Auteur Topic: Open Vpn opent alle mappen  (gelezen 3684 keer)

Offline kbenjila

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Open Vpn opent alle mappen
« Gepost op: 28 februari 2016, 22:09:17 »
Hallo,

Ik heb een domein en daar zit mijn nas in. Nu wil ik via Open Vpn 1 map benaderen op de nas. Dit gaat allemaal goed, maar als ik vpn opzet dan kan ik ook op alle mappen op de server en op de nas, ondanks de user alleen rechten heeft tot die ene map.

Weet iemand hoe dit mogelijk is?

Als ik de optie 'clients toegang geven de LAN-server' uitvink kan ik nergens meer bij

Alvast bedankt voor jullie expertise
  • Mijn Synology: ds215j
  • HDD's: 2x2tb wd

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.099
  • FIFO / LIFO
    • Truebase
Re: Open Vpn opent alle mappen
« Reactie #1 Gepost op: 28 februari 2016, 22:21:43 »
En zonder VPN, dus intern/domein/lan ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline kbenjila

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: Open Vpn opent alle mappen
« Reactie #2 Gepost op: 28 februari 2016, 22:23:30 »
Nee, dan hebben ze alleen de rechten die in het AD zijn ingesteld. De local users in de NAS hebben dan ook alleen de rechten die daar zijn uitgedeeld.
  • Mijn Synology: ds215j
  • HDD's: 2x2tb wd

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Open Vpn opent alle mappen
« Reactie #3 Gepost op: 28 februari 2016, 23:32:17 »

Users verbonden via VPN ontlenen rechten uit de User database op de DS via een Radius plugin.
Je zou een Feature Request kunnen doen bij Synology voor een LDAP plugin voor OpenVPN.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline kbenjila

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: Open Vpn opent alle mappen
« Reactie #4 Gepost op: 29 februari 2016, 12:30:12 »
Het kan toch niet zo zijn als hij de rechten uit de user database haalt en dat dan iedereen domain admin rechten krijgt. Dit is een zeer zware inbreuk op de veiligheid van je data op de nas en domein waar ie aan hangt.

Kan dit een bug zijn van synology?
  • Mijn Synology: ds215j
  • HDD's: 2x2tb wd

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Open Vpn opent alle mappen
« Reactie #5 Gepost op: 29 februari 2016, 13:15:17 »

Citaat
op de server en op de nas
Daar had ik overheen gelezen.

User authenticatie gebeurt zoals gezegd door een OpenVPN Radius plugin.
Het bereikbaar zijn van de rest van het netwerk staat daar buiten,
Citaat
Als ik de optie 'clients toegang geven de LAN-server' uitvink kan ik nergens meer bij
zoals je reeds ontdekt heb.

Volgens mij is hier echt een LDAP plugin voor OpenVPN voor nodig.

Leg het probleem anders eens voor bij Synology...
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 802
  • -Ontvangen: 1382
  • Berichten: 7.507
Re: Open Vpn opent alle mappen
« Reactie #6 Gepost op: 29 februari 2016, 13:17:20 »
maar als ik vpn opzet dan kan ik ook op alle mappen op de server en op de nas, ondanks de user alleen rechten heeft tot die ene map.

Heb je toch iets niet goed ingesteld.
Onlangs bij iemand samen ook een VPN-verbinding opgezet. Ik kon wel shares zien op diens NAS, maar er niet inkomen zonder de betreffende inlog gebruikersgegevens daarvoor in te moeten voeren die behoren bij die shares. Daarbij vroeg ik me af of de andere gebruiker de rechten wel juist had ingesteld. Want feitelijk zouden andermans shares feitelijk ook niet eens gezien moeten worden. Daar hebben we wel samen even over gesproken, maar weet niet of degene dat ook heeft bijgesteld.

Zelf hier nu net vanuit mijn smartphone een VPN-verbinding opgezet, naar de VPN-server, in dit geval geïnstalleerd op de Synology router.
Met DS File kom ik verder echt alleen bij die mappen, als ik de juiste inloggevens gebruik van de betreffende shares.
Iets anders krijg ik niet te zien.

Zowel geprobeerd naar shares van een aangesloten USB-drive en SD-geheugekaart op mijn Synology router,
door het interne IP-adres van de router in te tikken.
Alsook naar de shares van de NAS, door het interne IP-adres van de NAS in te tikken. Beide connecties werken correct.

Ik kan het nu niet uitproberen vanuit een Windows PC. Daarvoor moet ik elders zijn.
Maar dacht vanuit connectie eerder, dat het ook als zodanig correct werkt.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline kbenjila

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: Open Vpn opent alle mappen
« Reactie #7 Gepost op: 29 februari 2016, 13:32:31 »
Er valt niets in te stellen waardoor je als simpele synology user alle rechten krijgt op zowel de NAS als het Domein. Je kan onder domein opties aanvinken dat je administrator voor domein - en bedrijfsadmins uitschakelt, maar helpt ook niet.

Je kan wel hard ingeven dat het geen toegang heeft tot andere mappen, maar je kan nog steeds op alle mappen op de server zonder beperking. Ik kan mijn vinger er niet op leggen.

Waarschijnlijk heeft het te maken met dat de NAS in het domein zit, maar dan zou de user rechten van de nas en ad nog hun werk moeten doen volgens mij
  • Mijn Synology: ds215j
  • HDD's: 2x2tb wd

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Open Vpn opent alle mappen
« Reactie #8 Gepost op: 29 februari 2016, 13:43:11 »

Kijk eens even naar het Package Radius Server in het Package Center.
Die heb ik net geïnstalleerd en ik zie een optie voor account sources Domain staan.
Misschien dat je daar iets mee kunt?

Hoewel ik mij afvraag of Synology dat zodanig in elkaar heeft gestoken dat OpenVPN daar ook echt iets mee doet.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Open Vpn opent alle mappen
« Reactie #9 Gepost op: 29 februari 2016, 14:23:54 »

Heb eens in het start-stop-status script gekeken van Radius en het checkt de VPN Server versie.
You need to upgrade the VPN Server to the version 1.1-2262 or laterDan is er misschien toch hoop...
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 802
  • -Ontvangen: 1382
  • Berichten: 7.507
Re: Open Vpn opent alle mappen
« Reactie #10 Gepost op: 29 februari 2016, 14:38:49 »
Er valt niets in te stellen waardoor je als simpele synology user alle rechten krijgt op zowel de NAS als het Domein. Je kan onder domein opties aanvinken dat je administrator voor domein - en bedrijfsadmins uitschakelt, maar helpt ook niet.

Ik weet niet wat je ermee bedoelt. Ik maak geen gebruik van een "Radius server".
Heb op mijn WAN IP-adres thuis wel een NL-domein + SSL certificaat voor gebruik van een "normale" verbinding, maar dat staat los van het IP-adres wat ik in het  openvpn.ovpn  configuratiescherm heb ingevuld om een OpenVPN connectie te leggen met thuis, waarbij dat  openvpn.ovpn en certificaat is geïmporteerd in de OpenVPN app van mijn smartphone, en laptops van mijn dochter en ex, als ze van elders bij mij inloggen.

Met een OpenVPN verbinding is er alleen een VPN-tunnel tot stand gebracht.
Men kan via een browser internetten via de VPN.
Maar voor de rest is connectie hier met apparaten achter de VPN afhankelijk van de individuele accounts van shares om die te kunnen benaderen.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline kbenjila

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: Open Vpn opent alle mappen
« Reactie #11 Gepost op: 29 februari 2016, 15:38:39 »
Ik neem aan dat je maar 1 wan ip adres hebt op je huis adres waar je server en je nas achter zitten? zit jouw nas in je domein? anders is het niet met elkaar te vergelijken.  als de nas geen onderdeel is van het domein dan is het recht toe recht aan
  • Mijn Synology: ds215j
  • HDD's: 2x2tb wd

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 802
  • -Ontvangen: 1382
  • Berichten: 7.507
Re: Open Vpn opent alle mappen
« Reactie #12 Gepost op: 29 februari 2016, 16:29:17 »
Een  NL domein  of  DDNS domein  kan alleen maar worden toegekend aan een WAN IP-adres, niet aan een apparaat erachter.
Maar met de juiste poortverwijzingen etc. in de routers kom ik evengoed op de services en NAS die erachter zitten.

Ter info hoe mijn set-up in elkaar zit (afgezien van PC's, mediaplayer, etc.), de VPN-server zit op de Synology router:

[ modem/router ISP ] -----> [ Synology router ] -----> [   8-poort switch  ] -----------> [ NAS DS415+ ]
                                                          |-----------------> [   USB harddisk    ]
                                                          |-----------------> [ SD-memory card ]

Een VPN-connectie is mogelijk met:
[  WAN IP-adres ]
[     NL-domein   ]
[   DDNS domein ]


Eenmaal de VPN tunnel opgebouwd kan ik met ingave van de interne LAN-IP's:

- vanuit een browser inloggen in mijn Synology router met accounts van achterliggende shares op USB-drives en SD-memory card
  (gewoon apart per gebruiker)

- vanuit een browser inloggen in mijn NAS met accounts van achterliggende shares
  (gewoon apart per gebruiker)

- vanuit een browser inloggen "terug uit" in de GUI van de 1e modem/router van de ISP met LAN-IP-adres uit het 1e sub-net

- vanuit een smartphone met  DS File  en het LAN-IP adres van de Synology router inloggen
   op achterliggende shares op USB-drives en SD-memory card -----> gewoon apart per gebruiker

- vanuit een smartphone met  DS File  en het LAN-IP adres van de NAS inloggen op achterliggende shares op de NAS
   -----> gewoon apart per gebruiker

- vanuit een Windows laptop via de gewone netwerk-connectie, verbinding maken met de Synology router
  met accounts van achterliggende shares op USB-drives en SD-memory card (gewoon apart per gebruiker),
  maar je moet account-gegevens dan wel laten "vergeten" als je met een ander gebruikers-account de bijbehorende shares wilt zien.
  Standaard gebruik ikzelf daarvoor een gebruikersnaam met admin-rechten zodat ik op alle shares toegang heb.
  Gewoon exact dezelfde procedure als wat ik thuis heb met connectie van shares op achterliggende USB-drive en SD-card.

- idem voor toegang tot de NAS.  En ook hier gelden de "normale" netwerk connecties met gebruikersrechten e.d.
  die ik thuis al had, als men met een laptop thuis aan het werk is.

Tenslotte is een VPN-connectie alleen "het doortrekken" van het interne thuisnetwerk naar elders toe.
Alsof men thuis aan het werk is.  Verder in de benadering van apparaten etc. dus ook met dezelfde mogelijkheden als "thuis".

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline kbenjila

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: Open Vpn opent alle mappen
« Reactie #13 Gepost op: 29 februari 2016, 20:42:17 »
Zoals ik al meldde, dit is een standaard opstelling en is niet te vergelijken met mijn opstelling:
[ modem/router ISP ] -----> [ fortigate ] -----> [   24-poort switch  ] -----------> [ NAS ]
                                                                                                            |-----------------> [   Server 2012 ]
Dit is mijn domein. Het blijft raar dat ik met een lokale synology account met alleen rechten op 1 shared folder, zo mijn server kan benaderen als een domain admin. Dit is het probleem bij mij.                                   
  • Mijn Synology: ds215j
  • HDD's: 2x2tb wd

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 802
  • -Ontvangen: 1382
  • Berichten: 7.507
Re: Open Vpn opent alle mappen
« Reactie #14 Gepost op: 29 februari 2016, 20:55:50 »
En wat is een "fortigate", en wat doet het  ??
Van wat ik van internet haal een "Firewall", maar is wellicht een beperkte omschrijving. Wat doet het "nog meer", of is het dat?

Van wat ik uit je indeling haal heb je apart een NAS, en daarnaast nog een server (2012) ?
In zoverre de NAS met verschillende inlog accounts werkt voor hun shares, en je tevens voor die [server 2012] inlog accounts zou hebben ingeregeld, zou je in mijn visie geen algemene toegang hebben tot al je shares, anders dan een gebruiker met admin rechten.

En wat wil je bereiken?
Alleen een connectie via VPN naar je NAS?

Ik neem aan dat je dan wel de juiste gebruikers login invult in de connectie met VPN,
welke achterliggend gekoppeld is met de betreffende shares op de NAS.

Zie schermafdruk van de betreffende gebruikers (afgedekt) met hun rechten om via VPN in te loggen.
Gebruik je de login gegevens van een gebruiker met admin rechten, heb je uiteraard toegang tot alle shares op de NAS.

(Sherm van mijn situatie met VPN-server geinstalleerd op de router.
Maar aangezien het om dezelfde app gaat als voor op een NAS, vermoed ik hetzelfde schermpje).

23697-0

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

Open VPN help

Gestart door peetrdamBoard Synology Router

Reacties: 5
Gelezen: 1806
Laatste bericht 03 januari 2018, 23:45:53
door Babylonia
DSM https niet kunnen open vanwegen beveiligingscertificaat fout

Gestart door wurthBoard Synology DSM algemeen

Reacties: 8
Gelezen: 4939
Laatste bericht 31 maart 2014, 20:55:42
door r00n
Open VPN nu router in Bridge mode staat

Gestart door FvdzandtBoard Netwerk algemeen

Reacties: 4
Gelezen: 1172
Laatste bericht 23 mei 2018, 11:42:02
door Birdy
VERPLAATST: Kan iemand iets meer vertellen over (Open)VPN?

Gestart door BirdyBoard iOS Apps (iPhone, iPad en iPod)

Reacties: 0
Gelezen: 1296
Laatste bericht 19 maart 2018, 08:32:59
door Birdy
Als ik configuratie scherm open heb ik soms een extra optie

Gestart door Handige HarryBoard Synology DSM algemeen

Reacties: 6
Gelezen: 2231
Laatste bericht 27 oktober 2014, 12:32:27
door Birdy