Auteur Topic: VPN-server package update - versie 1.2-2463  (gelezen 6278 keer)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
VPN-server package update - versie 1.2-2463
« Gepost op: 08 maart 2016, 10:05:19 »
Na de laatste firmware update van  SRM  (de firmware van de Synology RT1900ac router),
hadden gebruikers problemen met VPN.  Zie draadje < HIER >

Kennelijk was het gemakkelijker het VPN-server package daarop aan te passen, dan een patch van de firmware van de router zelf.
Dus nu een update van die VPN-server package naar versie  1.2-2463

LET OP !!  (edit kleine aanpassing na opmerking volgende reactie):
Mocht je toch problemen ondervinden.
- Na installatie herstart de router dan een keer handmatig opnieuw op.
- Vul de account wachtwoorden voor inloggen als  VPN-Client  eenmalig opnieuw in.
   (Moest ik doen bij elk gebruikt VPN-protocol ----> test met een smartphone Android onder het 3G/4G mobiele netwerk).

Daarna werken alle VPN-connecties weer.  ( PPTP,  L2TP/IPSec,  OpenVPN )

Tevens test uitgevoerd met VPN-server op een achterliggende NAS om VPN "Pass Through" te testen (met port forwarding naar de NAS),
met uitschakeling van de VPN-server op de router zelf.  Ook dat werkt nu weer correct.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

MaVeWeb

  • Gast
Re: VPN-server package update - versie 1.2-2463
« Reactie #1 Gepost op: 08 maart 2016, 14:04:45 »
Updata van VPN package bij mij zonder problemen:

- Na installatie herstart de router een keer opnieuw op.
     Bij mij niet. Zou ook de eerste keer zijn geweest dat een package installatie een reboot nodig zou hebben van het systeem.
- Vul de account wachtwoorden voor inloggen als  VPN-Client  eenmalig opnieuw in.
     Was bij mij ook niet nodig.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: VPN-server package update - versie 1.2-2463
« Reactie #2 Gepost op: 08 maart 2016, 14:20:23 »
Prima natuurlijk dat je niets extra hebt hoeven te doen en de update probleemloos verliep.
Mijn aanvulling is meer bedoeld voor als gebruikers wel tegen een vergelijkbaar probleem oplopen met wat ikzelf ondervond.
Dan hebben ze de oplossing nu er meteen bij.  ;)

Met mijn opmerking wilde ik eigenlijk aangeven om de router zelf handmatig te herstarten. Dat gebeurt niet automatisch.
Zal de tekst daarvan iets aanpassen, dat het meer duidelijk is.

In mijn geval de ervaring met die extra handeling was misschien ook nog wel afhankelijk door het feit dat ik ervoor het losse pakket wat ik van Synology support had gekregen dacht dat het een "patch" was voor SRM zelf om te installeren. De extensie klopte niet, heb dat veranderd, maar het bleek dus een "package" te zijn en geen SRM-update patch.  De update als "SRM" werd afgebroken, omdat het bestand niet voldeed.
Begreep dat aanvankelijk niet zo goed. Daarmee is mijn router net in die status gekomen dat het die reboot wel nodig had.
Nog geen 5 minuten later kreeg ik de melding dat er een officiële update was van de VPN-server package.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: VPN-server package update - versie 1.2-2463
« Reactie #3 Gepost op: 08 maart 2016, 20:32:15 »

[teleurstel-modus]

Weet je wat ik nu niet begrijp.....

Ik zie dat OpenVPN nu van 2.3.7 naar 2.3.10 is gegaan op de router.

Weken.......maanden vraag ik om updates voor op DS`en en er komt maar niets  :(
Gisteren een bericht gestuurd omdat ik wat vragen heb en meteen maar weer een visje uitgegooid of er een update komt naar 2.4 die elliptic curve gaat ondersteunen.

Er is ook nog steeds geen update voor CVE-2015-7547 die 19 Februari al gefixt was...!!! ::)
http://www.synology-forum.nl/synology-dsm-5-2/version-5-2-5644-update-5/msg183712/#msg183712
De work around zorgt n.l. voor problemen vooral voor diegenen met een wat zwakkere DS.

[/teleurstel-modus]
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: VPN-server package update - versie 1.2-2463
« Reactie #4 Gepost op: 09 maart 2016, 00:19:47 »
Waar kun je aflezen welke OpenVPN versie wordt gebruikt?
Ik kan alleen ontdekken wat het complete VPN-server pakket als versie heeft.

Verder verwijs je naar een draadje m.b.t. firmware update van DSM als systeemsoftware voor de NAS.  Hier gaat het om de Synology router.
Hoewel zowel voor een Synology NAS alsook de router "hetzelfde" VPN-server pakket beschikbaar is, zitten er kennelijk toch kleine verschillen in de versies bedoeld voor bepaalde NAS series en router.

De router heeft onlangs met hun firmware extra functies gekregen.  Schijnbaar door Synology niet getest in combinatie met extra te installeren pakketten zoals in dit geval een VPN-server, zodat erna een conflict bleek voor mensen die het pakket wel gebruiken. Wat men nu dan heeft opgelost door voor de Synlogy router een aparte (afwijkende) versie VPN-server uit te geven.

- Het VPN-server pakket op mijn RT1900ac router heeft als laatste versie nu  1.2-2463
- Het VPN-server pakket op mijn DS415+ NAS       heeft als laatste versie nu  1.2-2456

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

MaVeWeb

  • Gast
Re: VPN-server package update - versie 1.2-2463
« Reactie #5 Gepost op: 09 maart 2016, 10:19:59 »
In de release notes van de router is het terug te vinden:

Version: 1.2-2463

(2016/03/08)
Enhanced transmission performance of PPTP/L2TP.
You can now set the IP domain of PPTP/L2TP to be the same as the IP range specified in Network Center > Local Network (e.g., 192.168.1.x) without IP range overlap.
Upgraded OpenVPN to version 2.3.10.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: VPN-server package update - versie 1.2-2463
« Reactie #6 Gepost op: 09 maart 2016, 11:18:21 »
Waar kun je aflezen welke OpenVPN versie wordt gebruikt?
In PuTTY
openvpn --versioningeven.

Citaat
Verder verwijs je naar een draadje m.b.t. firmware update van DSM als systeemsoftware voor de NAS.
Hier gaat het om de Synology router.
Dat is nog maar de vraag...
Ben wel benieuwd of
iptables -Lin PuTTY op de router de volgende twee regels laat zien:
DROP       tcp  --  anywhere             anywhere             tcp spt:domain length 2048:65535
DROP       udp  --  anywhere             anywhere             udp spt:domain length 2048:65535
Als dat zo is, is ook die bug nog niet gefixt.

Citaat
zitten er kennelijk toch kleine verschillen in de versies bedoeld voor bepaalde NAS series en router.
In hetgeen Synology om OpenVPN heen heeft gebouwd ja, niet OpenVPN zelf.
Die wordt alleen gebouwd voor de betreffende CPU, de functionaliteit is exact zoals je `m download bij OpenVPN zelf.

Gisteren een bericht gestuurd omdat ik wat vragen heb en meteen maar weer een visje uitgegooid of er een update komt naar 2.4 die elliptic curve gaat ondersteunen.
En net antwoord gekregen, of eigenlijk, geen antwoord...
Behalve dan dat hij zegt dat 2.4 nog niet beschikbaar is, manooman :lol:
De vraag was of zodra 2.4 beschikbaar komt er ook een update vanuit Synology komt.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: VPN-server package update - versie 1.2-2463
« Reactie #7 Gepost op: 09 maart 2016, 11:33:21 »
In de release notes van de router is het terug te vinden:
Version: 1.2-2463

Ah, eerder wist ik eigenlijk niet waar ik dat zou kunnen terugvinden. Ben er nu inmiddels achter.
Via website Synology (NL) ---> Router ---> Downlaod Center ---> Pakketten ---> VPN Server ---> Release Note   :D
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: VPN-server package update - versie 1.2-2463
« Reactie #8 Gepost op: 09 maart 2016, 11:51:42 »
@MMD
Je verwijst naar een mogelijke bug in OpenVPN.
Jij gebruikt dat met allerlei persoonlijke aanpassingen door met PuTTY dieper te graven in het achterliggende pakket op root niveau.

Maar als je gewoon "standaard" het pakket gebruikt zoals het door Synology wordt aangeboden, zonder fratsen gewoon via de SRM interface de zaken instelt. Hoe en waar uit zich dat dan dat er een "bug" zou zitten"?

Ik kom (met deze VPN-server versie) aan een normaal werkende VPN-verbinding.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: VPN-server package update - versie 1.2-2463
« Reactie #9 Gepost op: 09 maart 2016, 12:16:13 »
@MMD
Je verwijst naar een mogelijke bug in OpenVPN.
Waar dan?
De verwijzing is naar de CVE-2015-7547 bug.

Citaat
Hoe en waar uit zich dat dan dat er een "bug" zou zitten"?
Zie mijn reactie hierboven om te zien of de workaround m.b.t. die bug ook op de router aanwezig is:
Citaat
Dat is nog maar de vraag...
Ben wel benieuwd of
Citaat
iptables -L
Enz.

Citaat
Jij gebruikt dat met allerlei persoonlijke aanpassingen door met PuTTY dieper te graven in het achterliggende pakket op root niveau.
Heeft niets te maken met de versie van OpenVPN en/of de CVE bug.

Citaat
Ik kom (met deze VPN-server versie) aan een normaal werkende VPN-verbinding.
Ik ook, sterker nog, een beter werkende VPN-verbinding, dat betekent echter niet dat men kan wensen dat een meer als één jaar oude versie geüpdatet wordt...
 
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: VPN-server package update - versie 1.2-2463
« Reactie #10 Gepost op: 09 maart 2016, 13:25:01 »
De verwijzing is naar de CVE-2015-7547 bug.

Dat zou reeds zijn gecorrigeerd met de firmware update van de router zelf:  < Zie release notes SRM Version: 1.0.2-6022 >

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: VPN-server package update - versie 1.2-2463
« Reactie #11 Gepost op: 09 maart 2016, 13:53:20 »

Dat is nog niet gecorrigeerd/gefixt, daar is toen een workaround voor bedacht.
De bug is nog steeds aanwezig alleen weet ik niet of dat voor de router ook geldt.
Dat zou je dus kunnen zien met:
iptables -Lin PuTTY en daar ben ik benieuwd naar.

De fix is echter al op 19 Februari bekend gemaakt, ze lopen achter of ze laten gebruikers er mee zitten, vooral diegenen met een zwakkere DS. Sneller reageren op dit soort dingen zou wenselijk zijn naar mijn idee...
Echte antwoorden van support krijgt men ook niet als het hierom gaat.

Ben verder wel te spreken over de support want ondanks mijn modificaties zijn ze nu voor de tweede keer wel bereid naar mijn probleem te kijken via SSH. In VPN Center worden nu niet meer de verbonden gebruikers getoond terwijl dat voorheen wel zo was.
Dat is dan weer een pluim waard.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: VPN-server package update - versie 1.2-2463
« Reactie #12 Gepost op: 09 maart 2016, 14:53:22 »
Dat zou je dus kunnen zien met:
iptables -Lin PuTTY en daar ben ik benieuwd naar.

Ik kom er alleen met PuTTY (via WinSCP) niet in. Heb daar al eerder ooit problemen mee gehad.
Maar aangezien ik normaal toch niks te zoeken heb op "root" niveau liet ik het er maar bij.

- admin als gebruiker ingeschakeld
- inloggen met "root" wachtwoord van admin
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: VPN-server package update - versie 1.2-2463
« Reactie #13 Gepost op: 09 maart 2016, 15:10:28 »
Kom er nu wel in  (had poort 22 vergeten open te zetten).
Tezamen met een enorme lijst aan gegevens, komen die twee regels er wel in voor,
maar het wordt wel anders beschreven en als codering opgenomen met wat jij hebt aangegeven.

Chain DNS_ATTACK_PROTECT (1 references)
target     prot opt source            destination
DROP       udp  --  anywhere          anywhere          udp spt:domain len           gth 2048:65535
DROP       tcp  --  anywhere          anywhere          tcp spt:domain len           gth 2048:65535


Ter referentie de code die jij hebt beschreven (vanuit gebruik van VPN-server + OpenVPN op de NAS) via ingave:
iptables -L
in PuTTY op de router de volgende twee regels laat zien:
DROP       tcp  --  anywhere          anywhere          tcp spt:domain length 2048:65535
DROP       udp  --  anywhere          anywhere          udp spt:domain length 2048:65535

Is daarmee je vraag beantwoord?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: VPN-server package update - versie 1.2-2463
« Reactie #14 Gepost op: 09 maart 2016, 20:31:53 »

Daarmee is het duidelijk, bedankt.
Die twee regels doen hetzelfde als op een DS, ze hebben ze alleen een eigen chain gegeven, waarschijnlijk omdat het om een router gaat die een andere rol vervult als een DS. Op een DS staan ze in de input chain.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

Versie php?

Gestart door sedoBoard Web Station

Reacties: 2
Gelezen: 1834
Laatste bericht 02 april 2010, 16:47:11
door sedo
Mailstation/Roundcubemail/ophalen berichten kpn server

Gestart door GerardRBoard Mail Station

Reacties: 16
Gelezen: 10956
Laatste bericht 24 januari 2015, 16:40:39
door Joost van der Leeden
vpn server opzetten

Gestart door jochem6450Board VPN Server

Reacties: 11
Gelezen: 4616
Laatste bericht 12 oktober 2014, 14:25:33
door Briolet
Cloud client geeft rode kruisjes sinds update

Gestart door JeroenTBoard Synology DSM 5.1 en eerder

Reacties: 1
Gelezen: 1356
Laatste bericht 11 november 2014, 22:19:03
door Birdy
Nieuwe versterker - NAS als audio server - Apple Airplay

Gestart door BabyloniaBoard Audio Station

Reacties: 7
Gelezen: 6892
Laatste bericht 22 december 2014, 14:25:31
door goldenwonder