Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 209931 keer)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 153
  • Berichten: 1.315
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #345 Gepost op: 17 mei 2018, 21:58:00 »
Dat een firewall een must is moge duidelijk zijn.. Niet alleen voor bedrijven, maar voor alle op internet aangesloten apparaten (simpel gesteld).
Eigenlijk best nadelig dat die OpenVPN te eenvoudig te wijzigen is.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #346 Gepost op: 17 mei 2018, 23:45:47 »
Citaat
Firewall mogelijkheid is eigenlijk een must, zeer zeker voor bedrijven.
Daar doelde ik eigenlijk op OpenVPN (of zelfs andere VPN).

OpenVPN beveiligd een verbinding tussen endpoints, niet meer en niet minder.
Routing en firewall hoort daar eigenlijk niet bij, dat moet een netwerk admin allang kennen, networking 101.
Daar ligt natuurlijk ook een probleem van gebruikers dat niet zo eenvoudig op te lossen is, kun je verwachten dat wij allemaal netwerk admins worden?

Dat onze Synology NAS die OpenVPN aanbiedt op dit punt niet compleet (genoeg) is ligt niet aan OpenVPN.......  ;)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline KDM

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #347 Gepost op: 20 mei 2018, 04:37:15 »
I tried creating the PC it's own login and certs but I get the same result as per the logs posted above
  • Mijn Synology: DS215J
  • HDD's: 2 x 2Gb WD Green

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #348 Gepost op: 20 mei 2018, 16:14:53 »
I overlooked this one in the client log:
VERIFY EKU ERRORPlease check your server certificate for Extended Key Usage properties or post the details which you can find in XCA.
Select the server certificate, click Show Details and copy the details under the Extension tab here.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline KDM

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #349 Gepost op: 21 mei 2018, 11:11:07 »
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
93:8F:6B:FB:4D:BF:D4:8B:CC:C5:0E:F4:B9:6B:B7:E3:D4:1B:46:97
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication

extendedKeyUsage=serverAuth
keyUsage=digitalSignature, keyEncipherment
subjectKeyIdentifier=hash
basicConstraints=critical,CA:FALSE
  • Mijn Synology: DS215J
  • HDD's: 2 x 2Gb WD Green

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #350 Gepost op: 21 mei 2018, 14:45:13 »
Looks ok.

Yet, the client log shows a verify error of the server certificate.
Are you sure you copied the correct certificates to the correct locations?
Please see step 3 to verify the path`s:
https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135814/#msg135814
/usr/syno/etc/packages/VPNCenter/VPNcerts 0755
CA.crt                0400
Server.crt          0400
Server.key        0400
dh4096.pem    0644
ta.key                0400

/usr/syno/etc/packages/VPNCenter/openvpn
openvpn.conf.user    0644
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline KDM

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #351 Gepost op: 21 mei 2018, 23:18:05 »
  • Mijn Synology: DS215J
  • HDD's: 2 x 2Gb WD Green

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 153
  • Berichten: 1.315
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #352 Gepost op: 21 mei 2018, 23:47:56 »
From what I can tell: The 'openvpn.conf.user' file should be in /usr/syno/etc/packages/VPNCenter/openvpn and not with the certificate files.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline KDM

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #353 Gepost op: 22 mei 2018, 00:08:08 »
Yes I just discovered that.  There is a openvpn.conf.user file in / usr / syno / etc / packages / VPNCenter / openvpn but it's not the same.  I'll replace and try again
  • Mijn Synology: DS215J
  • HDD's: 2 x 2Gb WD Green

Offline KDM

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #354 Gepost op: 22 mei 2018, 00:28:34 »
Didn't work (still get the same issues) but now I know so much more about the whole scenario I might uninstall everything and start again in case I have made other mistakes.  I'll report back
  • Mijn Synology: DS215J
  • HDD's: 2 x 2Gb WD Green

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #355 Gepost op: 22 mei 2018, 00:41:59 »
Ok, yeah, that`s not going to work ;)

Some thing`s get lost in translation...
Let us know how it goes.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline KDM

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #356 Gepost op: 22 mei 2018, 07:56:19 »
After starting again, it now works both mobile and PC and I think I know what went wrong.  When creating the certificates I had imported the wrong templates.  I think I accidentally used the ones from the XCA directory without realizing and put the slight differences down to the google translation.  I recreated all the certificates, de-installed and re-installed the VPN server and then everything worked.

Thank you MMD for helping, I really appreciated it.
  • Mijn Synology: DS215J
  • HDD's: 2 x 2Gb WD Green

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #357 Gepost op: 22 mei 2018, 10:38:24 »
Your welcome and glad it works now.

Greetings.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 153
  • Berichten: 1.315
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #358 Gepost op: 24 mei 2018, 16:22:59 »
Ik heb de DSM update uitgevoerd naar 6.2 op mijn VPN server unit, en kan nu melden dat VPN (aangepas zoals in dit topic beschreven) gewoon blijft functioneren.

Dus zoals het nu lijkt kan DSM 6.2 toegevoegd worden aan de startpost.

Noot: dit gaat dus om een opdate van een werkend systeem, niet over het configureren van OpenVPN-à-la MMD op een verse DSM 6.2 installatie.
Indien gewenst kan/wil ik daar ook wel eens naar kijken, de MailPlus server werkt inmiddels ook op 6.2 en die kent nog geen VPN server.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #359 Gepost op: 24 mei 2018, 23:09:59 »
Bedankt voor het melden  :thumbup:

Ben zelf conservatief wat updates betreft, ben pas ruim een maand ofzo op DSM 6.1.
Ook deze keer wacht ik waarschijnlijk nog wel even, voegt niet veel toe voor mijn gebruik.
Alleen packages doe ik redelijk vlot als er niet teveel bug meldingen zijn.

Een DSM update zal in de regel geen probleem zijn voor deze handleiding, heb ik nog niet meegemaakt tenminste.

Wat betreft OpenVPN, oftewel een update van VPN Server, zolang de mappenstructuur niet wijzigt en openvpn.conf.user niet uit het start script gehaald wordt zal het blijven werken.
Wanneer Synology eindelijk eens de OpenVPN versie update naar 2.4 of hoger zou het (theoretisch) ook moeten blijven werken.

Welke versie is er nu in 6.2, nog steeds 2.3.11?
openvpn --version

Bij mij:
root@NAS:~# openvpn --version
OpenVPN 2.4.5 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
library versions: OpenSSL 1.0.2o  27 Mar 2018, LZO 2.10
Originally developed by James Yonan
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

OpenVPN werkt, kan niet bij bestanden

Gestart door EgBoard VPN Server

Reacties: 1
Gelezen: 1548
Laatste bericht 05 november 2018, 19:11:30
door Pippin
OpenVPN installeren lukt niet

Gestart door ajansen66Board VPN Server

Reacties: 22
Gelezen: 6652
Laatste bericht 19 juni 2017, 00:07:59
door hbancy
Wachtwoord OpenVPN Certificaat

Gestart door mcmurdyyBoard Synology DSM BETA versies

Reacties: 6
Gelezen: 6143
Laatste bericht 20 maart 2016, 20:18:38
door Pippin
Aangepaste OpenVPN werkt na update DSM niet meer

Gestart door André PE1PQXBoard VPN Server

Reacties: 37
Gelezen: 7664
Laatste bericht 15 juni 2023, 00:34:33
door biomass
VERPLAATST: Tunnelblick, Wel verbinden, geen internet. Iphone en iPad wel OpenVPN

Gestart door BirdyBoard VPN Server

Reacties: 0
Gelezen: 1700
Laatste bericht 07 mei 2016, 21:15:07
door Birdy