Auteur Topic: OpenVPN #3: Vast IP voor clients  (gelezen 3272 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 518
  • Berichten: 2.699
  • a.k.a. MMD
OpenVPN #3: Vast IP voor clients
« Gepost op: 16 april 2017, 01:10:33 »
Deze handleiding beschrijft de stappen om OpenVPN clients die verbinden naar een server die geconfigureerd is volgens de handleiding OpenVPN #1: Beter beveiligen een vast tunnel IP te geven. Deze methode is niet compatible met de standaard OpenVPN configuratie van Synology zelf (net30 topology, maar kan wel).

Wanneer een client de verbinding verbreekt/verliest naar de server is er geen garantie dat deze weer hetzelfde tunnel IP toegewezen krijgt van de server. Hierdoor kan b.v. een backup die over OpenVPN plaatsvindt naar een tweede DS mislukken maar ook automatisch mounten van remote netwerk shares op een client kunnen hierdoor falen.

We nemen het Dynamisch IP adres zoals uit de handleiding OpenVPN #1: Beter beveiligen, 192.168.160.0/24.
Het geven van een vast tunnel IP gebeurt op basis van de commonName die een client in zijn certificaat heeft.

1.
Log in met WinSCP als root.

Navigeer naar:
/usr/syno/etc/packages/VPNCenterMaak een nieuwe map genaamd:
/usr/syno/etc/packages/VPNCenter/ccd
2.
In de handleiding OpenVPN #1: Beter beveiligen hebben we als commonName de gebruikersnaam ingevuld in het certificaat.
In de map ccd maken we een nieuw bestand aan met als naam de gebruikersnaam (zonder extensie).
Open het bestand, dubbel klik in WinSCP, en schrijf de volgende regel:
ifconfig-push 192.168.160.2 255.255.255.0Opslaan.
Deze gebruiker krijgt nu 192.168.160.2 toegewezen.
Zo kan er voor elke client een tunnel IP vast gezet worden.
Een tweede client, gebruikersnaam2, ziet er dan zo uit:
ifconfig-push 192.168.160.3 255.255.255.0
3.
Dan nog de configuratie aanpassen zodat die door OpenVPN gelezen worden op het moment een client verbind.
Open in WinSCP het bestand:
/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.useren voeg de volgende regel toe:
client-config-dir /usr/syno/etc/packages/VPNCenter/ccdVervolgens de regel:
server 192.168.160.0 255.255.255.0wijzigen in
server 192.168.160.0 255.255.255.0 'nopool'Dan nog de DHCP pool verkleinen zodat de vaste IP`s daar niet invallen:
ifconfig-pool 192.168.160.51 192.168.160.253 255.255.255.0Opslaan.
Dit betekent dat het bereik 192.168.160.2 t/m 192.168.160.50 beschikbaar is voor vaste IP`s.
De volgende IP`s zijn niet bruikbaar voor clients:
Server adres 192.168.160.1
DHCP server adres 192.168.160.254
Broadcast adres 192.168.160.255

4.
Als laatste voorkomen dat Radius de ccd bestanden kan overschrijven.
Open in WinSCP het bestand:
/volume1/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnfen wijzig
overwriteccfiles=true
OpenVPNConfig=/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
in
overwriteccfiles=false
OpenVPNConfig=/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.user
Opslaan.

Herstart de VPN Server via het Package center.

Succes.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client OpenVPN #3: Vast IP voor clients OpenVPN #4: Inline certificaten

We often stumble onto the truth but most of us brush ourselves off and pretend it did not happen!
Winston Churchill


 

MAC OS - keuze OpenVPN Client software

Gestart door BabyloniaBoard VPN Server

Reacties: 4
Gelezen: 380
Laatste bericht 04 februari 2020, 16:01:51
door Babylonia
OpenVpn niet werkend door certificaat?!?!

Gestart door Handige HarryBoard VPN Server

Reacties: 12
Gelezen: 2040
Laatste bericht 09 juni 2018, 16:07:28
door Birdy
OpenVPN en Windows 10

Gestart door mickeyr61Board VPN Server

Reacties: 15
Gelezen: 3191
Laatste bericht 14 april 2017, 09:48:56
door mchp92
OpenVPN werk niet (Opgelost)

Gestart door Undertaxxx25Board Synology Router

Reacties: 4
Gelezen: 1256
Laatste bericht 16 januari 2016, 15:57:15
door Undertaxxx25
OpenVPN Android werkt niet

Gestart door CoskunBoard VPN Server

Reacties: 4
Gelezen: 2399
Laatste bericht 17 april 2014, 21:06:37
door Coskun
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.