VPN tot aan NAS en niet verder

[SiJoNas]

Beste mensen,

Ik heb al een poosje nu een OpenVPN werkend op mijn NAS. Ik kan nu dus mijn foto's, muziek etc allemaal bereiken vanwaar ik maar ben.
En ook internetten (zoals tv kijken) vanwaar ik maar ben alsof ik thuis ben.
En dat alles veilig (geen privacy dingen meer bij open wifi access points).
Helemaal goed.

Maar nu wil ik onze kinderen die elders wonen ook weer toegang geven tot onze foto's, wat ze voorheen ook hadden - via VPN. Maar ik wil niet dat ze via onze NAS gaan internetten wat dat doen ze maar via hun eigen provider.

Waarom via zij ook via onze VPN: omdat eerder KPN mijn internet verbinding in een veilige omgeving heeft geplaatst (zie mijn eerdere berichten) vanwege open poorten.

Is het in te stellen dat ze via onze VPN server ALLEEN toegang hebben tot Photostation?

[Pippin]

Dat kan.
Plaats een # voor redirect-gateway in de geëxporteerde config voor de clients (kinderen).
Indien van toepassing ook voor dhcp-option DNS x.x.x.x

[SiJoNas]

Dat zal ongetwijfeld werken, maar voor degene die dat config bestand hebben eenvoudig aan te passen.  Door dat # er simpelweg weer weg te halen, het staat in de omschrijving er keurig bij....

Is er een betere manier?

[Pippin]

Standaard op de NAS niet echt, configuratie mogelijkheden zijn te beperkt wat dat betreft.

Om dat mogelijk te maken dienen clients een vast tunnel IP te krijgen en vervolgens in de FORWARD chain van de firewall op de tun0 interface (VPN) regels maken.

[Babylonia]

Zelf gebruik ik 2 OpenVPN profielen en duidelijk als zodanig benoemd wat het voorstelt.
De een met alle internetverkeer via de VPN-tunnel, de ander alleen de server die je wilt benaderen via de VPN-tunnel.
Afhankelijk wat je wilt een kwestie van kiezen voor het juiste VPN profiel. Die twee profielen zou je je kinderen kunnen verstrekken.
(Of juist alleen het profiel waarvan je wilt dat ze dat gebruiken).

[Ben(V)]

Ik denk dat je het op de verkeerde plek zoekt.
De VPN is er voor de veilige verbinding niet voor afscherming binnen je netwerk.

Als je gewoon ze op je NAS accounts met beperkte rechten geeft (bijvoorbeeld alleen toegang tot photo station) en op alle andere zaken in je lan ze geen rechten geeft dan heb je precies wat je wilt.

Dus geen accounts op je PC, Mac of wat dan ook uitdelen aan ze.
Ze kunnen dan wel op je lan maar verder nergens en ik neem niet aan dat het ervaren hackers zijn die misbruik gaan proberen te maken.

[Babylonia]

Wat jij benoemt, daar gaat het helemaal niet om.

Het is dat naast dat Photo Station, de kinderen wellicht ook "gewoon" het internet op willen, browsen, YouTube filmpjes bekijken. Wat al niet meer?
Bij het ene profiel gaat alleen dat Photo Station verkeer via de VPN-tunnel, via het andere profiel  tevens ook al dat andere verkeer.  Dat laatste wordt op die wijze een te grote belasting voor de internetverbinding van de topic starter, om al het "eigen" internetverkeer van die kinderen via de internetverbinding van de topic starter te laten lopen. Dat is datgene wat hij wil voorkomen.

"Maar ik wil niet dat ze via onze NAS gaan internetten wat dat doen ze maar via hun eigen provider."

[Briolet]

Als het bedoeld is om te voorkomen dat men per ongeluk ook gewoon internet verkeer door de tunnel stuurt, is aanpassen van de config file geschikt. (als dit niet al de default is).

Tegen bewust misbruik van jouw verbinding (b.v. voor illegale downloads) helpt het niet omdat ze die config ook zelf kunnen aanpassen. En in sommige VPN cliënts kun je deze config instelling ook nog eens overrulen.

[SiJoNas]

Ik heb een account aangemaakt die rechten heeft voor OpenVPN, het bureaublad en Photostation. Maar er kan nog steeds met bijv. Chrome gesurfd worden.

De kinderen een ander config bestand sturen kan natuurlijk - maar is eenvoudig aan te passen. Dat is in de discussie al gemeld.

Ik lees ook iets over profielen. Wat voor profielen, hoe maak ik die?

[Pippin]

Daarmee wordt de geëxporteerde client config bedoelt, ook wel profiel.
Dus 1 met #redirect-gateway en 1 met redirect-gateway, dat was als voorbeeld/zijdelingse opmerking bedoelt ... maar biedt niet de gewenste beveiliging zoals je zelf al begrepen had.

De rechten staan hier los van, die bepalen wat de kids mogen op de NAS.
Het is een netwerk/firewall topic.

Twee opties.
1. Op de command line configuratie van de NAS aanpassen.
2. Een router die OpenVPN ondersteund en met een firewall die uitgebreid genoeg is.

[Babylonia]

Als voorbeeld voor de "profielen" wat ikzelf in gebruik heb.
Betreft dus twee OpenVPN configuratiebestanden, met slechts één minimaal verschil met instellingen,
en zoals ik die bestandjes heb benoemd om ze gemakkelijk qua functie te herkennen:

   [xxxxx] staat voor een voor mij herkenbare naam als verbinding met mijn server.

-  [xxxxx]-(server-only).ovpn
-  [xxxxx]-(www-all).ovpn

Lijkt me duidelijk wat het verschil is tussen de twee.

Ik heb een account aangemaakt die rechten heeft voor OpenVPN, het bureaublad en Photostation. Maar er kan nog steeds met bijv. Chrome gesurfd worden.

Jawel, maar als je dus vanuit een externe locatie inlogt via OpenVPN naar je thuis-server, surf je met Chrome....
-  [xxxxx]-(server-only).ovpn  ------>  is dat direct via de lokale verbinding met internet. NIET via de VPN-tunnel.
-  [xxxxx]-(www-all).ovpn       ------>  loopt AL het internetverkeer, dus ook surfen via Chrome via de VPN-tunnel.

Een en ander is te controleren door even naar je WAN IP-adres te kijken.      http://watismijnip.nl
-  [xxxxx]-(server-only).ovpn  ------>  geeft dan het IP adres van de locatie ter plekke waar je op dat moment gebruik van maakt.
-  [xxxxx]-(www-all).ovpn       ------>  geeft het IP-adres van je internet aansluiting THUIS.

[SiJoNas]

@Babylonia,

Ik begrijp nu wat je met profielen bedoelt. Echter dit wordt gestuurd via het configuratiebestand en dat is mij niet "veilig" genoeg. Het # plaatsen of verwijderen, of andere aanpassingen in dat bestand, is genoeg om het profiel te wijzigen.

Ik hoop dat iemand mij kan vertellen hoe profielen op de server gemaakt kunnen worden?

[Babylonia]

Tja, als je zelfs je familieleden niet vertrouwt in het juist gebruik van een VPN-verbinding, (als ze al verstand hebben van een configuratiebestand), waarom zou je hen dan überhaupt nog een VPN verbindingsmogelijkheid willen verstrekken tot je NAS?

[SiJoNas]

Ik zat al te wachten tot een dergelijke opmerking over vertrouwen zou komen. Vertrouwen is niet een punt en hier ook niet aan de orde.
Waarom ik toegang via de vpn wil verschaffen, staat in mijn eerste bericht.

Maar alles gelezen hebbende (niet alleen in dit forum), denk ik dat zoals ik het graag had gewild, niet kan met openvpn icm synology. En dat is ook een antwoord op mijn vraag....

[Babylonia]

Het waarom is me duidelijk, maar vervolgens vind je het niet veilig genoeg omdat je kinderen het configuratiebestand kunnen aanpassen. Of ze het nu wel of niet aanpassen, heeft verder niets met die veiligheid te maken, want die wordt voor die VPN-verbinding daarmee niet beter of slechter.
Alleen de wijze of je alle verkeer via VPN laat lopen of slechts een deel is IMO wel degelijk een kwestie van vertrouwen, als dat de bottleneck is waarom je het niet wilt toepassen.

Er zijn ook andere manieren om een beveiligde verbinding tot stand te brengen, waarbij de connectie van buitenaf alleen voor Photo Station geldt.  Diverse methoden die je het beste gecombineerd kunt toepassen < HIER >  (met o.a. - DIT - onderdeel), plus goed gebruik van een firewall.