DS bereiken vanuit school/werk

[Babylonia]

Misschien kun je eens naar het IP-adres van de school een trace of poortscan doen welke poorten voor hun services "open staan".
Heb je een indicatie wat je wel of niet kan gebruiken. Als zij bepaalde services gebruiken voor hun eigen organisatorische verkeer, zal het andersom (voor uitgaand verkeer) in ieder geval ook niet geblokkeerd zijn.

Scan vanuit een bekend website: "Shields Up" en dan "proceed" om verder te komen.
Maar je zou ook een Port scanner kunnen gebruiken.   http://www.advanced-port-scanner.com/nl/

[BCMascha]

Heb het volgende nu geprobeerd:
openvpn.ovpn:

Code: [Selecteer]

dev tun
tls-client

remote xxx.xx.xxx.xx 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 8.8.8.8

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass
Firewall staat compleet uit op de DS. In DS poort 1194 ingesteld en configuratie geëxporteerd. (Die hierboven) Poort 1194 geforward in de router. Resultaat: Werkt niet, kan niet verbinden. (Kan NAS niet eens bereiken)

In openvpn.ovpn remote poort naar 8080 gezet en in router 8080 omgeleid naar 1194. Resultaat: Werkt, maar ook weer niet. Kan inloggen, maar blijft daarna hangen op

Code: [Selecteer]

Mon Jan 18 13:29:35 2016 UDPv4 link remote: [AF_INET]xxx.xx.xxx.xx:8080 en krijg vervolgens time-out.

Nu ook in de router poort 8080 gewoon normaal ingesteld zonder omleidingen. In de DS VPN Server poort op 8080 UDP gezet. Resultaat: Zelfde als hierboven.

Alle poorten in TCP veranderd. Resultaat: Zelfde als hierboven, maar dan zonder time-outs. Blijft reconnecten om de 2 seconden.

In openvpn.ovpn "ca ca.crt" naar "ca ca_bundle.crt" veranderd. Resultaat: VPN connect nu compleet. (Dit is dus de reden waarom er bij mij de "ca_bundle.crt" stond)

Dat is stap 1. VPN connecten lukt nu.

Met Cloud Station nieuwe accounts lopen aanmaken, maar alleen het 192.168.x.x IP werkt. Met dit IP wil ik liever niet werken, omdat mijn SSL op www.xxx.nl zit.



Dit was mijn uitleg over hoe ik mijn dingetjes heb getest. De reden waarom ik het niet precies op jouw manier deed, is omdat het gewoon niet lukte. :s Helaas zit mijn tijd er voor vandaag op op school, dus kan ik morgen pas verder. Maar dit is dus waar ik op dit moment zit.

@Babylonia: Thanks, ga ik doen. EDIT: Alle poorten zijn groen, not sure what Stealth is though..

[Pippin]

Met dit IP wil ik liever niet werken, omdat mijn SSL op www.xxx.nl zit.

Je haalt twee dingen door elkaar.
SSL staat los van OpenVPN.

OpenVPN is een beveiligde tunnel naar je DS waar alleen diegenen gebruik van kunnen maken die een account op je DS hebben en het recht OpenVPN te gebruiken. Diegenen moeten dan uiteraard ook je ca_bundle hebben.

SSL is voor publiek verkeer, b.v. als je een website draait op je DS.
OpenVPN is voor beveiligd privé verkeer.

De ca_bundle.crt:
Op de DS zijn de certificaten voor SSL en OpenVPN niet gescheiden van elkaar.
Omdat je SSL certificaten hebt geïmporteerd in DSM worden die dus ook voor OpenVPN gebruikt en dat is meteen de verklaring dat je een ca_bundle.crt hebt in plaats van een ca.crt.
Al meerdere malen heb ik een verzoek gedaan om dat van elkaar te scheiden omdat OpenVPN naar mijn mening eigen certificaten moet hebben die bij geen enkele instantie bekend mogen zijn.

maar alleen het 192.168.x.x IP werkt

Het doel van OpenVPN is dat je een veilige verbinding naar je DS hebt en eventueel je hele LAN.
Het is dan natuurlijk logisch dat het zo werkt.

Dus als ik goed gelezen heb werkt het nu naar behoren tenzij je eigen certificaten voor de VPN wilt hebben.
Dan kun je hier info vinden :-)

[BCMascha]

Ah, nu valt het kwartje. Ik snap nu de bedoeling van de SSL. Als dit de bedoeling van de VPN is, dan werkt het inderdaad met alleen het lokale IP en neem ik aan dat het veilig is. Ik zal mij gaan verdiepen in jouw link voor een aparte certificaat. Dikke duim voor iedereen!

[Babylonia]

De ca_bundle.crt:
Op de DS zijn de certificaten voor SSL en OpenVPN niet gescheiden van elkaar.
Omdat je SSL certificaten hebt geïmporteerd in DSM worden die dus ook voor OpenVPN gebruikt en dat is meteen de verklaring dat je een ca_bundle.crt hebt in plaats van een ca.crt.
Al meerdere malen heb ik een verzoek gedaan om dat van elkaar te scheiden omdat OpenVPN naar mijn mening eigen certificaten moet hebben die bij geen enkele instantie bekend mogen zijn.

Voor de VPN-server geïnstalleerd op de Synology router is dat wel als zodanig gescheiden.
Althans bij mij is het SSL certificaat geen onderdeel van het Open VPN certificaat.
(Vandaar dat ik het vreemd vond dat er over een "bundle" certificaat bestand wordt gesproken).

Ik vraag me af of dat voor DSM dan niet hetzelfde is, want voor beide apparaten wordt hetzelfde VPN-server package gebruikt.
Overigens onlangs is er wel een update geweest van de VPN-server, misschien is de combinatie als bundle op dat punt inmiddels achterhaalt ook voor DSM?

Overigens als je een SSL als "bundle" aangeleverd krijgt, kun je het wel als "single" certificaat omwerken.
Tenminste zo heb ik dat wel gedaan bij het aanvragen van een SSL cerificaat.   Zie reactie elders op het forum,
de verwijzing van @Birdy erna,   en de uiteindelijke "omwerking" beschreven    < HIER >.

[Pippin]

Als de VPN server of DS herstart wordt, worden de certificaten automatisch gekopieerd vanuit /usr/syno/etc/packages/VPNCenter/etc/openvpn/keys/
Dat kun je op de DS eenvoudig testen. Gewoon de certificaten van de VPN server wissen en herstarten.
Na opstarten staan ze er weer. Als je dan dus je eigen gegenereerde certificaten daar neerzet zijn ze na een herstart weer vervangen met natuurlijk als gevolg dat je niet meer kunt inloggen op je VPN.

Dit kan op de router natuurlijk anders zijn.

[Babylonia]

Bij de router, een reboot (is feitelijk tevens een herstart van de VPN-server), verandert daarbij niet het Open VPN certificaat.
Een fabrieks-herstel (en opnieuw installeren van de VPN-server) wel, en moet je de eerder gebruikte en geïmporteerde certificaten in apparaten die je ermee wilt verbinden vervangen door het nieuw gegenereerde certificaat.