Hulp gezocht bij tutorial "Beter beveiligde OpenVPN" icm VPN Plus Server op SRM

[peter.venkman]

Ik heb de tutorial "Beter beveiligde OpenVPN" helemaal doorgelopen en geprobeerd deze zoveel mogelijk aan te passen aan mijn situatie.
Een aantal stappen wijken af op SRM 1.2.4 t.o.v. de tutorial die voor DSM is geschreven. Het lukt me helaas niet om een succesvolle verbinding met de OpenVPN client te maken. Ik heb geen flauw idee of ik een juiste vertaalslag van de tutorial naar mijn situatie heb gemaakt. Wellicht kan iemand mij hierin adviseren;

1. Openvpn is onderdeel van het VPN Plus Server package op SRM, i.t.t. DSM. Het package staat geïnstalleerd in:  /usr/syno/etc/packages/VPNPlusServer.
Ik heb in deze locatie een map VPNcerts aangemaakt met hierin de bestanden: CA.crt, Server.crt, Server.key, dh4096.pem, ta.key.

2.
Op locatie /usr/syno/etc/packages/VPNPlusServer/openvpn bevinden zich de bestanden: keys, openvpn.conf, openvpn.conf.user.
De inhoud van openvpn.conf en openvpn.conf.user heb ik toegevoegd als bijlage.

3.
Op OpenVPN op SRM wordt de "client ip range" automatisch toegewezen en die kan je dus zelf niet aanpassen (zoals in de tutorial wordt vermeld). De range is als volgt: 172.22.0.0/24

4.
Er is geen Apparmor aanwezig (zover ik kon zien) op SRM dus deze stap heb ik overgeslagen.

5.
Op de client (heb zowel macOS als w10 geprobeerd) heb ik in de openvpn.ovpn file het interne adres van de RT2600AC opgegeven:

Code: [Selecteer]

remote 10.0.4.1 1194 ### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk

en ik heb het externe geprobeerd;

Code: [Selecteer]

remote mijn_syno_name.synology.me 1194 ### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk

6.
Als laatste een tip voor iedereen die tegen hetzelfde probleem zou aanlopen;
Als je als root wilt ssh'en in de RT2600AC dan is dit alleen mogelijk met het "admin" account. Ik had tijdens de setup van de router een eigen admin-naam gekozen. De gebruiker "admin" wordt dan standaard disabled. Echter, ssh werkt alleen met dat account en niet met andere admin accounts. Die info had ik niet uit de handleiding van SRM gehaald.

Hopelijk kan iemand me adviseren met deze problematiek :-)

Dank alvast!

[peter.venkman]

Ik was vergeten erbij te vermelden dat de log files blijkbaar op een andere locatie staan op SRM dan bij DSM. Er bestaat geen "openvpn.log" in locatie /var/log.
Als ik "Log Center" open en zoek op "vpn" krijg ik geen bruikbare info te zien. Als iemand weet waar die logs staan dan hoor ik het graag.

[Babylonia]

Zelf heb ik allemaal niet exact de afwijkende set-up gevolgd om iets "veiliger" op te zetten.  Loop daarmee ook niet tegen problemen op ?!

Laat alle aanwijzingen via het inmiddels "immense onderwerp"
(> 29 web-pagina's aan reacties) hoe OpenVPN beter te beveiligen volledig achterwege !!
Ga van standaard configuraties uit, met nog enkele persoonlijke aanpassingen.

Belangrijkste aanwijzingen dat het IMO gewoon correct werkt:

Als de in mijn eigen  *.ovpn  configuratiebestand standaard opgenomen "key" niet klopt, of niet het juiste certificaat is bijgesloten,
met wat ik als profiel gebruik in de VPN Clients zoals ingesteld op mijn rand apparaten om verbinding op te zetten,
kan ik simpelweg géén VPN verbinding opzetten.  Ofwel zonder een geldige "key" of certificaat, geen verbinding.

Dus ik vermoed dat de beveiliging daarmee dan correct werkt?
(Verder is er ook nog nooit een "VPN" poging gedaan een hack via een niet geautoriseerde verbinding op te zetten).

[peter.venkman]

Dank je. Ik heb nog eens het "openvpn.conf" bestand bekeken. Hier staan een aantal harde paden in die verwijzen naar VPNPlusServer;

Code: [Selecteer]

dh /var/packages/VPNPlusServer/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNPlusServer/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.crt
key /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.key
tls-auth /var/packages/VPNPlusServer/target/etc/openvpn/keys/ta.key 0

persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNPlusServer/target/lib/radiusplugin.so /var/packages/VPNPlusServer/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

proto udp6
port 1194
 

Ik heb de paden niet gewijzigd in "openvpn.conf" maar wel in "openvpn.conf.user". Die paden zij nu dus gewijzigd in /usr/syno/packages/etc/VPNPlusServer/VPNcerts.
Echter heb ik het gevoel dat het "openvpn.conf.user" bestand niet gelezen wordt, ook niet na een herstart van VPN Plus Server.

Als jij openvpn op SRM gebruikt, is het serveradres bij jou dan gelijk aan het volgende?

Code: [Selecteer]

ip-range 172.22.0.0 255.255.255.0

En nog een laatste vraag;
Heb jij in "Network Center" --> "Local Network" --> "Static Route" hier iets moeten instellen? Ik heb een andere tutorial op youtube bekeken waar openvpn op DSM werd ingesteld en hierbij op SRM een static route werd ingesteld. Geen idee of dit ook van toepassing is als je alleen maar met SRM werkt.

[Babylonia]

Dat eerste stuk aan code met "var/packages"... etc.
Ben ik werkelijk nog nooit tegengekomen.
(Maar dat is dan mogelijk typisch gerelateerd aan die speciale "beveiliging" methode van meer dan 29 web pagina's ?).

Evenmin een  "openvpn.conf.user"  bestand?

Het certificaat - evenals de key - is bij mij onderdeel van het  *.ovpn  configuratiebestand.
Ik zou het certificaat kunnen ontkoppelen en als apart certificaat kunnen bijsluiten, evenals naar ik vermoed de "key".
Zodat je in beginsel 3 bestanden hebt.  Configuratiebestand  -  certificaat  -  en key.
Maar zo is het bij mij niet als zodanig opgezet.  Het zit bij mij in één bestand.  Het *.ovpn configuratiebestand zelf.

Misschien komt dat mede omdat ik een eigen NL-domein gebruik, met eigen SSL-certificaat?
Dat heb ik als eerste geïmporteerd in de router voor connectie van buitenaf naar mijn internet connectie toe.
Maar denk dat het weinig anders zal zijn dan bijv. met een Lets-encrypt certificaat?

Vervolgens van daaruit een "export" van het OpenVPN configuratiebestand, waarbij certificaat en user key onderdeeel van uitmaakt.

Dat bestand wat aangepast men het specifieke WAN IP adres (domein) van mijn connectie + aanvulling van gewenste DNS-servers.
Verder kleine aanvullingen m.b.t. typische instellingen om een betere stabiliteit te waarborgen bij wisselende mobiele connecties.
(Bijv. als men met de trein onderweg is, en tijdens de rit van wisselende mobiele zendmasten gebruik maakt).

De tweede code wat je benoemt,  --het virtuele VPN VLAN sub-net--  komt bij mij ook in het geheel niet voor in een configuratiebestand.
Dat wordt bij een VPN-connectie zelf wel uitgezocht en opgezet.

Heb jij in "Network Center" --> "Local Network" --> "Static Route" hier iets moeten instellen? Ik heb een andere tutorial op youtube bekeken waar openvpn op DSM werd ingesteld en hierbij op SRM een static route werd ingesteld. Geen idee of dit ook van toepassing is als je alleen maar met SRM werkt.

Nee, daar is bij mij niets ingesteld.  Een VPN inregelen op een NAS waar die "Static Route" hooguit betrekking op zou kunnen hebben,
is bij SRM niet van toepassing.  Want de VPN-server maakt daarbij onderdeel uit van de router zelf.
Dus het hoeft niet verder weg "naar achteren" geleid te worden.

Overigens heb ik dat evenmin ooit ingesteld voor VPN-connecties die wel naar achterliggende VPN-servers worden ingeregeld.
Wel port forwarders naar het betreffende apparaat waar een VPN-server op draait, als die situatie aan de orde is.

Heb wel ooit eerder een VPN ingeregeld gehad naar een VPN-server die op mijn NAS draaide, vóórdat ik een Synology router had.
En maak ook nu nog in bepaalde situaties nog steeds wel gebruik van een "extra" VPN mogelijkheid
naar een VPN-server die draait op mijn MR2200ac, die in "Access Point" mode is ingesteld.
(De RT1900ac als hoofd router die ik inzet heeft geen mesh mogelijkheid).

Bij een configuratie elders maak ik ook van VPN-servers gebruik op "verschillende niveaus" in het netwerk.
Pas ook daar port forwarders toe voor de VPN-server "verder naar achteren" in het netwerk, en geen "static route".

[peter.venkman]

Hartelijk dank alweer voor jouw uitvoerige uitleg. Als ik OpenVPN activeer zonder verdere specifieke configuratie dan kan ik probleemloos buiten mijn netwerk verbinding maken met een gebruikersnaam+wachtwoord combinatie. Dat werkt ook prima met de Synology domeinnaam. Er wordt in deze basisconfiguratie geen gebruik gemaakt van certificaten. Echter, ik zoek iets meer beveiliging en probeer het te configureren met certificaten zoals in de tutorial besproken op dit forum. De tutorials voor SRM zijn helaas wat mager op het internet. Weet jij hoe ik een server certificaat kan toevoegen aan de OpenVPN configuratie?

[peter.venkman]

Ik bedoel te zeggen dat als ik in OpenVPN op SRM op de knop "Export Configuration" klik, er alleen een ovpn-bestand wordt geëxporteerd, geen certificaat. Ik vroeg me af of dit een afwijkende configuratie betreft.

[Birdy]

Het Certificaat zit in VPNConfig.ovpn zelf, dus VPNConfig.ovpn gewoon importeren in de OpenVPN Client.

[peter.venkman]

Ik zie het inderdaad. Hartelijk dank!

[Babylonia]

Heb ik eerder in mijn reactie overigens wel geschreven.   Heb je mogelijk toen niet goed begrepen.

Het certificaat - evenals de key - is bij mij onderdeel van het  *.ovpn  configuratiebestand.
Ik zou het certificaat kunnen ontkoppelen en als apart certificaat kunnen bijsluiten, evenals naar ik vermoed de "key".

Als ik OpenVPN activeer zonder verdere specifieke configuratie dan kan ik probleemloos buiten mijn netwerk verbinding maken met een gebruikersnaam+wachtwoord combinatie. Dat werkt ook prima met de Synology domeinnaam.
Er wordt in deze basisconfiguratie geen gebruik gemaakt van certificaten.

Als het certificaat is ingesloten in het configuratiebestand, wordt er wel degelijk gebruik gemaakt van dat certificaat.
Alleen valt het je dan mogelijk niet op, omdat het niet als los bestand is bijgesloten.