Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 209863 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #330 Gepost op: 24 maart 2018, 21:50:21 »
Zeker dat de juiste certificaten op de juiste plaats staan?

Maak anders het server certificaat en de server sleutel opnieuw nadat je ze eerst verwijderd hebt, ook uit XCA.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mni82

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 4
Re: OpenVPN #1: Beter beveiligen
« Reactie #331 Gepost op: 24 maart 2018, 22:26:25 »
Ik heb in de VPNcerts staan:
CA.crt
dh4096.pem
Server.crt
Server.key
ta.key

In de C:\Program Files\OpenVPN\config staat:
openvpn.ovpn
CA.crt
client.crt  (hernoemd naar gebruiker)
client.key (hernoemd naar gebruiker)


Offline mni82

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 4
Re: OpenVPN #1: Beter beveiligen
« Reactie #332 Gepost op: 25 maart 2018, 23:41:56 »
OpenVPN is actief op poort 443.
Dit had ik werkend zonder de certificaten.

Wat mij opvalt aan de logs is dat er via poort 443 een verbinding wordt opgezet.
In de log van de server zie ik dat een andere poort wordt gebruikt.
In het voorbeeld wat ik eerder gepost heb, dus poort 57571.
Echter bij elke poging om te verbinden veranderd die poort.
Kan dit de reden zijn en wat kan dit veroorzaken?

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #333 Gepost op: 26 maart 2018, 14:48:48 »
De client zijde kiest een willekeurige hoge poort, minimaal boven 1024.

Client verbind naar server:443 en krijgt reactie terug vanaf de poort waarmee het verbind:
Initial packet from [AF_INET]84.xx.xx.xxx:443
Server praat terug met client:57571:
TCP connection established with [AF_INET]84.xx.xx.xxx:57571
Maak anders het server certificaat en de server sleutel opnieuw nadat je ze eerst verwijderd hebt, ook uit XCA.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mni82

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 4
Re: OpenVPN #1: Beter beveiligen
« Reactie #334 Gepost op: 26 maart 2018, 22:08:15 »
Ik hoef dan geen andere bestanden opnieuw te genereren?
Ik heb dit gedaan maar krijg dezelfde melding.
Hieronder screenshots van het aanmaken van de server certificaat en key.

40070-0

40080-1

40072-2

40074-3

40076-4

De server.config heb ik nu zoals je beschrijft in de tutorial.
Maar krijg ik niet aan de praat.
Ik gebruik wel overal SHA512 ipv SHA256.

Ik heb een werkende server.conf (zie hieronder).
Echter zou ik dus graag een certificaat per gebruiker willen invoeren zoals in jou tutorial.
Daarnaast wil ik graag een ip adres krijgen wat deel uit maakt van mijn lokale netwerk.
Dit is me met onderstaande config ook nog niet gelukt.
Hiermee krijg ik nog een ip uit de 10.0.26.0 range


dev tun
proto tcp
persist-tun
persist-key
management 127.0.0.1 1195
client-to-client
server 10.0.26.0 255.255.255.0
dh /usr/local/AppCentral/vpn-server/etc/openvpn/key/dh1024.pem
ca /usr/local/AppCentral/vpn-server/etc/openvpn/key/ca.crt
cert /usr/local/AppCentral/vpn-server/etc/openvpn/key/server.crt
key /usr/local/AppCentral/vpn-server/etc/openvpn/key/server.key
max-clients 5
port 443
port-share 127.0.0.1 4545
comp-lzo
push "dhcp-option DNS 8.8.8.8"
push "route 192.168.2.0 255.255.255.0"
verb 3
keepalive 10 60
reneg-sec 0
cipher AES-256-CBC
auth SHA512
plugin /usr/local/AppCentral/vpn-server/etc/openvpn/radiusplugin.so /usr/local/AppCentral/vpn-server/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn
client-connect /usr/local/AppCentral/vpn-server/bin/auth-up
client-disconnect /usr/local/AppCentral/vpn-server/bin/auth-down
script-security 3
ifconfig-pool-persist ipp.txt

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #335 Gepost op: 27 maart 2018, 08:21:52 »

Wat je laat zien klopt niet.
Het gaat hier om het package VPN Server.

Begin met een kale installatie van VPN Server.
Volg de stappen hier beschreven, ervaring is dat het dan werkt.

Dit kan niet:
Citaat
Daarnaast wil ik graag een ip adres krijgen wat deel uit maakt van mijn lokale netwerk.
Lees de bruine letters nog eens.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline The_cobra666

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 4
Re: OpenVPN #1: Beter beveiligen
« Reactie #336 Gepost op: 12 april 2018, 11:34:47 »
Bij het generen van de DH sleutel, blijft xca hangen op 36 procent. Het programma blijft wel cpu cycles verbruiken van +- 30%. Dit duurt nu toch al zeker een half uur.

Hoe lang zou dit ongeveer moeten duren? Draait op een quad core i5.

//edit nvm is klaar nu. Duurde alleen een tijdje.
  • Mijn Synology: DS1517+
  • Extra's: 16GB

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 153
  • Berichten: 1.315
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #337 Gepost op: 12 april 2018, 12:26:53 »
Citaat
Dit gaat een tijdje duren laat het z`n gang gaan, drink wat en wacht.....
Drink nog wat.....
.....
....
...
..

Tja... (quote van 1e pagina)

Tijd is afhankelijk van snelheid PC, dus het heeft gewoon zijn tijd nodig.
Tip voor de nieuwe implementeerders: Zet bij het genereren van de DH-sleutel alle niet nodige programma's en app uit, ook de screensaver!
Raak ook je muis niet aan, laat de computer zijn ding doen zonder enige input! (anders kan XCA crashen en kun je opnieuw het genereer proces opstarten)

Dit was bij mij dus het geval...
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline KDM

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #338 Gepost op: 16 mei 2018, 06:48:44 »
Apologies for writing in English, google does a great job of translating this site into English that I hope it does the same for you back into Dutch.

I have successfully followed the instructions to get OpenVPN installed on my NAS and accessible using an android phone but am unable to get it working with a Windows & or 10 PC and hoped that I could get some assistance.

Some notes about my setup before posting config and log files. 

I'm using one set of certs for both devices, I don't think this matters but pointed it out just in case.

My client log file of a failed connection

Tue May 15 15:31:41 2018 us=274201 NOTE: --fast-io is disabled since we are running on Windows
Tue May 15 15:31:41 2018 us=274201 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:41 2018 us=274201 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:41 2018 us=274201 LZO compression initializing
Tue May 15 15:31:41 2018 us=274201 Control Channel MTU parms [ L:1622 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 15:31:41 2018 us=274201 MANAGEMENT: >STATE:1526362301,RESOLVE,,,,,,
Tue May 15 15:31:41 2018 us=274201 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Tue May 15 15:31:41 2018 us=274201 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 15:31:41 2018 us=274201 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 15:31:41 2018 us=274201 TCP/UDP: Preserving recently used remote address: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:41 2018 us=274201 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 15 15:31:41 2018 us=274201 UDP link local (bound): [AF_INET][undef]:1194
Tue May 15 15:31:41 2018 us=274201 UDP link remote: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:41 2018 us=274201 MANAGEMENT: >STATE:1526362301,WAIT,,,,,,
Tue May 15 15:31:41 2018 us=321001 MANAGEMENT: >STATE:1526362301,AUTH,,,,,,
Tue May 15 15:31:41 2018 us=321001 TLS: Initial packet from [AF_INET]X.X.X.X:1194, sid=6b104c25 6b0586a9
Tue May 15 15:31:42 2018 us=912201 TLS Error: Unroutable control packet received from [AF_INET]X.X.X.X:1194 (si=3 op=P_CONTROL_V1)
Tue May 15 15:31:42 2018 us=912201 VERIFY OK: depth=1, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=CA, emailAddress=rootca@vpn.vpn
Tue May 15 15:31:42 2018 us=912201 VERIFY KU OK
Tue May 15 15:31:42 2018 us=912201 Certificate does not have extended key usage extension
Tue May 15 15:31:42 2018 us=912201 VERIFY EKU ERROR
Tue May 15 15:31:42 2018 us=912201 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Tue May 15 15:31:42 2018 us=912201 TLS_ERROR: BIO read tls_read_plaintext error
Tue May 15 15:31:42 2018 us=912201 TLS Error: TLS object -> incoming plaintext read error
Tue May 15 15:31:42 2018 us=912201 TLS Error: TLS handshake failed
Tue May 15 15:31:42 2018 us=912201 TCP/UDP: Closing socket
Tue May 15 15:31:42 2018 us=912201 SIGUSR1[soft,tls-error] received, process restarting
Tue May 15 15:31:42 2018 us=912201 MANAGEMENT: >STATE:1526362302,RECONNECTING,tls-error,,,,,
Tue May 15 15:31:42 2018 us=912201 Restart pause, 5 second(s)
Tue May 15 15:31:47 2018 us=982201 NOTE: --fast-io is disabled since we are running on Windows
Tue May 15 15:31:47 2018 us=982201 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:47 2018 us=982201 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:47 2018 us=982201 LZO compression initializing
Tue May 15 15:31:47 2018 us=982201 Control Channel MTU parms [ L:1622 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 15:31:47 2018 us=982201 MANAGEMENT: >STATE:1526362307,RESOLVE,,,,,,
Tue May 15 15:31:47 2018 us=982201 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Tue May 15 15:31:47 2018 us=982201 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 15:31:47 2018 us=982201 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 15:31:47 2018 us=982201 TCP/UDP: Preserving recently used remote address: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:47 2018 us=982201 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 15 15:31:47 2018 us=982201 UDP link local (bound): [AF_INET][undef]:1194
Tue May 15 15:31:47 2018 us=982201 UDP link remote: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:47 2018 us=982201 MANAGEMENT: >STATE:1526362307,WAIT,,,,,,
Tue May 15 15:31:48 2018 us=13401 TLS Error: Unroutable control packet received from [AF_INET]X.X.X.X:1194 (si=3 op=P_CONTROL_V1)

Client config

# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!
remote X.X.X.X 1194
### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
cert Vinnie.crt
### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.crt"
key Vinnie.key
### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.key"
# Onderstaande "dhcp-option DNS" hoeft niet gebruikt te worden,
# dan wordt de standaard DNS instelling van de client gebruikt.
# Wil je dat wel dan moet het een geldig DNS server IP zijn
# Hetzij een eigen DNS server (b.v. op de Diskstation)
# Of publieke DNS server (b.v. 8.8.8.8 van Google)
# Wanneer je het wel gebruikt moet het # weggehaalt worden
# Er kunnen er meerdere opgegeven worden
#dhcp-option DNS vul.hier.ip1.in ### IP van DNS server 1
#dhcp-option DNS vul.hier.ip2.in ### IP van DNS server 2
# Wat hier onder staat hoeft niet gewijzigd te worden
################################################################
ca CA.crt
verb 4
block-outside-dns
register-dns
redirect-gateway def1
dev tun
proto udp
pull
tls-client
remote-cert-tls server
cipher AES-256-CBC
prng SHA256 32
auth SHA256
tls-version-min 1.2 or-highest
tls-auth ta.key 1
fast-io
comp-lzo
reneg-sec 0
auth-user-pass
auth-nocache

Server Config

# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!
# Er wordt een logbestand geschreven naar:
log /var/log/openvpn.log
verb 4
# Als er problemen zijn om te verbinden bekijk dan het openvpn.log
# Bekijk tevens het log van de client
# Kom je er niet uit, meld je dan hier: http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/
################################################################
# Dit dien je over te nemen van openvpn.conf in /usr/syno/etc/packages/VPNCenter/openvpn
# Als het IP adres 192.168.160.1 is overgenomen uit de handleiding hoeft hier onder <push "route 192.168.160.0 255.255.255.0"> niet vervangen te worden
server 192.168.160.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf
push "route 192.168.1.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)
push "route 192.168.160.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)
max-clients 5 ### 5 vervangen door het nummer uit openvpn.conf
# Wat hier onder staat hoeft niet gewijzigd te worden
################################################################
topology subnet
push "sndbuf 0"
push "rcvbuf 0"
sndbuf 0
rcvbuf 0
management 127.0.0.1 1195
dev tun
proto udp
port 1194
persist-tun
persist-key
cipher AES-256-CBC
prng SHA256 32
auth SHA256
tls-version-min 1.2 or-highest
tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0
remote-cert-tls client
dh /usr/syno/etc/packages/VPNCenter/VPNcerts/dh4096.pem
ca /usr/syno/etc/packages/VPNCenter/VPNcerts/CA.crt
cert /usr/syno/etc/packages/VPNCenter/VPNcerts/Server.crt
key /usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key
fast-io
comp-lzo
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
status /tmp/ovpn_status_2_result 30
status-version 2
  • Mijn Synology: DS215J
  • HDD's: 2 x 2Gb WD Green

Offline KDM

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #339 Gepost op: 16 mei 2018, 06:51:13 »
server log of a failed connection

Tue May 15 16:01:25 2018 us=850677 MULTI: multi_create_instance called
Tue May 15 16:01:25 2018 us=850942 X.X.X.X:41100 Re-using SSL/TLS context
Tue May 15 16:01:25 2018 us=851049 X.X.X.X:41100 LZO compression initialized
Tue May 15 16:01:25 2018 us=851325 X.X.X.X:41100 Control Channel MTU parms [ L:1570 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 16:01:25 2018 us=851437 X.X.X.X:41100 Data Channel MTU parms [ L:1570 D:1450 EF:70 EB:143 ET:0 EL:3 AF:3/1 ]
Tue May 15 16:01:25 2018 us=851579 X.X.X.X:41100 Local Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 16:01:25 2018 us=851649 X.X.X.X:41100 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 16:01:25 2018 us=851746 X.X.X.X:41100 Local Options hash (VER=V4): '8a3b3cca'
Tue May 15 16:01:25 2018 us=851834 X.X.X.X:41100 Expected Remote Options hash (VER=V4): '73e43c96'
Tue May 15 16:01:25 2018 us=852001 X.X.X.X:41100 TLS: Initial packet from [AF_INET]X.X.X.X:41100, sid=572a78bb f525f70b
Tue May 15 16:01:27 2018 us=402465 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [22] 1526364084:2 1526364084:2 t=1526364087[0] r=[-2,64,15,0,1] sl=[62,2,64,272]
Tue May 15 16:01:27 2018 us=402659 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #2 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:27 2018 us=402743 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:29 2018 us=258046 X.X.X.X:41100 VERIFY OK: depth=1, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=CA, emailAddress=rootca@vpn.vpn
Tue May 15 16:01:29 2018 us=263430 X.X.X.X:41100 Validating certificate key usage
Tue May 15 16:01:29 2018 us=263550 X.X.X.X:41100 ++ Certificate has key usage  0088, expects 0080
Tue May 15 16:01:29 2018 us=263619 X.X.X.X:41100 ++ Certificate has key usage  0088, expects 0008
Tue May 15 16:01:29 2018 us=263675 X.X.X.X:41100 ++ Certificate has key usage  0088, expects 0088
Tue May 15 16:01:29 2018 us=263729 X.X.X.X:41100 VERIFY KU OK
Tue May 15 16:01:29 2018 us=263794 X.X.X.X:41100 Validating certificate extended key usage
Tue May 15 16:01:29 2018 us=263857 X.X.X.X:41100 ++ Certificate has EKU (str) TLS Web Client Authentication, expects TLS Web Client Authentication
Tue May 15 16:01:29 2018 us=263914 X.X.X.X:41100 VERIFY EKU OK
Tue May 15 16:01:29 2018 us=264004 X.X.X.X:41100 VERIFY OK: depth=0, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=Vinnie, emailAddress=Vinnie@vpn.vpn
Tue May 15 16:01:30 2018 us=464170 X.X.X.X:41100 PID_ERR replay-window backtrack occurred [2] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:7 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464341 X.X.X.X:41100 PID_ERR replay [2] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:7 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464447 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=464608 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=464821 X.X.X.X:41100 PID_ERR replay [1] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:8 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464934 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465003 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465137 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:9 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465233 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465297 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465449 X.X.X.X:41100 PID_ERR replay [1] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:8 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465542 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465605 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465727 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:9 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465818 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465882 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Tue May 15 16:01:31 2018 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Tue May 15 16:01:31 2018 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false
.Tue May 15 16:01:31 2018 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Tue May 15 16:01:31 2018 us=75434 X.X.X.X:41100 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Tue May 15 16:01:31 2018 us=75631 X.X.X.X:41100 TLS: Username/Password authentication succeeded for username 'Vinnie'
Tue May 15 16:01:31 2018 us=76138 X.X.X.X:41100 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 15 16:01:31 2018 us=76273 X.X.X.X:41100 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 16:01:31 2018 us=76354 X.X.X.X:41100 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 15 16:01:31 2018 us=76424 X.X.X.X:41100 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 16:01:31 2018 us=171518 X.X.X.X:41100 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Tue May 15 16:01:31 2018 us=171718 X.X.X.X:41100 [Vinnie] Peer Connection Initiated with [AF_INET]X.X.X.X:41100
Tue May 15 16:01:31 2018 us=171881 Vinnie/X.X.X.X:41100 MULTI_sva: pool returned IPv4=192.168.160.2, IPv6=(Not enabled)
Tue May 15 16:01:31 2018 us=198042 Vinnie/X.X.X.X:41100 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Tue May 15 16:01:31 2018 us=198268 Vinnie/X.X.X.X:41100 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_6d7afee432a7858787927bbb020aa56e.tmp
Tue May 15 16:01:31 2018 us=198565 Vinnie/X.X.X.X:41100 MULTI: Learn: 192.168.160.2 -> Vinnie/X.X.X.X:41100
Tue May 15 16:01:31 2018 us=198662 Vinnie/X.X.X.X:41100 MULTI: primary virtual IP for Vinnie/X.X.X.X:41100: 192.168.160.2
Tue May 15 16:01:31 2018 us=199212 Vinnie/X.X.X.X:41100 PUSH: Received control message: 'PUSH_REQUEST'
Tue May 15 16:01:31 2018 us=199316 Vinnie/X.X.X.X:41100 send_push_reply(): safe_cap=940
Tue May 15 16:01:31 2018 us=199451 Vinnie/X.X.X.X:41100 SENT CONTROL [Vinnie]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.160.0 255.255.255.0,sndbuf 0,rcvbuf 0,route-gateway 192.168.160.1,topology subnet,ping 10,ping-restart 60,ifconfig 192.168.160.2 255.255.255.0' (status=1)
Tue May 15 16:02:03 2018 us=503272 Vinnie/X.X.X.X:41100 SIGTERM[soft,remote-exit] received, client-instance exiting
Tue May 15 16:02:03 2018 RADIUS-PLUGIN: BACKGROUND ACCT: No accounting data was found for Vinnie,X.X.X.X:41100.
Tue May 15 16:02:03 2018 us=506538 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_DISCONNECT status=0
  • Mijn Synology: DS215J
  • HDD's: 2 x 2Gb WD Green

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #340 Gepost op: 16 mei 2018, 16:44:59 »
Hello @KDM ,

Citaat
I'm using one set of certs for both devices, I don't think this matters but pointed it out just in case.
It does, certificate is coupled to the user (this is not a 100% correct explanation for our NAS but the outcome will be the same).
Simultaneous connection will therefore fail for same user/certificate.

Try with user specific certificates, as intended by this manual.

Greetings.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 153
  • Berichten: 1.315
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #341 Gepost op: 17 mei 2018, 19:55:59 »
Ik heb dit al een tijdje aan het werk en ga gewoon goed.. (PUNT!)

Nu vraag ik me af of het volgende ook kan via VPN zoals in deze tutorial:

User1 => inloggen met toegang tot NAS en naar de rest van LAN (zoals LAN-printer)
User2 => inloggen met toegan tot NAS maar NIET tot de rest van LAN (zoals LAN-printer)

Rechten in de NAS zijn natuurlijk in de NAS zelf in te stellen, maar hoe regel ik eventuele toegang tot de rest van mijn LAN?
Standaard kun je als ik het wel heb de hele LAN op, maar User2 wil ik die toegang blokkeren.

Dit puur uit nieuwschierigheid..
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #342 Gepost op: 17 mei 2018, 20:41:09 »
Normaal gaat het zoals in deze handleiding beschreven plus een Vast IP voor clients.
Vervolgens firewall regels die bepalen welke client waar kan komen.
Of de firewall de benodigde functionaliteit biedt zou ik moeten bekijken maar uit het hoofd dacht ik van niet omdat geen Doel adres opgegeven kan worden.

Om enigszins te zien  hoe de firewall in elkaar steekt doe maar eens
iptables -Sop de command line.

Of om op te slaan
iptables -S > /volume1/SHARE/regels.txtSHARE vervangen door een gedeelde map.

Men kan eventueel zelf "onder de kap" regels toevoegen.
Daar zal echter enige reverse enginering nodig zijn om met het Synology systeem te integreren zodat b.v. bij een wijziging aan de firewall niet die regels verloren gaan.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 153
  • Berichten: 1.315
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #343 Gepost op: 17 mei 2018, 21:10:04 »
TNX, maar daar zie ik i.d.d. niet een doel-adres ('target-address' als ik vrij vertaal naar technisch Engels).

Ik heb verder het idee dat in de OpenVPN config file voor de client nog het een en ander in te stellen is. Echt 100% secure is dat ook weer niet omdat dit eenvoudig is te wijzigen.

Dat van een vast ip-adres voor een VPN-client is dan denk ik wel handig, dan kun je die met firewalls alsnog blocken op andere machines in je LAN.
(bedenkt zich nu ineens dat zijn LAN-printer geen firewall heeft...)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #344 Gepost op: 17 mei 2018, 21:26:27 »
Ik heb verder het idee dat in de OpenVPN config file voor de client nog het een en ander in te stellen is. Echt 100% secure is dat ook weer niet omdat dit eenvoudig is te wijzigen.
Je geeft het zelf al aan. De client kan zelf routes zetten naar jou interne netwerk(en) en zo mogelijk toegang krijgen.
Firewall mogelijkheid is eigenlijk een must, zeer zeker voor bedrijven.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

OpenVPN werkt, kan niet bij bestanden

Gestart door EgBoard VPN Server

Reacties: 1
Gelezen: 1547
Laatste bericht 05 november 2018, 19:11:30
door Pippin
OpenVPN installeren lukt niet

Gestart door ajansen66Board VPN Server

Reacties: 22
Gelezen: 6651
Laatste bericht 19 juni 2017, 00:07:59
door hbancy
Wachtwoord OpenVPN Certificaat

Gestart door mcmurdyyBoard Synology DSM BETA versies

Reacties: 6
Gelezen: 6142
Laatste bericht 20 maart 2016, 20:18:38
door Pippin
Aangepaste OpenVPN werkt na update DSM niet meer

Gestart door André PE1PQXBoard VPN Server

Reacties: 37
Gelezen: 7658
Laatste bericht 15 juni 2023, 00:34:33
door biomass
OpenVPN (SPK) op DS106j - test nodig

Gestart door AnonymousBoard Overige 3rd party packages

Reacties: 5
Gelezen: 7847
Laatste bericht 29 januari 2009, 12:10:13
door wizjos