Zowel OpenVPN als L2TP problemen met NAS DS216se

[p.lankhaar]

Mogelijk zijn de problemen die ik heb, in deze categorie hier of daar al eens behandeld, maar ik kon ze zo niet vinden en omdat ik door het woud van mogelijkheden het spreekwoordelijke bos niet meer zag, daarom mijn nieuwe eigen topic.

Ook ik heb meerdere problemen op het gebied van het opzetten van een VPN verbinding.
Ik heb nu zowel L2TP als OpenVPN geprobeerd, maar ik ben nog niet in staat geweest om een fatsoenlijke versleutelde verbinding op te zetten.

Mogelijk kunnen we de mogelijkheden nog eens stap voor stap bekijken. Het kan natuurlijk een kleinigheidje zijn (daar hoop ik ook op).

Als eerste maar eens de algemene instellingen:


Ook van de configuratie pagina voor de OpenVPN verbinding heb ik een aparte screenshot gemaakt:


En eveneens zo voor de L2TP verbinding:


Er moesten nog een aantal poorten open in mijn Fritzbox 3490 Router:


En nu maar proberen om een verbinding te maken.
Via L2TP in Windows een nieuwe netwerk VPN verbinding gemaakt en ingesteld.
De configuratie instellingen:


Het resultaat. Ik kan zonder problemen een verbinding leggen, maar het IP adres verandert niet, en volgens bijvoorbeeld een website als hide.me zegt dat mijn verbinding nog steeds niet beveiligd is en mijn locatie nog steeds zichtbaar.

Dan met OpenVPN een verbinding opgezet. Ook daarmee krijg ik verbinding met de NAS, maar daarna krijg ik deze foutmelding:

Thu Sep 28 13:27:14 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Thu Sep 28 13:27:14 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Sep 28 13:27:14 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Thu Sep 28 13:27:16 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
(dit heeft iets te maken met een script). Maar betekent dat echt dat ik zelf zo'n script in elkaar moet gaan programmeren? Of is er iets met een locatie verwijzing niet in orde??

Thu Sep 28 13:27:18 2017 RESOLVE: Cannot resolve host address: YOUR_SERVER_IP:1194 (Host is onbekend. )
Thu Sep 28 13:27:20 2017 RESOLVE: Cannot resolve host address: YOUR_SERVER_IP:1194 (Host is onbekend. )
Thu Sep 28 13:27:20 2017 Could not determine IPv4/IPv6 protocol
Thu Sep 28 13:27:20 2017 SIGUSR1[soft,init_instance] received, process restarting

Hoe zou ik dit probleem het beste aan kunnen pakken?

[Pippin]

Spreek alleen over OpenVPN.

Code: [Selecteer]

YOUR_SERVER_IP:1194 (Host is onbekend. )De geëxporteerde config dient nog wat ingevuld te worden.
YOUR_SERVER_IP vervangen door je externe IP.

[Birdy]

Hide.me is een VPN Provider en heeft dus niets te maken met VPN Server
Dit moet je regelen in je Netwerk > Netwerk Interface > Create op je NAS.

[Pippin]

Wat TS denk ik bedoelt is dat hij met zijn client gaat kijken of het externe IP gewijzigd is wanneer hij met VPN verbonden is...?
hide.me heeft een test site net als whatismyip, enz.

[Birdy]

OK Gewijzigd....

[Briolet]

Een gewijzigd IP krijg je alleen als je al het verkeer door de tunnel stuurt. Dat stel je op de cliënt in. Default op de Mac is volgens mij om alleen het verkeer naar de LAN via de tunnel te sturen.

Het is ook een verkeerde manier van testen. Een veel betere test is het kijken of je met een lokaal IP bij je apparaten kunt komen. Dan weet je zeker dat VPN werkt.

[Birdy]

Maar, dan wel van buiten af dus, niet lokaal:

[Ben(V)]

Ik denk dat het wel handiger eerst lokaal te testen of je VPN tunnel werkt.
Een VPN werkt ook binnen je lan.
Daarna kunt je het van buiten proberen.

Nooit te eel gelijktijdig testen.

[p.lankhaar]

Geweldig forum dit! Er zullen er wel niet zoveel bij zijn die zo dom zijn als ik, maar een gek kan meer vragen dan tien wijzen kunnen antwoorden. En bijna alles kun je leren, is mij ooit verteld.

Het OpenVPN werkte gelijk nadat ik mijn externe IP-adres had ingesteld. Dat is weer een grote stap vooruit.
In mijn netwerk omgeving ziet het er nu als volgt uit:


En nu kan ik er van buiten ook gelijk bij. L2TP heb ik dus maar gelijk vaarwel gezegd, want ik heb daarin mijn doel nu bereikt. Van buiten kan ik nu ook in mijn thuisnetwerk en bijvoorbeeld iets van een afdruk maken.
Ik ben er alleen nog niet helemaal uit met alles. Bij het aanmelden zegt de OpenVPN log het volgende:

Fri Sep 29 04:39:07 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Dat betekent mogelijk dat je zelf een script op maat moet gaan maken?

Als ik nu ga controleren of ik inderdaad een extern IP adres heb gekregen (terechte gedachte Briolet), blijk ik nog steeds over het eigen IP adres te surfen wat ik van de provider heb gekregen. Mijn einddoel is om alle data te versleutelen.

Ik houd me totaal niet bezig met verkeerde zaken, verre van dat, maar ik vind het toch geen fijne gedachte dat de lange sleeparmen van Google, Facebook en noem al de groten der aarde uit Silicon Valley maar op, mij kunnen volgen en een profiel van mij op kunnen stellen.

[Briolet]

Bij openVPN moet je de config op de cliënt aanpassen als je wilt dat al het verkeer door de tunnel gaat. Zie de comment in de config

Code: [Selecteer]

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1
Standaard staat dit uit om te voorkomen dat al het verkeer door de, doorgaans trage, tunnel gaat.

Overigens veranderd VPN niets aan het tracken door Google, Facebook etc. (Dat gebeurt met cookies etc op je PC zelf) VPN beschermd vooral tegen een m.i.t. aanval door een onbetrouwbare ISP of een gecompromitteerd Wifi punt.

[p.lankhaar]

Laatste 2 weken ben ik aan dit project verder niet meer toegekomen. Even druk met andere dingen.
Wel heb ik me nog eens goed ingelezen over de verschillende vormen van VPN. Je hebt natuurlijk een VPN Server en een VPN cliënt.
Beiden dienen een totaal verschillende doel. Kijk, en als je je dat al niet van tevoren goed bedenkt, ga je al de mist in.

Mijn VPN server werkt nu in ieder geval naar behoren en ik ga me eerst eens verder verdiepen in de rest van de mogelijkheden.
Als ik het nu goed begrepen heb, wordt de verbinding versleuteld als ik vanuit buiten contact leg met mijn thuis netwerk. Het internet en de mail bijvoorbeeld is gewoon nog onversleuteld.

Ik heb al eens zitten kijken hoe het moet om alle verkeer door de VPN tunnel te leiden, maar ik kom daar nog niet echt uit. Wat ik ervan begrijp, moet ik zowel op de server als op de cliënt iets aanpassen.
Dat zegt in ieder geval de OpenVPN HowTo.
En hoe kom ik dan in Synology in het OpenVPN configuratie bestand?

Verder heb ik ergens het advies gelezen om mijn verbinding vanaf het begin te versleutelen met tls-auth. In diezelfde howto kom ik daar ook info over tegen.
Ik vraag me af voor welke optie ik beter zal kunnen gaan.

één gek kan in de regel meer vragen dan tien wijzen kunnen antwoorden. Ik zou graag nog wel meer weten, maar alles op z'n tijd. Als jullie mij tenminste voor die tijd niet zat raken. 

[Ben(V)]

Mijn VPN server werkt nu in ieder geval naar behoren en ik ga me eerst eens verder verdiepen in de rest van de mogelijkheden.
Als ik het nu goed begrepen heb, wordt de verbinding versleuteld als ik vanuit buiten contact leg met mijn thuis netwerk. Het internet en de mail bijvoorbeeld is gewoon nog onversleuteld.

Dit is weer iets heel anders.
Als je wilt dat als je verkeer versleuteld wordt, dan heb je een VPN provider nodig.
Die wordt dan de VPN server en je NAS de VPN client.
Alles vanuit de NAS (en naar de NAS toe) gaat dan versleuteld naar de VPN provider die het daar weer decrypted en het internet op stuurt.

Als je mail wit versleutelen dan moet je in je mail client (bijvoorbeeld outlook) je mail versleutelen, echter dan kunnen alleen mensen die de key hebben die mail lezen dus of dat nu zo praktisch is weet ik niet.
Werkt dus alleen als je mail uitwisselt met mensen die je tevoren een key gegeven hebt.

[Briolet]

Het internet en de mail bijvoorbeeld is gewoon nog onversleuteld.

Als jij een goede mail provider hebt, kun je daar gewoon instellen dat de mail gecodeerd verstuurt wordt richting je provider. Dan heb je geen garantie voor het deel erna, maar het meest critische is toch de verbinding met je eigen provider via onbekende Wifi verbindingen.

Of mail versleuteld tussen mailservers verstuurd word, ligt er aan of de providers aan beide kanten dit ondersteunen. Bij de Webmail van GMail kun je tegenwoordig ook zien of mail versleuteld bij GMail binnengekomen is. Bij de meeste andere providers staat dat alleen in de logs waar je als klant geen toegang toe hebt.

[p.lankhaar]

Ik lees het al, ik loop de zaken weer flink door elkaar te harken 
Maar de kennis die ik hier al heb opgedaan, neemt niemand me weer af.
Is er nu ook nog iemand die aan kan geven wat er nu precies versleuteld wordt, nu ik mijn eigen VPN server op mijn NAS heb draaien? Want daar kan ik op internet niet veel over terugvinden.

Al met al genomen vind ik het een zeldzaam interessante materie. Mijn volgende stap wordt dan ook een tweede kennismaking met VPN.
Ik ga een leuke router bestellen en die ombouwen met DD-WRT. Daarna ga ik mij aansluiten bij ExpressVPN of NordVPN. Beide heel interessante partners, ook al omdat ze geen logs bijhouden.

Zou het best leuk vinden om daar nog eens wat verslag van te doen hier, maar daar is dit forum niet voor natuurlijk. Maar misschien kan ik daar toch dit mijn eigen topic voor gebruiken? Zomaar ter leringh ende vermaeck. Input blijft altijd welkom.

[Babylonia]

(Even los van de verschillen met een VPN-server thuis, en gebruik maken van een externe VPN-provider).

Bij gebruik van een VPN-server thuis.

Ik heb al eens zitten kijken hoe het moet om alle verkeer door de VPN tunnel te leiden, maar ik kom daar nog niet echt uit. Wat ik ervan begrijp, moet ik zowel op de server als op de cliënt iets aanpassen.

Bij gebruik van OpenVPN hoef je dat alleen aan de Client-zijde in het configuratieprofiel in te stellen.
Dat  is eerder in de draad  al aangegeven door @Briolet

Maar omdat je meerdere VPN-profielen kunt aanmaken "voor dezelfde VPN-server thuis", zou je ook twee profielen kunnen opslaan.
Het ene profiel, alleen voor connectie met File Station op de NAS via de VPN-tunnel, met het andere profiel AL het verkeer via de VPN-tunnel.
(Ook wanneer je het internet opgaat en websites wilt bezoeken met een web-browser).

Ik gebruik zelf beide opties.
De configuratiebestanden waarmee ik connectie leg heb ik zodanig vernoemd, dat het duidelijk is welke connectie wordt gebruikt.

• Babylonia-vpn-(server-only).ovpn
• Babylonia-vpn-(www-all).ovpn