OpenVPN #1: Beter beveiligen

[J-J]

Ik heb de file verder aangepast, en nu werkt het! top!

Te vroeg gejuigd
Op mijn iOS apparaten werkt het, maar op mijn laptop wilt hij niet verbinden. Na aanmelden, blijft hij wat hangen en vraagt dan opnieuw naar mijn login en wachtwoord... ( openvpn.log.txt)
Ik heb de zelfde bestanden gebruikt als op mijn iOS apparaten.

[Pippin]

Lijkt alsof gebruikersnaam en/of wachtwoord niet juist is.

Het kan ook zijn dat je te snel van iOS naar Windows wisselt.
Als je dat doet wacht dan tenminste twee minuten.
De server krijgt namelijk niet direct mee dat je uitlogt en "denkt" vervolgens dat het een "poging tot inbraak" is.

Je kunt overigens niet twee keer met hetzelfde account ingelogd zijn,..... als het mij goed bijstaat.

Er staat op de DS een log:

Code: [Selecteer]

/var/log/openvpn.logDaarin is waarschijnlijk de reden te zien waarom het mislukt is.

[Pippin]

OpenVPN 2.4_beta2 -- released
Download
Changes

[GravityRZ]

Hallo,

openvpn werkt nog steeds super op de synology.

Na een DSM update en/of reboot werkt het echter niet meer.

De package wordt automatisch gestart, ik kan nog steeds een verbinding maken met openvpn(connected, geen foutmelding) alleen kom ik niet meer bij mijn lokale netwerk.
iemand enig idee waar ik dit moet zoeken?

als ik de package stop en weer start werkt alles wel weer
Het lijkt er dus op dat een start na een reboot anders is dan een stop/start na opbooten.
wellicht dat hij na een reboot gedeeltelijk terugvalt op het standaard profiel ipv het altenatieve profiel

[Pippin]

Dan zal het inderdaad samenhangen met de DSM update.

Kan lastig uit te zoeken zijn...zeker nu het zogenaamde "nieuwe VPN gedoe" is geïntroduceerd.

[GravityRZ]

nee het heeft niets met de update te maken.

als de synology reboot dan start de openvpn blijkbaar wel op maar hij werkt niet
je hebt wel een goede verbinding(openvpn zegt connected) maar je kunt er niets mee
een stop/start van de package lost het op.

wat het ook oplost is een taak aanmaken waarin je dit elke dag laat doen

/var/packages/VPNCenter/target/scripts/openvpn.sh restart

heb je dus een openvpn verbinding die na verloop van tijd instabiel wordt dan is deze reset een goede oplossing

blijft natuurlijk raar dat er blijkbaar bij het opstarten toch iets niet helemaal goed gaat.

wellicht als je dit in de crontab zet dat het ook werkt maar dit vond ik wat eenvoudiger.

[Pippin]

We zijn er al bij voordat de kippen erbij zijn , OpenVPN 2.4 RC2
Directe download, klik
Changes

[Pippin]

En nu ook te vinden op de download pagina.

Release staat gepland op 28 December.

[cyrus1977]

In overleg met de TS slotje eraf. Maaaaaar ......

Andere openvpn gerelateerde vragen svp in een nieuw draadje. Dat maakt zoeken in het forum ook makkelijker !

Dit draadje werkt de TS starter nog wel bij.

[Pippin]

Een dag voor geplande release:
OpenVPN 2.4 hier te vinden.
Changes.

[Mbwum73]

Allereerst ontzettend bedankt voor de heldere uitleg van de stappen. Het werkt bij mij allemaal prima op zowel Android als Windows 10.
Het heeft je ongetwijfeld veel tijd en moeite gekost. Super gedaan!

De enige wijziging die ik heb gedaan is het TCP protocol i.p.v. het UDP protocol. Verder heb ik op  mijn router poort 443 aan de buitenkant geforward naar TCP poort 1493 aan de binnenkant. Op die manier kan ik eigenlijk altijd wel verbinden.
Ik moest daarvoor in de configuratie dus UDP wijzigen in TCP. Voor Windows in TCP Client.

Het werkt dus allemaal prima, maar....
Ik heb toch een klein probleempje. Gebleken is dat ik namelijk met maar 1 gebruiker tegelijk kan inloggen. Zodra ik een tweede gebruiker de verbinding op laat zetten (zelfs als ik die 2e gebruiker zelf ben op een ander apparaat) dan wordt de bestaande gebruiker verbroken. Hoe komt dit? Is hier iets aan te doen? Ik heb het aantal toegestane connecties op 5 gezet, maar kennelijk werkt dat niet.

Ik gebruik een DS216+ met DSM 6.0.2-4851 Update 9.

Verder heb ik de VPN server volledig bijgewerkt tot de meest recente versie (21-02-2017).
Het viel me op dat ik twee nieuwe instellingen heb bij de OpenVPN instellingen in de GUI. Codering (staat nu op BF-CBC) en Verificatie (Staat op SHA-1). Klopt dit? De rest blijft grijs en wordt door de aangepaste config files bepaald, maar ik was dus even benieuwd naar die 2 nieuwe instellingen.

[Pippin]

Hallo, graag gedaan.

Zelf draai ik geen DSM 6.X, grote kans dat er iets gewijzigd is met updates.
Wat sowieso al anders is, maak ik op uit je bericht, is dit:

twee nieuwe instellingen.....Codering (staat nu op BF-CBC) en Verificatie (Staat op SHA-1)

Vaak laten logs/configs het beter zien, dus hang die eens aan met verb 4 in de configs, staat dacht ik ook beschreven.
Dan logs posten vanaf starten server tot verbinden/verbreken van clients.
Vervang dan wel even de externe IP`s in de logs (zoeken vervangen in Notepad++)
B.v.:
Extern IP-server: 1.1.1.1
Extern IP-client1: 2.2.2.2
Extern IP-client2: 3.3.3.3

Zou je ook het start script aan kunnen hangen?
Staat waarschijnlijk hier:
/volume1/@appstore/VPNCenter/scripts/openvpn.sh

[Mbwum73]

Bedankt voor de hulp!

Ik heb de logs in een zip bestandje bijgevoegd. Ook alle configuratiebestanden en de log aan de client kant heb ik bijgevoegd.
Op zich werkt het dus prima, maar met 1 machine tegelijk. Elke volgende machine resulteert in een IP conflict. Elke machine krijgt 192.168.160.6. Wellicht een fout in de configuratie van mijn VPN client. Ik hoop dat je de fout ziet.

Voor wat betreft die 2 nieuwe instellingen lijkt het er op dat die overruled worden door de instellingen in de configuratiebestanden. Je zou alleen verwachten dat Synology dan die instellingen grijs maakt, maar dat is niet het geval.

[Pippin]

MULTI: new connection by client 'client' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.

Lijkt erop dat er één certificaat met commonname 'client' wordt gebruikt?
Dat kan n.l. niet met deze handleiding.
Elke gebruiker dient dan een eigen certificaat met zijn gebruikersnaam als commonname te hebben.

[Mbwum73]

Nee, ik gebruik voor elke gebruiker een eigen certificaat. Ik heb echter in de logs de naam van dat gebruikerscertificaat weer vervangen door de algemene naam client.
Simpelweg omdat ik geen gebruikersnamen in de logging wilde laten zien hier. Maar in de onbewerkte logs staat hier dus gewoon mijn certificaat.

Maar ook dan gaat het fout.
Stel ik heb twee gebruikers. Jan en Piet. Jan werkt op een Windows PC en Piet op een tablet.
Jan maakt met zijn eigen useraccount en password een VPN verbinding. Werkt prima. Zodra echter Piet op zijn tablet ook verbindt, wordt de verbinding van Jan verbroken. Ondanks dat ze allebei een eigen certificaat hebben en dit certificaat ook in hun config vermeld is.
Het lijkt er dan toch op dat ze beiden hetzelfde IP krijgen.
Ik zal dit scenario nog even checken.

Wat zeker weten fout gaat is twee keer dezelfde gebruiker. En dat is in feite wat ik nu doe. Ik heb een Windows machine en een Android telefoon. Beiden gebruiken hetzelfde certificaat en dezelfde username. Kortom, ik wil simpelweg onder hetzelfde account twee verbindingen opzetten. Dat lukt dus niet. Ik was in de veronderstelling dat het certificaat puur een extra identificatielaag was gekoppeld aan het userid. Dus als ik inlog, moet ik daar ook MIJN certificaat voor hebben. Als ik jou echter goed begrijp moet ik per device een ander certificaat hebben, zelfs als op die devices dezelfde user gebruikt wordt.
Dat zou best onhandig zijn. Dan moet ik dus voor elk apparaat een nieuw certificaat maken i.p.v. voor elke gebruiker.
Of begrijp ik je nu verkeerd?
Of kan ik dat oplossen met die --duplicate-cn instelling? En ik welke config file moet ik die instelling dan zetten?

Ik zou het liefst een situatie hebben waarbij elke gebruiker een eigen certificaat heeft wat gekoppeld is aan zijn username.
Dus Jan heeft ook het Jan certificaat nodig. En Piet het Piet certificaat.
Maar Jan en Piet mogen met hun eigen certificaat wel meerdere keren inloggen.
Ik ben bang dat die --duplicate-cn instelling ook betekent dat Jan met het certifcaat van Piet mag inloggen. En dat is uit security oogpunt niet wenselijk.