Auteur Topic: DS bereiken vanuit school/werk  (gelezen 10390 keer)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.950
Re: DS bereiken vanuit school/werk
« Reactie #30 Gepost op: 18 januari 2016, 13:17:31 »
Misschien kun je eens naar het IP-adres van de school een trace of poortscan doen welke poorten voor hun services "open staan".
Heb je een indicatie wat je wel of niet kan gebruiken. Als zij bepaalde services gebruiken voor hun eigen organisatorische verkeer, zal het andersom (voor uitgaand verkeer) in ieder geval ook niet geblokkeerd zijn.

Scan vanuit een bekend website: "Shields Up" en dan "proceed" om verder te komen.
Maar je zou ook een Port scanner kunnen gebruiken.   http://www.advanced-port-scanner.com/nl/
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline BCMascha

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 4
  • Berichten: 78
Re: DS bereiken vanuit school/werk
« Reactie #31 Gepost op: 18 januari 2016, 13:50:46 »
Heb het volgende nu geprobeerd:
openvpn.ovpn:
dev tun
tls-client

remote xxx.xx.xxx.xx 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 8.8.8.8

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

Firewall staat compleet uit op de DS. In DS poort 1194 ingesteld en configuratie geëxporteerd. (Die hierboven) Poort 1194 geforward in de router. Resultaat: Werkt niet, kan niet verbinden. (Kan NAS niet eens bereiken)

In openvpn.ovpn remote poort naar 8080 gezet en in router 8080 omgeleid naar 1194. Resultaat: Werkt, maar ook weer niet. Kan inloggen, maar blijft daarna hangen op Mon Jan 18 13:29:35 2016 UDPv4 link remote: [AF_INET]xxx.xx.xxx.xx:8080 en krijg vervolgens time-out.

Nu ook in de router poort 8080 gewoon normaal ingesteld zonder omleidingen. In de DS VPN Server poort op 8080 UDP gezet. Resultaat: Zelfde als hierboven.

Alle poorten in TCP veranderd. Resultaat: Zelfde als hierboven, maar dan zonder time-outs. Blijft reconnecten om de 2 seconden.

In openvpn.ovpn "ca ca.crt" naar "ca ca_bundle.crt" veranderd. Resultaat: VPN connect nu compleet. (Dit is dus de reden waarom er bij mij de "ca_bundle.crt" stond)

Dat is stap 1. VPN connecten lukt nu.

Met Cloud Station nieuwe accounts lopen aanmaken, maar alleen het 192.168.x.x IP werkt. Met dit IP wil ik liever niet werken, omdat mijn SSL op www.xxx.nl zit.



Dit was mijn uitleg over hoe ik mijn dingetjes heb getest. De reden waarom ik het niet precies op jouw manier deed, is omdat het gewoon niet lukte. :s Helaas zit mijn tijd er voor vandaag op op school, dus kan ik morgen pas verder. Maar dit is dus waar ik op dit moment zit.

@Babylonia: Thanks, ga ik doen. EDIT: Alle poorten zijn groen, not sure what Stealth is though..
Mijn Synology's

DS215j > 1x WDC WD30EFRX (RED, 3TB), 1x WDC WD20EFRX (RED, 2TB)
DS716+II > Verkocht.
RS815+ 1x WDC WD30EFRX (RED, 3TB), 1x WDC WD30EFRX (RED, 2TB)
RS2418+ > 1x D4N2133-4G (4GB RAM), 2x WDC WD30EFRX (RED, 3TB), 2x WDC WD10EFRX (RED, 1TB), 2x WDC WD30PURZ (PURPLE, 3TB)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: DS bereiken vanuit school/werk
« Reactie #32 Gepost op: 18 januari 2016, 16:16:11 »

Citaat
Met dit IP wil ik liever niet werken, omdat mijn SSL op www.xxx.nl zit.
Je haalt twee dingen door elkaar.
SSL staat los van OpenVPN.

OpenVPN is een beveiligde tunnel naar je DS waar alleen diegenen gebruik van kunnen maken die een account op je DS hebben en het recht OpenVPN te gebruiken. Diegenen moeten dan uiteraard ook je ca_bundle hebben.

SSL is voor publiek verkeer, b.v. als je een website draait op je DS.
OpenVPN is voor beveiligd privé verkeer.

De ca_bundle.crt:
Op de DS zijn de certificaten voor SSL en OpenVPN niet gescheiden van elkaar.
Omdat je SSL certificaten hebt geïmporteerd in DSM worden die dus ook voor OpenVPN gebruikt en dat is meteen de verklaring dat je een ca_bundle.crt hebt in plaats van een ca.crt.
Al meerdere malen heb ik een verzoek gedaan om dat van elkaar te scheiden omdat OpenVPN naar mijn mening eigen certificaten moet hebben die bij geen enkele instantie bekend mogen zijn.

Citaat
maar alleen het 192.168.x.x IP werkt
Het doel van OpenVPN is dat je een veilige verbinding naar je DS hebt en eventueel je hele LAN.
Het is dan natuurlijk logisch dat het zo werkt.

Dus als ik goed gelezen heb werkt het nu naar behoren tenzij je eigen certificaten voor de VPN wilt hebben.
Dan kun je hier info vinden :-)

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline BCMascha

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 4
  • Berichten: 78
Re: DS bereiken vanuit school/werk
« Reactie #33 Gepost op: 18 januari 2016, 16:26:24 »
Ah, nu valt het kwartje. Ik snap nu de bedoeling van de SSL. Als dit de bedoeling van de VPN is, dan werkt het inderdaad met alleen het lokale IP en neem ik aan dat het veilig is. Ik zal mij gaan verdiepen in jouw link voor een aparte certificaat. Dikke duim voor iedereen!
Mijn Synology's

DS215j > 1x WDC WD30EFRX (RED, 3TB), 1x WDC WD20EFRX (RED, 2TB)
DS716+II > Verkocht.
RS815+ 1x WDC WD30EFRX (RED, 3TB), 1x WDC WD30EFRX (RED, 2TB)
RS2418+ > 1x D4N2133-4G (4GB RAM), 2x WDC WD30EFRX (RED, 3TB), 2x WDC WD10EFRX (RED, 1TB), 2x WDC WD30PURZ (PURPLE, 3TB)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.950
Re: DS bereiken vanuit school/werk
« Reactie #34 Gepost op: 18 januari 2016, 23:08:33 »
De ca_bundle.crt:
Op de DS zijn de certificaten voor SSL en OpenVPN niet gescheiden van elkaar.
Omdat je SSL certificaten hebt geïmporteerd in DSM worden die dus ook voor OpenVPN gebruikt en dat is meteen de verklaring dat je een ca_bundle.crt hebt in plaats van een ca.crt.
Al meerdere malen heb ik een verzoek gedaan om dat van elkaar te scheiden omdat OpenVPN naar mijn mening eigen certificaten moet hebben die bij geen enkele instantie bekend mogen zijn.

Voor de VPN-server geïnstalleerd op de Synology router is dat wel als zodanig gescheiden.
Althans bij mij is het SSL certificaat geen onderdeel van het Open VPN certificaat.
(Vandaar dat ik het vreemd vond dat er over een "bundle" certificaat bestand wordt gesproken).

Ik vraag me af of dat voor DSM dan niet hetzelfde is, want voor beide apparaten wordt hetzelfde VPN-server package gebruikt.
Overigens onlangs is er wel een update geweest van de VPN-server, misschien is de combinatie als bundle op dat punt inmiddels achterhaalt ook voor DSM?

Overigens als je een SSL als "bundle" aangeleverd krijgt, kun je het wel als "single" certificaat omwerken.
Tenminste zo heb ik dat wel gedaan bij het aanvragen van een SSL cerificaat.   Zie reactie elders op het forum,
de verwijzing van @Birdy erna,   en de uiteindelijke "omwerking" beschreven    < HIER >.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: DS bereiken vanuit school/werk
« Reactie #35 Gepost op: 18 januari 2016, 23:24:36 »
Als de VPN server of DS herstart wordt, worden de certificaten automatisch gekopieerd vanuit /usr/syno/etc/packages/VPNCenter/etc/openvpn/keys/
Dat kun je op de DS eenvoudig testen. Gewoon de certificaten van de VPN server wissen en herstarten.
Na opstarten staan ze er weer. Als je dan dus je eigen gegenereerde certificaten daar neerzet zijn ze na een herstart weer vervangen met natuurlijk als gevolg dat je niet meer kunt inloggen op je VPN.

Dit kan op de router natuurlijk anders zijn.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.950
Re: DS bereiken vanuit school/werk
« Reactie #36 Gepost op: 19 januari 2016, 01:30:19 »
Bij de router, een reboot (is feitelijk tevens een herstart van de VPN-server), verandert daarbij niet het Open VPN certificaat.
Een fabrieks-herstel (en opnieuw installeren van de VPN-server) wel, en moet je de eerder gebruikte en geïmporteerde certificaten in apparaten die je ermee wilt verbinden vervangen door het nieuw gegenereerde certificaat.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

extern bereiken ds110+

Gestart door dvl1Board Web Station

Reacties: 1
Gelezen: 1672
Laatste bericht 25 augustus 2010, 21:56:49
door eM.
DS Photo + niet te bereiken van buitenaf

Gestart door JorisvanstrienBoard Photo Station / Photos

Reacties: 2
Gelezen: 5161
Laatste bericht 04 maart 2013, 21:22:26
door Jorisvanstrien
Backup naar een andere FTP server vanuit DS213+

Gestart door cautjeBoard Data replicator & overige backupsoftware

Reacties: 1
Gelezen: 1358
Laatste bericht 13 december 2013, 13:30:11
door Nelesss
Twee Synology servers in 1 privé lan vanuit internet benader

Gestart door PlioplaticarpusBoard Overige software

Reacties: 2
Gelezen: 1765
Laatste bericht 15 februari 2012, 19:48:35
door wopper
Kan NAS niet bereiken

Gestart door Bas99Board NAS hardware vragen

Reacties: 12
Gelezen: 6616
Laatste bericht 31 augustus 2014, 20:47:14
door Birdy