OpenVPN over poort 443

[Geus]

Goeie dag. Ik vraag graag jullie hulp bij het volgende.

Sinds enige tijd heb ik mijn OpenVPN draaien op port 443 (TCP) van mijn DS met daarbij de hardening, zoals beschreven door ons eerwaarde forumlid MMD. Afgelopen week kreeg ik bij het verbinden onverwachts de volgende foutmelding:

WARNING: Bad encapsulated packet length from peer (18516), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]

Na wat uitzoekwerk kom ik tot de volgende bevindingen:
1.   Wanneer ik client en server overzet op poort 1194, werkt alles weer prima.
2.   De laatste keer dat de verbinding op poort 443 goed functioneerde, was op 30 maart jl. de dag waarop de laatste update van DMS bij mij werd geïnstalleerd (versie 6.1.6-15266).
3.   In het log van de vpn-server staat geen melding dat deze hierbij is gestopt. Ook bleken alle config-files in /usr/syno/etc/packages/VPNCenter/openvpn onveranderd.
4.   Bij het nakijken van het change-log van 6.1.6-15266 zag ik o.m. de volgende beveiligings-update:

Synology-SA-18:14 DSM: Multiple vulnerabilities allow remote attackers to steal credentials or inject arbitrary web script or HTML via a susceptible version of Synology DiskStation Manager (DSM).

5.   Wanneer ik in mijn browser (ongeacht welke) type http://<local_IP>/, dan springt hij vanzelf naar de DMS-pagina http://<local_IP/5000. Of naar https://<local_IP/5001 als de optie HTTP verbindingen automatisch omleiden naar HTTPS staat gevinkt (Netwerk, laatste tab).  Evenzo springt hij van https://<local_IP>/ naar https://<local_IP/5001.
6.   Ik trek hieruit de voorzichtige conclusie dat de client bij het verbinden niet bij de vpn-server uitkomt, maar bij de web-server van het DMS (nginx).
7.   Bij mijn instellingen voor reverse proxy in DSM is niets ingesteld (Toepassingenportaal).

Nu wil ik heel graag poort 443 blijven gebruiken en begrijpen wat er met m'n NAS is gebeurd. Heeft iemand misschien een antwoord?
Alvast bedankt.

[Hutje]

Kijk even in ControlPanel hoe de redirect HTTP > HTTPS settings staan :



Klopt dit wat je hebt staan :

5.   Wanneer ik in mijn browser (ongeacht welke) type http://<local_IP>/, dan springt hij vanzelf naar de DMS-pagina http://<local_IP/5000. Of naar https://<local_IP/5001 als de optie HTTP verbindingen automatisch omleiden naar HTTPS staat gevinkt (Netwerk, laatste tab).  Evenzo springt hij van https://<local_IP>/ naar https://<local_IP/5001.

Poort 443 is immers de HTTPS  poort.
Dus lijkt mij dat je het vinkje daar niet aan wilt hebben....

[Pippin]

Zo lezend zou ik vermoeden dat er iets anders luistert op poort 443.
Oftewel, client probeert b.v. met een HTTP/s server te verbinden... of iets dergelijks.

Controle gedaan met

Code: [Selecteer]

netstat -atunp?

[Geus]

netstat -atunp
Verwijzingen naar 443 zijn als volgt:

tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
...
tcp6       0      0 :::443                  :::*                    LISTEN

port in openvpn.conf.user had ik al op 1194 gezet en de portforwarding op de router de vertaalslag laten maken van 443 (buiten) naar 1194 (binnen). Dit werkt. Maar ik voel me toch een beetje bestolen van mijn 443 poort voor OpenVPN.

Ik las ergens dat je met Apache 443 kunt delen tussen de webserver en OpenVPN. Hoe werkt dat?

[Geus]

Dus lijkt mij dat je het vinkje daar niet aan wilt hebben....

Dank voor je antwoord.
Het vinkje zegt dat hij automatisch van http://<local_IP>/5000 naar https://<local_IP>/5001 moet springen.
Van https://<local_IP>/ verspringen naar https://<local_IP>/5001 is nieuw.

[Ben(V)]

Dit werkt. Maar ik voel me toch een beetje bestolen van mijn 443 poort voor OpenVPN.

Dit zijn de poorten die Synology zelf gebruikt en uiteraard kun je die dan niet ook nog een keer voor een eigen applicatie gebruiken.

https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

Zie eigenlijk ook geen reden waarom je perse 443 wilt gebruiken.

[Pippin]

port in openvpn.conf.user had ik al op 1194 gezet en de portforwarding op de router de vertaalslag laten maken van 443 (buiten) naar 1194 (binnen).

Zo heb ik het ook dus heb dit probleem nooit gehad, vindt het eigenlijk ook niet echt een probleem.
netstat -atunp laat bij mij ook het proces zien voor poort 443, nginx, bij jou niet, zal versie afhankelijk zijn dan.

Ik las ergens dat je met Apache 443 kunt delen tussen de webserver en OpenVPN. Hoe werkt dat?

Zie:
OpenVPN #7: Poort delen/proxy


Of het package sslh.