DS bereiken vanuit school/werk

[BCMascha]

je thuis IP krijgt te zien

Ja, mits je in de config van de OpenVPN client 2.3.10 op je laptop het # weghaalt voor #redirect-gateway

wat moet ik dan instellen/installeren?

Op je NAS OpenVPN Server te vinden in het Package Center.
Op je laptop OpenVPN 2.3.10.
De client geïnstalleerd, maar ik kom er niet uit. Heb de 3 files server-, client- en sample.ovpn uit sample-config naar config gezet en allemaal geprobeerd in te stellen, maar het lukt gewoon niet. (Het ziet er ook niet erg makkelijk uit) Ik kan niet verbinden. Weet natuurlijk wel zeker dat het hier ergens fout gaat. Is er geen programma dat je gewoon opstart en dan de server in kan vullen? Zeg nou zelf, veel makkelijker?...

Geen idee of je van Cloud Station de poorten kunt wijzigen.

Nee, die poort kan je niet wijzigen. (Al in 2012 over geklaagd door meerdere mensen, maar Synology vertikt het om dit in te voeren. Hoop gezeur omdat 6690 bijna nergens 'open' staat...)

[Ben(V)]

Ik weet dan niet hoe je het dan wel noemt, maar als ik bijvoorbeeld 5001 omlus van 8080 naar 5001 dan kan ik op school wel op de DSM.

Er is in dat geval op school een firewall die outbound port filtering doet, wat eigenlijk zinloos is want je kunt toch niet alle outbound poorten blokeren zoals je gezien hebt.

[Pippin]

Wilde net antwoorden maar @Ben(V) deed het al.
Mijn antwoord zou zijn dat er dan op poort 8080 niet gefilterd wordt wat dan op hetzelfde neerkomt.

In OpenVPN Server moet je de config exporteren en vervolgens aanpassen zoals ik heb aangegeven.
Tevens vul je je publieke IP in en de DNS van je LAN. Die laatste is hoogstwaarschijnlijk het IP van je router.
De config is een *.ovpn en die plaats je dan samen met het ca.crt in c:\Program Files\OpenVPN\config\

Testen doe je van buiten je eigen LAN/WLAN.
B.v. door je laptop te verbinden aan de hotspot van je telefoon waarvan de WiFi uitstaat.
Of een openbare hotspot of bij de buurman....etc.

[Briolet]

Er bestaat niet zoiets als een uitgaande poort.
Je kunt alleen binnenkomen via een poort.

Waarschijnlijk bedoel je het anders dan je schrijft, maar als mijn mail programma via poort 25 met een externe smtp server praat, is dat in mijn beleving een uitgaande poort op mijn router. En als ik poort 25 op mijn router blokkeer, dan kan ik, geen mail versturen via poort 25. Dat is dan wel in beide richtingen gesloten en niet specifiek uitgaand.

[BCMascha]

In OpenVPN Server moet je de config exporteren en vervolgens aanpassen zoals ik heb aangegeven.
Tevens vul je je publieke IP in en de DNS van je LAN. Die laatste is hoogstwaarschijnlijk het IP van je router.
De config is een *.ovpn en die plaats je dan samen met het ca.crt in c:\Program Files\OpenVPN\config\

Ik denk dat je dit bedoelt zoals in deze tutorial beschreven @ exporteren: https://www.synology.com/en-us/knowledgebase/tutorials/592#t3.1
Als ik het programma installeer en start, krijg ik alleen maar een icoontje in mijn tray met de opties Instellingen en Afsluiten. Ik krijg geen bestanden genaamd *.opvn en *.crt. Ook komt er helemaal geen GUI naar boven, heb alleen het tray icoontje dus. (Ook al compatibiliteit geprobeerd) Ik zou niet weten waar ik deze anders vandaan moet toveren? :s

[Pippin]

DS:
Je exporteert een zip bestand uit de VPN Server op de NAS.
De twee bestanden in die zip, ca.crt en openvpn.ovpn plaats je in de aangegeven map van de OpenVPN client op je laptop.
openvpn.ovpn aanpassen zoals door mij beschreven en opslaan.

Laptop:
OpenVPN sluiten.
Onder de tab compatibiliteit de optie "Als administrator uitvoeren" aanvinken.
OpenVPN starten.
Nu moet je het profiel "openvpn" kunnen verbinden.

[Ben(V)]

Waarschijnlijk bedoel je het anders dan je schrijft, maar als mijn mail programma via poort 25 met een externe smtp server praat, is dat in mijn beleving een uitgaande poort op mijn router. En als ik poort 25 op mijn router blokkeer, dan kan ik, geen mail versturen via poort 25. Dat is dan wel in beide richtingen gesloten en niet specifiek uitgaand.

Ik bedoel precies wat ik zeg.
Als er zoiets als een uitgaande poort bestond zou je die moeten adresseren als je iets zou willen versturen.
Echter je geeft alleen een ipadres en een poort van je target op en niet de poort waar je het dan uit zou willen sturen.

Bij een router lijkt dat misschien zo maar dat komt doordat zo'n ding routeert, ofwel altijd zowel iets erin als eruit.
Daar kun je dus het 'erin' blokeren.

Kijk maar eens met wireshark, dan zie je echt alleen maar verkeer met een ip:poort adressering en echt geen afzenderpoort

[BCMascha]

Ik heb de VPN even snel via mijn hotspot van mijn mobiel getest en hij werkt tot zo ver! Over 3 dagen weet ik ook of dit op school het geval is, maar dat zal vast wel zo zijn. Alleen heb ik nog 1 vraagje: Kan/Gaat de VPN ook werken over de SSL verbinding die op de DS staat ingesteld? Ik wil namelijk niet dat een hackertje straks even doodleuk mijn wachtwoord makkelijk kan zien, mocht dit ooit voorkomen.

[BCMascha]

Ik heb de VPN vandaag op school getest en ben ten einde raad. Ik heb getest en gedaan en ik kom er niet uit. De VPN werkt op mijn mobiele netwerk, maar op school weigert het weer eens. Dit is de log die ik krijg:

Code: [Selecteer]

Mon Jan 18 09:17:00 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jan  4 2016
Mon Jan 18 09:17:00 2016 Windows version 6.2 (Windows 8 or greater)
Mon Jan 18 09:17:00 2016 library versions: OpenSSL 1.0.1q 3 Dec 2015, LZO 2.09
Mon Jan 18 09:17:06 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jan 18 09:17:06 2016 UDPv4 link local (bound): [undef]
Mon Jan 18 09:17:06 2016 UDPv4 link remote: [AF_INET]xxx.xx.xxx.xx:8080
Mon Jan 18 09:18:06 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Jan 18 09:18:06 2016 TLS Error: TLS handshake failed
Mon Jan 18 09:18:06 2016 SIGUSR1[soft,tls-error] received, process restarting
Iemand?

EDIT: De VPN doet het nu wel opeens. Geen idee hoe het opeens werkt, maar het werkt. Hoewel, ik kan nog steeds niet bij mijn Cloud Staion... (www.watismijnip.nl geeft mijn thuis IP aan) Iemand enig idee hoe dit probleem nu weer verholpen kan worden? >.<

PPS: Alle poorten die geblokkeerd worden door school doen het nog steeds allemaal niet.

[Babylonia]

Je logbestand geeft iets anders aan, met wat er fout is:

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Op de website bij Opne VPN vind je daar informatie over, met wat er verkeerd loopt.
https://openvpn.net/index.php/open-source/documentation/howto.html#mitm
an authorized client tries to connect to another client   Wat dat dan ook moge inhouden. (Twee Clients )

Ik neem aan dat je op school van je laptob gebruik maakt en niet van je mobiel.
Heb je wel de juiste software / en certificaat op je laptop gezet?  (En start je OpenVPN wel op als "Administrator" ? )

[BCMascha]

Ja, deze opties heb ik allemaal gedaan en ja ik maak gebruik van mijn laptop, niet mobiel. Het oplossen van de error is ook gelukt. Het probleem nu is echter alleen dat ik nog steeds niet op de geblokkeerde poorten kan. (Cloud Station nog steeds blocked) Mobiel wel nogmaals getest, en daarmee kan ik wel op Cloud Station. (Logisch, want deze heeft niks geblokkeerd)

[Babylonia]

Vreemd dat je via VPN niet bij Cloud Station terecht zou kunnen komen.  Omdat je via VPN een tunnel hebt naar je interne LAN thuis, heb je verder met "poorten blokkeren" m.b.t. Cloud Station helemaal niets te maken, je zit immers "in je eigen LAN netwerk".

Het enige wat ik dan zou kunnen bedenken is dat je thuis Firewall regels m.b.t. het door de VPN gebruikte virtuele LAN netwerk niet goed hebt staan, of de configuratie van het  openvpn.ovpn  bestand niet goed hebt uitgevoerd, waardoor je niet verder komt.

Een mobieltje reageert anders als een Windows gebaseerd systeem heb ik eerder ook gemerkt.
Dus dat kun je niet helemaal met elkaar vergelijken.

Mogelijk vind je wat extra info in een ander draadje om de  openvpn.ovpn  correct te configureren + regels voor Firewall.
- Firewall regels, wat meer onderaan < HIER >  (wel afgestemd op de situatie zoals daar vermeld = NAT achter NAT).
- Configureren  openvpn.ovpn  < HIER >

[BCMascha]

Ik heb de links bekeken en weer wat gerotzooid. Als ik met de VPN verbind kan ik op alle geblokkeerde sites komen, maar niet op geblokkeerde programma's of poorten. (Cloud Station, Steam, TeamSpeak, etc)

Ik heb de firewall op de DS compleet uitgezet, LAN en PPPoE op Toestaan gezet. Nu kan ik op alle geblokkeerde sites en programma's komen, maar nog steeds niet op Cloud Station. (Ook op xxx.nl:5001 (DSM) kan iki trouwens niet komen). Kijk we komen steeds een stapje dichterbij.

Alle poorten staan wel geforward en ook goed in mijn router. Ik heb de VPN compleet over poort 8080 TCP lopen. (VPN ook ingesteld op 8080, geen omlussen. Zo heb ik die error van eerst ook kunnen verhelpen)

Config can openvpn.ovpn:

Code: [Selecteer]

dev tun
tls-client

remote www.xxx.nl 8080

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2

ca ca_bundle.crt

comp-lzo

reneg-sec 0

auth-user-pass

Zelf ben ik een beetje ten einde raad.

EDIT: Ik heb Cloud Station opnieuw ingesteld, maar nu niet op www.xxx.nl, maar op 192.168.x.x. Nu doet hij het wel. Het kwam toch ineens in mij op toen ik de zin "Je zit eigenlijk op de thuis netwerk" las. Maar dan nog ben ik wel heel nieuwsgierig waarom hij het gewoon niet met mijn public IP + domein doet? Overigens wordt de SSL functie nu ook niet gebruikt/gezien omdat ik op local zit, dus niet veilig. Dus liever heb ik gewoon normaal domein...

[Babylonia]

EDIT: Ik heb Cloud Station opnieuw ingesteld, maar nu niet op www.xxx.nl, maar op 192.168.x.x. Nu doet hij het wel. Het kwam toch ineens in mij op toen ik de zin "Je zit eigenlijk op de thuis netwerk" las. Maar dan nog ben ik wel heel nieuwsgierig waarom hij het gewoon niet met mijn public IP + domein doet?

Tja, dat is nu eenmaal heel het eieren eten bij VPN. Je maakt een "Virtueel Privé Netwerk" connectie.
Het (privé) "LAN thuis-netwerk" wordt virtueel doorgetrokken naar een verbinding elders via die VPN-tunnel.
Je moet als de VPN-tunnel eenmaal tot stand is gekomen, dus je IP-adressen gebruiken van je LAN thuis.
Als je via VPN ook een webbrowser opstart "elders" op school, en je tikt in de adresregel   http://www.mijn-ip.net/  in,
krijg je het WAN IP-adres te zien van je thuis internet-aansluiting, en niet dat van de school (als alles goed is ingesteld).

Vraag me af of je dan niet alles veel te moeilijk hebt opgezet, met omlussen van de VPN poorten ?
Ik zou gewoon eens helemaal opnieuw beginnen met de poorten die er normaal voor staan.

Overigens zie ik (misschien om die reden) wel een aantal discrepanties in de configuratie van het  openvpn.ovpn  bestand,
ten opzichte wat ikzelf eerder als algemene configuratie heb ingesteld.

Met dat omlussen (dan dus weer terug gaan naar):
remote [ Vul hier je WAN internet account IP-adres in ] 1194

- Bij jou zijn geen DNS servers ingevuld
dhcp-option DNS DNS_IP_ADDRESS

- Verder heb je voor Open VPN een TCP protocol ingesteld, in plaats van een UDP protocol
proto tcp-client
versus
proto udp


ca ca_bundle.crt   

De VPN-server van Synology maakt helemaal geen gebruik van een certificaat wat als  ca_bundle.crt  is benoemd.
gewoon  ca.crt

Dat ca_bundle.crt komt o.a. wel voor bij een beveiligingscertificaat wat door Comodo wordt uitgegeven, als je dat wilt koppelen aan een domein. Maar dat heeft helemaal niets met VPN te maken.


Zelf heb ik onlangs een gastles gegeven op de school van mijn dochter.
Ik kon zowel een VPN-verbinding opzetten als rechtstreeks met de hele klas (dus niet in VPN-mode) op mijn server inloggen die in mijn geval voor dit project meteen aan de Synology router is gekoppeld (poort 8000 / 8001).

Het is wat Ben(V) eerder heeft aangegeven, als "aanroepende" (uitgaande) partij, vanuit de school heb je niets te maken  met poorten.
Dat is enkel van belang als "inkomende" partij bij je zelf thuis, wat dan doorgestuurd moet worden naar de server die erachter hangt.

Ik kan me wel voorstellen dat men op een school wel filtert op uitgaand verkeer. Dat is meestal gebaseerd op internet web-verkeer ("ouderlijk toezicht" op internet sites), niet op typische services naar achterliggende servers. Ik vermoed dat leerkrachten en directie namelijk zelf ook nog wel eens van VPN-gebruik maken, voor bijv. een achterliggende service ten aanzien van de bestuurlijke organisatie / communicatie van de school zelf. Dus zal men dat niet blokkeren.

[BCMascha]

Op dit moment staat er niets doorgelust naar andere poorten. Ik had eerst 8080 naar 1194 staan in mijn router, maar hierdoor kreeg ik die "TLS key negotiation failed" error. Ik heb toen de VPN zelf in de DS op poort 8080 gezet en ook in de router. Hierdoor werd het opeens TCP en heb ik dat dus ook overal ingesteld. (Ook configuratie opnieuwe geëxporteerd) Op deze manier werd die error verholpen en deed de VPN het wel. Ik kan op mijn laptop wel 1194 instellen, maar met die poort kan ik niets omdat school deze filtert. (Of hoe je het nu exact noemt) Poort 8080 doet het wel, dus gebruikte ik daarom die. Over de DNS server, ik had die van Google gebruikt, maar ook dan kan ik niks met Cloud Station als die ingesteld is op www.xxx.nl of mijn IP. Over het cerificaat: Als ik mijn instellingen exporteer staat er toch echt al standaard ca_bundle.crt in ipv ca.crt. Ik krijg ook beide certificaten.

Zal het nu nog 1 keer proberen in te stellen op jouw manier, en daarna alle mogelijke manieren die ik al geprobeerd had.