemand nu je certificaat te pakken krijgt kan hij inloggen.Hij zal ook nog op DSM of actieve services/packages moeten inloggen en krijgt vervolgens de rechten van de gebruiker waarmee hij inlogt. Zie niet zo goed wat de extra beveiliging dan is?
Citaat
In onderstaand voorbeeld zou een 'hacker' die je certificaat heeft een VPN tunnel kunnen opbouwen maar kan dan verder niets doen.Zie bovenstaande, ligt eraan welke rechten de gecompromitteerde gebruiker heeft..... of ik begrijp het verkeerd.
Citaat
Je gebruikt de CCD opties in de openvpn server config fileDat is mogelijk op de NAS , ik doe dat namelijk zelf ook zo.
client-config-dir ccd
Hierna moet je een file aanmaken met exact dezelfde naam als de commonname die gebruikt is in je certificaat en voeg je de IP range toe die deze client mag gebruiken
iroute 192.168.4.0 255.255.255.0
Het IP adres voor de client
ifconfig-push 10.8.2.5 10.8.2.6
Het is echter niet zo eenvoudig als je hier schrijft, er moet wat meer gebeuren om dat op de NAS werkend te krijgen.
We hebben het over een Synology NAS en om nog het veiliger te maken zou men kunnen doen wat ik tegenwoordig doe.
Voor wat betreft de certificaten doe ik in grote lijnen wat in de handleiding beschreven staat (zie onderaan) maar voor de toegang van gebruikers tot OpenVPN heb ik het anders gedaan. Ik heb niet meer per gebruiker het recht op OpenVPN ingesteld maar werk met een "globale OpenVPN gebruiker".
Dat "truukje" kun je dus al zo toepassen, zonder deze handleiding, en verhoogt de veiligheid aanzienlijk.
Eigenlijk heel simpel:
1. Geef geen enkele "normale" gebruiker het recht op OpenVPN.
2. Maak één gebruiker aan en ontneem deze alle rechten in DSM en packages behalve OpenVPN.
3. Geef alle gebruikers de inlog gegevens van de OpenVPN gebruiker.
Deze OpenVPN gebruiker dient dus slechts om een verbinding op te bouwen.
Nadat de verbinding opgebouwd is kan elke gebruiker op de NAS inloggen met zijn eigen inlog gegevens en krijgt vervolgens de rechten zoals deze die heeft in DSM.
Dat betekent dus dat als de OpenVPN gebruiker gecompromitteerd raakt hij nog steeds niets kan want hij zal ook nog de inlog gegevens van een "normale" gebruiker moeten hebben.
Als je veel gebruikers hebt kun je dus een policy bedenken en met twee of meer OpenVPN gebruikers werken.
Het voordeel wordt in dat geval, dat als een betreffend OpenVPN account gecompromitteerd raakt je niet alle gebruikers nieuwe gegevens hoeft te verschaffen.
Een tweede voordeel is dat je niet veel certificaten hoeft te maken/onderhouden.
Ik heb zelf slechts drie actieve en twee passieve gebruikers dus ik heb nog maar twee certificaten.
Met actief bedoel ik dat ze zich verplaatsen en passieve zijn apparaten die 24/7 eraan hangen.
Citaat
Voor wat betreft de certificaten doe ik in grote lijnen wat in de handleiding beschreven staatAls verheldering hierop:
Ik heb twee CA`s gemaakt, één voor de server en één voor de clients.
Dit als een extra verdediging tegen een Man In The Middle attack.
Overkill? Misschien ja, het is ook gewoon leuk om mee te spelen ;D
Bericht door: Pippin op 07 mei 2016, 17:09:14
Nieuwe versie van 2.3.10:
Citaat
New OpenVPN Windows installers have been released.
The I003 and I604 installers bundle OpenSSL 1.0.1t which fixes some security vulnerabilities.
The I604 installers also bundle a new tap-windows6 driver (9.21.2) which has dual authenticode signatures (SHA1/SHA2) for the best possible compatibility across Windows versions (Vista -> Windows 10).
In addition, the 9.21.2 driver fixes a security vulnerability which, however, required local admin rights to be exploitable.
OpenVPN-GUI has also seen minor changes.
Download (https://openvpn.net/index.php/open-source/downloads.html)
Bericht door: Pippin op 07 mei 2016, 17:48:52
Om DNS leaks in Windows 8 en hoger tegen te gaan heb ik een nieuwe aangepaste openvpn-client.zip geplaatst.
Deze twee instellingen zijn toegevoegd,
Code: [Selecteer]
block-outside-dns
register-dnsen hebben verder geen invloed op andere besturingssystemen.Bericht door: Pippin op 10 mei 2016, 21:33:25
Wederom een nieuwe versie 2.3.11:
Download (https://openvpn.net/index.php/open-source/downloads.html)
Citaat
Gert Doering (1):
Preparing for release v2.3.11 (ChangeLog, version.m4)
James Yonan (1):
Fixed port-share bug with DoS potential
Jens Neuhalfen (2):
Make intent of utun device name validation clear
Fix buffer overflow by user supplied data
Leonardo Basilio (1):
Correctly report TCP connection timeout on windows.
Lev Stipakov (1):
Report Windows bitness
Michael McConville (1):
Fix undefined signed shift overflow
Niels Ole Salscheider (1):
Fix build with libressl
Samuli Seppänen (1):
Improve LZO, PAM and OpenSSL documentation
Selva Nair (2):
Ensure input read using systemd-ask-password is null terminated
Support reading the challenge-response from console
Steffan Karger (10):
openssl: improve logging
polarssl: improve logging
Update manpage: OpenSSL might also need /dev/urandom inside chroot
socks.c: fix check on get_user_pass() return value(s)
Fix OCSP_check.sh
hardening: add safe FD_SET() wrapper openvpn_fd_set()
Fix memory leak in argv_extract_cmd_name()
Replace MSG_TEST() macro for static inline msg_test()
Restrict default TLS cipher list
Various Changes.rst fixes
ValdikSS (3):
Clarify mssfix documentation
Clarify --block-outside-dns documentation
Update --block-outside-dns to work on Windows Vista
Bericht door: Edgarfcm op 23 juni 2016, 10:49:12
Super bedankt voor deze complete handleiding die de verbinding nog veiliger maakt. :)
Bericht door: Pippin op 23 juni 2016, 15:25:26
En ook bedankt voor de melding :thumbup:
Bericht door: TopGear_1542 op 29 juli 2016, 20:54:56
Bij mij werkt het geweldig. Een niet onbelangrijk punt. Zodra ik verbinding heb, heb ik geen internet? Ook kan ik apparaten op mijn LAN niet benaderen. Terwijl ik de functie "clients toegang geven tot LAN" wel aangevinkt heb.
Ik gebruik IOS i.c.m. DS215J met DSM 6.0.1-7393 Update 2.
Wat kan de oorzaak zijn?
Bericht door: Birdy op 29 juli 2016, 21:11:56
Wat is b.v. het adres van je NAS ?
Wat is de range van je DHCP ?
Bericht door: TopGear_1542 op 29 juli 2016, 21:17:59
Bericht door: Birdy op 29 juli 2016, 21:20:39
Pak een adres buiten je DHCP range en zorg ervoor dat je +5 (max aantal verbindingen) kunt uitgeven vanuit de VPN Server.
Bericht door: Birdy op 29 juli 2016, 21:29:17
Bericht door: Pippin op 29 juli 2016, 22:00:36
Graag gedaan :)
Mogelijke oorzaken:
1.
Zorg ervoor dat de volgende drie subnetten niet conflicteren:
1e. LAN 192.168.193.0/24
2e. Tunnel 192.168.168.0/24
3e. Dit subnet heb je geen invloed op, dat is het subnet van waaruit je verbind met je iOS, dat leid automatisch naar 2.
2.
3e heeft dan tot gevolg dat je niet vanuit je LAN kunt verbinden want dan voldoe je niet meer aan die drie regels.
Gebruik je telefoon, schakel WiFi uit, dan via 3/4G verbinden.
Er kunnen meer oorzaken zijn maar wat betreft de NAS zou het goed moeten zijn.
Op DSM 6 weet ik niet of je iets in de Firewall moet doen want DSM 6 draai ik niet.
Apple producten heb ik niet maar over het algemeen lees ik dat daar de meeste probleempjes mee zijn als het over OpenVPN gaat.
Oorzaak is mijn inziens dat ze graag afwijken van wat hoort te zijn i.g.v. OpenVPN ;)
B.v. door instellingen die in de *.ovpn staan te negeren.....
Staat er iets in het log van de OpenVPN app in iOS?
Bericht door: TopGear_1542 op 29 juli 2016, 22:40:42
In openvpn.conf staan onderstaande adressen:
Citaat
push "route 192.168.193.0 255.255.255.0"
push "route 192.168.168.0 255.255.255.0"
dev tun
management 127.0.0.1 1195
server 192.168.168.0 255.255.255.0
en
Citaat
max-clients 5
In openvpn.conf.user staan volgende adressen:
Citaat
server 192.168.168.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf
push "route 192.168.193.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)
push "route 192.168.168.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)
max-clients 5 ### 5 vervangen door het nummer uit openvpn.conf
In OpenVPN op IOS krijg ik IP-adres 192.168.168.6 toegewezen. Ik heb geen vast IP adres anders dan voor mijn NAS ingesteld.
Toch geen internetverbinding. Haal ik IP 1,2 en 3 zoals je die aangeeft nu door elkaar?
Het log geeft geen foutmeldingen of andere nuttige informatie. Overigens gebruik ik wel inline certificaten. Maar ik zie niet hoe dat van invloed kan zijn.
Bericht door: Pippin op 29 juli 2016, 23:00:10
Als er iets met de certificaten mis is op welke manier dan ook krijg je überhaupt geen verbinding, dat is het dus niet.
De subnetten is ook niets mis mee.
Je verbindt wel vanuit 3/4G toch? Met WiFi uit?
Aan de server zijde lijkt dus alles in orde.
Als je een Android hebt probeer het daar eens mee.
Of als je een PC of Laptop hebt, installeer dan daar OpenVPN op.
Zet dan de hotspot aan op je iOS.
Verbindt vervolgens naar de iOS hotspot met je PC/Laptop en dan naar je VPN.
Als dat wel lukt zit het hem ergens in iOS.
Bericht door: TopGear_1542 op 29 juli 2016, 23:05:40
Ik zal eens verder zoeken op internet naar deze problemen.
Heb inderdaad nog wel een Android toestel. Zal als ik in de gelegenheid ben even verder proberen.
Bedankt voor het meedenken! Als ik nog iets vind of er is een oplossing laat ik het uiteraard weten.
Bericht door: TopGear_1542 op 30 juli 2016, 10:05:44
Bericht door: Pippin op 30 juli 2016, 10:26:52
Wat mij nu opvalt is het tunnel IP, 192.168.168.6, dat je krijgt uitgedeeld van de server.
Dat hoeft geen probleem te zijn maar dat lijkt op "topology net30".
Deze handleiding gebruikt echter topology subnet.
Staat er in de server config "topology subnet" ?
Bericht door: Pippin op 30 juli 2016, 10:33:24
Bij de laatste wijziging die ik aan het server bestand heb gedaan ben ik vergeten "topology subnet" toe te voegen.
Zal nu een nieuwe plaatsen.
@TopGear_1542
Je hoeft alleen
Code: [Selecteer]
topology subnettoe te voegen aan de server config, mogelijk is dat de oorzaak.Bericht door: TopGear_1542 op 30 juli 2016, 13:44:37
Ik heb "topology subnet" toegevoegd. Vervolgens het pakket gestopt en gestart. Helaas zonder resultaat.
Hoe dan ook, wederom bedankt voor het meedenken! :thumbup:
Daarna heb ik de optie "redirect gateway def1" uitgeschakeld door er "# redirect gateway def1" van te maken. Direct internetverbinding!
Als ik naar whatismyip.com ga zie ik echter niet het extern IP adres van mijn serverlocatie, maar het IP adres van mijn 4G provider. Logisch natuurlijk, maar deze wil ik wel graag zien. Wat kan er mis gaan in combinatie met "redirect gateway def1"?
Bovendien heb ik geen toegang tot IP adressen op het LAN.
Bericht door: Pippin op 30 juli 2016, 15:23:31
Dit soort dingen komt telkens weer voor en vaak is onduidelijk waardoor het komt.
Wanneer redirect gateway niet werkt:
1. Wordt er geen route gezet op de client die naar het LAN wijst.
2. Het tunnel subnet is niet ge-NAT op de server.
3. ipforwarding is niet aktief.
2 en 3 zorgt de VPN Server voor als je "client toegang geven tot het LAN" aangevinkt hebt, herstart is dan nodig.
Heb echter nog nooit ergens gelezen dat een DS dat niet deed.
Voor 1. zou ik nu Android/Windows proberen.
Bericht door: TopGear_1542 op 31 juli 2016, 22:41:51
Ook heb ik het pakket op beide NASsen (zelfde versie van DSM) geprobeerd. Beide geven geen resultaat.
Citaat
1. Wordt er geen route gezet op de client die naar het LAN wijst.
Mijn kennis en kunde reiken helaas niet zover dat ik bovenstaande aan de praat krijg. Kan je / iemand mij hier nog bij helpen?
Lees het e.e.a. over configuratie van de IPTABLES, POSTROUTING en IFCONFIG, maar ook dat gaat mijn kennis te boven.
Bericht door: Pippin op 01 augustus 2016, 01:35:49
Met iptables hoeft je je eigenlijk ook niet bezig te houden want dat behoort VPN Server zelf te regelen.
Controleren kan eventueel wel maar moet eigenlijk niet nodig zijn, heb ook nog nooit ergens gelezen dat dit een probleem was/is.
Citaat
Kan je / iemand mij hier nog bij helpen?Jawel hoor, het werkt dus ook niet met een standaard configuratie...
Zodra je verbinding hebt probeer je dan b.v. www.google.nl ?
Naar het LAN probeer je dan een IP of DNS van een apparaat?
Welke DNS heb je ingevuld bij
Code: [Selecteer]
dhcp-option DNS x.x.x.x
in de client config?Probeer daar eens de DNS van Google, 8.8.8.8
Of als je daar niets invult, # ervoor, dan wordt de DNS gebruikt die je provider je toewijst.
Als dat niet helpt dan met een standaard inrichting en "Clients toegang geven LAN" aangevinkt, op de server in openvpn.conf
Code: [Selecteer]
verb 4
/var/log/openvpn.logtoevoegen en dan OpenVPN her/starten.Opnieuw config voor de client exporteren.
In de client config, openvpn.ovpn voeg je nog extra
Code: [Selecteer]
verb 4
dhcp-option DNS 8.8.8.8toe.Installeer vervolgens een App op Android waarmee je kunt pingen, b.v. Fing. (makkelijker is eigenlijk een PC als client)
Dan verbinden met VPN en ping met Fing :)
Code: [Selecteer]
192.168.168.1
192.168.193.1 (hier ga ik ervan uit dat dit je gateway van de NAS is, pas dus aan indien nodig)
192.168.193.x (IP van NAS)
192.168.193.xx (IP van ander apparaat waarvan je zeker weet dat die antwoord op ping)
8.8.8.8
216.58.212.142
www.google.nlPing resultaten dan hier plaatsen.Verbinding verbreken en dan tevens beide logs hier plaatsen/aanhangen.
Haal dan wel even uit het client log je openbare IP, DDNS en evt. andere privé gegevens weg.
Bericht door: TopGear_1542 op 02 augustus 2016, 22:48:36
Heb ook onderstaande toegevoegd aan client config. Geen succes :-(
Citaat
verb 4
dhcp-option DNS 8.8.8.8
Bericht door: Pippin op 03 augustus 2016, 00:18:46
Mis de gevraagde logs van de server en client.....
Maar ik denk dat het tijd is met een schone lei te beginnen van een standaard installatie.
VPN Server verwijderen, NAS herstarten en dan hetzelfde voor OpenVPN client op Windows.
En niet vergeten op Windows, OpenVPN te starten als Admin.
Bericht door: TopGear_1542 op 03 augustus 2016, 23:07:42
- Client toegang geven tot LAN aangevinkt
- Redirect-gateway def1 zonder # ervoor in openvpn.ovpn
Op beide NASsen direct VPN verbinding, maar geen toegang tot internet.
Eerlijk gezegd ben ik even kwijt waar ik nog kan zoeken.
Zijn logs zinvol als het volgens mij niet in de VPNserver zit, maar ergens in mijn netwerk?
De Help doet het wel. Daarmee moet de NAS in de basis toch een internetconnectie hebben.
Bericht door: Birdy op 03 augustus 2016, 23:20:58
Bericht door: Pippin op 04 augustus 2016, 00:25:44
En op command line van Windows client:
Code: [Selecteer]
route printnadat het IP toegewezen is/verbinding volledig tot stand gekomen is om te controleren of de routes gezet worden maar vaak is het log van de client daar al voldoende voor.Meer info kan sneller tot een oplossing leiden.
Ook is nog niet echt duidelijk hoe het met de firewall regels is.
In DSM 6 is daar het één en ander gewijzigd als ik het goed begrepen heb.
Die draai ik echter niet, daar zou een ander misschien meer over kunnen zeggen.
Code: [Selecteer]
C:\Users\Gebruiker>ping 10.8.0.1
Pinging 10.8.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.Deze ping ^^^ is naar het tunnel IP van de server.Maak eens een regel aan voor 10.8.0.0 255.255.255.0 (of 10.8.0.0/24) allow to any in de firewall.
Dat zou echter automatisch moeten gebeuren voor zover ik weet.
Bericht door: GravityRZ op 21 augustus 2016, 12:29:00
ik ben welgeteld 2 dagen bezig geweest om de vpn aan de praat te krijgen.
standaard vpn werkte gelijk.
daarna de iets betere implementatie gedaan vanuit deze link
https://docs.openvpn.net/docs/openvpn-connect/openvpn-connect-ios-faq.html
met name voor de iphone worden de certificaten dan mooi zichtbaar in openvpn.
ik had echter(bij gebrek aan kennis) de server certificaten van de synology als client certificaat in client.p12 gezet.
het werkte goed maar ik weer niet of dit ook secure was.
nu deze handleiding gevolgd waarbij ik moet zeggen dat hij niet helemaal idiot proof is.
met name het laten staan van de standaard openvpn.conf is niet duidelijk beschreven.
ook certificaten met hoofdletters is niet slim(voor de iphone).
winscp had ik moeite mee omdat ik er wel in kwam maar niet als root.
bleek dat ik ales al dichtgetimmerd had op dit vlak
even bij ssh mijn key ingevoegd en voila inloggen zonder pasword maar met certificaat
ik heb echter nog 2 vragen
in de oude situatie had ik een certificaat synology staan in zowel
op de iphone onder iphone
instellingen/algemeen/profiel
synology trusted
in OpenVPN app op iphone
standaard profile
synology trusted
nu staat er
op de iphone onder iphone
instellingen/algemeen/profiel
Ronald niet gecontroleerd
in OpenVPN app op iphone
standaard profile
Helemaal geen certificaat meer
is er nog wat te doen aan dat "niet gecontroleerd" of is dit altijd zo als je zelf certificaten aanmaakt.
hierbij een stukje log
super handleiding.. thanks
2016-08-21 11:51:17 VERIFY OK: depth=1
cert. version : 3
serial number : 01
issuer name : CN=CA
subject name : CN=CA
issued on : 2016-08-20 14:43:00
expires on : 2026-08-20 14:43:00
signed using : RSA with SHA-256
RSA key size : 2048 bits
basic constraints : CA=true
cert. type : SSL CA, Email CA, Object Signing CA
key usage : Key Cert Sign, CRL Sign
2016-08-21 11:51:17 VERIFY OK: depth=0
cert. version : 3
serial number : 02
issuer name : CN=CA
subject name : CN=Server
issued on : 2016-08-20 14:47:00
expires on : 2021-08-20 14:47:00
signed using : RSA with SHA-256
RSA key size : 2048 bits
basic constraints : CA=false
key usage : Digital Signature, Key Encipherment
ext key usage : TLS Web Server Authentication
2016-08-21 11:51:18 SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
2016-08-21 11:51:18 Session is ACTIVE
2016-08-21 11:51:18 EVENT: GET_CONFIG
2016-08-21 11:51:18 Sending PUSH_REQUEST to server...
2016-08-21 11:51:19 OPTIONS:
0 [redirect-gateway] [def1]
1 [route] [192.168.1.0] [255.255.255.0]
2 [route] [10.8.0.0] [255.255.255.0]
3 [sndbuf]
4 [rcvbuf]
5 [route] [10.8.0.1]
6 [topology] [net30]
7 [ping] [10]
8 [ping-restart] [60]
9 [ifconfig] [10.8.0.6] [10.8.0.5]
2016-08-21 11:51:19 PROTOCOL OPTIONS:
cipher: AES-256-CBC
digest: SHA1
compress: LZO
peer ID: -1
2016-08-21 11:51:19 EVENT: ASSIGN_IP
2016-08-21 11:51:19 Google DNS fallback enabled
2016-08-21 11:51:19 TunPersist: saving tun context:
Bericht door: Pippin op 21 augustus 2016, 16:00:17
ik ben welgeteld 2 dagen bezig geweest om de vpn aan de praat te krijgen.Dat gaat nu sneller denk ik :)
Citaat
nu deze handleiding gevolgd waarbij ik moet zeggen dat hij niet helemaal idiot proof is.Er staat ook niet beschreven dat die verwijderd moet worden ;)
met name het laten staan van de standaard openvpn.conf is niet duidelijk beschreven.
Als die mist dan start de server niet want één van de "start" scripts kijkt of die aanwezig is.
Citaat
ook certificaten met hoofdletters is niet slim(voor de iphone).Zou kunnen, heb geen ervaring met Apple.
Dan alle bestanden kleine letters maken, ook in de config de paden dan aanpassen.
Citaat
ik heb echter nog 2 vragenVolgens mij worden voor Apple inline certificaten aangeraden.
....
..
.
Anders zal iemand die het werkend heeft met een iPhone even moeten reageren.
Bericht door: GravityRZ op 21 augustus 2016, 16:19:26
als ik nu iets moet veranderen dan is het met 5 minuten gebeurd.
Nog even een compliment over het opzetten in een andere directory(VPNcerts)
als je het niet snapt denk je Moeilijk!!!!!!!
als je het wel snapt is het echter super makkelijk.
het enige wat ik nu zou hoeven te doen is
het stoppen van het pakket
verwijderen van openvpn.conf.user
starten van pakket en alles draait weer zoals vroeger(client natuurlijk wel weer opnieuw inrichten)
ja dat apple is apart.
methode 1 is om alles in de openvpn.ovpn te zetten
alle certificaten onder hun eigen noemer
<ca>
inhoud ca certificaat
.....
.....
</ca>
daarna openvpn.ovpn en ca.crt sturen naar je iphone middels itunes.
mooiere methode is echter om alle certificaten in een client.p12 document te zetten en dit te emailen naar je telefoon.
als je de attachment aan tikt dan gaat hij alle certificaten op je iphone installeren.
daarna kale openvpn.ovpn met alleen ca.crt naar iphone sturen.(DUS ALLE REFERENTIES NAAR DE REST VAN DE CERTIFICATEN VERWIJDEREN. ALLEEN REFERENTIE NAA CA.CRT LATEN STAAN)
doordat je de referenties uit openvpn.ovpn weghaalt zet de openvp app nu een extra certificaat entry onder je verbinding die je kunt kiezen
op deze manier kreeg ik dat mooie client certificaat te zien in openvpn.
Update:
na installatie client certificaat op iphone werkt alles dus maar het certificaat zegt "niet gecontrolleerd"
het lijkt er op dat het CA certificaat niet vanuit client.p12 wordt meegenomen.
vervolgens emailtje gestuurd met daarin ca.crt
die aanklikken zodat deze wordt geïnstalleerd
daarna zijn beide certificaten Trusted en groen
ik heb onder profielen nu 2 certificaten staan
CA
Client
check even of dit bij jou ook zo is of dat jij wel een certificaat ziet in openvpn
Bericht door: Pippin op 23 augustus 2016, 17:49:09
OpenVPN 2.3.12 (https://openvpn.net/index.php/open-source/downloads.html)
Release notes:
Citaat
Arne Schwabe (2):
Complete push-peer-info documentation and allow IV_PLAT_VER for other platforms than Windows if the client UI supplies it.
Move ASSERT so external-key with OpenSSL works again
David Sommerseth (5):
Only build and run cmocka unit tests if its submodule is initialized
Another fix related to unit test framework
Remove NOP function and callers
Revert "Drop recursively routed packets"
Preparing release of v2.3.12
Dorian Harmans (1):
Add CHACHA20-POLY1305 ciphersuite IANA name translations.
Ivo Manca (1):
Plug memory leak in mbedTLS backend
Jeffrey Cutter (1):
Update contrib/pull-resolv-conf/client.up for no DOMAIN
Jens Neuhalfen (2):
Add unit testing support via cmocka
Add a test for auth-pam searchandreplace
Josh Cepek (1):
Push an IPv6 CIDR mask used by the server, not the pool's size
Leon Klingele (1):
Add link to bug tracker
Lev Stipakov (1):
Drop recursively routed packets
Samuli Seppänen (2):
Update CONTRIBUTING.rst to allow GitHub PRs for code review purposes
Clarify the fact that build instructions in README are for release tarballs
Selva Nair (4):
Make error non-fatal while deleting address using netsh
Make block-outside-dns work with persist-tun
Ignore SIGUSR1/SIGHUP during exit notification
Promptly close the netcmd_semaphore handle after use
Steffan Karger (4):
Fix polarssl / mbedtls builds
Don't limit max incoming message size based on c2->frame
Fix '--cipher none --cipher' crash
Discourage using 64-bit block ciphers
Bericht door: Pippin op 23 augustus 2016, 17:50:42
Citaat
check even of dit bij jou ook zo is of dat jij wel een certificaat ziet in openvpn
Apple producten heb ik niet.......
Misschien is iemand anders bereid daar eens naar te kijken.
Bericht door: GravityRZ op 23 augustus 2016, 18:26:08
ik zie bv dat er nu geen tls-cipher gebruikt wordt in de config files
middels dit commando zijn de beschikbare ciphers voor tls te zien
openvpn --show-tls
zover ik weet support de huidige openvpn geen ECDHE ciphers.
als ik echter een andere cipher probeer die wel zou moeten werken dan werkt de verbinding nog steeds niet.
moet dit toevallig in zowel de openvpn.conf.user als de openvpn.ovpn staan?
Bericht door: Pippin op 23 augustus 2016, 19:10:56
Haal even de quote uit je bericht, dat wordt gewaardeerd.
Of je er iets aan hebt kan ik niet bepalen, dat is afhankelijk van use-case maar ik denk in het geval van doorsnee/normaal gebruik niet persé nodig. Hoewel, als je meerdere tunnels op een Windows machine hebt en gebruik maakt van block-outside-dns zou ik toch updaten. Zelf blijf ik het liefst bij wat OpenVPN betreft. Eraf gooien en vorige versie erop is een minuut werk.
tls-cipher zit er wel in ;) Daar hoef je niets aan te doen als je deze handleiding volgt.
In deze handleiding heb ik gekozen voor tls-version-min 1.2 or-highest
Daarmee wordt het hoogst mogelijke tls-cipher onderhandeld die server en client beide ondersteunen.
Voor AEAD, ofwel eleptic curve cryptography support moeten we wachten tot versie 2.4 uitkomt, dus nee ECDH is nu nog niet ondersteund.
Dan komt ook AES-GCM beschikbaar en dat zou wat CPU power kunnen schelen op een NAS, vooral op de kleinere.
Maar dan hebben we er nog niks aan want Synology weigert pertinent de OpenVPN binary te updaten.
Dat geldt voor DSM 5.x, die zit op versie 2.3.6, release 1-12-2014.
DSM 6 zit voor zover ik weet op versie 2.3.11
Bericht door: GravityRZ op 23 augustus 2016, 19:43:31
gister kreeg ik een update van dsm6 en daarin ook een update van openvpn
ik denk dat synology andere versie nummers hanteert van hun packages want hij zit nu op versie 1.3.3-2748
hoe kan ik zien welke versie er draait
Bericht door: Pippin op 23 augustus 2016, 20:26:58
Daarin zit echter de standaard OpenVPN binairy.
De updates betreffen dan scripts en andere zaken die ze om OpenVPN heen gebouwd hebben.
Voor versie, in putty:
openvpn --version
Bericht door: GravityRZ op 25 augustus 2016, 14:47:08
lopen ze nog net iets achter
Bericht door: GravityRZ op 03 september 2016, 11:01:35
package stoppen en starten lost het probleem op.
dit staat er in de log
enig idee
ik heb een reboot geprobeerd en volgens mij werkte het vroeger wel.
zou het door de laatste package update kunnen komen?
client certificaat heeft OpenVPN-Ronald
mijn login is Ronald
zou het kunnen dat het niet werkt omdat ze niet gelijk heten
na stop/start werkt alles wel als een zonnetje
2016-09-03T10:50:55+02:00 DiskStation openvpn[6647]: Libgcrypt warning: missing initialization - please fix the application
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:773 not client format
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:845 SepOpenvpnClientStr(CLIENT_LIST,OpenVPN-Ronald,xx.xx.xx.xx:35344,10.8.0.2,3351,3608,Sat Sep 3 10:50:54 2016,1472892654,Ronald) failed
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:884 ParseOpenvpnClient2DB() failed
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:912 SetOpenvpnClient2DB() failed
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:941 failed to refresh openvpn connection DB
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:773 not client format
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:845 SepOpenvpnClientStr(CLIENT_LIST,OpenVPN-Ronald,xx.xx.xx.xx:35344,10.8.0.2,4473,3815,Sat Sep 3 10:50:54 2016,1472892654,Ronald) failed
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:884 ParseOpenvpnClient2DB() failed
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:912 SetOpenvpnClient2DB() failed
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:941 failed to refresh openvpn connection DB
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:773 not client format
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:845 SepOpenvpnClientStr(CLIENT_LIST,OpenVPN-Ronald,xx.xx.xx.xx:35344,10.8.0.2,4728,4022,Sat Sep 3 10:50:54 2016,1472892654,Ronald) failed
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:884 ParseOpenvpnClient2DB() failed
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:912 SetOpenvpnClient2DB() failed
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:941 failed to refresh openvpn connection DB
Bericht door: Pippin op 03 september 2016, 12:34:58
De melding heeft te maken met een bugje in de Connection List, dat is bekend maar het is onduidelijk of ze dat opgelost hebben.
http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg186737/#msg186737
Die melding staat er elke 30 seconden. Eventueel kun je de regel
Citaat
status /tmp/ovpn_status_2_result 30 <--wijzigen van 30 naar b.v. 240.
Maar dat heeft zover ik weet niet te maken met
Citaat
dat bij een reboot alles wel wordt opgestart maar dat een openvpn verbinding opzetten mislukt
package stoppen en starten lost het probleem op
Kijk ook andere logs eens na in /var/log, dmesg en kern.log en natuurlijk ook openvpn.log
Bericht door: GravityRZ op 03 september 2016, 13:01:49
openvpn.log laat alles ook goed zien zonder foutmeldingen
het zijn dus alleen de meldingen in messages die raar zijn.
alles werkt dus goed
de meldingen verschijnen overigens ook als ik weer opnieuw inlog dus het heeft waarschijnlijk niets te maken met een evt reboot
ook als ik al mijn oude certificaten terugzet maakt het niets uit
User is dan gelijk aan certificaatnaam maar nog steeds dezelfde melding
2016-09-03T12:48:22+02:00 DiskStation synovpnnet: connection.c:845 SepOpenvpnClientStr(CLIENT_LIST,Ronald,xx.xx.xx.xx:35445,10.8.0.6,4435,4657,Sat Sep 3 12:45:20 2016,1472899520,Ronald) failed
2016-09-03T12:48:22+02:00 DiskStation synovpnnet: connection.c:884 ParseOpenvpnClient2DB() failed
2016-09-03T12:48:22+02:00 DiskStation synovpnnet: connection.c:912 SetOpenvpnClient2DB() failed
2016-09-03T12:48:22+02:00 DiskStation synovpnnet: connection.c:941 failed to refresh openvpn connection DB
2016-09-03T12:48:52+02:00 DiskStation synovpnnet: connection.c:773 not client format
Bericht door: Pippin op 03 september 2016, 20:19:50
synovpnnet leest informatie uit van de management interface van OpenVPN (management 127.0.0.1 1195) en schrijft dat naar een database. Daar ergens zit de bug die ik al vaker en lang geleden gemeld heb. Staat verder los van deze handleiding.
Eventueel kun je voor dat reboot verhaal een nieuw topic openen.
Bericht door: Pippin op 20 oktober 2016, 16:45:37
New features (https://github.com/OpenVPN/openvpn/blob/master/Changes.rst)
Full changes (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24)
Bericht door: GravityRZ op 21 oktober 2016, 17:58:36
dat met die proxy wachtwoorden, zou dat ook gelden voor normale username/wachtwoord.
momenteel staat dat ingesteld in de app en hij onthoudt dat.
De Iphone heeft echter een VPN switch die Openvpn opstart.
hij neemt dan echter de username/wachtwoord niet mee waardoor de vpn niet lukt.
natuurlijk niet zo sceure maar het zou handig zijn als dit in de configfile kan(wellicht dat het nu al kan maar dat weet ik niet)
Bericht door: Pippin op 21 oktober 2016, 19:07:00
Code: [Selecteer]
auth-user-pass login"login" is gewoon een tekst bestand met daarin:Code: [Selecteer]
gebruiker
wachtwoordop de eerste twee regels.Het kan zijn dat het pad naar "login" meegegeven moet worden.
Onder Windows niet als het in de config map staat.
Werkt op Linux/Windows/Freebsd..... maar of dit werkt op Iphone weet ik niet.
Bericht door: JohnGiezen op 26 oktober 2016, 14:29:32
Heb al het e.e.a. gelezen en wil vanuit dit topic mijn start gaan maken.
Voordat ik een start ga maken heb ik een vraag over het aanmaken van ssl certificaten.
Moet je voor openvpn nieuwe certificaten aanmaken, of kan je gebruik maken van bestaande certificaten? B.v van Let's Encrypt.
Wat ik in iedergeval begrepen heb is dat je voor elke persoon die wil inloggen op mijn nas een apart ssl certificaat moet aanmaken.
Of kunnen die in één certificaat worden aangemaakt?
Ben een beginner op dit gebied.
Ps. Ik neem aan dat de hele uitleg ook is te gebruiken op de Synology Router?
Bericht door: Pippin op 26 oktober 2016, 16:20:53
Citaat
heb inmiddels een account bij OpenVPNBij Private Tunnel (https://www.privatetunnel.com/home/) neem ik aan?
Dan heb je deze handleiding niet nodig want dan maak je gebruik van de OpenVPN client die in de NAS/Router ingebouwd is.
Als je zelf de NAS/Router wilt inrichten als OpenVPN server, zodat je veilig naar huis kunt verbinden kun je deze handleiding wel toepassen. Het werkt ook onder DSM 6 maar of het op de router ook werkt weet ik niet, beide heb ik zelf niet maar als de router dezelfde mappenstructuur heeft zou het kunnen dat het werkt.
Als je deze handleiding toepast is het inderdaad zo dat elke gebruiker zijn eigen configuratie krijgt.
Let`s Encrypt gaat zeer waarschijnlijk niet werken met deze handleiding omdat de vereiste Key Usage, Extended Key Usage en unieke Common Name per client niet in die certificaten zit.
Voor OpenVPN is het vanuit veiligheidsoverweging sowieso beter om een eigen (unieke) database met ca, certificaten en keys te gebruiken.
Als je het bezwaarlijk vind in geval van meerdere gebruikers zou je het ook met één gebruiker kunnen doen.
Dat is dan de enige gebruiker in DSM die je recht geeft om OpenVPN te gebruiken en die ontneem je zoveel als mogelijk alle rechten op mappen en applicaties. Vervolgens krijgen alle andere gebruikers de inlog van de OpenVPN gebruiker waarmee ze op OpenVPN kunnen inloggen en daarna op hun eigen account (met hun eigen rechten).
Bericht door: JohnGiezen op 26 oktober 2016, 17:32:58
Volgens mij heb ik me alleen aangemeld om programma's te kunnen downloaden.
Van een Private Tunnel weet ik niets af.
Ik heb in de router VPN server geinstalleerd om deze te gaan gebruiken vanuit je handleiding.
Denk dat ik het gewoon moet gaan doen en kijken waar ik uit kom.
Kan altijd nog vragen stellen indien het niet lukt.
Zie aan de reacties dat je een zeer uitgebreide handleiding hebt gemaakt.
Zal dan een één gebruiker aanmaken in DSM en de anderen via deze weg te laten inloggen.
Wordt vervolgt.
Bericht door: Pippin op 26 oktober 2016, 18:09:55
Om te OpenVPN van de community (https://openvpn.net/index.php/open-source/downloads.html) te downloaden hoef je je niet aan te melden.
Wel als je de Acces Server (https://openvpn.net/index.php/access-server/overview.html) wil proberen/kopen, dat is de commerciele versie.
Citaat
gebruiker aanmaken in DSMDenk dat je SRM bedoelt...
Laat je dan even weten of het op de Synology Router werkt?
Succes
Bericht door: JohnGiezen op 26 oktober 2016, 18:25:15
Bericht door: haplx op 29 oktober 2016, 23:19:56
Ik ben nieuwe user op forum en vind er erg veel nuttige info. Complementen voor de kwaliteit.
@MMD, dankzij je heldere handleiding heb ik de openVPN verbinding heel snel aan de praat gekregen. Maar niet helemaal zie onder
Het bij mij om:
Android 4.1.2
DS 415+ (achter Fritz router)
DSM 6.0.2-8451 Update 2
OpenVPN Connect 1.1.17, build 76
Wat vragen --> ik krijg geen verbinding met eigen LAN:
1.Op de telefoon geeft de OpenVPN App aan dat er een verbinding is, maar in de VPN server op de DSM zie ik dat niet terug in de connectie lijst. Klopt dat? Voor PPTP VPN zie ik wel een regel in de connectie lijst, als ik onder dezelfde omstandigheden een PPTP VPN verbiniding opzet.
2. Na het maken van de openvpn verbinding krijg ik op mijn telefoon www.watismijnip.nl gebruik, netjes mijn externe IP adres te zien. Dus ik zit wel op de mijn eigen netwerk.zou ik denken. Ik kan mijn Synology echter niet bereiken onder zijn locale IP adres (zeg subnet xxx), maar wel op zijn VPN virtuele server adres (zeg in subnet yyy). Als ik vanaf mijn telefoon (met werkende openvpn connectie) het locale IP adres ping (dus in xxx subnet)met de PingTools, krijg ik “connection timed out”. De push route statements in de openvpn.conf.user file werken niet, heb ik de indruk. Ik heb wel netjes alle routes gepushed in de openvpn.conf.user file. Verder ligt source IP van 3G verbinding ligt in rang 10.114xxx. Er kan dus ook geen conflict tussen IP adressen bereiken optreden. In de log file /var/log/openvpn.log, zie ik ook niet meteen wat schort.
3. Ik heb al wat geprobeerd (firewall helemaal uit, andere topology namelijk subnet, redirect gateway autolocal, reboot synology, reinstallatie VPN serveri etc, maar ik krijg nog geen contact met mijn eigen LAN, raar.
4. Is er misschien nog een andere oplossing: bv is het mogelijk om het virtuele IP bereik van de VPN te plaatsen in een deel van local IP bereik dat niet gebruikt wordt door de DHCP server in de router. Dus in subnet xxx. Met het kiezen van een handig mask moet dat toch lukken. Dan zit is meteen in mijn eigen LAN. Een dergelijk oplossing werkt wel voor pptp, maar ik weet niet hoe ik dat met openvpn kan realiseren. Is daar vanuit beveiligingsoogpount of andere oogpunt nog bezwaar tegen? Graag je mening…
5. In het handleiding zeg je niets over de eigenaar en de groep van de certificaten en de sleutels. Ik zag dat voor alle oorspronkelijken certifcates en keys van synology de owner en de group “root” is. Dit heb dan ook maar gedaan voor de zelf gegenereerde keys en certificaten met chown en chgroup commando's Is dat ok zo?
Bericht door: Pippin op 30 oktober 2016, 10:51:05
1.
http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg186737/#msg186737
2.
Altijd verbinden vanuit het internet dus niet vanuit het LAN.
Kun je wel andere machines bereiken in je LAN?
Probeer het met een andere client (laptop/pc/tablet).
Had je aangevinkt dat clients toegang krijgen tot het LAN?
Controleer de firewall regels op de DS, heb geen DSM 6 hier, kun je regels maken voor VPN (tun) interface?
3.
Firewall helemaal uit? Hoe had je dat gedaan, door het vinkje weg te halen bij "Als niet aan de regels wordt voldaan" op elke interface in de firewall?
topology hoeft niet gewijzigd te worden.
redirect gateway kun je nog proberen zonder toevoeging.
4.
Nee, subnetten dienen verschillend te zijn en zo uniek mogelijk. Gebruik niet de standaard bereiken die router fabrikanten gebruiken.
Er worden twee netwerken "aan elkaar geknoopt" met behulp van een derde (VPN subnet) en vervolgens wordt dat gerouteerd.
OpenVPN werkt anders dan PPTP/L2IPSEC, werken op verschillende Layers.
5.
Was je als root ingelogd in WinSCP?
Standaard zou dan groep en eigenaar root moeten zijn.
Als je de rechten zet zoals beschreven is het goed.
Meest voorkomende oorzaken van het niet kunnen bereiken van het LAN vanuit een client:
1.
Firewall
2.
Routes worden niet gezet op de client
3.
ipforward is niet ingeschakeld
1 goed nalopen
Bij 2 kun je verb 4 in de config van de client zetten en in het log kijken of daar iets bijzonders opduikt.
3 zorgt de DS voor, tenzij er een bug in zit.
Bericht door: haplx op 31 oktober 2016, 23:15:56
1.
Ok, dat klopt dus dat het niet werkt, slordig dat synology daar nog steeds niets aan gedaan heeft
2.
Bij testen maak ik openVPN verbinding van buiten mijn LAN (via 3G en via een ander wifi netwerk dan waarop LAN zit).
Ja, dat is een goeie, ik kan andere devices (apple tv, tablets etc) wel pingen, behalve de syno. Nu is de DS415+ verbonden met 2 ethernet kabels met de router. Kan het daar iets met te maken hebben (zie onder routing tables)?
Ik heb gisteren de openvpn client op windows 8.1 geinstalleerd, die vertoond in ieder geval precies hetzelfde gedrag.
3.
Ik had inderdaad aangevinkt in synology's VPNserver dat voor open VPN de client toegang krijgen to LAN.
Ik had FW geheel open staan en het nu nog eens geprobeerd, geen effect: NAS onbereikbaar.
Ik kan inderdaad aparte FW regels maken voor VPN, maar welke had je in gedachten?
De firewall rules die ik aan had staan zijn:
open voor all porten en protocollen van eigen LAN (192.168.178.0 / 256.256.256.0)
open voor all porten en protocollen van openvpn virtual netwerk (192.168.200.0 / 256.256.256.0) -- ik weet niet of dit laatste nodig is eigenlijk.
en de generieke port 1174 voor VPN verkeer natuurlijk, anders hadden we helemaal geen verbinding gehad.
4.
Ok, jammer, maar is het me nu duidelijk waarom niet.
5.
Ik heb helemaal via putty gewerkt. Ingelogd gebruiker met admin rechten en dan met "sudo -i'' root geworden. De files die je maakt houden dan als eigenaar de gebruiker met admin rechten klaarblijkelijk. Maar goed alles staat nu op root. Goed om te weten dat dit ok is.
6.
1. Het lijkt me dat we dat problemen met FW kunnen uitsluiten.
2. De routes worden gepush op de openvpn server, volgens jouw voorbeeldje, dus:
server 192.168.200.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf
push "route 192.168.178.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)
push "route 192.168.200.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)
max-clients 10 ### 5 vervangen door het nummer uit openvpn.conf
3. Ik heb met "sysctl net.ipv4.ip_forward" gecheckt. Antwoord is: net.ipv4.ip_forward = 1. Die staat dus aan.
4. ip router table ziet er als volgt uit (178 = mijn LAN subnet en 200 openvpn subnet). Misschien kun jij daar wat aan zien. Ik snap nog niet precies hoe dit werkt.
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.200.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
192.168.200.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
De synology is dus wel bereikbaar op 192.168.200.1, pingen gaat wel nar devices in 178 subnet, maar dus niet syno
Als ik een van de ethernet kabels (van achter gezien de meest rechtse) eruit haal en Dank je voor je uitgebreide reactie, ik loop even langs de puntjes:
1.
Ok, dat klopt dus dat het niet werkt, slordig dat synology daar nog steeds niets aan gedaan heeft
2.
Bij testen maak ik openVPN verbinding van buiten mijn LAN (via 3G en via een ander wifi netwerk dan waarop LAN zit).
Ja, dat is een goeie, ik kan andere devices (apple tv, tablets etc) wel pingen, behalve de syno. Nu is de DS415+ verbonden met 2 ethernet kabels met de router. Kan het daar iets met te maken hebben?
Ik heb gisteren de openvpn client op windows 8.1 geinstalleerd, die vertoond in ieder geval precies hetzelfde gedrag.
3.
Ik had inderdaad aangevinkt in synology's VPNserver dat voor open VPN de client toegang krijgen to LAN.
Ik had FW geheel open staan en het nu nog eens geprobeerd: geen effect NAS onbereikbaar.
Ik kan inderdaad aparte FW regels maken voor VPN, maar welke had je in gedachten.
De firewall rules die ik aan had staan zijn:
open voor all porten en protocollen van eigen LAN (192.168.178.0 / 256.256.256.0)
open voor all porten en protocollen van openvpn virtual netwerk (192.168.200.0 / 256.256.256.0) -- ik weet niet of dit laatste nodig is eigenlijk.
en de generieke port 1174 voor VPN verkeer natuurlijk, anders hadden we helemaal geen verbinding gehad.
4.
Ok, jammer, maar is het me nu duidelijk waarom niet.
5.
Ik heb helemaal via putty gewerkt. Ingelogd gebruiker met admin rechten en dan met "sudo -i'' root geworden. De files die je maakt houden dan als eigenaar de gebruiker met admin rechten klaarblijkelijk. Maar goed alles staat nu op root en goed om te weten dat dit ok is.
6.
1. Het lijkt me dat we dat problemen met FW kunnen uitsluiten.
2. De routes worden gepush op de openvpn server, volgens jouw voorbeeldje, dus:
server 192.168.200.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf
push "route 192.168.178.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)
push "route 192.168.200.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)
max-clients 10 ### 5 vervangen door het nummer uit openvpn.conf
3. Ik heb met "sysctl net.ipv4.ip_forward" gecheckt. Antwoord is: net.ipv4.ip_forward = 1. Die staat dus aan.
4. ip router table ziet er als volgt uit (178 = mijn LAN subnet en 200 openvpn subnet). Misschien kun jij daar wat aan zien. Ik snap nog niet precies hoe dit werkt.
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.200.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
192.168.200.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
De synology is wel bereikbaar op 192.168.200.1
Als ik een van de ethernet kabels (van achter gezien de meest rechtse) eruit haal en VPNserver restart, krijg ik.
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.200.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
192.168.200.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
Maar nog steeds geen verbinding met de NAS natuurlijk...jammer.
vr groet.
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.200.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
192.168.200.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
Maar nog steeds geen verbinding met de NAS natuurlijk.
Bericht door: Pippin op 01 november 2016, 19:53:30
Vreemd....
Voeg eens
Code: [Selecteer]
local 192.168.178.XXXtoe aan de server config, openvpn.conf.user, en probeer het nog eens.192.168.178.XXX is dan het LAN IP van de DS.
Als bovenstaande niet helpt heb ik eigenlijk geen ideeën meer...
Behalve dan eventueel de firewall.
Config ziet er tot zover goed uit.
Routes zijn zover ik zien kan in orde en worden ook gezet op de client.
Anders zou je ook niet het LAN kunnen bereiken.
Overigens, dat routes gepushed worden wil nog niet zeggen dat ze ook gezet worden op de client.
Maar daar is in dit geval dus geen sprake van.
Voor het instellen van de firewall kun je beter op het forum zoeken, heb geen ervaring met DSM 6.
Sowieso een Allow All to Any regel op de VPN (tun) interface maken.
PS
Knip je vorige bericht even tot iets beter leesbaars :)
Bericht door: GravityRZ op 01 november 2016, 19:59:40
vpnverbinding opzetten geen probleem maar ik kon geen verbinding meer maken met al mijn lokale devices.
alles geprobeerd
router uit/aan
port forwarding uit/aangezet
firewal uit/aan
openvpn opnieuw op mijn telefoon geinstalleerd inclusief alle certificaten.
niets hielp
totdat ik gewoon de vpnserver package stopte en weer starte
voila alles werkt weer.
Blijkbaar zit er er dus ergens een lek in die vpnserver die na verloop van tijd zichzelf ophangt.
ik zit op de laatste dsm en de laatste vpn server package.
mocht eea dus opeens niet meer werken. stop en start de vpnserver package op je synology dan als eerste
iets anders om te overwegen is om de port forwarding rule hard in je router te zetten en niet via upnp via synology.
ook hier heb ik een keer gehad dat eea niet meer werkte en toen lag het aan de upnp setting die blijkbar niet goed meer was.
Bericht door: Birdy op 01 november 2016, 20:14:44
http://www.synology-forum.nl/ddns-extern-benaderen/zoveelste-waarschuwing-om-geen-ez-internet-te-gebruiken/
Bericht door: GravityRZ op 01 november 2016, 20:57:20
ik heb het uitgezet
ik dacht trouwens dat upnp alleen intern werkte en niet naar buiten toe.
blijkbaar dus niet.
Bericht door: Pippin op 03 november 2016, 13:44:15
Het blijft zeer vers van de pers :)
OpenVPN 2.3.13-- released
Download (https://openvpn.net/index.php/open-source/downloads.html)
Changes (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn23)
Bericht door: rommert op 03 november 2016, 20:58:26
Bericht door: Pippin op 03 november 2016, 21:12:15
Dat zal een false positive zijn:
https://www.virustotal.com/nl/file/8e259de0c3e7d679cefcc52dc606e2fe083a715ab2864472fc738df69c83425c/analysis/
Bericht door: Pippin op 17 november 2016, 16:55:39
Nog zeer warm,
OpenVPN 2.4_beta1 -- released
Download (https://openvpn.net/index.php/open-source/downloads.html)
Changes (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24)
Bericht door: J-J op 23 november 2016, 23:14:49
Ik heb alles werkend gekregen op mijn iOS apparaten met Inline certificaten.
Echter op mijn laptop (windows 10) verbindt hij wel met de server, maar heb ik geen internet meer na het connecteren.
Enig idee waaraan dit kan liggen?
J-J
Bericht door: J-J op 24 november 2016, 00:20:27
Als ik deze file aanpas, verbindt hij nl. niet meer.
Bericht door: Pippin op 24 november 2016, 01:10:40
Graag gedaan.
Voor Windows, OpenVPN moet als Administrator uitgevoerd worden anders worden er geen routes gezet.
Als je de poort wijzigt dient dit inderdaad ook in openvpn.ovpn aangepast worden, tevens in de firewall en de port forward in de router.
Bericht door: J-J op 24 november 2016, 04:42:33
Blijkbaar moest ik het IP van m'n router invullen in het"openvpn.ovpn" bestand bij DNS.
<code>dhcp-option DNS <IP.ADRES.VAN.ROUTER ### IP van DNS server 1</code>
Ik krijg echter OpenVPN niet werkend met een aangepast poort...
- Poort in VPN server in DSM is aangepast
- Poort is geforward in router
- Poort "openvpn.ovpn" is aangepast.
Code: [Selecteer]
# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!
remote <DDNS1-ADDRES> 4911 ### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
remote <DDNS2-ADDRES> 4911 ### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
#cert <GEBRUIKER1.crt> ### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.crt"
#cert <GEBRUIKER2.crt> ### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.crt"
#key <GEBRUIKER1.key> ### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.key"
#key <GEBRUIKER1.key> ### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.key"
# Onderstaande "dhcp-option DNS" hoeft niet gebruikt te worden,
# dan wordt de standaard DNS instelling van de client gebruikt.
# Wil je dat wel dan moet het een geldig DNS server IP zijn
# Hetzij een eigen DNS server (b.v. op de Diskstation)
# Of publieke DNS server (b.v. 8.8.8.8 van Google)
# Wanneer je het wel gebruikt moet het # weggehaalt worden
# Er kunnen er meerdere opgegeven worden
#dhcp-option DNS vul.hier.ip1.in ### IP van DNS server 1
#dhcp-option DNS vul.hier.ip2.in ### IP van DNS server 2Heb mijn NAS al herstart maar helpt niet.
Als ik via de standaard poort verbinding maak, lukt het wel. Ondanks dat alle instellingen op de nieuwe poort zijn ingesteld.
Iemand enig idee hoe dit komt?
Bericht door: Pippin op 24 november 2016, 08:37:00
Als je met VPN verbindt, ben je dan op hetzelfde netwerk als waar de DS staat?
Bericht door: J-J op 24 november 2016, 13:56:44
Bericht door: Pippin op 24 november 2016, 14:32:14
En de firewall op de client? Windows 10 was het toch?
Bericht door: J-J op 24 november 2016, 18:23:42
Dit zijn mijn clients:
- iPhone
- iPad
- Laptop (windows 10)
Geen een van de apparaten verbindt als ik de OpenVPN poort aanpas in DSM en in "openvpn.ovpn"
Na aanpassingen van de poort in DSM, de NAS ook eens herstart, de bestanden in de juiste map gezet/naar de OpenVPN app gekopieerd, maar dan blijft hij de server zoeken.
Bericht door: Pippin op 24 november 2016, 19:19:06
Citaat
als ik de OpenVPN poort aanpas in DSMGevonden (;
Zoals beschreven wordt in de openings post:
Citaat
De eigen configuratie optie heeft tot gevolg dat je in het scherm van OpenVPN Server geen instellingen meer kunt doen en onderin krijg je de melding in blauw: Configuratie is aangepastDe poort moet aangepast worden in openvpn.conf.user
Bericht door: J-J op 24 november 2016, 19:44:03
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Fuploads.tapatalk-cdn.com%2F20161124%2Feeb022af61ec6fee6d31e3a37017f233.png&hash=b5253201136995a6eadaaf438c68534d1902f7cb)
Bericht door: Pippin op 24 november 2016, 20:06:24
Euhhh ja, goed zo @MMD ;D
Dit zou geen probleem moeten zijn... het werkt op 1194 dan zou het ook moeten werken op 4911.
Probeer eens poort 10000 als test.
Vooraan beginnen bij de NAS met config poort, firewall NAS, router portforward, Windows firewall, OpenVPN client config poort.
Easy peasy zou je denken...
Bericht door: Pippin op 24 november 2016, 20:10:29
Oh ja, via het Package Center de VPN Server herstarten na wijziging poort.
Bericht door: Birdy op 24 november 2016, 20:51:36
Als je die poort hebt gewijzigd naar 4911 in de VPN Server en gaat de configuratie weer exporteren, Externe IP erin zetten, importeren op de Cliënt, FW's aanpassen en poort forwarden.
Dan moet het toch gewoon werken ?
[attachimg=1]
[attachimg=2]
[attachimg=3]
Bericht door: J-J op 24 november 2016, 21:12:09
- NAS met config poort: aangepast
- firewall NAS: even uitgezet
- router portforward: aangepast
- Windows firewall: even uitgezet
- OpenVPN client config poort: aangepast
--> resultaat: geen verbinding "connection timeout"
@Birdy : dat dacht ik ook, maar blijkbaar loopt er ergens iets mis...
Wat raar is, dat als ik de bestanden met de standaard poort 1194 naar openVPN op de client (windows/ios) kopieer, dat hij wel verbinding maakt, ondanks dat de poort in DSM VPN server op 4911 staat. (zelfs na herstart)
Bericht door: Pippin op 24 november 2016, 21:17:28
@Birdy
Normaal heb je gelijk, echter de WebUI wordt uitgeschakeld.
Als je dan de poort wilt wijzigen, of iets anders, dan moet dat in de openvpn.conf.user gebeuren.
Uiteraard moet dan VPN Server herstart worden in het Package Center zodat de config opnieuw ingelezen wordt door OpenVPN.
Bericht door: J-J op 24 november 2016, 21:25:05
Citaat
Thu Nov 24 21:15:57 2016 TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)
Over welk bestand heeft men het dan?
Ook spreekt men van de poort 1149 terwijl deze verandert werd...
Eerder in de log staat er dan weer wel poort 4911...
Log bestand in bijlage. ([attach=1])
Bericht door: Birdy op 24 november 2016, 21:27:20
Citaat
echter de WebUI wordt uitgeschakeldAhhhhh, nu zie ik het ;)
[attachimg=1]
Maar, bij mij gebeurt dat n.l. niet, poort gewijzigd naar 11111:
[attachimg=2]
Bericht door: J-J op 24 november 2016, 21:35:35
Bericht door: Pippin op 24 november 2016, 21:40:39
Met het log komen we dichterbij, waarschijnlijk iets met NAT op je router.
Stel het eens compleet in zoals je het hebben wilt en doe daarna ook een herstart van je router.
Als dat niet helpt dan is
Code: [Selecteer]
floattoevoegen aan de openvpn.ovpn waarschijnlijk een workaround.Weet je zeker dat je vanuit extern verbind en niet vanuit je LAN?
Bericht door: J-J op 24 november 2016, 21:52:18
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Fuploads.tapatalk-cdn.com%2F20161124%2F7fb0ad6ec783c2e9144d6420908d66cc.jpg&hash=93a5fa3e259ad109104e2d4dad03fc1148816949)
Wat moet ik dan juist aanpassen?
Ik bevind mezelf in het buitenland momenteel, dus ik ben zeker dat ik niet op hetzelfde netwerk zit. :)
Kan het zijn dat men hier op de hotspot al deze poorten blokkeert? Poort 10000 ook getest, maar lukt ook niet.
Bericht door: Birdy op 24 november 2016, 22:00:11
Citaat
TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)
Dus, kennelijk komen de poorten niet overeen.
My two cents. ;)
Bericht door: J-J op 24 november 2016, 22:04:24
In windows vind ik de instelling niet terug in het OpenVPN programma. Op iOS kan ik volgende instellingen, maar zie niet waar ik de poort kan wijzigen in de app...
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Fuploads.tapatalk-cdn.com%2F20161124%2F0fbfa72b8c3c6fd9408554146656816f.jpg&hash=74ea7324ac6be6d544729b015d64fc7cfc9ed008)
Bericht door: Pippin op 24 november 2016, 22:06:33
CitaatThu Nov 24 21:15:57 2016 TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)
Citaat
Ook spreekt men van de poort 1149 (TYPO) terwijl deze verandert werd...Die poort 1194 is de poort waarmee server naar de client toe communiceert, het log is immers van de client.
Voeg eens float toe zoals hierboven geschreven aan openvpn.ovpn en doe dat dan ook maar in openvpn.conf.user
Bericht door: J-J op 24 november 2016, 22:11:23
Voeg eens float toe zoals hierboven geschreven aan openvpn.conf en doe dat dan ook maar in openvpn.conf.user
Op deze manier?
Citaat
remote DDNS.adres 4911 --float### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
of een extra regel?
Citaat
remote DDNS.adres 4911### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
--float
Bericht door: Pippin op 24 november 2016, 22:14:52
Citaat
Moet ik dan nog iets op de client zelf aanpassen?Wijzigingen doe je in de config bestanden, openvpn.conf.user en openvpn.ovpn.
Edit:
Een extra regel toevoegen.
Tevens moet dat opnieuw geïmporteerd worden op een telefoon, dus oude verwijderen en nieuwe importeren.
De reden waarom dit op de telefoon zo moet is omdat het geïmporteerde *.ovpn profiel in de App opgeslagen wordt zodat men de bestanden dan wissen kan uit veiligheids overweging.
Bericht door: J-J op 24 november 2016, 22:54:20
Ik heb eens mijn openvpn.conf.user, openvpn.ovpn en de log vanuit windows toegevoegd.
Bericht door: Pippin op 24 november 2016, 23:40:08
De float optie werkt want de melding
Code: [Selecteer]
TCP/UDP: Incoming packet rejected from [AF_INET]is nu weg uit het log.Het volgende probleem dat opduikt is dat je twee gebruikers, in één profiel probeert te stoppen en dat is waarschijnlijk waarom er nu in het log staat:
Code: [Selecteer]
TLS Error: TLS key negotiation failed to occur within 60 secondsOnderaan heb ik de *.ovpn aangehangen voor gebruiker saidou.
Nog wel de rest invullen.
Elke gebruiker dient zijn eigen gebruiker.crt en gebruiker.key te hebben.
Dus voor elke gebruiker dien je die apart te genereren met XCA.
CA.crt en ta.key is voor elke gebruiker hetzelfde.
De bestanden die gebruiker saidou dan krijgt:
CA.crt
ta.key
saidou.crt
saidou.key
openvpn.ovpn
En voor nargesse:
CA.crt
ta.key
nargesse.crt
nargesse.key
openvpn.ovpn
Je gebruikt echter inline certificaten, dan krijgt elke gebruiker alleen openvpn.ovpn
Maar dat is geloof ik wel goed overgekomen.
Bericht door: Pippin op 25 november 2016, 11:26:18
OpenVPN 2.4_beta2 -- released
Download (https://openvpn.net/index.php/open-source/downloads.html)
Changes (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24)
Bericht door: J-J op 25 november 2016, 13:10:04
Hartelijk bedankt voor alle hulp @MMD ! :clap:
Nu gaan we voort met "Beter beveiligen als client" (http://www.synology-forum.nl/vpn-server/openvpn-beter-beveiligen-als-client/). Hopelijk lukt dat vlotjes :)
Bericht door: J-J op 25 november 2016, 13:29:59
Ik heb de file verder aangepast, en nu werkt het! top!
Te vroeg gejuigd :(
Op mijn iOS apparaten werkt het, maar op mijn laptop wilt hij niet verbinden. Na aanmelden, blijft hij wat hangen en vraagt dan opnieuw naar mijn login en wachtwoord... ([attachmini=1])
Ik heb de zelfde bestanden gebruikt als op mijn iOS apparaten.
Bericht door: Pippin op 25 november 2016, 13:42:44
Het kan ook zijn dat je te snel van iOS naar Windows wisselt.
Als je dat doet wacht dan tenminste twee minuten.
De server krijgt namelijk niet direct mee dat je uitlogt en "denkt" vervolgens dat het een "poging tot inbraak" is.
Je kunt overigens niet twee keer met hetzelfde account ingelogd zijn,..... als het mij goed bijstaat.
Er staat op de DS een log:
Code: [Selecteer]
/var/log/openvpn.logDaarin is waarschijnlijk de reden te zien waarom het mislukt is.Bericht door: Pippin op 02 december 2016, 09:38:14
OpenVPN 2.4_beta2 -- released
Download (https://openvpn.net/index.php/open-source/downloads.html)
Changes (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24)
Bericht door: GravityRZ op 04 december 2016, 11:11:35
openvpn werkt nog steeds super op de synology.
Na een DSM update en/of reboot werkt het echter niet meer.
De package wordt automatisch gestart, ik kan nog steeds een verbinding maken met openvpn(connected, geen foutmelding) alleen kom ik niet meer bij mijn lokale netwerk.
iemand enig idee waar ik dit moet zoeken?
als ik de package stop en weer start werkt alles wel weer
Het lijkt er dus op dat een start na een reboot anders is dan een stop/start na opbooten.
wellicht dat hij na een reboot gedeeltelijk terugvalt op het standaard profiel ipv het altenatieve profiel
Bericht door: Pippin op 04 december 2016, 14:31:05
Dan zal het inderdaad samenhangen met de DSM update.
Kan lastig uit te zoeken zijn...zeker nu het zogenaamde "nieuwe VPN gedoe" is geïntroduceerd.
Bericht door: GravityRZ op 05 december 2016, 17:51:55
als de synology reboot dan start de openvpn blijkbaar wel op maar hij werkt niet
je hebt wel een goede verbinding(openvpn zegt connected) maar je kunt er niets mee
een stop/start van de package lost het op.
wat het ook oplost is een taak aanmaken waarin je dit elke dag laat doen
/var/packages/VPNCenter/target/scripts/openvpn.sh restart
heb je dus een openvpn verbinding die na verloop van tijd instabiel wordt dan is deze reset een goede oplossing
blijft natuurlijk raar dat er blijkbaar bij het opstarten toch iets niet helemaal goed gaat.
wellicht als je dit in de crontab zet dat het ook werkt maar dit vond ik wat eenvoudiger.
Bericht door: Pippin op 16 december 2016, 17:33:14
We zijn er al bij voordat de kippen erbij zijn :), OpenVPN 2.4 RC2
Directe download, klik (http://build.openvpn.net/downloads/releases/openvpn-install-2.4_rc2-I601.exe)
Changes (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24)
Bericht door: Pippin op 16 december 2016, 20:32:35
En nu ook te vinden op de download pagina (https://openvpn.net/index.php/open-source/downloads.html).
Release staat gepland op 28 December (https://community.openvpn.net/openvpn/wiki/StatusOfOpenvpn24).
Bericht door: cyrus1977 op 16 december 2016, 21:57:31
Andere openvpn gerelateerde vragen svp in een nieuw draadje. Dat maakt zoeken in het forum ook makkelijker !
Dit draadje werkt de TS starter nog wel bij.
Bericht door: Pippin op 27 december 2016, 15:49:25
Een dag voor geplande release:
OpenVPN 2.4 hier (https://openvpn.net/index.php/open-source/downloads.html) te vinden.
Changes. (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24)
Bericht door: Mbwum73 op 21 februari 2017, 12:37:24
Het heeft je ongetwijfeld veel tijd en moeite gekost. Super gedaan!
De enige wijziging die ik heb gedaan is het TCP protocol i.p.v. het UDP protocol. Verder heb ik op mijn router poort 443 aan de buitenkant geforward naar TCP poort 1493 aan de binnenkant. Op die manier kan ik eigenlijk altijd wel verbinden.
Ik moest daarvoor in de configuratie dus UDP wijzigen in TCP. Voor Windows in TCP Client.
Het werkt dus allemaal prima, maar....
Ik heb toch een klein probleempje. Gebleken is dat ik namelijk met maar 1 gebruiker tegelijk kan inloggen. Zodra ik een tweede gebruiker de verbinding op laat zetten (zelfs als ik die 2e gebruiker zelf ben op een ander apparaat) dan wordt de bestaande gebruiker verbroken. Hoe komt dit? Is hier iets aan te doen? Ik heb het aantal toegestane connecties op 5 gezet, maar kennelijk werkt dat niet.
Ik gebruik een DS216+ met DSM 6.0.2-4851 Update 9.
Verder heb ik de VPN server volledig bijgewerkt tot de meest recente versie (21-02-2017).
Het viel me op dat ik twee nieuwe instellingen heb bij de OpenVPN instellingen in de GUI. Codering (staat nu op BF-CBC) en Verificatie (Staat op SHA-1). Klopt dit? De rest blijft grijs en wordt door de aangepaste config files bepaald, maar ik was dus even benieuwd naar die 2 nieuwe instellingen.
Bericht door: Pippin op 21 februari 2017, 16:14:56
Hallo, graag gedaan.
Zelf draai ik geen DSM 6.X, grote kans dat er iets gewijzigd is met updates.
Wat sowieso al anders is, maak ik op uit je bericht, is dit:
Citaat
twee nieuwe instellingen.....Codering (staat nu op BF-CBC) en Verificatie (Staat op SHA-1)
Vaak laten logs/configs het beter zien, dus hang die eens aan met verb 4 in de configs, staat dacht ik ook beschreven.
Dan logs posten vanaf starten server tot verbinden/verbreken van clients.
Vervang dan wel even de externe IP`s in de logs (zoeken vervangen in Notepad++)
B.v.:
Extern IP-server: 1.1.1.1
Extern IP-client1: 2.2.2.2
Extern IP-client2: 3.3.3.3
Zou je ook het start script aan kunnen hangen?
Staat waarschijnlijk hier:
/volume1/@appstore/VPNCenter/scripts/openvpn.sh
Bericht door: Mbwum73 op 22 februari 2017, 10:56:01
Ik heb de logs in een zip bestandje bijgevoegd. Ook alle configuratiebestanden en de log aan de client kant heb ik bijgevoegd.
Op zich werkt het dus prima, maar met 1 machine tegelijk. Elke volgende machine resulteert in een IP conflict. Elke machine krijgt 192.168.160.6. Wellicht een fout in de configuratie van mijn VPN client. Ik hoop dat je de fout ziet.
Voor wat betreft die 2 nieuwe instellingen lijkt het er op dat die overruled worden door de instellingen in de configuratiebestanden. Je zou alleen verwachten dat Synology dan die instellingen grijs maakt, maar dat is niet het geval.
Bericht door: Pippin op 22 februari 2017, 12:00:58
Citaat
MULTI: new connection by client 'client' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.Lijkt erop dat er één certificaat met commonname 'client' wordt gebruikt?
Dat kan n.l. niet met deze handleiding.
Elke gebruiker dient dan een eigen certificaat met zijn gebruikersnaam als commonname te hebben.
Bericht door: Mbwum73 op 22 februari 2017, 14:36:07
Simpelweg omdat ik geen gebruikersnamen in de logging wilde laten zien hier. Maar in de onbewerkte logs staat hier dus gewoon mijn certificaat.
Maar ook dan gaat het fout.
Stel ik heb twee gebruikers. Jan en Piet. Jan werkt op een Windows PC en Piet op een tablet.
Jan maakt met zijn eigen useraccount en password een VPN verbinding. Werkt prima. Zodra echter Piet op zijn tablet ook verbindt, wordt de verbinding van Jan verbroken. Ondanks dat ze allebei een eigen certificaat hebben en dit certificaat ook in hun config vermeld is.
Het lijkt er dan toch op dat ze beiden hetzelfde IP krijgen.
Ik zal dit scenario nog even checken.
Wat zeker weten fout gaat is twee keer dezelfde gebruiker. En dat is in feite wat ik nu doe. Ik heb een Windows machine en een Android telefoon. Beiden gebruiken hetzelfde certificaat en dezelfde username. Kortom, ik wil simpelweg onder hetzelfde account twee verbindingen opzetten. Dat lukt dus niet. Ik was in de veronderstelling dat het certificaat puur een extra identificatielaag was gekoppeld aan het userid. Dus als ik inlog, moet ik daar ook MIJN certificaat voor hebben. Als ik jou echter goed begrijp moet ik per device een ander certificaat hebben, zelfs als op die devices dezelfde user gebruikt wordt.
Dat zou best onhandig zijn. Dan moet ik dus voor elk apparaat een nieuw certificaat maken i.p.v. voor elke gebruiker.
Of begrijp ik je nu verkeerd?
Of kan ik dat oplossen met die --duplicate-cn instelling? En ik welke config file moet ik die instelling dan zetten?
Ik zou het liefst een situatie hebben waarbij elke gebruiker een eigen certificaat heeft wat gekoppeld is aan zijn username.
Dus Jan heeft ook het Jan certificaat nodig. En Piet het Piet certificaat.
Maar Jan en Piet mogen met hun eigen certificaat wel meerdere keren inloggen.
Ik ben bang dat die --duplicate-cn instelling ook betekent dat Jan met het certifcaat van Piet mag inloggen. En dat is uit security oogpunt niet wenselijk.
Bericht door: Pippin op 22 februari 2017, 14:57:11
Citaat
Of begrijp ik je nu verkeerd?Goed begrepen.
Of kan ik dat oplossen met die --duplicate-cn instelling? En ik welke config file moet ik die instelling dan zetten?
Dan kun je de standaard installatie gebruiken. Kies dan voor tenminste AES-128-CBC i.p.v. BF-CBC ... als die optie aanwezig is.
Bericht door: Mbwum73 op 22 februari 2017, 15:02:20
Maar met de huidige (jouw) oplossing kan ik dus wel met twee verschillende gebruikers + certificaten verbinden? Het zou nu alleen fout gaan als twee dezelfde gebruikers inloggen.
Ik zag in mijn config file wel duplicate-cn staan. Is het niet genoeg om daar --duplicate-cn van te maken?
Bericht door: Mbwum73 op 22 februari 2017, 16:14:53
Maar het werkt ook dan niet.
Eer kan hoe dan ook maar 1 persoon tegelijk verbonden zijn lijkt het.
Als Jan inlogt met zijn Jan username en Jan certificaat krijgt hij keurig een verbinding.
Als vervolgens Piet een verbinding maakt met zijn Piet username en Piet certificaat, wordt de verbinding van Jan verbroken.
Ik ben op zich heel blij met de oplossing en wil je dan ook ontzettend bedanken. Ik vrees dat ik er verder mee moet leven dat er maar 1 gebruiker tegelijk kan inloggen.
Bericht door: Mbwum73 op 23 februari 2017, 10:15:39
Dat zou toch moeten werken?
Waar moet die --duplicate-cn instelling precies staan?
Ik zou het geweldig vinden als ik een user gebonden certificaat heb. Dus een gebruiker kan dan alleen inloggen als hij ook het certificaat heeft. Daarmee hou je brute force attacks min of meer buiten de deur (ondanks dat ik ook na 5 pogingen in 5 minuten het account blokkeer). Zelfs als iemand het juiste account + password zou hebben, heeft hij immers ook het certificaat nodig.
Is dit mogelijk? Jouw methode komt dicht in de buurt en ik ben er heel content mee. Maar dat multi inlog verhaal zou het helemaal af maken voor mij. Ik kan wel helemaal opnieuw beginnen met de standaard methode, maar daarmee heb ik volgens mijn geen user gebonden certificaat toch?
Ik kan natuurlijk ook per apparaat een andere gebruiker en certificaat aanmaken, maar dat zou dus betekenen dat ik op de NAS meerdere users aan moet maken die in feite dezelfde persoon zijn. Alleen maar om in te kunnen loggen vanaf mijn tablet, telefoon en windows machine tegelijk. Dan kom je weer in de knel met home drives etc. Wat voor de NAS zijn het drie verschillende gebruikers.
Als ik maar 1 keer in kan loggen is dat niet zo'n ramp (ik gebruik zelden mijn pc, telefoon en tablet tegelijk. Maar ik snap simpelweg niet waarom ik niet met 2 verschillende personen tegelijk kan inloggen. Ik doe vast iets fout, maar ik zie het niet. De config's zijn allemaal correct en gebruiken echt een ander certificaat.
Bericht door: heffenaar op 01 maart 2017, 20:30:30
Alleen spijtig dat door die updates hiermee ook werkende instellingen verloren gaan. Zie vpn plus server.
Ik had op de router werkende verbindingen zowel met openvpn en l2tp en kon met laptop met mint 17.1 en android tablet en smartphone een verbinding opzetten.
Hiermee kon ik verbinding maken met mijn zelfgebouwde nas, waarop ik een raid 1 met 2 harde schijven heb geïnstalleerd. De mappen
kon ik met een vpn benaderen. Maar met de update naar vpn plus was het over en uit.
Heb vervolgens geprobeerd dit met de plus server terug in te stellen maar dit lukte van geen kanten.
Ben dan terug naar de oude vpn server overgeschakeld maar kreeg dit ook niet klaar. L2tp heb ik niet meer werkend gekregen.
Voor openvpn ben ik in dit forum op de topic van mmd terechtgekomen.
Allereerst een dikke proficiat voor mmd, een ongelooflijk goede how-to om openvpn veilig in te stellen.
Zo een klare en duidelijke uitleg verdient een dikke pluim.
Wat heb ik : een pc en een laptop met dualboot waarop windows 7 en linux mint 18 draait.
normaal werk ik altijd onder linux , windows is nog voor " in geval van "
De router deelt de dhcp adressen uit, het lokaal netwerk is 192.168.150.xxx. Het gateway adres is 192.168.150.2
Ik heb alle stappen doorlopen onder windows zonder problemen. Maar het loopt mis met openvpn.config.
wat heb ik gedaan : heb alles van openvpn.config user overgezet naar openvpn.config.
Maar als ik vpnserver start krijg ik volgende melding " de bewerking is mislukt. Meld u opnieuw aan bij SRM en probeer opnieuw "
Het logfile geeft : options error server directive network/ netmask combination is invalid
Bij de instellingen van openvpn op de vpnserver wordt niets ingevuld en krijg ik die foutmelding.
Ik lig helemaal in de knoop met de ip-adressen en heb al van alles uitgeprobeerd maar kom er niet uit.
Wat doe ik fout en wat moet ik nu veranderen aan het config file ?
Bericht door: Pippin op 24 maart 2017, 21:45:14
Ik snap echter nog niet waarom twee verschillende users met twee verschillende certificaten niet tegelijk kunnen werken.Dat zou moeten werken echter kan ik mij voorstellen, als je vanuit hetzelfde netwerk (met hetzelfde WAN-IP) met meerdere clients verbind er IP/routeer conflicten ontstaan (waarschijnlijk wordt hetzelfde VPN-IP gegeven aan verschillende clients)
Dat zou toch moeten werken?
Citaat
1. Waar moet die --duplicate-cn instelling precies staan?1 en 2 gaan niet samen. Het is of 1 of 2.
2. Ik zou het geweldig vinden als ik een user gebonden certificaat heb.
1 = meerdere gebruikers hetzelfde certificaat (standaard configuratie), wordt afgeraden door developers/manual van OpenVPN.
2 = elke gebruiker zijn eigen certificaat (dus zonder duplicate-cn in de config).
Overigens gebeurt de gebruikersnaam en wachtwoord authenticatie extern, middels een Radius plugin.
Ook handig om te weten is dat de gebruiker die inlogt op OpenVPN niet de gebruiker hoeft te zijn die inlogt op DSM.
Citaat
Zelfs als iemand het juiste account + password zou hebben, heeft hij immers ook het certificaat nodig.Het beschrijft eigenlijk een three factor authentication, n.l. tls-auth, eigen certificaat en gebr./ww.
Is dit mogelijk? Jouw methode komt dicht in de buurt.....
Automatisch blokkeren komt wat OpenVPN betreft niet in de picture, wel voor DSM. Altijd goed om er gebruik van te maken.
Citaat
Maar dat multi inlog verhaal zou het helemaal af maken voor mij. Ik kan wel helemaal opnieuw beginnen met de standaard methode, maar daarmee heb ik volgens mijn geen user gebonden certificaat toch?Een oplossing zou dan kunnen zijn om de OpenVPN client op de gateway te draaien, dit zal de router zijn, i.p.v. op elke host.
Ik kan natuurlijk ook per apparaat een andere gebruiker en certificaat aanmaken, maar dat zou dus betekenen dat ik op de NAS meerdere users aan moet maken die in feite dezelfde persoon zijn. Alleen maar om in te kunnen loggen vanaf mijn tablet, telefoon en windows machine tegelijk. Dan kom je weer in de knel met home drives etc. Wat voor de NAS zijn het drie verschillende gebruikers.
Daarmee ben je er dan nog niet want OpenVPN op de NAS zal dan "op de hoogte gesteld" moeten worden van het netwerk achter die client/router. Dat wordt dan wel een meer geavanceerde configuratie en ik vraag mij af of dat de tijd waard is.
Een andere oplossing kan ook zijn om aan beide zijden OpenVPN op de gateway/router te draaien en een site-to-site (routed tun) op te zetten. Maar ook dat is niet kant en klaar beschikbaar.
Bericht door: Pippin op 24 maart 2017, 21:53:24
Op een router dient OpenVPN anders geconfigureerd te worden.
Het verschil is n.l. dat een NAS achter een router zit en dat brengt andere routen met zich mee.
Ik heb zelf geen Synology router en weet eigenlijk niet of deze handleiding daarvoor geschikt is.
Bericht door: Pippin op 24 maart 2017, 22:04:16
En het change log (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24).
Bericht door: Pippin op 03 april 2017, 00:20:50
Voor deze handleiding zijn er drie nodig, CA, Server en client.
Bij deze toegevoegd aan Reactie #1 (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135812/#msg135812).
Bericht door: Pippin op 14 april 2017, 23:29:42
De configuratie in deze handleiding maakte nog gebruik van de standaard topology /30 (net30) van OpenVPN.
Omdat OpenVPN inmiddels op standaard topology subnet is overgegaan met de komst van versie 2.4 heb ik de beide configuratie bestanden aangepast, openvpn-server.zip en openvpn-client.zip.
Vragen graag in een nieuw topic zoals in de openingspost reeds geschreven.
Bericht door: aliazzz op 15 april 2017, 09:21:53
Bericht door: Pippin op 15 april 2017, 12:42:20
De server als ook elke client krijgt één tunnel IP toegewezen, net zoals in een normaal /24 netwerk zeg maar.
192.168.160.0 netwerk adres
192.168.160.1 virtueel server adres
192.168.160.2 - 253 voor clients beschikbaar
192.168.160.254 DHCP
192.168.160.255 broadcast adres
In net30 topology "slurpt" de server en elke client vier IP`s op.
Server:
.0 netwerk adres
.1 virtueel adres in de server
.2 virtueel server adres
.3 broadcast adres
Client1:
.4 netwerk adres
.5 virtueel adres in de server
.6 virtueel client1 adres
.7 broadcast adres
Client2:
.8 netwerk adres
.9 virtueel adres in de server
.10 virtueel client2 adres
.11 broadcast adres
enz.....
enz.....
Hier (https://community.openvpn.net/openvpn/wiki/Topology#Topologynet30) vind je wat meer info aangaande topology.
Bericht door: aliazzz op 15 april 2017, 15:02:19
Bericht door: heuv0716 op 31 mei 2017, 23:36:14
Ik heb het werkend op een DS213, met 1 kleine aanpassing in het client-config bestand. De DNS werd niet geresolved (prachtig nederlands) en dat heb ik via het toevoegen van "float" op weten te lossen.
Ontzettend bedankt voor je duidelijke handleiding! Zonder deze zat er nog een (potentieel) mannetje tussenin ;)
Bericht door: Pippin op 01 juni 2017, 01:23:05
Fijn dat het gelukt is, graag gedaan en bedankt voor de melding.
Bericht door: André PE1PQX op 09 juni 2017, 14:53:20
Kan nu een VPN opbouwen volgens de stappenplan in dit topic tussen mijn Samsung Galaxy S5 (Android 6.0.1) en de NAS.
Nu kijken of ik dat ook werkend krijgen kan tussen laptop en NAS als ik elders ben.
*): Het "iets-niet-goed-doen-en-overnieuw-beginnen" is puur mijn eigen schuld, ik lees, wil gelijk doen maar lees niet eerst het hele stuk om de op- en aanmerkingen die van belang zijn zo te missen.
Bericht door: Pippin op 09 juni 2017, 15:03:37
Er staat in de opening: "wel even voor gaan zitten" :P ;)
Mooi dat het dan toch gelukt is en bedankt voor de melding.
Bericht door: André PE1PQX op 09 juni 2017, 15:14:39
komt er een volgende vraag bij mij boven drijven:
Ik heb nu de boel werkend tussen mijn NAS en smartphone (met 'user-1'), maar moet ik nu 'user-2' gaan verwerken voor bijvoorbeeld mijn laptop of kan ik daar ook 'user-1' voor inzetten.
De kans dat die beide apparaten tegelijk inloggen is niet zo heel erg groot, wel dat er met dynamische IP-adressen ingelogd gaan worden.
Bericht door: Pippin op 09 juni 2017, 15:26:20
Als je 1 user hebt kun je met die user (met zijn config) van elk apparaat waar OpenVPN op te installeren is inloggen.
Gelijktijdig met die zelfde user inloggen gaat niet, dan wordt de eerste inlog gekickt.
Bericht door: André PE1PQX op 09 juni 2017, 15:36:20
Bedankt!!
Bericht door: Pippin op 09 juni 2017, 15:39:04
Graag gedaan.
Bericht door: André PE1PQX op 09 juni 2017, 16:25:58
Voor Windows machines vind je een OpenVPN client op https://openvpn.net/index.php/open-source/downloads.html
Download de juiste smaak (x86 of eventueel x64 zo je wilt) en installeer deze op de gebruikelijke manier.
In de map c:\Program Files\OpenVPN\config (*) plaats je de bestanden ta.key, client.key, openvpn.conf.user, openvpn.ovpn en CA.crt (dus de zelfde bestanden die je in je Android apparaat gebruikt)
Vervolgens kun je eenvoudig 'OpenVPN GUI' opstarten, en omdat de juiste bestanden op de juiste plek gezet zijn hoef je alleen maar de juiste username en wachtwoord in te vullen.
Ik heb dit ook zo gedaan met mijn laptop en hiermee kan ik probleemloos van 'buitenaf' inloggen via OpenVPN op mijn netwerk.
(heb hiervoor een XS4ALL UMTS dongeltje gebruikt).
Zo kan ik dan bijvoorbeeld probleemloos een printje maken met mijn LAN-laser-printer
@MMD als je nog belang hebt bij een log hiervan om te zien hoe die er mee omgaat heb ik die eventueel voor je beschikbaar.
*) Voor x86 machines kan het zijn dat de path iets anders is: C:\Program Files (x86)\OpenVPN\config
Bericht door: Pippin op 09 juni 2017, 16:39:32
Dan heb ik er ook nog één.
Als je geen administrator rechten hebt op Windows kun je vanaf OpenVPN versie 2.4.0 toch gebruik maken van de VPN. Installatie dient echter nog wel als administrator te geschieden.
Plaats daarvoor de config in de gebruikers map:
c:\Users\GEBRUIKER\OpenVPN\config\
Dit is mogelijk gemaakt door een service die toegevoegd is aan OpenVPN, kijk maar eens in taakbeheer.
Bericht door: André PE1PQX op 09 juni 2017, 20:56:34
Als ik met de zelfde configuratie bestanden met mijn laptop via de XS4ALL dongeltje (= 4G LTE verbinding) een VPN opzet kan ik dit weer niet vreemd genoeg.
Websites worden gewoon niet geladen, pingen en tracert leveren niets op (in dos-command venster) en krijgen een time-out...
Ik zit wel in mijn LAN (kan een printje maken bijvoorbeeld) maar kom verder niet naar 'buiten'.
Enig idee?! Of misschien toch een 2e account organiseren....?
Bericht door: Pippin op 09 juni 2017, 21:13:52
Citaat
Ik heb dit ook zo gedaan met mijn laptop en hiermee kan ik probleemloos van 'buitenaf' inloggen via OpenVPN op mijn netwerk.Werkte eerst wel?
(heb hiervoor een XS4ALL UMTS dongeltje gebruikt).
Heb je een client log?
Bericht door: André PE1PQX op 09 juni 2017, 21:20:02
In openvpn.conf de regel "dhcp-option DNS 8.8.8.8" toegevoegd.
Wat ik dan weer niet snap is dat het inmijn SGS5 wel werkt maar met de laptop en XS4ALL dongeltje weer niet... Zelfde config bestanden.
Zal even kijken naar die logs voor je, geef me eventjes tijd.
Bericht door: André PE1PQX op 09 juni 2017, 21:25:59
"Recursive routing detected, drop tun packet to [AF_INET]w.x.y.z:1194"
(w.x.y.z is mijn xs4all IP-adres thuis)
Bericht door: Pippin op 09 juni 2017, 21:38:44
Aan de config van de client toevoegen:
Code: [Selecteer]
allow-recursive-routing
Bericht door: André PE1PQX op 09 juni 2017, 21:41:14
Zal die regel eens toevoegen... Wordt vervolgt!
Bericht door: André PE1PQX op 09 juni 2017, 21:51:38
Denk dat de snelste oplossing het toevoegen van de Google DNS adressen is.
Bericht door: Pippin op 09 juni 2017, 22:12:41
IP van 4G netwerk?
Subnet van de tunnel?
Subnet van het LAN waar de NAS staat?
Bericht door: André PE1PQX op 09 juni 2017, 22:18:30
Subnet van tunnel: 192.168.150.x/255.255.255.0
Subnet van NAS : 192.168.1.x/255.255.255.0
Bericht door: Pippin op 09 juni 2017, 22:37:13
https://sourceforge.net/p/openvpn/mailman/message/34737692/
Bericht door: André PE1PQX op 09 juni 2017, 22:41:55
Blijkbaar zijn er nog enkelen die dit hebben gezien...
Zal eens de DNS server van mijn LAN (door de Fritz toegekend) invullen en kijken wat ie dan doet...
Edit: Met het handmatig toevoegen van de DNS adressen die je thuis ook toegekend krijgt uit de router gaat het ook goed.
(Verzonden via de VPN en de XS4ALL dongel)
Bericht door: Pippin op 09 juni 2017, 22:55:49
Zie https://forums.openvpn.net/viewtopic.php?f=4&t=23432Degene die antwoord gaf in dat topic die ken ik heel goed ;)
Maar dat staat niet direct in relatie tot DNS.
Wat had je eerst dan ingevuld als DNS server(s)?
Je kunt niets invullen, een openbare of een DNS server die op je LAN staat.
Als je niets invult wordt de DNS van XS4ALL gebruikt, in jou geval.
Bericht door: André PE1PQX op 09 juni 2017, 22:59:31
Nu heb ik die uit mijn Fritz gebruikt welke mijn al mijn apparaten in mijn lan ook van de DHCP server krijgen.
(De fritz fungeert als DNS doorgeefluik voor die van XS4ALL)
Bericht door: André PE1PQX op 22 juni 2017, 11:00:09
Bericht door: Pippin op 22 juni 2017, 12:52:20
Moet ik wel bijzeggen dat ik op DSM 5.2 zit.
Een mogelijke oplossing voor de map VPNcerts zou kunnen zijn die ergens anders neer te zetten.
Dan zal echter het Apparmor profiel aangepast moeten worden.
Apps op de DS worden "bewaakt" door Apparmor en hebben daardoor geen toegang buiten de eigen Apps-mappen, een soort jail zeg maar.
Voor openvpn.conf.user is het nog "lastiger" die ergens anders neer te zetten.
Ik heb zelf een backup van de wijzigingen, mocht het fout gaan kopieer ik de map/openvpn.conf.user terug, zet de rechten en klaar.
Citaat
De OpenVPN Server heeft een "verborgen" mogelijkheid een eigen configuratie te gebruiken en daar wordt in deze handleiding gebruik van gemaakt. Deze mogelijkheid wordt niet officieel door Synology ondersteund.
Dit zorgt er mede voor dat de configuratie niet overschreven wordt door een update of herstart. Vanaf DSM 5.0 tot op heden kan ik zeggen dat het mij nog niet gebeurt is. Desalniettemin kan het voorkomen dat het toch gebeurt, we weten immers niet welke veranderingen Synology met toekomstige updates aanbrengt.
Bericht door: André PE1PQX op 22 juni 2017, 12:57:02
Feedback: Lijkt geen probleem op te leveren. Update overschrijft de aangepast config bestanden niet.
Bericht door: Chris12 op 30 juni 2017, 20:56:05
Dit lukt helaas niet (connection time out)
Ik zie bij de verbindingslijst in de VPNserver echter wel het http_X_forwarded_for IP adres van mn mobiel verschijnen.
Verder zie ik in de log file op mn mobiel dat die naar het juiste externe ip adres van mn Ziggo modem wil connecten, via UDP en daarna via UDPv4. Uiteindelijk is er een KEEPALIVE_TIMEOUT.
Hoe dit verder te troubleshooten?
Bericht door: Pippin op 30 juni 2017, 21:41:56
Connection time out betekent normaal gesproken dat de server niet bereikt wordt.
Controleer dan goed de port forward en de firewall op de DS.
Probeer het altijd via 4G, dus WiFi uit en als dat niet lukt vanuit een ander netwerk/buren/familie/openbare hotspot....
Kijk ook in het log van de server of de verbindingspoging van je Android daar aankomt en voor eventuele warnings/errors.
Code: [Selecteer]
/var/log/openvpn.log
Bericht door: Chris12 op 02 juli 2017, 11:21:35
Ik de openvpn.log zie ik het volgende:
Fri Jun 30 21:38:00 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:02 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:04 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:06 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:08 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:10 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:12 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:14 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:16 2017 TLS Error: reading acknowledgement record from packet
Fri Jun 30 21:38:18 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jun 30 21:38:18 2017 SYNO_ERR_CERT
Fri Jun 30 21:38:18 2017 TLS Error: TLS handshake failed
Fri Jun 30 21:38:18 2017 SIGUSR1[soft,tls-error] received, client-instance restarting
Fri Jun 30 21:39:00 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jun 30 21:39:00 2017 SYNO_ERR_CERT
Fri Jun 30 21:39:00 2017 TLS Error: TLS handshake failed
Fri Jun 30 21:39:00 2017 SIGUSR1[soft,tls-error] received, client-instance restarting
Bij Externe toegang --> Router Configuratie heb ik verbindingstest gedaan voor de VPNserver (port 1194, UDP) en deze is OK.
Dus dan kan ik er vanuit gaan dat de port forwarding in de ziggo router goed is.
In de Firewall staat VPN server OpenVPN port 1194 op Toestaan
Bericht door: Birdy op 02 juli 2017, 11:36:01
Bericht door: Chris12 op 02 juli 2017, 11:49:49
tls-auth ta.key 1
toegevoegd aan: /var/pacakges/VPNCenter/etc/openvpn openvpn.conf
(weet niet of die de juiste file/plek is)
Maar helaas nog steeds dezelfde meldingen in de logfile
Bericht door: Birdy op 02 juli 2017, 11:51:41
Bericht door: Chris12 op 02 juli 2017, 11:53:22
Bericht door: Pippin op 02 juli 2017, 11:58:08
Oude profiel eerst verwijderen dan gewijzigde opnieuw importeren.
Bericht door: Pippin op 02 juli 2017, 12:02:42
Ok, ik heb de regel:openvpn.conf ?
tls-auth ta.key 1
toegevoegd aan: /var/pacakges/VPNCenter/etc/openvpn openvpn.conf
Je bedoelt openvpn.conf.user neem ik aan ?
Aan de server zijde dient ta.key 0 te staan.
Aan de client zijde ta.key 1
Je hebt toch de handleiding op de letter gevolgd?
Dat staat n.l. in de config bestanden al goed en zou niets aan gewijzigd hoeven worden.
Bericht door: Pippin op 02 juli 2017, 12:11:30
Dit pad klopt ook niet, wordt niet gebruikt...
Code: [Selecteer]
/var/pacakges/VPNCenter/etc/openvpn openvpn.conf Even voor gaan zitten ;)
Kijk even in reactie #3, daar staan de paden beschreven.
Bericht door: Chris12 op 02 juli 2017, 12:27:25
tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0
In de openvpn.ovpn file (op android phone) staat:
tls-auth ta.key 1
Heb de handleiding gevolgd (incl de inline file support, zodat ik alle certs in de ovpn file heb zitten), en in de files geen verdere aanpassingen gedaan.
Ik heb de wijziging in de ander file (tls-auth ta.key 1) weer ongedaan gemaakt.
Profile op mobiel opnieuw geladen
Zodat we nu weer op zelfde punt zitten als bij mij eerste post.
Welke settings moet de OpenVPN server op de DS415+ hebben voor:
- codering (BF-CBC ?)
- verificatie (SHA256 ?)
Bericht door: Chris12 op 02 juli 2017, 12:48:21
3. WinSCP
Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn
Download onderaan deze post het configuratie bestand openvpn-server.zip, pak het uit en volg de instructies die in openvpn.conf.user staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.conf.user in bovenstaande map.
Hierna de VPNcenter package stop-start gedaan.
Nu kan ik connecten: OpenVPN: Connected
En tevens als test de DS415+ ook benaderd via de webbrowser
Ik zie in de vpn.log file wel een groot aantal meldingen van:
MULTI: bad source address from client [xxx.yyy.zzz.www], packet dropped
Bericht door: Pippin op 02 juli 2017, 12:54:11
De handleiding maakt gebruik van:
codering: AES-256-CBC
verificatie: SHA512
Dit hoeft echter niet perse ingevuld te worden want het staat al in de config bestanden van deze handleiding.
De openvpn.conf.user is een "verborgen" optie die niet door de GUI gebruikt wordt.
Wanneer openvpn.conf.user aanwezig is wordt die geladen en de GUI uitgeschakeld.
Vandaar dat men "OpenVPN-configuratie is aangepast" ziet in het scherm van OpenVPN.
Bericht door: Pippin op 02 juli 2017, 13:00:22
Citaat
MULTI: bad source address from client [xxx.yyy.zzz.www], packet droppedJe mobiel zit in een zogenaamd CGN netwerk, xxx.yyy.zzz.www zal wel een 100.xxx.xxx.xxx adres zijn.
Betekent achter één IP adres zitten vele mobieltjes middels NAT.
Die melding kun je negeren en zul je vaker zien wanneer je via 4G verbonden bent.
Eind goed, al goed :thumbup:
Bericht door: alexander op 06 september 2017, 22:16:18
Mijn studerende dochters in Tilburg en Helsinki kunnen beiden bij de NAS, en belangrijker, hun data blijft gesynct op de NAS.
Leuke feitjes:
1) ik heb een Telfort ADSL abo thuis, met 50/25 mbit down/up. Mijn dochter in Finland kan behoorlijk snel grote bestanden van de NAS halen: haar maximum download blijft hangen op ongeveer 2,5Mb/s. Dus mijn upload is de beperkende factor, de rest tussen NL en Finland is sneller :lol:
2) mijn dochter in Finland kan via NPO en RTL tv kijken. Een andere Nederlandse student mopperde dat ze geen NL tv kon kijken. Een bijeffect wat we van tevoren niet bedacht hadden, maar wel erg prettig is voor haar.
Nogmaals bedankt, zonder deze beschrijving was ik waarschijnlijk weken zoet geweest om het goed beveiligd werkend te krijgen met certicaten, nu was ik in 2 avondjes klaar.
Bericht door: Pippin op 07 september 2017, 12:16:14
Bericht door: rene6921 op 13 september 2017, 16:17:02
Deze topic loopt al sinds 2014. In het eerste bericht staat dat de vpnserver pakket van synology niet geheel veilig is, o.m. MITM.
Geldt dat nog steeds of is het pakket met OpenVPN inmiddels al wel safe?
Dank voor de reacties.
Bericht door: André PE1PQX op 13 september 2017, 17:57:22
Een Man In The Middle wisselt geen (geldige) certificaten uit, de modificatie in dit topic verifiëren de cliënt en server elkaar door middel van die certificaten.
Bericht door: Pippin op 15 september 2017, 00:15:12
Diegenen die nog op DSM versie 5.2 zitten en er niets aan gedaan hebben zijn kwetsbaar.
https://www.synology.com/nl-nl/support/security/Sweet32
De oplossing (die nooit gelezen wordt) die daar voor hen geboden wordt is niet zo eenvoudig dat iedereen dat zomaar even kan.
Een SIMPELE update van OpenVPN (versie en config) en het is opgelost maar het is ze schijnbaar teveel moeite.
Ook onder DSM 6.x bestaan er nog altijd kwetsbaarheden maar ze verekken het OpenVPN op de laatste versie te brengen. Kan nog veel meer schrijven maar ga nu beter maar slapen, morgen nuchter weer op :)
https://www.synology.com/nl-nl/support/security/Synology_SA_17_23_OpenVPN
(:
Bericht door: André PE1PQX op 12 november 2017, 20:12:37
Ik was de originele gegenereerde bestanden kwijt, dus was ook gedwongen de eerste stappen te herhalen. Wat mij opviel was dat het genereren van de Diffie Hellman parameters crashte de XCA utility bij het bewegen van de muis... (Win 7, x64 met 16Gbyte RAM)
Ook maakte ik van deze gelegenheid gebruik voor meerdere users de certificaten en key bestanden aan te maken.
Onder Windows 7 met een extra aangemaakte account werkt het ook.
Bericht door: Pippin op 12 november 2017, 21:44:45
Bedankt, Android 7 toegevoegd aan het lijstje.
Het genereren vereist een zo random mogelijke input, PRNG (pseudorandom number generator).
PRNG wordt gevoed door hardware events (o.a. bewegen van de muis).
Misschien dat er een bug in XCA zit of bepaalde versie Windows i.c.m. XCA.
Bericht door: André PE1PQX op 12 november 2017, 21:51:25
Alleen het genereren duurde meer dan een uur of 2...
Dwingt je wel even wat anders te gaan doen, en de bewuste pjoeter met rust te laten.
(vriendin lichtelijk geirriteerd omdat de computer niet beschikbaar is voor facebook meuk 8) )
Bericht door: André PE1PQX op 12 november 2017, 22:09:35
Ik bedoel: heb nu voor 3 losse clients de key en crt files gemaakt, en ik wil (for whatever reason) toch nog een 4e er bij aan maken, moet ik dan die dh4096.pem opnieuw genereren?
Bericht door: Pippin op 13 november 2017, 13:57:16
Nee hoor, dat is niet nodig.
Alleen de nieuwe <client>.key, <client>.crt en bestaande ta.key met de *.ovpn voor die nieuwe client.
Bericht door: André PE1PQX op 13 november 2017, 14:02:23
Bericht door: André PE1PQX op 24 december 2017, 17:56:56
Op de DS918+ werkt het inmiddels ook prima.
Let er wel op dat je in "netwerk" > "Geavanceerde instellingen" BEIDE vinkjes plaatst, dus bij "Antwoord op ARP-aanvragen als het doel-ip-adres identiek is aan een lokaal adres dat op de inkomende interface is geconfigureerd" EN "Meerdere gateways inschakelen"
(Dank @Ben(V) !!)
Zie dit topic (https://www.synology-forum.nl/vpn-server/openvpn-werkt-niet-op-de-ds918/).
Bericht door: André PE1PQX op 09 maart 2018, 12:58:13
Uit pure ellende de gehele procedure opnieuw gevolgd (en kleine frustraties omdat het genereren van de dh4069 bestand niet direct in 1x lukte door eigen toedoen ;) ) werkt het weer in de SGS7.
App versie: OpenVPN Connect 3.0.3 voor Android (in Android 7, beveiligingsupdate 1 Feb 2018)
Bericht door: Pippin op 09 maart 2018, 14:13:41
Dat is vreemd...
Wat ik altijd doe is, app verwijderen, telefoon herstarten, nieuwe app installeren.
Tot nu toe heeft dat altijd gewerkt, heb wel een andere telefoon, Motorola.
Bericht door: André PE1PQX op 09 maart 2018, 14:27:07
Normaler wijze zou het deinstalleren en de client opnieuw installeren + .ovpn importeren voldoende moeten zijn.
Zal het gelijk ook eerlijk vermelden, ik sluit een geval van PEBKAC ook niet uit. 8)
Bericht door: rommert op 11 maart 2018, 22:38:31
Bericht door: ibizatiger op 15 maart 2018, 08:58:05
is prima gelukt op windows client en android. :thumbup: :thumbup: :thumbup: ;)
Bericht door: ibizatiger op 19 maart 2018, 12:13:10
zoals aangegeven in dit topic, voor elke client een nieuw client.crt en client.key aanmaken indien nodig...
ik heb het volgende voor en word er beetje gek van :-)
krijg steeds de volgende fout in log
Options error: --ca fails with 'CA.crt': No such file or directory (errno=2)
Options error: --cert fails with 'user.crt': No such file or directory (errno=2)
Mon Mar 19 12:08:57 2018 us=17971 WARNING: cannot stat file 'user.key': No such file or directory (errno=2)
Options error: --key fails with 'user.key'
Mon Mar 19 12:08:57 2018 us=19474 WARNING: cannot stat file 'ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with 'ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
ik heb op 1 laptop + android device perfect aan de praat gekregen.
nu wil ik op een 3e laptop met een andere user inloggen op vpn, maar het wil niet werken. ik heb exact dezelfde stappen gevolgd als bij de eerste 2 toestellen.
bij 3e toestel nieuwe user.crt en user.key aangemaakt, zelfde ca.crt en ta.key gehouden van vorige sessie en ovpn aangepast naar de user.
ps: heb het volledig path ook al ingeven in de.ovpn file maar dit veranderd niets...
wat ben ik vergeten, of zie ik over het hoofd?
alvast bedankt voor jullie inzicht.
mvg
sander
Use --help for more information.
Bericht door: Pippin op 19 maart 2018, 16:00:22
Citaat
ps: heb het volledig path ook al ingeven in de.ovpn file maar dit veranderd niets...Hoe zien die paden er daadwerkelijk uit dan?
Bericht door: ibizatiger op 23 maart 2018, 14:47:50
probleem is opgelost :-)
had path niet aangepast naar de map met de bestanden in de openVPN GUI
dan zal hij idd niets vinden
greetz
sander
Bericht door: Pippin op 23 maart 2018, 14:56:28
Bericht door: mni82 op 24 maart 2018, 21:20:18
Ik krijg een error en kom er niet achter wat het probleem is.
Volgens mij ontstaat het probleem door: could not extract X509 subject string from certificate
Weet iemand waar ik naar kan kijken
output from OpenVPN client log:
Sat Mar 24 21:05:57 2018 us=699046 TLS: Initial packet from [AF_INET]84.xx.xx.xxx:443, sid=5254bdb5 ce779d2c
Sat Mar 24 21:05:57 2018 us=932273 VERIFY ERROR: depth=1, could not extract X509 subject string from certificate
Sat Mar 24 21:05:57 2018 us=933276 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Sat Mar 24 21:05:57 2018 us=933276 TLS_ERROR: BIO read tls_read_plaintext error
Sat Mar 24 21:05:57 2018 us=933276 TLS Error: TLS object -> incoming plaintext read error
Sat Mar 24 21:05:57 2018 us=933276 TLS Error: TLS handshake failed
Sat Mar 24 21:05:57 2018 us=933276 Fatal TLS error (check_tls_errors_co), restarting
Sat Mar 24 21:05:57 2018 us=933276 TCP/UDP: Closing socket
Sat Mar 24 21:05:57 2018 us=934276 SIGUSR1[soft,tls-error] received, process restarting
output from /var/log/openvpn.log:
Sat Mar 24 21:05:56 2018 us=488460 LZO compression initialized
Sat Mar 24 21:05:56 2018 us=488562 Control Channel MTU parms [ L:1604 D:212 EF:112 EB:0 ET:0 EL:3 ]
Sat Mar 24 21:05:56 2018 us=488597 Data Channel MTU parms [ L:1604 D:1450 EF:104 EB:143 ET:0 EL:3 AF:3/1 ]
Sat Mar 24 21:05:56 2018 us=488652 Local Options String: 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Sat Mar 24 21:05:56 2018 us=488675 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Sat Mar 24 21:05:56 2018 us=488713 Local Options hash (VER=V4): 'eda38e81'
Sat Mar 24 21:05:56 2018 us=488748 Expected Remote Options hash (VER=V4): 'c19f87b0'
Sat Mar 24 21:05:56 2018 us=488821 TCP connection established with [AF_INET]84.xx.xx.xxx:57571
Sat Mar 24 21:05:56 2018 us=488852 TCPv4_SERVER link local: [undef]
Sat Mar 24 21:05:56 2018 us=488877 TCPv4_SERVER link remote: [AF_INET]84.xx.xx.xxx:57571
Sat Mar 24 21:05:57 2018 us=486522 84.xx.xx.xxx:57571 TLS: Initial packet from [AF_INET]84.xx.xx.xxx:57571, sid=414a8bf8 1d9f4a63
Sat Mar 24 21:05:57 2018 us=723439 84.xx.xx.xxx:57571 Connection reset, restarting [-1]
Sat Mar 24 21:05:57 2018 us=723494 84.xx.xx.xxx:57571 SIGUSR1[soft,connection-reset] received, client-instance restarting
Commands en output die ik heb geprobeerd tijdens het onderzoek:
# openssl verify -CAfile CA.crt -purpose sslserver Server.crt
Server.crt: OK
# openssl x509 -noout -subject -in Server.crt
subject= /CN=Server
Bericht door: Pippin op 24 maart 2018, 21:50:21
Maak anders het server certificaat en de server sleutel opnieuw nadat je ze eerst verwijderd hebt, ook uit XCA.
Bericht door: mni82 op 24 maart 2018, 22:26:25
CA.crt
dh4096.pem
Server.crt
Server.key
ta.key
In de C:\Program Files\OpenVPN\config staat:
openvpn.ovpn
CA.crt
client.crt (hernoemd naar gebruiker)
client.key (hernoemd naar gebruiker)
Bericht door: mni82 op 25 maart 2018, 23:41:56
Dit had ik werkend zonder de certificaten.
Wat mij opvalt aan de logs is dat er via poort 443 een verbinding wordt opgezet.
In de log van de server zie ik dat een andere poort wordt gebruikt.
In het voorbeeld wat ik eerder gepost heb, dus poort 57571.
Echter bij elke poging om te verbinden veranderd die poort.
Kan dit de reden zijn en wat kan dit veroorzaken?
Bericht door: Pippin op 26 maart 2018, 14:48:48
Client verbind naar server:443 en krijgt reactie terug vanaf de poort waarmee het verbind:
Code: [Selecteer]
Initial packet from [AF_INET]84.xx.xx.xxx:443Server praat terug met client:57571:
Code: [Selecteer]
TCP connection established with [AF_INET]84.xx.xx.xxx:57571Maak anders het server certificaat en de server sleutel opnieuw nadat je ze eerst verwijderd hebt, ook uit XCA.
Bericht door: mni82 op 26 maart 2018, 22:08:15
Ik heb dit gedaan maar krijg dezelfde melding.
Hieronder screenshots van het aanmaken van de server certificaat en key.
[attach=1]
[attach=5]
[attach=2]
[attach=3]
[attach=4]
De server.config heb ik nu zoals je beschrijft in de tutorial.
Maar krijg ik niet aan de praat.
Ik gebruik wel overal SHA512 ipv SHA256.
Ik heb een werkende server.conf (zie hieronder).
Echter zou ik dus graag een certificaat per gebruiker willen invoeren zoals in jou tutorial.
Daarnaast wil ik graag een ip adres krijgen wat deel uit maakt van mijn lokale netwerk.
Dit is me met onderstaande config ook nog niet gelukt.
Hiermee krijg ik nog een ip uit de 10.0.26.0 range
dev tun
proto tcp
persist-tun
persist-key
management 127.0.0.1 1195
client-to-client
server 10.0.26.0 255.255.255.0
dh /usr/local/AppCentral/vpn-server/etc/openvpn/key/dh1024.pem
ca /usr/local/AppCentral/vpn-server/etc/openvpn/key/ca.crt
cert /usr/local/AppCentral/vpn-server/etc/openvpn/key/server.crt
key /usr/local/AppCentral/vpn-server/etc/openvpn/key/server.key
max-clients 5
port 443
port-share 127.0.0.1 4545
comp-lzo
push "dhcp-option DNS 8.8.8.8"
push "route 192.168.2.0 255.255.255.0"
verb 3
keepalive 10 60
reneg-sec 0
cipher AES-256-CBC
auth SHA512
plugin /usr/local/AppCentral/vpn-server/etc/openvpn/radiusplugin.so /usr/local/AppCentral/vpn-server/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn
client-connect /usr/local/AppCentral/vpn-server/bin/auth-up
client-disconnect /usr/local/AppCentral/vpn-server/bin/auth-down
script-security 3
ifconfig-pool-persist ipp.txt
Bericht door: Pippin op 27 maart 2018, 08:21:52
Wat je laat zien klopt niet.
Het gaat hier om het package VPN Server.
Begin met een kale installatie van VPN Server.
Volg de stappen hier beschreven, ervaring is dat het dan werkt.
Dit kan niet:
Citaat
Daarnaast wil ik graag een ip adres krijgen wat deel uit maakt van mijn lokale netwerk.Lees de bruine letters nog eens.
Bericht door: The_cobra666 op 12 april 2018, 11:34:47
Hoe lang zou dit ongeveer moeten duren? Draait op een quad core i5.
//edit nvm is klaar nu. Duurde alleen een tijdje.
Bericht door: André PE1PQX op 12 april 2018, 12:26:53
Citaat
Dit gaat een tijdje duren laat het z`n gang gaan, drink wat en wacht.....
Drink nog wat.....
.....
....
...
..
Tja... (quote van 1e pagina)
Tijd is afhankelijk van snelheid PC, dus het heeft gewoon zijn tijd nodig.
Tip voor de nieuwe implementeerders: Zet bij het genereren van de DH-sleutel alle niet nodige programma's en app uit, ook de screensaver!
Raak ook je muis niet aan, laat de computer zijn ding doen zonder enige input! (anders kan XCA crashen en kun je opnieuw het genereer proces opstarten)
Dit was bij mij dus het geval...
Bericht door: KDM op 16 mei 2018, 06:48:44
I have successfully followed the instructions to get OpenVPN installed on my NAS and accessible using an android phone but am unable to get it working with a Windows & or 10 PC and hoped that I could get some assistance.
Some notes about my setup before posting config and log files.
I'm using one set of certs for both devices, I don't think this matters but pointed it out just in case.
My client log file of a failed connection
Code: [Selecteer]
Tue May 15 15:31:41 2018 us=274201 NOTE: --fast-io is disabled since we are running on Windows
Tue May 15 15:31:41 2018 us=274201 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:41 2018 us=274201 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:41 2018 us=274201 LZO compression initializing
Tue May 15 15:31:41 2018 us=274201 Control Channel MTU parms [ L:1622 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 15:31:41 2018 us=274201 MANAGEMENT: >STATE:1526362301,RESOLVE,,,,,,
Tue May 15 15:31:41 2018 us=274201 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Tue May 15 15:31:41 2018 us=274201 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 15:31:41 2018 us=274201 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 15:31:41 2018 us=274201 TCP/UDP: Preserving recently used remote address: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:41 2018 us=274201 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 15 15:31:41 2018 us=274201 UDP link local (bound): [AF_INET][undef]:1194
Tue May 15 15:31:41 2018 us=274201 UDP link remote: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:41 2018 us=274201 MANAGEMENT: >STATE:1526362301,WAIT,,,,,,
Tue May 15 15:31:41 2018 us=321001 MANAGEMENT: >STATE:1526362301,AUTH,,,,,,
Tue May 15 15:31:41 2018 us=321001 TLS: Initial packet from [AF_INET]X.X.X.X:1194, sid=6b104c25 6b0586a9
Tue May 15 15:31:42 2018 us=912201 TLS Error: Unroutable control packet received from [AF_INET]X.X.X.X:1194 (si=3 op=P_CONTROL_V1)
Tue May 15 15:31:42 2018 us=912201 VERIFY OK: depth=1, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=CA, emailAddress=rootca@vpn.vpn
Tue May 15 15:31:42 2018 us=912201 VERIFY KU OK
Tue May 15 15:31:42 2018 us=912201 Certificate does not have extended key usage extension
Tue May 15 15:31:42 2018 us=912201 VERIFY EKU ERROR
Tue May 15 15:31:42 2018 us=912201 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Tue May 15 15:31:42 2018 us=912201 TLS_ERROR: BIO read tls_read_plaintext error
Tue May 15 15:31:42 2018 us=912201 TLS Error: TLS object -> incoming plaintext read error
Tue May 15 15:31:42 2018 us=912201 TLS Error: TLS handshake failed
Tue May 15 15:31:42 2018 us=912201 TCP/UDP: Closing socket
Tue May 15 15:31:42 2018 us=912201 SIGUSR1[soft,tls-error] received, process restarting
Tue May 15 15:31:42 2018 us=912201 MANAGEMENT: >STATE:1526362302,RECONNECTING,tls-error,,,,,
Tue May 15 15:31:42 2018 us=912201 Restart pause, 5 second(s)
Tue May 15 15:31:47 2018 us=982201 NOTE: --fast-io is disabled since we are running on Windows
Tue May 15 15:31:47 2018 us=982201 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:47 2018 us=982201 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:47 2018 us=982201 LZO compression initializing
Tue May 15 15:31:47 2018 us=982201 Control Channel MTU parms [ L:1622 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 15:31:47 2018 us=982201 MANAGEMENT: >STATE:1526362307,RESOLVE,,,,,,
Tue May 15 15:31:47 2018 us=982201 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Tue May 15 15:31:47 2018 us=982201 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 15:31:47 2018 us=982201 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 15:31:47 2018 us=982201 TCP/UDP: Preserving recently used remote address: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:47 2018 us=982201 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 15 15:31:47 2018 us=982201 UDP link local (bound): [AF_INET][undef]:1194
Tue May 15 15:31:47 2018 us=982201 UDP link remote: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:47 2018 us=982201 MANAGEMENT: >STATE:1526362307,WAIT,,,,,,
Tue May 15 15:31:48 2018 us=13401 TLS Error: Unroutable control packet received from [AF_INET]X.X.X.X:1194 (si=3 op=P_CONTROL_V1)
Client config
Code: [Selecteer]
# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!
remote X.X.X.X 1194
### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
cert Vinnie.crt
### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.crt"
key Vinnie.key
### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.key"
# Onderstaande "dhcp-option DNS" hoeft niet gebruikt te worden,
# dan wordt de standaard DNS instelling van de client gebruikt.
# Wil je dat wel dan moet het een geldig DNS server IP zijn
# Hetzij een eigen DNS server (b.v. op de Diskstation)
# Of publieke DNS server (b.v. 8.8.8.8 van Google)
# Wanneer je het wel gebruikt moet het # weggehaalt worden
# Er kunnen er meerdere opgegeven worden
#dhcp-option DNS vul.hier.ip1.in ### IP van DNS server 1
#dhcp-option DNS vul.hier.ip2.in ### IP van DNS server 2
# Wat hier onder staat hoeft niet gewijzigd te worden
################################################################
ca CA.crt
verb 4
block-outside-dns
register-dns
redirect-gateway def1
dev tun
proto udp
pull
tls-client
remote-cert-tls server
cipher AES-256-CBC
prng SHA256 32
auth SHA256
tls-version-min 1.2 or-highest
tls-auth ta.key 1
fast-io
comp-lzo
reneg-sec 0
auth-user-pass
auth-nocache
Server Config
Code: [Selecteer]
# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!
# Er wordt een logbestand geschreven naar:
log /var/log/openvpn.log
verb 4
# Als er problemen zijn om te verbinden bekijk dan het openvpn.log
# Bekijk tevens het log van de client
# Kom je er niet uit, meld je dan hier: http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/
################################################################
# Dit dien je over te nemen van openvpn.conf in /usr/syno/etc/packages/VPNCenter/openvpn
# Als het IP adres 192.168.160.1 is overgenomen uit de handleiding hoeft hier onder <push "route 192.168.160.0 255.255.255.0"> niet vervangen te worden
server 192.168.160.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf
push "route 192.168.1.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)
push "route 192.168.160.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)
max-clients 5 ### 5 vervangen door het nummer uit openvpn.conf
# Wat hier onder staat hoeft niet gewijzigd te worden
################################################################
topology subnet
push "sndbuf 0"
push "rcvbuf 0"
sndbuf 0
rcvbuf 0
management 127.0.0.1 1195
dev tun
proto udp
port 1194
persist-tun
persist-key
cipher AES-256-CBC
prng SHA256 32
auth SHA256
tls-version-min 1.2 or-highest
tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0
remote-cert-tls client
dh /usr/syno/etc/packages/VPNCenter/VPNcerts/dh4096.pem
ca /usr/syno/etc/packages/VPNCenter/VPNcerts/CA.crt
cert /usr/syno/etc/packages/VPNCenter/VPNcerts/Server.crt
key /usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key
fast-io
comp-lzo
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
status /tmp/ovpn_status_2_result 30
status-version 2
Bericht door: KDM op 16 mei 2018, 06:51:13
Code: [Selecteer]
Tue May 15 16:01:25 2018 us=850677 MULTI: multi_create_instance called
Tue May 15 16:01:25 2018 us=850942 X.X.X.X:41100 Re-using SSL/TLS context
Tue May 15 16:01:25 2018 us=851049 X.X.X.X:41100 LZO compression initialized
Tue May 15 16:01:25 2018 us=851325 X.X.X.X:41100 Control Channel MTU parms [ L:1570 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 16:01:25 2018 us=851437 X.X.X.X:41100 Data Channel MTU parms [ L:1570 D:1450 EF:70 EB:143 ET:0 EL:3 AF:3/1 ]
Tue May 15 16:01:25 2018 us=851579 X.X.X.X:41100 Local Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 16:01:25 2018 us=851649 X.X.X.X:41100 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 16:01:25 2018 us=851746 X.X.X.X:41100 Local Options hash (VER=V4): '8a3b3cca'
Tue May 15 16:01:25 2018 us=851834 X.X.X.X:41100 Expected Remote Options hash (VER=V4): '73e43c96'
Tue May 15 16:01:25 2018 us=852001 X.X.X.X:41100 TLS: Initial packet from [AF_INET]X.X.X.X:41100, sid=572a78bb f525f70b
Tue May 15 16:01:27 2018 us=402465 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [22] 1526364084:2 1526364084:2 t=1526364087[0] r=[-2,64,15,0,1] sl=[62,2,64,272]
Tue May 15 16:01:27 2018 us=402659 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #2 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:27 2018 us=402743 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:29 2018 us=258046 X.X.X.X:41100 VERIFY OK: depth=1, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=CA, emailAddress=rootca@vpn.vpn
Tue May 15 16:01:29 2018 us=263430 X.X.X.X:41100 Validating certificate key usage
Tue May 15 16:01:29 2018 us=263550 X.X.X.X:41100 ++ Certificate has key usage 0088, expects 0080
Tue May 15 16:01:29 2018 us=263619 X.X.X.X:41100 ++ Certificate has key usage 0088, expects 0008
Tue May 15 16:01:29 2018 us=263675 X.X.X.X:41100 ++ Certificate has key usage 0088, expects 0088
Tue May 15 16:01:29 2018 us=263729 X.X.X.X:41100 VERIFY KU OK
Tue May 15 16:01:29 2018 us=263794 X.X.X.X:41100 Validating certificate extended key usage
Tue May 15 16:01:29 2018 us=263857 X.X.X.X:41100 ++ Certificate has EKU (str) TLS Web Client Authentication, expects TLS Web Client Authentication
Tue May 15 16:01:29 2018 us=263914 X.X.X.X:41100 VERIFY EKU OK
Tue May 15 16:01:29 2018 us=264004 X.X.X.X:41100 VERIFY OK: depth=0, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=Vinnie, emailAddress=Vinnie@vpn.vpn
Tue May 15 16:01:30 2018 us=464170 X.X.X.X:41100 PID_ERR replay-window backtrack occurred [2] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:7 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464341 X.X.X.X:41100 PID_ERR replay [2] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:7 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464447 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=464608 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=464821 X.X.X.X:41100 PID_ERR replay [1] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:8 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464934 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465003 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465137 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:9 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465233 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465297 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465449 X.X.X.X:41100 PID_ERR replay [1] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:8 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465542 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465605 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465727 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:9 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465818 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465882 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Tue May 15 16:01:31 2018 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Tue May 15 16:01:31 2018 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false
.Tue May 15 16:01:31 2018 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Tue May 15 16:01:31 2018 us=75434 X.X.X.X:41100 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Tue May 15 16:01:31 2018 us=75631 X.X.X.X:41100 TLS: Username/Password authentication succeeded for username 'Vinnie'
Tue May 15 16:01:31 2018 us=76138 X.X.X.X:41100 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 15 16:01:31 2018 us=76273 X.X.X.X:41100 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 16:01:31 2018 us=76354 X.X.X.X:41100 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 15 16:01:31 2018 us=76424 X.X.X.X:41100 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 16:01:31 2018 us=171518 X.X.X.X:41100 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Tue May 15 16:01:31 2018 us=171718 X.X.X.X:41100 [Vinnie] Peer Connection Initiated with [AF_INET]X.X.X.X:41100
Tue May 15 16:01:31 2018 us=171881 Vinnie/X.X.X.X:41100 MULTI_sva: pool returned IPv4=192.168.160.2, IPv6=(Not enabled)
Tue May 15 16:01:31 2018 us=198042 Vinnie/X.X.X.X:41100 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Tue May 15 16:01:31 2018 us=198268 Vinnie/X.X.X.X:41100 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_6d7afee432a7858787927bbb020aa56e.tmp
Tue May 15 16:01:31 2018 us=198565 Vinnie/X.X.X.X:41100 MULTI: Learn: 192.168.160.2 -> Vinnie/X.X.X.X:41100
Tue May 15 16:01:31 2018 us=198662 Vinnie/X.X.X.X:41100 MULTI: primary virtual IP for Vinnie/X.X.X.X:41100: 192.168.160.2
Tue May 15 16:01:31 2018 us=199212 Vinnie/X.X.X.X:41100 PUSH: Received control message: 'PUSH_REQUEST'
Tue May 15 16:01:31 2018 us=199316 Vinnie/X.X.X.X:41100 send_push_reply(): safe_cap=940
Tue May 15 16:01:31 2018 us=199451 Vinnie/X.X.X.X:41100 SENT CONTROL [Vinnie]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.160.0 255.255.255.0,sndbuf 0,rcvbuf 0,route-gateway 192.168.160.1,topology subnet,ping 10,ping-restart 60,ifconfig 192.168.160.2 255.255.255.0' (status=1)
Tue May 15 16:02:03 2018 us=503272 Vinnie/X.X.X.X:41100 SIGTERM[soft,remote-exit] received, client-instance exiting
Tue May 15 16:02:03 2018 RADIUS-PLUGIN: BACKGROUND ACCT: No accounting data was found for Vinnie,X.X.X.X:41100.
Tue May 15 16:02:03 2018 us=506538 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_DISCONNECT status=0
Bericht door: Pippin op 16 mei 2018, 16:44:59
Citaat
I'm using one set of certs for both devices, I don't think this matters but pointed it out just in case.It does, certificate is coupled to the user (this is not a 100% correct explanation for our NAS but the outcome will be the same).
Simultaneous connection will therefore fail for same user/certificate.
Try with user specific certificates, as intended by this manual.
Greetings.
Bericht door: André PE1PQX op 17 mei 2018, 19:55:59
Nu vraag ik me af of het volgende ook kan via VPN zoals in deze tutorial:
User1 => inloggen met toegang tot NAS en naar de rest van LAN (zoals LAN-printer)
User2 => inloggen met toegan tot NAS maar NIET tot de rest van LAN (zoals LAN-printer)
Rechten in de NAS zijn natuurlijk in de NAS zelf in te stellen, maar hoe regel ik eventuele toegang tot de rest van mijn LAN?
Standaard kun je als ik het wel heb de hele LAN op, maar User2 wil ik die toegang blokkeren.
Dit puur uit nieuwschierigheid..
Bericht door: Pippin op 17 mei 2018, 20:41:09
Vervolgens firewall regels die bepalen welke client waar kan komen.
Of de firewall de benodigde functionaliteit biedt zou ik moeten bekijken maar uit het hoofd dacht ik van niet omdat geen Doel adres opgegeven kan worden.
Om enigszins te zien hoe de firewall in elkaar steekt doe maar eens
Code: [Selecteer]
iptables -Sop de command line.Of om op te slaan
Code: [Selecteer]
iptables -S > /volume1/SHARE/regels.txtSHARE vervangen door een gedeelde map.Men kan eventueel zelf "onder de kap" regels toevoegen.
Daar zal echter enige reverse enginering nodig zijn om met het Synology systeem te integreren zodat b.v. bij een wijziging aan de firewall niet die regels verloren gaan.
Bericht door: André PE1PQX op 17 mei 2018, 21:10:04
Ik heb verder het idee dat in de OpenVPN config file voor de client nog het een en ander in te stellen is. Echt 100% secure is dat ook weer niet omdat dit eenvoudig is te wijzigen.
Dat van een vast ip-adres voor een VPN-client is dan denk ik wel handig, dan kun je die met firewalls alsnog blocken op andere machines in je LAN.
(bedenkt zich nu ineens dat zijn LAN-printer geen firewall heeft...)
Bericht door: Pippin op 17 mei 2018, 21:26:27
Ik heb verder het idee dat in de OpenVPN config file voor de client nog het een en ander in te stellen is. Echt 100% secure is dat ook weer niet omdat dit eenvoudig is te wijzigen.Je geeft het zelf al aan. De client kan zelf routes zetten naar jou interne netwerk(en) en zo mogelijk toegang krijgen.
Firewall mogelijkheid is eigenlijk een must, zeer zeker voor bedrijven.
Bericht door: André PE1PQX op 17 mei 2018, 21:58:00
Eigenlijk best nadelig dat die OpenVPN te eenvoudig te wijzigen is.
Bericht door: Pippin op 17 mei 2018, 23:45:47
Citaat
Firewall mogelijkheid is eigenlijk een must, zeer zeker voor bedrijven.Daar doelde ik eigenlijk op OpenVPN (of zelfs andere VPN).
OpenVPN beveiligd een verbinding tussen endpoints, niet meer en niet minder.
Routing en firewall hoort daar eigenlijk niet bij, dat moet een netwerk admin allang kennen, networking 101.
Daar ligt natuurlijk ook een probleem van gebruikers dat niet zo eenvoudig op te lossen is, kun je verwachten dat wij allemaal netwerk admins worden?
Dat onze Synology NAS die OpenVPN aanbiedt op dit punt niet compleet (genoeg) is ligt niet aan OpenVPN....... ;)
Bericht door: KDM op 20 mei 2018, 04:37:15
Bericht door: Pippin op 20 mei 2018, 16:14:53
Code: [Selecteer]
VERIFY EKU ERRORPlease check your server certificate for Extended Key Usage properties or post the details which you can find in XCA.Select the server certificate, click Show Details and copy the details under the Extension tab here.
Bericht door: KDM op 21 mei 2018, 11:11:07
CA:FALSE
X509v3 Subject Key Identifier:
93:8F:6B:FB:4D:BF:D4:8B:CC:C5:0E:F4:B9:6B:B7:E3:D4:1B:46:97
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
extendedKeyUsage=serverAuth
keyUsage=digitalSignature, keyEncipherment
subjectKeyIdentifier=hash
basicConstraints=critical,CA:FALSE
Bericht door: Pippin op 21 mei 2018, 14:45:13
Yet, the client log shows a verify error of the server certificate.
Are you sure you copied the correct certificates to the correct locations?
Please see step 3 to verify the path`s:
https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135814/#msg135814
Code: [Selecteer]
/usr/syno/etc/packages/VPNCenter/VPNcerts 0755
CA.crt 0400
Server.crt 0400
Server.key 0400
dh4096.pem 0644
ta.key 0400
/usr/syno/etc/packages/VPNCenter/openvpn
openvpn.conf.user 0644
Bericht door: KDM op 21 mei 2018, 23:18:05
Bericht door: André PE1PQX op 21 mei 2018, 23:47:56
Bericht door: KDM op 22 mei 2018, 00:08:08
Bericht door: KDM op 22 mei 2018, 00:28:34
Bericht door: Pippin op 22 mei 2018, 00:41:59
Some thing`s get lost in translation...
Let us know how it goes.
Bericht door: KDM op 22 mei 2018, 07:56:19
Thank you MMD for helping, I really appreciated it.
Bericht door: Pippin op 22 mei 2018, 10:38:24
Greetings.
Bericht door: André PE1PQX op 24 mei 2018, 16:22:59
Dus zoals het nu lijkt kan DSM 6.2 toegevoegd worden aan de startpost.
Noot: dit gaat dus om een opdate van een werkend systeem, niet over het configureren van OpenVPN-à-la MMD op een verse DSM 6.2 installatie.
Indien gewenst kan/wil ik daar ook wel eens naar kijken, de MailPlus server werkt inmiddels ook op 6.2 en die kent nog geen VPN server.
Bericht door: Pippin op 24 mei 2018, 23:09:59
Ben zelf conservatief wat updates betreft, ben pas ruim een maand ofzo op DSM 6.1.
Ook deze keer wacht ik waarschijnlijk nog wel even, voegt niet veel toe voor mijn gebruik.
Alleen packages doe ik redelijk vlot als er niet teveel bug meldingen zijn.
Een DSM update zal in de regel geen probleem zijn voor deze handleiding, heb ik nog niet meegemaakt tenminste.
Wat betreft OpenVPN, oftewel een update van VPN Server, zolang de mappenstructuur niet wijzigt en openvpn.conf.user niet uit het start script gehaald wordt zal het blijven werken.
Wanneer Synology eindelijk eens de OpenVPN versie update naar 2.4 of hoger zou het (theoretisch) ook moeten blijven werken.
Welke versie is er nu in 6.2, nog steeds 2.3.11?
Code: [Selecteer]
openvpn --versionBij mij:
Code: [Selecteer]
root@NAS:~# openvpn --version
OpenVPN 2.4.5 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
library versions: OpenSSL 1.0.2o 27 Mar 2018, LZO 2.10
Originally developed by James Yonan
Bericht door: André PE1PQX op 24 mei 2018, 23:17:06
Code: [Selecteer]
OpenVPN 2.3.11 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 19 2018
library versions: OpenSSL 1.0.2n-fips 7 Dec 2017, LZO 2.09
Originally developed by James Yonan
Lijkt een oudere versie te zijn dan voor ARM CPU's. Dat verbaast me dus toch wel weer...
Bericht door: Birdy op 24 mei 2018, 23:20:26
Code: [Selecteer]
SynologyRouter> openvpn --version
OpenVPN 2.3.11 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec 18 2017
library versions: OpenSSL 1.0.2k-fips 26 Jan 2017, LZO 2.09
Originally developed by James Yonan
::)
Bericht door: Pippin op 24 mei 2018, 23:23:09
Heb Entware-NG via Easy Bootstrap Installer (cphub.net (http://cphub.net)) draaien ;)
Bericht door: Birdy op 24 mei 2018, 23:27:37
Bericht door: André PE1PQX op 24 mei 2018, 23:32:07
Bericht door: Pippin op 24 mei 2018, 23:48:11
Zeker weten?
https://www.synology-forum.de/showthread.html?68335-EBI-Easy-Bootstrap-Installer/page10&p=732841&viewfull=1#post732841
Overigens heb ik naast EBI ook iPKG-Gui geïnstalleerd.
Bericht door: Birdy op 25 mei 2018, 00:01:17
Citaat
iPKG-GuiIs een mooi handig pakketje.
Bericht door: André PE1PQX op 25 mei 2018, 00:02:09
Off topic:
Zeker weten?
https://www.synology-forum.de/showthread.html?68335-EBI-Easy-Bootstrap-Installer/page10&p=732841&viewfull=1#post732841
Overigens heb ik naast EBI ook iPKG-Gui geïnstalleerd.
Edit: of je kijkt gewoon beter... Bed tijd voor mij :silent:
Bericht door: André PE1PQX op 14 juni 2018, 10:40:35
OpenVPN met aanpassingen van dit topic lijkt hierin ook prima te werken, heb nog geen nadelige effecten mogen ontdekken.
Bericht door: Pippin op 14 juni 2018, 11:12:03
Bericht door: jevago op 18 juni 2018, 16:32:22
Wat er gebeurd is dat bij het maken van de connectie om een wachtwoord wordt gevraagd en vervolgens de verbinding verbroken wordt.
De servers logs;
Code: [Selecteer]
Mon Jun 18 16:23:12 2018 us=167876 Current Parameter Settings:
Mon Jun 18 16:23:12 2018 us=168579 config = 'openvpn.conf.user'
Mon Jun 18 16:23:12 2018 us=168697 mode = 1
Mon Jun 18 16:23:12 2018 us=168799 persist_config = DISABLED
Mon Jun 18 16:23:12 2018 us=168900 persist_mode = 1
Mon Jun 18 16:23:12 2018 us=169000 show_ciphers = DISABLED
Mon Jun 18 16:23:12 2018 us=169100 show_digests = DISABLED
Mon Jun 18 16:23:12 2018 us=169199 show_engines = DISABLED
Mon Jun 18 16:23:12 2018 us=169297 genkey = DISABLED
Mon Jun 18 16:23:12 2018 us=169396 key_pass_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=169497 show_tls_ciphers = DISABLED
Mon Jun 18 16:23:12 2018 us=169596 Connection profiles [default]:
Mon Jun 18 16:23:12 2018 us=169697 proto = udp
Mon Jun 18 16:23:12 2018 us=169795 local = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=169895 local_port = 1194
Mon Jun 18 16:23:12 2018 us=169992 remote = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=170092 remote_port = 1194
Mon Jun 18 16:23:12 2018 us=170189 remote_float = DISABLED
Mon Jun 18 16:23:12 2018 us=170288 bind_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=170387 bind_local = ENABLED
Mon Jun 18 16:23:12 2018 us=170488 connect_retry_seconds = 5
Mon Jun 18 16:23:12 2018 us=170588 connect_timeout = 10
Mon Jun 18 16:23:12 2018 us=170688 connect_retry_max = 0
Mon Jun 18 16:23:12 2018 us=170786 socks_proxy_server = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=170886 socks_proxy_port = 0
Mon Jun 18 16:23:12 2018 us=170984 socks_proxy_retry = DISABLED
Mon Jun 18 16:23:12 2018 us=171083 tun_mtu = 1500
Mon Jun 18 16:23:12 2018 us=171182 tun_mtu_defined = ENABLED
Mon Jun 18 16:23:12 2018 us=171281 link_mtu = 1500
Mon Jun 18 16:23:12 2018 us=171379 link_mtu_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=171479 tun_mtu_extra = 0
Mon Jun 18 16:23:12 2018 us=171577 tun_mtu_extra_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=171677 mtu_discover_type = -1
Mon Jun 18 16:23:12 2018 us=171776 fragment = 0
Mon Jun 18 16:23:12 2018 us=171875 mssfix = 1450
Mon Jun 18 16:23:12 2018 us=171974 explicit_exit_notification = 0
Mon Jun 18 16:23:12 2018 us=172114 Connection profiles END
Mon Jun 18 16:23:12 2018 us=172215 remote_random = DISABLED
Mon Jun 18 16:23:12 2018 us=172315 ipchange = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=172413 dev = 'tun'
Mon Jun 18 16:23:12 2018 us=172510 dev_type = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=172609 dev_node = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=172707 lladdr = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=172805 topology = 3
Mon Jun 18 16:23:12 2018 us=172903 tun_ipv6 = DISABLED
Mon Jun 18 16:23:12 2018 us=173002 ifconfig_local = '192.168.160.1'
Mon Jun 18 16:23:12 2018 us=173102 ifconfig_remote_netmask = '255.255.255.0'
Mon Jun 18 16:23:12 2018 us=173200 ifconfig_noexec = DISABLED
Mon Jun 18 16:23:12 2018 us=173299 ifconfig_nowarn = DISABLED
Mon Jun 18 16:23:12 2018 us=173397 ifconfig_ipv6_local = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=173496 ifconfig_ipv6_netbits = 0
Mon Jun 18 16:23:12 2018 us=173596 ifconfig_ipv6_remote = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=173694 shaper = 0
Mon Jun 18 16:23:12 2018 us=173793 mtu_test = 0
Mon Jun 18 16:23:12 2018 us=173889 mlock = DISABLED
Mon Jun 18 16:23:12 2018 us=173988 keepalive_ping = 10
Mon Jun 18 16:23:12 2018 us=174087 keepalive_timeout = 60
Mon Jun 18 16:23:12 2018 us=174186 inactivity_timeout = 0
Mon Jun 18 16:23:12 2018 us=174285 ping_send_timeout = 10
Mon Jun 18 16:23:12 2018 us=174385 ping_rec_timeout = 120
Mon Jun 18 16:23:12 2018 us=174485 ping_rec_timeout_action = 2
Mon Jun 18 16:23:12 2018 us=174584 ping_timer_remote = DISABLED
Mon Jun 18 16:23:12 2018 us=174684 remap_sigusr1 = 0
Mon Jun 18 16:23:12 2018 us=174783 persist_tun = ENABLED
Mon Jun 18 16:23:12 2018 us=174882 persist_local_ip = DISABLED
Mon Jun 18 16:23:12 2018 us=174981 persist_remote_ip = DISABLED
Mon Jun 18 16:23:12 2018 us=175081 persist_key = ENABLED
Mon Jun 18 16:23:12 2018 us=175178 passtos = DISABLED
Mon Jun 18 16:23:12 2018 us=175278 resolve_retry_seconds = 1000000000
Mon Jun 18 16:23:12 2018 us=175406 username = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=175506 groupname = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=175605 chroot_dir = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=175705 cd_dir = '/usr/syno/etc/packages/VPNCenter/openvpn'
Mon Jun 18 16:23:12 2018 us=175804 writepid = '/var/run/ovpn_server.pid'
Mon Jun 18 16:23:12 2018 us=175903 up_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=176002 down_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=176101 down_pre = DISABLED
Mon Jun 18 16:23:12 2018 us=176200 up_restart = DISABLED
Mon Jun 18 16:23:12 2018 us=176299 up_delay = DISABLED
Mon Jun 18 16:23:12 2018 us=176397 daemon = ENABLED
Mon Jun 18 16:23:12 2018 us=176496 inetd = 0
Mon Jun 18 16:23:12 2018 us=176594 log = ENABLED
Mon Jun 18 16:23:12 2018 us=176693 suppress_timestamps = DISABLED
Mon Jun 18 16:23:12 2018 us=176793 nice = 0
Mon Jun 18 16:23:12 2018 us=176892 verbosity = 4
Mon Jun 18 16:23:12 2018 us=176991 mute = 0
Mon Jun 18 16:23:12 2018 us=177090 gremlin = 0
Mon Jun 18 16:23:12 2018 us=177189 status_file = '/tmp/ovpn_status_2_result'
Mon Jun 18 16:23:12 2018 us=177290 status_file_version = 2
Mon Jun 18 16:23:12 2018 us=177390 status_file_update_freq = 30
Mon Jun 18 16:23:12 2018 us=177488 occ = ENABLED
Mon Jun 18 16:23:12 2018 us=177586 rcvbuf = 0
Mon Jun 18 16:23:12 2018 us=177685 sndbuf = 0
Mon Jun 18 16:23:12 2018 us=177784 mark = 0
Mon Jun 18 16:23:12 2018 us=177883 sockflags = 0
Mon Jun 18 16:23:12 2018 us=177982 fast_io = ENABLED
Mon Jun 18 16:23:12 2018 us=178081 lzo = 7
Mon Jun 18 16:23:12 2018 us=178179 route_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=178278 route_default_gateway = '192.168.160.2'
Mon Jun 18 16:23:12 2018 us=178378 route_default_metric = 0
Mon Jun 18 16:23:12 2018 us=178479 route_noexec = DISABLED
Mon Jun 18 16:23:12 2018 us=178580 route_delay = 0
Mon Jun 18 16:23:12 2018 us=178681 route_delay_window = 30
Mon Jun 18 16:23:12 2018 us=178781 route_delay_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=178882 route_nopull = DISABLED
Mon Jun 18 16:23:12 2018 us=178982 route_gateway_via_dhcp = DISABLED
Mon Jun 18 16:23:12 2018 us=179083 max_routes = 100
Mon Jun 18 16:23:12 2018 us=179183 allow_pull_fqdn = DISABLED
Mon Jun 18 16:23:12 2018 us=179285 management_addr = '127.0.0.1'
Mon Jun 18 16:23:12 2018 us=179386 management_port = 1195
Mon Jun 18 16:23:12 2018 us=179486 management_user_pass = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=179587 management_log_history_cache = 250
Mon Jun 18 16:23:12 2018 us=179688 management_echo_buffer_size = 100
Mon Jun 18 16:23:12 2018 us=179789 management_write_peer_info_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=179890 management_client_user = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=179991 management_client_group = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=180093 management_flags = 0
Mon Jun 18 16:23:12 2018 us=180226 plugin[0] /var/packages/VPNCenter/target/lib/radiusplugin.so '[/var/packages/VPNCenter/target/lib/radiusplugin.so] [/var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf]'
Mon Jun 18 16:23:12 2018 us=180333 shared_secret_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=180438 key_direction = 1
Mon Jun 18 16:23:12 2018 us=180539 ciphername_defined = ENABLED
Mon Jun 18 16:23:12 2018 us=180641 ciphername = 'AES-256-CBC'
Mon Jun 18 16:23:12 2018 us=180743 authname_defined = ENABLED
Mon Jun 18 16:23:12 2018 us=180844 authname = 'SHA256'
Mon Jun 18 16:23:12 2018 us=180945 prng_hash = 'SHA256'
Mon Jun 18 16:23:12 2018 us=181046 prng_nonce_secret_len = 32
Mon Jun 18 16:23:12 2018 us=181146 keysize = 0
Mon Jun 18 16:23:12 2018 us=181247 engine = DISABLED
Mon Jun 18 16:23:12 2018 us=181346 replay = ENABLED
Mon Jun 18 16:23:12 2018 us=181447 mute_replay_warnings = DISABLED
Mon Jun 18 16:23:12 2018 us=181548 replay_window = 64
Mon Jun 18 16:23:12 2018 us=181648 replay_time = 15
Mon Jun 18 16:23:12 2018 us=181748 packet_id_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=181849 use_iv = ENABLED
Mon Jun 18 16:23:12 2018 us=181976 test_crypto = DISABLED
Mon Jun 18 16:23:12 2018 us=182110 tls_server = ENABLED
Mon Jun 18 16:23:12 2018 us=182213 tls_client = DISABLED
Mon Jun 18 16:23:12 2018 us=182315 key_method = 2
Mon Jun 18 16:23:12 2018 us=182418 ca_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/CA.crt'
Mon Jun 18 16:23:12 2018 us=182519 ca_path = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=182621 dh_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/dh4096.pem'
Mon Jun 18 16:23:12 2018 us=182723 cert_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/Server.crt'
Mon Jun 18 16:23:12 2018 us=182826 priv_key_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key'
Mon Jun 18 16:23:12 2018 us=182928 pkcs12_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183029 cipher_list = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183129 tls_verify = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183230 tls_export_cert = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183332 verify_x509_type = 0
Mon Jun 18 16:23:12 2018 us=183432 verify_x509_name = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183532 crl_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183632 ns_cert_type = 0
Mon Jun 18 16:23:12 2018 us=183733 remote_cert_ku[i] = 128
Mon Jun 18 16:23:12 2018 us=183835 remote_cert_ku[i] = 8
Mon Jun 18 16:23:12 2018 us=183937 remote_cert_ku[i] = 136
Mon Jun 18 16:23:12 2018 us=184038 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184140 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184240 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184340 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184441 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184542 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184643 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184745 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184847 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184948 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=185050 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=185152 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=185254 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=185356 remote_cert_eku = 'TLS Web Client Authentication'
Mon Jun 18 16:23:12 2018 us=185457 ssl_flags = 192
Mon Jun 18 16:23:12 2018 us=185559 tls_timeout = 2
Mon Jun 18 16:23:12 2018 us=185660 renegotiate_bytes = 0
Mon Jun 18 16:23:12 2018 us=185762 renegotiate_packets = 0
Mon Jun 18 16:23:12 2018 us=185863 renegotiate_seconds = 0
Mon Jun 18 16:23:12 2018 us=185966 handshake_window = 60
Mon Jun 18 16:23:12 2018 us=186067 transition_window = 3600
Mon Jun 18 16:23:12 2018 us=186167 single_session = DISABLED
Mon Jun 18 16:23:12 2018 us=186267 push_peer_info = DISABLED
Mon Jun 18 16:23:12 2018 us=186367 tls_exit = DISABLED
Mon Jun 18 16:23:12 2018 us=186467 tls_auth_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key'
Mon Jun 18 16:23:12 2018 us=186582 server_network = 192.168.160.0
Mon Jun 18 16:23:12 2018 us=186697 server_netmask = 255.255.255.0
Mon Jun 18 16:23:12 2018 us=186843 server_network_ipv6 = ::
Mon Jun 18 16:23:12 2018 us=186950 server_netbits_ipv6 = 0
Mon Jun 18 16:23:12 2018 us=187066 server_bridge_ip = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=187180 server_bridge_netmask = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=187294 server_bridge_pool_start = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=187408 server_bridge_pool_end = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=187509 push_entry = 'route 192.168.2.0 255.255.255.0'
Mon Jun 18 16:23:12 2018 us=187611 push_entry = 'route 192.168.160.0 255.255.255.0'
Mon Jun 18 16:23:12 2018 us=187712 push_entry = 'sndbuf 0'
Mon Jun 18 16:23:12 2018 us=187813 push_entry = 'rcvbuf 0'
Mon Jun 18 16:23:12 2018 us=187915 push_entry = 'route-gateway 192.168.160.1'
Mon Jun 18 16:23:12 2018 us=188016 push_entry = 'topology subnet'
Mon Jun 18 16:23:12 2018 us=188117 push_entry = 'ping 10'
Mon Jun 18 16:23:12 2018 us=188217 push_entry = 'ping-restart 60'
Mon Jun 18 16:23:12 2018 us=188320 ifconfig_pool_defined = ENABLED
Mon Jun 18 16:23:12 2018 us=188463 ifconfig_pool_start = 192.168.160.2
Mon Jun 18 16:23:12 2018 us=188580 ifconfig_pool_end = 192.168.160.253
Mon Jun 18 16:23:12 2018 us=188695 ifconfig_pool_netmask = 255.255.255.0
Mon Jun 18 16:23:12 2018 us=188797 ifconfig_pool_persist_filename = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=188899 ifconfig_pool_persist_refresh_freq = 600
Mon Jun 18 16:23:12 2018 us=189002 ifconfig_ipv6_pool_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=189110 ifconfig_ipv6_pool_base = ::
Mon Jun 18 16:23:12 2018 us=189212 ifconfig_ipv6_pool_netbits = 0
Mon Jun 18 16:23:12 2018 us=189313 n_bcast_buf = 256
Mon Jun 18 16:23:12 2018 us=189415 tcp_queue_limit = 64
Mon Jun 18 16:23:12 2018 us=189517 real_hash_size = 256
Mon Jun 18 16:23:12 2018 us=189618 virtual_hash_size = 256
Mon Jun 18 16:23:12 2018 us=189720 client_connect_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=189821 learn_address_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=189922 client_disconnect_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=190024 client_config_dir = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=190124 ccd_exclusive = DISABLED
Mon Jun 18 16:23:12 2018 us=190225 tmp_dir = '/tmp'
Mon Jun 18 16:23:12 2018 us=190325 push_ifconfig_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=190439 push_ifconfig_local = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=190554 push_ifconfig_remote_netmask = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=190655 push_ifconfig_ipv6_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=190764 push_ifconfig_ipv6_local = ::/0
Mon Jun 18 16:23:12 2018 us=190872 push_ifconfig_ipv6_remote = ::
Mon Jun 18 16:23:12 2018 us=190973 enable_c2c = DISABLED
Mon Jun 18 16:23:12 2018 us=191074 duplicate_cn = DISABLED
Mon Jun 18 16:23:12 2018 us=191175 cf_max = 0
Mon Jun 18 16:23:12 2018 us=191275 cf_per = 0
Mon Jun 18 16:23:12 2018 us=191376 max_clients = 5
Mon Jun 18 16:23:12 2018 us=191476 max_routes_per_client = 256
Mon Jun 18 16:23:12 2018 us=191576 auth_user_pass_verify_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=191679 auth_user_pass_verify_script_via_file = DISABLED
Mon Jun 18 16:23:12 2018 us=191780 port_share_host = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=191882 port_share_port = 0
Mon Jun 18 16:23:12 2018 us=191980 client = DISABLED
Mon Jun 18 16:23:12 2018 us=192127 pull = DISABLED
Mon Jun 18 16:23:12 2018 us=192229 auth_user_pass_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=192339 OpenVPN 2.3.6 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Aug 11 2015
Mon Jun 18 16:23:12 2018 us=192508 library versions: OpenSSL 1.0.1u-fips 22 Sep 2016, LZO 2.08
Mon Jun 18 16:23:12 2018 us=193197 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1195
Mon Jun 18 16:23:12 2018 RADIUS-PLUGIN: Configfile name: /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf.
Mon Jun 18 16:23:12 2018 us=198316 PLUGIN_INIT: POST /var/packages/VPNCenter/target/lib/radiusplugin.so '[/var/packages/VPNCenter/target/lib/radiusplugin.so] [/var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT
Mon Jun 18 16:23:12 2018 us=201094 Diffie-Hellman initialized with 4096 bit key
Mon Jun 18 16:23:12 2018 us=204166 WARNING: file '/usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key' is group or others accessible
Mon Jun 18 16:23:12 2018 us=228220 Control Channel Authentication: using '/usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key' as a OpenVPN static key file
Mon Jun 18 16:23:12 2018 us=228556 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Jun 18 16:23:12 2018 us=228722 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Jun 18 16:23:12 2018 us=228931 TLS-Auth MTU parms [ L:1570 D:178 EF:78 EB:0 ET:0 EL:0 ]
Mon Jun 18 16:23:12 2018 us=229116 Socket Buffers: R=[114688->114688] S=[114688->114688]
Mon Jun 18 16:23:12 2018 us=252156 TUN/TAP device tun0 opened
Mon Jun 18 16:23:12 2018 us=252357 TUN/TAP TX queue length set to 100
Mon Jun 18 16:23:12 2018 us=252534 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Jun 18 16:23:12 2018 us=252813 /sbin/ifconfig tun0 192.168.160.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.160.255
Mon Jun 18 16:23:12 2018 us=280577 Data Channel MTU parms [ L:1570 D:1450 EF:70 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jun 18 16:23:12 2018 us=293320 UDPv4 link local (bound): [undef]
Mon Jun 18 16:23:12 2018 us=293713 UDPv4 link remote: [undef]
Mon Jun 18 16:23:12 2018 us=293883 MULTI: multi_init called, r=256 v=256
Mon Jun 18 16:23:12 2018 us=294863 IFCONFIG POOL: base=192.168.160.2 size=252, ipv6=0
Mon Jun 18 16:23:12 2018 us=295237 Initialization Sequence Completed
De client log heb ik bijgesloten (interne test via Windows en externe via een DS).
Wat zie ik over het hoofd?
Bericht door: Pippin op 18 juni 2018, 17:32:39
In het server log staat:
Code: [Selecteer]
key_direction = 1
In het client log staat:Code: [Selecteer]
key_direction = 1
Server zijde dient 0 te zijn en client zijde 1Test altijd van buitenaf.
Zorg ook dat de rechten goed staan zoals omschreven:
Code: [Selecteer]
WARNING: file '/usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key' is group or others accessibleWaar de error
Code: [Selecteer]
ERROR: could not read Auth username/password/ok/string from management interfaceop de Windows client vandaan komt is raden.....Wordt OpenVPN als administrator gestart?
Bericht door: jevago op 20 juni 2018, 20:57:32
Code: [Selecteer]
key-direction 0Echter blijft in de logging van de server de waarde op 1 staan. Nergens anders in de configfiles staat een verwijzing naar de key direction. Het werkt nog niet.
Dat van de rechten op de bestanden weet, heb even tijdelijke certificaten neergezet zonder de rechten goed te zetten.
Bericht door: Pippin op 20 juni 2018, 22:54:31
Code: [Selecteer]
tls-auth ta.key 0Aan de client zijde op 1:Code: [Selecteer]
tls-auth ta.key 1Daar hoeft niets aan te gebeuren.Volg a.u.b. de handleiding op de voet, dat geldt ook voor OpenVPN #2: Beter beveiligen als client (https://www.synology-forum.nl/vpn-server/openvpn-beter-beveiligen-als-client/) die je waarschijnlijk toegepast hebt op een externe DS.
Citaat
Wordt OpenVPN als administrator gestart?Die vraag had ik niet hoeven stellen want dat is niet meer van toepassing in de versie 2.4.6 die je onder Windows gebruikt.
Bericht door: JohnnyR op 26 augustus 2018, 20:59:13
Bericht door: Birdy op 26 augustus 2018, 21:05:47
Code: [Selecteer]
sudo -ien geef het password in van admin.
Bericht door: Birdy op 26 augustus 2018, 21:08:33
Er zijn n.l. ruim 370 reacties.
Bericht door: André PE1PQX op 26 augustus 2018, 21:37:03
https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135814/#msg135814
Bericht door: Birdy op 26 augustus 2018, 21:39:52
Bericht door: JohnnyR op 27 augustus 2018, 20:14:59
dankrijg ik de melding:
Citaat
Fout tijdens het overslaan van het opstartbericht. Uw shell is mogelijk niet compatibel met de toepassing (BASH wordt aangeraden).bij invoer van /sudo i krijg ik server stuurde opdracht beëindigingsstatus 127.
Ik heb alle instellingen zoals die in de post nas benaderen met SSH gecontroleerd. en met putty krijg ik wel de admin status.
bedankt voor de snelle reactie trouwens :D
geprobeerd via een opdracht regel en dan krijg ik
Citaat
/$ sudo -i
sudo: no tty present and no askpass program specified
Bericht door: Birdy op 27 augustus 2018, 22:50:10
https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty
Bericht door: Pippin op 18 september 2018, 12:09:15
Dit geldt alleen voor verkeer dat niet reeds versleuteld is.
Zo is b.v. HTTPS dat door de tunnel gaat niet gevoelig voor deze attack.
De aanpassing betreft de compressie die nu uitgeschakeld is zodat deze attack onmogelijk wordt.
Bericht door: André PE1PQX op 18 september 2018, 12:30:49
Wat zijn de wijzigingen in de config bestanden. Had al gezien dat zowel de server config als de client config gewijzigd zijn (download teller stond op nul).
Als er maar 1 of 2 regels gewijzigd zijn of toegevoegd hoef je toch niet de hele config te vervangen? Of denk ik te simpel?
Bericht door: Pippin op 18 september 2018, 16:58:02
Wijzigingen:
1. "comp-lzo" ---> "comp-lzo no" voor server en client(s)
Dat is al voldoende tegen Voracle.
2. "nobind" toegevoegd voor de client(s).
Kiest een willekeurige poort voor reply packets.
3. "float" toegevoegd voor de client(s).
Hiermee kunnen clients "floaten", b.v. wanneer men in de auto rijdt en van 4G mast naar 4G mast verbindt of als een client een dynamisch IP krijgt toegewezen van zijn ISP.
Bericht door: André PE1PQX op 18 september 2018, 22:00:20
Bericht door: GravityRZ op 06 oktober 2018, 17:30:11
toegevoegd comp-lzo no, nobind, float prng SHA256 32, auth SHA256
weggehaald reneg-sec 0
verbinden gaat prima maar als ik in de log kijk zie ik staan compress:LZO_STUB
betekent dit nu dat compressie uit staat?
ik kan overigens in de settings van openvpn(v3.0.1) de compressie op NO, Full of downlink only zetten maar alles blijft gewoon werken(waarschijnlijk omdat dit overruled wordt door de config files )
ik heb eea veranderd omdat ik begrepen heb dat upgraden naar 3.0.2 problemen geeft als je compressie nog hebt aan staan
Bericht door: Pippin op 06 oktober 2018, 17:44:46
De melding in het log is alleen de initialisatie van compressie o.i.d.
Versie 3.0.x, dat zal voor Apple zijn?
Daar heb ik geen ervaring mee.
Bericht door: GravityRZ op 06 oktober 2018, 20:46:32
3.0.2(ios 12) geinstalleerd en die doet het ook
Bericht door: willieaames op 09 november 2018, 12:26:28
ik heb de laatste aanpassingen gedaan in zowel server als client files
toegevoegd comp-lzo no, nobind, float prng SHA256 32, auth SHA256
weggehaald reneg-sec 0
verbinden gaat prima maar als ik in de log kijk zie ik staan compress:LZO_STUB
betekent dit nu dat compressie uit staat?
ik kan overigens in de settings van openvpn (https://www.bestvpn.co/vpn-deals/)(v3.0.1) de compressie op NO, Full of downlink only zetten maar alles blijft gewoon werken(waarschijnlijk omdat dit overruled wordt door de config files )
ik heb eea veranderd omdat ik begrepen heb dat upgraden naar 3.0.2 problemen geeft als je compressie nog hebt aan staan
Dit is afhankelijk van de externe "firewall" pakketinspectieapparatuur die ze gebruiken. Als ze een geavanceerde gebruiken, detecteert de poort de handshake, ongeacht de poort en blokkeert de verbinding met de VPN. Vooral bij gebruik van vrij verkrijgbare VPN-protocollen.
Bericht door: Wuter op 10 november 2018, 19:23:09
[attach=1]
Bericht door: Pippin op 10 november 2018, 19:35:49
Heb je een Unix capabele tekst editor gebruikt, zoals Notepad++ b.v.?
Bericht door: Wuter op 10 november 2018, 19:48:37
Bericht door: Pippin op 10 november 2018, 20:27:14
Bericht door: André PE1PQX op 28 maart 2019, 17:00:18
de DS218+ werkt ook als VPN server volgens het idee van dit topic, en mijn eerste indruk is dat het met de DSM update ook gewoon werkt.
Bericht door: Pippin op 28 maart 2019, 17:09:29
Zolang Synology niets veranderd in de mappen structuur van VPN Server zal het blijven werken, tenminste... tot het moment er door OpenVPN developers besloten wordt de verouderde versie die Synology gebruikt, 2.3.11, niet meer te ondersteunen.
Dit blijft een hekel punt voor mij, OpenVPN wordt door veel gebruikers ingezet maar Synology blijft hopeloos achter.....
Bericht door: André PE1PQX op 28 maart 2019, 17:14:26
Mogelijk dat Syno OpenVPN alsnog gaat upgraden/updaten??
Bericht door: Pippin op 28 maart 2019, 17:24:43
Alternatief kan ook Easy Bootstrap Installer zijn zodat men zelf alles in de hand heeft maar ook dan is kennis vereist en alleen als Entware zich laat installeren op het type DS dat men heeft. IPKG heeft n.l. ook een verouderde versie...
Of Synology gaat updaten, geen idee, ben al een jaar of twee geleden gestopt met communiceren, brengt helemaal niets......
Bericht door: André PE1PQX op 28 maart 2019, 17:50:31
Bericht door: hscheff op 07 mei 2019, 19:13:55
Ek verstaan meeste van wat hier geskryf is in Nederlands, en hoop jul kan Afrikaans verstaan.
Hoop dit is OK :)
Vraag: Sal dit nie nog veiliger wees om geen gebruikernaam / wagwoord te gebruik vir die VPN verbinding nie?
I.e. Slegs klient sertifikaat; dan is daar geen wagwoord wat hackers kan kry nie.
Of verstaan ek verkeerd?
Bericht door: Pippin op 07 mei 2019, 19:22:56
1. certificaten
2. gebruikersnaam+wachtwoord.
3. tls-auth key
Een hacker heeft dus 1,2 en 3 nodig om binnen te komen.
Bericht door: hscheff op 07 mei 2019, 19:43:44
Daar is wel ander DSM dienste wat slegs gebruikersnaam en wagwoord gebruik.
Dieselfde Synology gebruikernaam en wagwoord word ook hier vir VPN gebruik en via die internet gestuur.
Ek aanvaar dit word encrypt en beskerm deur die sertifikate.
Beste praktyk is dus om slegs VPN na die internet beskikbaar te maak.
Toegang vanaf die internet na alle ander DSM dienste moet via VPN wees.
Korrek?
Bericht door: Pippin op 07 mei 2019, 19:53:06
Bericht door: JeffreyJDavis op 31 juli 2019, 20:06:44
First off: Much Thanks to MMD for posting this thorough and excellent manual for getting OpenVPN securely running on DSM.
Second off: Thanks to b00bytrap for posting a very helpful English translation walk through youtube of MMD's manual.
Third off: Thanks to everyone in this community for being very helpful to all the users who are struggling with various issues.
I have google translated my way through all 27 pages of this thread and it is very educational. I was able to successfully follow the procedure and get OpenVPN running on my new DS1019+. I am able to authenticate correctly I believe via windows client on my laptop. (I am connecting my win laptop to my mobile phone hotspot and then tunnelling in to my home LAN.) I am able to access my DS shares and DSM via VPN. So I think I got the hard part working correctly, but I have some stupid beginner's error here in the overall network / DHCP / DNS config on either server or client side which is preventing me from getting DNS resolution. I cannot access the WWW nor ping any websites from CMD window on Win10 once connected to VPN.
My LAN is on a 10.0.0.xxx subnet and my tunnel LAN is set to 10.10.0.xxx subnet . I have disguised my external WAN IP as www.xxx.yyy.zzz in the attached files and my admin acct as myadmin . I included the OpenVPN log and also a dump of an IPCONFIG and PING command from Windows. It seems that I am not getting a gateway for my VPN connection?
I'm guessing it might be quite obvious to someone helpful in this forum, but I for the life of me cannot figure it out. Any help or suggestions appreciated in advance.
Bericht door: Pippin op 31 juli 2019, 20:27:38
1. Did you allow the VPN subnet 10.10.0.0/24 in the firewall on the DS?
2. What gives:
Code: [Selecteer]
cat /proc/sys/net/ipv4/ip_forwardon the DS command line?3. Did you try another OS, Linux, Android...or is this specific Windows?
Bericht door: Pippin op 31 juli 2019, 20:36:07
You have to comment (#) these lines in the server config:
Code: [Selecteer]
block-outside-dns
register-dnsDoes that solve the issue?
Bericht door: JeffreyJDavis op 31 juli 2019, 21:03:04
The routes in the client log look ok to me.
1. Did you allow the VPN subnet 10.10.0.0/24 in the firewall on the DS?
DOH!!!!!!! That was all it took! I have a pretty extreme DS firewall setup. Allow a few specific services and ports and then a blanket DENY all rule. I put an allow all protocols 10.10.0.1 -- 10.10.0.254 and it is working great now. Do you think that rule is leaving my back door too wide open?
THANKS SO MUCH FOR YOUR QUICK HELP!! :thumbup: :thumbup:
Bericht door: Pippin op 31 juli 2019, 22:58:29
Bericht door: o3sen op 21 oktober 2019, 11:10:35
Ik kan de handleiding helemaal volgen tot stap 4. Ik probeer een Windows machine als client in te stellen ipv een telefoon. In welke directories moet ik een en ander neerzetten op de PC. Is dit Program Files/OpenVPN/config voor alle aangemaakte bestanden?
Alvast bedankt.
Bericht door: Pippin op 21 oktober 2019, 11:49:38
Heb zelf al een hele tijd geen Windows meer maar volgens mij moet je het nu in
Gebruikersnaam/OpenVPN/config
plaatsen.
Bericht door: o3sen op 21 oktober 2019, 13:17:55
Bericht door: Birdy op 21 oktober 2019, 13:32:09
Bericht door: o3sen op 25 oktober 2019, 11:23:24
Ik heb alle stappen uitgevoerd, maar bij opstarten openvpn krijg ik de volgende melding:
TLS Error: cannot locate HMAC in incoming packet from [AF_INET] <EXTERN-IP>:1194
De complete log is:
Fri Oct 25 11:16:48 2019 MANAGEMENT: >STATE:1571995008,AUTH,,,,,,
Fri Oct 25 11:16:48 2019 TLS: Initial packet from [AF_INET]<EXTERN-IP>:1194, sid=8ac3f127 9cba1ca4
Fri Oct 25 11:16:48 2019 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]OpenVPN #1: <EXTERN-IP>:1194
Het zegt mij helaas niets. Als je aanwijzingen hebt houd ik me aanbevolen.
Bericht door: Birdy op 25 oktober 2019, 12:04:15
Bericht door: o3sen op 25 oktober 2019, 12:15:36
Bericht door: Pippin op 25 oktober 2019, 14:53:04
Bericht door: Minotaure op 25 februari 2020, 22:20:56
Alvast bedankt voor dit mooi stappenplan, ik heb dit gevolgd maar kan niet connecten..
Ik krijg steeds:
Tue Feb 25 21:59:40 2020 us=370745 TLS: Initial packet from [AF_INET6]<extern Ipv6>:1194, sid=e0fabb4f 9b434e57
Tue Feb 25 21:59:40 2020 us=370745 TLS Error: cannot locate HMAC in incoming packet from [AF_INET6]<extern Ipv6>:1194
Alle files zijn aanwezig in de openvpn config folder, de inhoud van de ta.key file is dezelfde op de NAS als op de PC.
Enig idee wat ik nog kan proberen?
Alvast bedankt,
Steven
Bericht door: Pippin op 25 februari 2020, 23:00:21
Probeer het eens met
Code: [Selecteer]
proto udp6in plaats vanCode: [Selecteer]
proto udpaan beide zijden.Wel vanaf het internet verbinding opbouwen, dus niet vanuit het netwerk waar de NAS staat.
Bericht door: Minotaure op 27 februari 2020, 23:22:04
GRMBL! Ik denk dat ik het gevonden heb.. Het path in de openvpn.conf.user voor de certificaten had een mismatch..
Folder op de NAS is VPNCerts (C in hoofdletter) ; het path in de config file was met kleine c..
Tja, windows admin he, die kijken daar over! LOL!
Toch bedankt voor je snelle antwoord!
Steven
Bericht door: Pippin op 27 februari 2020, 23:55:44
Bericht door: André PE1PQX op 01 maart 2020, 14:35:43
Bericht door: Pippin op 01 maart 2020, 14:55:14
Er zal echter een moment komen waar dit niet meer lukt, of voor bepaalde functies niet meer.
Langzaam aan worden bepaalde opties verwijderd:
https://community.openvpn.net/openvpn/wiki/DeprecatedOptions
Er worden ook weer verbeterde en nieuwe opties toegevoegd.
Bericht door: André PE1PQX op 01 maart 2020, 15:43:24
Bericht door: Xmas op 06 april 2020, 18:02:17
I've followed the guide in first page.
When I open OpenVPN GUI, I can connect to VPN (I see the green icon) and connect to NAS but in Synology VPNServer panel I find 0 client connected (as you can see in image attached).
(https://i.postimg.cc/75kSvsHG/3.jpg) (https://postimg.cc/75kSvsHG)
Also, under VPN I can't visit other websites because I receive this error:
DNS_PROBE_FINISHED_BAD_CONFIG
When I created VPN with classic Synology official guide, I saw "1 client connected" in VPNServer panel and I could also visit other websites.
Is normal this difference?
Sorry for my bas English! I hope to be clear.
Thanks!
Bericht door: cowstreet op 28 juli 2020, 14:47:51
TLS error: cannot locate HMAC in incoming packet from [AF_INET]IP: Poort
In router portforward aangezet, betreft router achter ziggo modem dat in bridge staat. Bij check via diverse websites wordt aangegeven dat poort nog steeds dichtstaat maar dat schijn niet betrouwbaar te zijn met UDP. Twijfel dus of dat het probleem is.
NAS geeft geen log info van mijn pogingen van zojuist.
Heeft er iemand suggesties hoe verder te gaan?
Bericht door: cowstreet op 29 juli 2020, 19:51:36
Bericht door: André PE1PQX op 04 april 2021, 17:57:59
Helaas betekend dit ook dat de beveiligingsaanpassingen van dit topic bij deze update niet meer werken.
Of dit een BUG is weet ik zelf niet. Mijn ICT kennis schiet hierin te kort.
Bericht door: GravityRZ op 04 april 2021, 18:20:13
voor de mensen die hier verstand van hebben
Normaliter verschijnt in de log de user die ik gebruik om in te loggen(extra security naast de certificaten)
na upgrade naar package 2780 werkt niets meer en verschijnt er user UNDEF in de log.
ook had ik na upgrade de melding dat eth0 niet beschikbaar was.
het selecteren van eth1 hielp niet en ook na terugswitchen werkte het niet.
na een reboot was die error melding weg maar ook dit kan er op duiden dat er toch iets ingrijpends veranderd is
wellicht is het dus een simpel probleem dat de user credentials niet worden doorgegeven aan openvpn
Bericht door: jav231 op 06 april 2021, 19:45:44
I used this guide and have had a successful VPN connection and never had a problem until the recent update. I restored the package prior and i am back up and running. Not sure if anyone else has this issue, but when my clients are connected to the vpn they do not show under connected users. On the package vpn server>conected users, it only shows the clients connected up until a minute or so after thhat they are gone from the list, but the connect stays active until i close it. I saw online that if you had proto udp6 to the server conf file that will fix this error and show connected users. I did that and left the client config file as is and it works. The problem is that if i use that same account to login on my mac and iphone simultaneously, both connections timeout, disconnect and reconnect. I was hoping someone knows how to fix this issue the right way. So i am able to see what clients are connected to the vpn. Thank you all for this incredible guide!
Bericht door: André PE1PQX op 07 april 2021, 09:53:31
this is also the reason I do not update the VPN package for now.
Bericht door: jav231 op 07 april 2021, 15:15:18
Hi,
The update just broke the whole connection, what i was referring too has been happening since i followed this guide from like 4 years ago or so. I figured being that the new update broke the connection and i restored to the package prior too, i figured i would mention to see if anyone knew how to fix the connected users issue.
Thanks!
Bericht door: kmuehlemann op 09 april 2021, 19:42:12
I am new to this forum. I speak German and English (but unfortunately no Dutch).
I had installed an openVPN on my Synology DS1019+. It worked fine until the update at the beginning of April 2021. Since then I have been stuggling to get back on-line. I can successfully achieve this with the basic installation provided by Synology, but no longer with tls-authentication.
I tried multiple times to install openVPN again as I had done it before, and I always end up with the message "TLS Error: cannot locate HMAC in incoming packet from [AF_INET]xxx.xxx.xx.xx:1194 (where xxx.xxx.xx.xx is my current WAN-IP). I have of course analyzed the problem to the best of my ability, and I have googled the issue: No solution found.
When I was out of ideas, I tried this tutorial to get back on track (only deviation: I used the latest version of XCA). I generated all the certificates and keys and installed them. However, when I connect my client, I get the same error message once again.
Who out there had the same problem and solved it? Who has an idea for a systematic approach to track the problem down? I would really appreciate your support.
I am attaching my server (openvpn.conf.user.txt) and client (openvpn-client.ovpn.txt) files. I added the txt-extentions so that the forum accepts the upload.
Kind regards
Kurt
Bericht door: Geerten op 09 april 2021, 22:42:24
How did you manage to roll back the VPN-server to a version prior to 30 march??
Is there a possibility to download these old version packages somewhere? Or should I have made a back-up somehow? I just installed the package from the package centre.
Since my knowledge and time for this is limited, until (if at all) this gets fixed by synology, I really would like to roll back the package. :'(
Thanks and kind regards,
Geerten
Bericht door: GravityRZ op 09 april 2021, 22:53:56
then download the old package from this site
https://archive.synology.com/download/Package/VPNCenter/1.3.11-2777
after that restore the customized files or follow the complete manual again
Bericht door: Geerten op 09 april 2021, 23:12:03
It works again! I did not need to redo any of the configuration. During the removal of the package, just do not check the option to delete the database. After installing the old package again, and enabling the OpenVPN, all just runs like it always did. The only thing: the settings shown in the OpenVPN tab in the GUI are not correct (The GUI apparently does not update with the openvpn.conf.user file, but openVPN does use the file to override the settings in the GUI).
Thanks again for the help,
Geerten
Bericht door: JosF op 09 mei 2021, 19:34:05
Dat had ik 'n maand geleden gedaan en toen niet getest :wtf:
Lesson learned: Don't fix what ain't broken (tenzij er een security update in zit)
Het terugrollen van de oude package was uiteindelijk makkelijk
(net zoals gemeld bij de vorige post, inclusief het melden door de VPN Server van
verkeerde data in de GUI, in mijn geval had ik ooit een andere Poort geconfigureerd)
Bericht door: John smith12312 op 19 juni 2021, 05:41:27
Ik heb deze fout ontvangen.
TLS Error: cannot locate HMAC in incoming packet from [AF_INET]xxx.xxx.xx.xx:1194
Ik controleerde mijn Synology VPN-Server-versie, het was 1.3.12-2780.
Ik moest downgraden naar 1.3.11-2777 EN het hele proces opnieuw voltooien. Ik had niet het geluk dat het meteen na de downgrade werkte.
Toen ik het proces eenmaal had voltooid, werkte het prima.
Hopelijk kan iemand met meer technische vaardigheden uitzoeken hoe de nieuwe versie(s) werkend kunnen worden.
Bedankt voor het schrijven Peppin
Bericht door: Ariekanarie12 op 25 juli 2021, 11:19:33
Just registered freshly to this forum, but have been reading and using the collected knowledge of you guys regarding Synology & VPN setup of this board for a long time now.
Unfortunately I was facing the same issues as you guys reported in the last few posts where the update “1.3.12-2780” of 23rd of february 2021 was breaking the configuration. Despite others had reported downgrading did do the job for them, I was not able to recover the original setup myself by downgrading to the “1.3.11-2777” so after downgrading I started reapplying most of the configuration steps again to get it running.
Since then I started ignoring the VPNServer updates and by chance I noticed today a new version is released since a few days ago. It is “1.3.13-2781” and I was wondering if somebody may have tried this release already with success in combination with the configuration discussed in the OpenVPN #x topics. ::)
Bericht door: Bert20 op 31 juli 2021, 17:41:56
Dit lukt allemaal prima ook het volgen van de handleiding is geen probleem.
Maar ik krijg dit dus enkel alleen werkend als ik openvpn.conf gebruik.
Wanneer ik gebruik maak van openvpn.conf.user
Dan lijkt het erop dat hier helemaal niet naar gekeken wordt.
De blauwe note verschijnt wel dat de configuratie is aangepast.
Maar de server gebruikt nog steeds de informatie vanuit openvpn.conf.
Heeft iemand een idee wat ik zou kunnen doen op de user configuratie te gebruiken?
Bericht door: André PE1PQX op 31 juli 2021, 22:09:42
De laatste package van VPN sever laat deze wijzigingen niet toe op een één of andere manier.
Bericht door: Briolet op 31 juli 2021, 22:45:59
Dus je moet ook je apparaten beter beveiliging tegen toegang na diefstal. Gewoon de harde schijf versleutelen met BitLocker was in dit voorbeeld niet genoeg.
Bericht door: Bert20 op 31 juli 2021, 22:52:31
Dus als ik het goed begrijp is de wijziging die die niet toelaat het gebruik van een
openvpn.conf.user bestand?
Aangezien als ik alles in openvpn.conf plaats het allemaal wel werkt.
Correct?
Bericht door: Robert80 op 12 augustus 2021, 15:57:35
iemand hier een oplossing voor?
Bericht door: Birdy op 12 augustus 2021, 15:59:56
Bericht door: Robert80 op 12 augustus 2021, 16:03:45
Bericht door: Birdy op 12 augustus 2021, 16:09:57
Bericht door: Briolet op 12 augustus 2021, 16:41:32
Bericht door: Robert80 op 12 augustus 2021, 17:03:53
Verzonden vanaf mijn iPhone met Tapatalk
Bericht door: Birdy op 12 augustus 2021, 17:13:29
Code: [Selecteer]
login as: admin
admin@192.168.1.29's password:
admin@DS220Plus:~$ sudo -i
Password:
root@DS220Plus:~#
Maar sudo su en alleen su ook. :lol:
Bericht door: Robert80 op 12 augustus 2021, 17:24:23
Bericht door: henkes op 25 augustus 2021, 15:27:24
Templates gedownload en toegevoegd. Echter de internalName en commonName zijn:
??_must_de_unique
CA
Server
Ik heb een certificaat aangemaakt met CA, maar nu stopt het bij het maken van SERVERCERT
Bericht door: André PE1PQX op 31 augustus 2021, 21:39:13
Je moet "??_must_be_unique" wijzigen in een unieke naam, dan pas verder gaan.
Wel de tip om eerst het de posts goed door te lezen voordat je de stappen zet en geen stap over slaan!
Verder even een opmerking: het kan zijn dat met de VPN versie in DSM7 deze werkwijze (van dit top) niet meer werkt!! De recente update van VPN server onder DSM6.x geeft n.l. ook problemen.
Bijkomen ben ik er achter gekomen dar de app "config file editor" ook niet meer onder DSM7 werkt.
Bericht door: henkes op 31 augustus 2021, 22:12:53
Ik zie in ieder geval inderdaad geen openvpn.conf.user meer staan.
Ik ga het daarmee proberen aan de gang te krijgen.
Bericht door: Robert80 op 12 september 2021, 21:42:45
Command wordt niet herkend: melding: no such file or directory
terwijl hij in winscp gewoon staat en is gevuld zoals in de vorige stappen opgegeven
iemand de oplossing
heb overigens ook geen openvpn.dbx file
Bericht door: Robert80 op 12 september 2021, 21:43:37
Bericht door: Robert80 op 12 september 2021, 21:52:42
Bericht door: André PE1PQX op 12 september 2021, 21:55:33
Mijn advies: eerst lezen, lezen en nog eens lezen, dan pas pielen en 3x kijken of je het juiste doet.
Bericht door: Robert80 op 12 september 2021, 21:56:55
Bericht door: Briolet op 12 september 2021, 22:39:34
cd /usr/syno/etc/packages/VPNCenter/VPNcerts
Command wordt niet herkend: melding: no such file or directory
terwijl hij in winscp gewoon staat en is gevuld zoals in de vorige stappen opgegeven…
Dit kan gewoon niet. Als hij in winscp staat, is hij er gewoon. punt. Gewoon beter kijken. Ik gok dat je die map op een andere locatie geplaatst hebt.
Bericht door: André PE1PQX op 13 september 2021, 09:33:46
Bericht door: Briolet op 13 september 2021, 10:08:51
Code: [Selecteer]
~$ cd /root
-sh: cd: /root: Permission denied
Bericht door: Robert80 op 13 september 2021, 10:09:54
Of een gevalletje rechten die niet juist staan.Nee , het klopt wel een beetje : goed lezen althans ik lees soms net over iets heen/of verkeerd met een dergelijke “lap” tekst… zover allemaal redelijk gelukt alleen geeft hij nu een bepaalde foutmelding ondanks dat hij verbonden is:
http://cloud.tapatalk.com/s/613f0739973ae/Schermopname%20%28132%29_redacted.pdf (http://cloud.tapatalk.com/s/613f0739973ae/Schermopname%20%28132%29_redacted.pdf)
Verzonden vanaf mijn iPhone met Tapatalk
Bericht door: Birdy op 13 september 2021, 10:14:42
Bericht door: Robert80 op 13 september 2021, 10:16:32
Bericht door: wellproc op 14 september 2021, 19:42:58
Het is alleen raar dat ik daarbij ook foutmeldingen krijg op de telefoon (zoals bij Robert80 hierboven).
De TLS-error:
Citaat
cannot locate HMAC in incoming packet from [AF_INET]en dan een ipv6-adres (lijkt het).
Citaat
TLS handshake failedkomt ook voorbij
Waar kan dit aan liggen? Is dit serverside (dus VPN-server op de NAS) of clientside (inrichting op mijn Android-telefoon)?
Bericht door: wellproc op 14 september 2021, 19:49:37
cd /usr/syno/etc/packages/VPNCenter/VPNcertsDit was bij mij ook even het geval. Kwestie van goed lezen: 'VPNCenter' heeft 4 hoofdletters en ik ben geneigd VPNcenter (dus met kleine c) te typen. Dat is funest als het case-sensitive is ;D
Command wordt niet herkend: melding: no such file or directory
terwijl hij in winscp gewoon staat en is gevuld zoals in de vorige stappen opgegeven
Voor latere lezers nog deze 'oplossing': goed blijven lezen en kijken ;)
Bericht door: wellproc op 14 september 2021, 21:06:39
Je moet openvpn.conf weghalen (in /usr/syno/etc/packages/VPNCenter/openvpn/) en vervangen door openvpn.conf.user (hernoemen naar openvpn.conf natuurlijk!).
Vervolgens VPN server opnieuw starten en het werkt als een zonnetje!
Bericht door: Robert80 op 14 september 2021, 21:15:57
Problem solved!
Je moet openvpn.conf weghalen (in /usr/syno/etc/packages/VPNCenter/openvpn/) en vervangen door openvpn.conf.user (hernoemen naar openvpn.conf natuurlijk!).
Vervolgens VPN server opnieuw starten en het werkt als een zonnetje!
En jij had hetzelfde probleem als ik had?
Bericht door: wellproc op 14 september 2021, 21:16:44
En jij had hetzelfde probleem als ik had?Aan je foutmeldingen te zien wel :)
Dus de moeite van het proberen waard zou ik zeggen.
Hopelijk werkt het dan bij jou ook.
Bericht door: André PE1PQX op 14 september 2021, 21:32:51
Bericht door: wellproc op 14 september 2021, 21:56:18
Is mijn oplossing (die ik trouwens ergens anders op internet vond) dan niet juist?
Het lijkt allemaal goed te werken ;D
Ik kijk ff of downgraden naar de oude VPN Server hier ook werkt.
[EDIT] Dat werkt dus inderdaad wel op de omschreven manier.
Ik moest wel even de configfile weghalen, VPN Server starten en stap 2 uitvoeren, VNP Server uit, configfile terugzetten en VPN Server weer aan.
Het is wat aan en uitschakelen, maar anders krijg je niet de juiste instellingen er in (als je alles al een keer eerder geconfigureerd hebt).
Blijft mijn vraag staan: was de workaround die ik had ontdekt echt problematisch of had ik dat ook kunnen laten staan?
Bericht door: Robert80 op 19 september 2021, 20:28:20
nu alleen nog op mijn iphone zien te zetten ( dat wordt weer ff puzzelen)
Bericht door: Robert80 op 19 september 2021, 21:05:19
moet ik miss inline tags gebruiken en hoe doe ik dat??
Bericht door: Ariekanarie12 op 28 september 2021, 16:43:35
nu heb ik mijn openvpn.openvpn naar mijzelf gemaild en geimporteerd in de openvpn client van ios en krijg ik de volgende melding: zie foto
moet ik miss inline tags gebruiken en hoe doe ik dat??
Hi,
Mogelijk heb je je antwoord al gevonden, maar https://www.synology-forum.nl/vpn-server/openvpn-inline-certificaten-enz/ heeft mij hierbij eerder geholpen ;)
Bericht door: Ariekanarie12 op 28 september 2021, 16:50:48
Problem solved!
Je moet openvpn.conf weghalen (in /usr/syno/etc/packages/VPNCenter/openvpn/) en vervangen door openvpn.conf.user (hernoemen naar openvpn.conf natuurlijk!).
Vervolgens VPN server opnieuw starten en het werkt als een zonnetje!
Hi Wellproc,
De door jouw omschreven fix verhelpt de problemen welke ontstonden sinds VPN ServerV1.3.12-2780. Menigeen lezer van deze thread, waaronder ikzelf, welke vertrouwt altijd package updates uitvoerden hebben daarom hun versie teruggedraaid naar 1.3.12-2777.
Laatst heb ik mijn NAS geupdate naar DSM7 en daarmee is VPN Server ook geupdate. Mijn VPN config werkte niet meer, zoals verwacht, maar het verwijderen van openvpn.conf en vervolgens openvpn.conf.user -> openvpn.conf zorgt er voor dat ik nu VPN server weer kan gebruiken.
DSM 7, VPN Server V1.4.3-2838 werkt met deze fix! Chapeau :)
Bericht door: remy007 op 03 november 2021, 23:57:17
Wil je ook naast deze betere beveiliging een OpenVPN tunnel opzetten waarover een IPv6 service ook bereikbaar is (IPv6 over IPv4), dan dien je het volgende in de openvpn.conf (als in openvpn.conf.user) erbij te zetten:
Ik heb mijn persoonlijke IPv6 gemaskeerd, voor het gemak even (mijn interne) IPv4 erbij gehouden:
#IPv4
server 172.17.1.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf
push "route 172.17.100.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)
push "route 172.17.1.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)
push "dhcp-option DNS 172.17.100.254"
#IPv6
push "route-ipv6 2000::/3"
push "dhcp-option DNS 2001:4860:4860::8888" ### Is aan te passen naar (je eigen interne) IPv6-adres van je DNS server, router of server, Google DNS IPv6 is bereikbaar op 2001:4860:4860::8888 of 2001:4860:4860::8844
tun-ipv6
push tun-ipv6
server-ipv6 aaaa:bbbb:120b:b3fc::/64 ### Dient aangepast te worden naar het IPv6-prefix verkregen van de provider*
proto tcp6-server
* Let op: Het IPv6-prefix dient ook door het modem/router te worden doorgegeven aan achterliggende routers, zo wordt de Synology netwerktechnisch gezien in dit geval, verder heb ik gebruik gemaakt van de informatie op deze site (https://macandegg.com/forums/#/discussion/66/configure-openvpn-with-ipv6-ipv4-on-synology-nas) en OpenVPN Wiki - IPv6 (https://community.openvpn.net/openvpn/wiki/IPv6).
Bericht door: Bert20 op 13 november 2021, 14:43:02
Namelijk versie 1.4.4-2855
https://www.synology.com/nl-nl/releaseNote/VPNCenter
What's New
Added support for the verification of server CN and TLS auth keys to enhance the security of OpenVPN connections.
Heeft iemand deze versie al doorgelaten?
Veranderd dit wat aan bovenstaande e.d.
Heb nu het draaien al een paar maanden stabiel met certificaat en alles.
Dus voordat ik wat update.... Maar beter afwachten misschien... :-)
Bericht door: Babylonia op 13 november 2021, 14:52:19
Maar veel meer de eronder aangegeven 6 punten onder "Fixed Issues"
Bericht door: biomass op 22 april 2022, 21:25:17
Met XCA 2.4 zag ik dat de templates heel goed werkten, in de tutorial staan een aantal stappen om selecties aan te vinken, dat hoefde allemaal niet. Ik heb wel alle klik 'Apply' en klik 'Ok' stappen gedaan ;)
Ik vond het zelf het eenvoudigst om de files van de tutorial via mijn home folder naar de folders van het VPNCenter package te kopieren (Met WinSCP of File Station). Ik hoef niet zo nodig root rechten te geven aan WinSCP, ik doe dat liever met sudo cp :)
PS: Ik zag er eerst tegenop op 33 pagina's aan reacties door te gaan lezen, maar met printfunctie van het forum heb je zo een doorzoekbare PDF :thumbup:
Skip 26 oktober 2016 maar, dat is 1 grote smiley :D
Bericht door: NAsMAt op 22 september 2022, 14:13:36
Problem solved!
Je moet openvpn.conf weghalen (in /usr/syno/etc/packages/VPNCenter/openvpn/) en vervangen door openvpn.conf.user (hernoemen naar openvpn.conf natuurlijk!).
Vervolgens VPN server opnieuw starten en het werkt als een zonnetje!
Zojuist op mijn nieuwe DSM920+ met DMS 7.1 VPN Sever (1.4.7-2901) aan de praat gekregen met deze tip. Bedankt! :thumbup:
Bericht door: deetee op 30 oktober 2022, 15:14:39
Ik had dit lange tijd niet gebruikt en kwam er dus achter dat na alles braaf te updaten naar DSM 7.1.1-42962 Update 2 en VPNCenter 1.4.7-01 het niet meer werkt.
Ok dan... hele post doorgelezen en opnieuw begonnen. Nu ben ik dus op een punt waar het werkt maar waar ik twijfels bij heb.
Wat ik gedaan heb ik alles volgens de stappen en bij stap 3.3 het bestand openvpn.conf.user aangemaakt met mijn instellingen, vervolgens het bestand openvpn.conf verwijderd, openvpn.conf.user gekopieerd naar locatie /usr/syno/etc/packages/VPNCenter/openvpn, bestand hernoemd en de VPNServer weer gestart.
Wat mij hierbij opvalt is dat ik niet de blauwe melding krijg dat de configuratie aangepast.
Op de regel van verificatie verwijst hij naar /usr/syno/etc/packages/... (verder kan ik niet lezen waar dit naar verwijst). Zie bijlage.
Toch heb ik de verdere configuratie afgerond en een inline OVPN file gemaakt op basis van de certificaten die in stap 1 gemaakt worden. Na dit op de telefoon (iPhone) te selecteren kan ik toch verbinding maken met de OpenVPN server.
Mijn vraag is nu of dit wel op de juiste manier werkt en ook even veilig is. Hoe kan ik dit controleren? Weet iemand dit?