OpenVPN #1: Beter beveiligen

[Pippin]

In overleg met de TS slotje eraf. Maaaaaar ......
Andere openvpn gerelateerde vragen svp in een nieuw draadje. Dat maakt zoeken in het forum ook makkelijker !

Dit draadje werkt de TS starter nog wel bij.

De belangrijkste reden om deze handleiding te schrijven was dat Synology het OpenVPN Server package niet zo veilig beschikbaar stelt als mogelijk is. Het is namelijk gevoelig voor een Man In The Middle attack doordat er geen verificatie van certificaten plaatsvindt van zowel de Server als de Client(s).
Autorisatie vindt dus alleen plaats door gebruikersnaam/wachtwoord. Om het MITM risico tegen te gaan heb ik een aantal zaken gewijzigd in het OpenVPN Server package. De wijziging betreft echter niet alleen de MITM attack.

Het is geschreven op een "klik dit klik dat" achtige wijze om het volgen van de stappen zo simpel mogelijk te houden. Erg moeilijk uit te voeren is het niet maar je moet er wel even voor gaan zitten. Het beschrijft de stappen om een VPN tunnel op te bouwen vanuit een Android telefoon maar het werkt ook met andere cliënts zoals Windows, Apple, Linux, etc.

Het steekt zodanig in elkaar dat er een relatief veilige verbinding ontstaat.
Zeker 90% komt van de OpenVPN documentatie en de OpenVPN manual 2.3.


De OpenVPN Server (Package VPN Server) heeft een "verborgen" mogelijkheid een eigen configuratie te gebruiken en daar wordt in deze handleiding gebruik van gemaakt. Deze mogelijkheid wordt niet officieel door Synology ondersteund.
Dit zorgt er mede voor dat de configuratie niet overschreven wordt door een update of herstart. Vanaf DSM 5.0 tot op heden kan ik zeggen dat het mij nog niet gebeurt is. Desalniettemin kan het voorkomen dat het toch gebeurt, we weten immers niet welke veranderingen Synology met toekomstige updates aanbrengt.
De eigen configuratie optie heeft tot gevolg dat je in het scherm van OpenVPN Server geen instellingen meer kunt doen en onderin krijg je de melding in blauw: OpenVPN-configuratie is aangepast


De aanpassing zit zodanig in elkaar dat de gegenereerde certificaten in deze handleiding alleen voor OpenVPN gebruikt worden. Gekochte/gratis/Let`s encrypt/etc. SSL certificaten die geïmporteerd worden in DSM blijven functioneren, ook als ze reeds geïmporteerd zijn.
Kort gezegd wordt OpenVPN van de rest van het systeem gescheiden wat dit betreft, zoals het hoort dus.

Na het uitvoeren van de stappen zijn via deze VPN verbinding naar de NAS, de apparaten in het netwerk waar de NAS/VPN Server staat via hun IP benaderbaar.

Getest:
Elk DS model.

DSM 5 en hoger.


Clients:
Android 4 t/m 10
Android 6 Mogelijk dient de energie spaar functie voor de VPN App uitgeschakeld te worden, zie hier en hier. Dat is een Android issue en staat los van deze handleiding.

Samsung 6.x VPN is reported not to work unless the VPN app is excempted from Powersave features

OpenVPN Connect voor Android t/m versie 3.0.7
OpenVPN for Android (Arne Schwabe) t/m versie 0.7.8 (aanbevolen op Android 5.1 en hoger)

Elk DS model.

Windows 7 t/m 10
OpenVPN cliënt voor Windows:
Windows installer (NSIS, vanaf Vista) - openvpn-install-2.4.8-I602-Win(xx).exe
Windows XP is niet meer ondersteund.

pfSense (FreeBSD) 2.2 en hoger
Debian 8.7 jessie en hoger
Ubuntu 14.04 LTS en hoger
Linux Mint 18 en hoger
MX Linux 18 en hoger
System76 Pop!_OS 18.04
Manjaro
Puppy Linux (XenialPup en hoger (UbuntuLTS16.04))
Tiny Core Linux
OpenATV 5.1 en hoger
OpenPLi 5 en hoger


Het doel is:
Gebruiker/Wachtwoord - Standaard
Cliënt identificatie d.m.v. certificaat (server die cliënt identificeert) - Niet standaard
Server identificatie d.m.v. certificaat (cliënt die server identificeert) - Niet standaard
Diffie Hellman Perfect Forward Secrecy met 4096 bits encryptie - Standaard 1024/3072 bits, versie afhankelijk
Sterkere versleuteling
tls-auth - Niet standaard - Biedt onder andere bescherming tegen DoS attacks, UDP port flooding/scanning en nog wat meer


Toegevoegde waarde:
Eigen root Certificate Authority uitsluitend voor OpenVPN
Cliënt identificatie d.m.v. certificaat
Server identificatie d.m.v. certificaat
DH Perfect Forward Secrecy 4096 bits
Sterkere versleuteling voor control en data channel
tls-auth (ook wel HMAC firewall)


Wat hebben we nodig:
Windows machine met XCA erop, download is hier. Ook beschikbaar voor Linux en MAC.
VPN Server te vinden in het Package Center
WinSCP
PuTTY
Hoe gebruik je WinSCP en PuTTY
Android telefoon
Officiële cliënt App OpenVPN Connect

[Pippin]

Stap 1

cert, key en DH bestanden


We beginnen met het genereren van de certificaten, key`s en het Diffie Hellman bestand.
Dit gaan we doen met XCA.

Met XCA kunnen we een CA (Certificate Authority) opzetten, Server en cliënt certificaten/key`s genereren en ondertekenen.
De certificaten met bijbehorende private key`s worden in een database opgeslagen en vervolgens exporteren we die om op de server en client(s) te gebruiken.


Om de bestanden die we gaan maken op te slaan maken we een map aan met de naam Database.

1.
Database maken.

Start XCA en klik op File --> New DataBase.
Sla de database op met de naam OpenVPN en geef een wachtwoord op.
Dit wachtwoord hebben we ook nodig om later de database weer te kunnen openen mochten we die nog nodig hebben.

* Edit:
Templates toegevoegd.
Download eerst de XCA templates voor deze handleiding.
Importeer deze vervolgens op het tabblad Templates in XCA voordat je de volgende stappen volgt.
*

Wat als we meer certificaten willen genereren ten behoeve van meerdere cliënts?
Daarvoor zullen we de stappen om cliënt certificaten en cliënt key`s te genereren en exporteren moeten herhalen.
Dit zijn de stappen 4. 8. 9.
Vul voor elke cliënt de exacte gebruikersnaam, die hij/zij heeft in DSM, in het veld commonName en Internal name in, commonName is een vereiste Internal name is voor de herkenbaarheid.
Elk van de cliënts moet ook een gebruiker zijn in DSM en zal de rechten moeten hebben VPN te mogen gebruiken, dit stel je in, in de VPN Server onder Rechten.


2.
CA genereren.

Klik op het tabblad Certificates --> New Certificate.
Op het tabblad Source selecteren we:
               Create a self signed certificate with the serial 1
               Signature algorithm SHA 256
               CA
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName CA in.
Klik Generate a new key.
Het volgende scherm: CA, RSA, 4096 bit en klik Create.

Op de Extensions tab zetten we de Time range op 10 Years en klikken Apply.

Op de Key usage tab selecteren we links:
Digital Signature
Key Encipherment
Data Encipherment
Key Agreement
Certificate Sign
CRL Sign
Rechts selecteren we niets.

Op de Netscape tab halen we alleen het comment weg en klikken op Ok.

Nu hebben we een CA gegenereerd waarmee we de server en cliënt(s) certificaten kunnen ondertekenen.
Deze CA verschijnt nu onder de tab Certificates.

3.
Server certificaat genereren.

Op het tabblad Certificates --> New certificate.
Op het tabblad Source selecteren we:
               Use this Certificate for signing CA
               Signature algorithm SHA 256
               SERVERCERT
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName Server in.
Klik Generate a new key.
Het volgende scherm: Server, RSA, 4096 bit en klik Create.

Op de Extensions tab zetten we de Time range op 5 Years en klikken Apply.

Op de Key usage tab selecteren we links:
Digital Signature
Key Encipherment
Rechts selecteren we alleen TLS Web Server Authentication.

Op de Netscape tab de-selecteren we alles en halen het comment weg en klikken Ok.

Nu hebben we een Server certificaat gegenereerd die op de OpenVPN Server komt te staan.
Op tabblad certificates klik je op het pijltje naast de CA zodat deze tevoorschijn komt.


4.
Cliënt certificaat genereren. (Herhalen voor meerdere cliënts)

Op het tabblad Certificates --> New certificate.
Op het tabblad Source selecteren we:
               Use this Certificate for signing CA
               Signature algorithm SHA 256
               CLIENTCERT
               Klik op Apply all.

Op de tab Subject vullen we bij Internal name en commonName client in. (Voor meerdere cliënts de gebruikersnaam invullen)
Klik Generate a new key.
Het volgende scherm: gebruikersnaam, RSA, 4096 bit en klik Create.

Op de Extensions tab zetten we de Time range op 5 Years en klikken Apply.

Op de Key usage tab selecteren we links:
Digital Signature
Key Agreement
Rechts selecteren we alleen TLS Web Cliënt Authentication.

Op de Netscape tab deselecteren we alles en halen het comment weg en klikken Ok.

Nu hebben we een cliënt certificaat gegenereerd die op de OpenVPN cliënt komt te staan.


5.
CA exporteren.

Op het tabblad Certificates selecteer CA en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


6.
Server certificaat exporteren.

Op het tabblad Certificates selecteer Server en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


7.
Server private key exporteren.

Op het tabblad Private Keys selecteer Server en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


8.
Cliënt certificaat exporteren. (Herhalen voor elke cliënt)

Op het tabblad Certificates selecteer cliënt en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


9.
Cliënt private key exporteren. (Herhalen voor elke cliënt)

Op het tabblad Private Keys selecteer cliënt en klik op Export.
Kies de map Database die we eerder aangemaakt hebben.
Export Format PEM en klik Ok.


10.
Diffie Hellman parameters genereren.

Klik op Extra --> Generate DH parameter (XCA versie ouder dan 1.3.2 onder File)
DH parameter bits 4096 en klik op Ok.
Dit gaat een tijdje duren laat het z`n gang gaan, drink wat en wacht.....
Drink nog wat.....
.....
....
...
..
Kies de map Database die we eerder aangemaakt hebben en klik Ok.

Als het goed gegaan is hebben we nu in de map Database de volgende bestanden:

Openvpn.xdb
CA.crt
client.crt (of <gebruikersnaam>.crt)
client.pem (of <gebruikersnaam>.pem)
dh4096.pem
Server.crt
Server.pem
Hernoem client.pem naar client.key (of <gebruikersnaam>.key)
Hernoem Server.pem naar Server.key

[Pippin]

Stap 2

De VPN Server installeren en instellen.


In het Package Center vinden we onder Hulpprogramma`s de VPN Server.
Nadat deze geïnstalleerd en gestart is gaan we wat instellingen doen.

Open Hoofdmenu en klik op VPN Server.
In het scherm zien we nu het overzicht.

Onder Rechten delen we nu eerst de rechten uit.

Onder PPTP en L2TP geven we niemand rechten tenzij je dat ook gebruikt.
Klik op Toepassen.

Ga naar OpenVPN, links in het menu.

In dit scherm vinken we aan:
OpenVPN-server inschakelen
Compressie op de VPN-koppeling inschakelen
Cliënts toegang geven de LAN-server

Bij Dynamisch ip-adres: 192.168.160.1
Klik op Toepassen.

De rest kan zo blijven.

Stop nu in het Package Center de VPN Server.

****************************************************************************************************************

IP/routeer conflicten voorkomen.
We hebben te maken met drie subnetten:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel netwerk)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Dit moeten separate subnetten zijn.

Omdat je eigenlijk bijna nooit invloed hebt op het IP-adres die je cliënt van het remote netwerk krijgt, is het dus verstandig om het netwerk waar de VPN Server/DS in staat alsook Dynamisch IP-adres ergens in het midden te kiezen.
Voor het local netwerk b.v.: 192.168.150.xxx (i.p.v. de standaard subnetten die router fabrikanten gebruiken, zie lijst hieronder)
Voor het Dynamisch IP-adres b.v.: 192.168.160.1
Zo wordt de kans dat het remote netwerk van waaruit je verbind met de cliënt naar de VPN Server/DS, hetzelfde subnet gebruikt kleiner.

Bruikbare private subnetten zijn:
Klasse A: 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
Klasse B: 172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
Klasse C: 192.168.0.0 - 192.168.255.255 (192.168.0.0/16)

De onderstaande lijst zijn standaard subnetten die fabrikanten gebruiken, d.w.z. voor zover ik heb kunnen vinden.
Die wil je dus niet als local netwerk of Dynamisch IP-adres gebruiken.

Code: [Selecteer]


10.0.0
10.0.1
10.1.1
10.1.10
10.2.0
10.8.0
10.10.1
10.90.90
10.100.1
10.255.255

169.254 # APIPA #

172.16.0
172.16.16
172.16.42
172.16.68

172.19.3

172.20.10 # IPhone built-in hotspot #

192.168.0
192.168.1
192.168.2
192.168.3
192.168.4
192.168.5
192.168.6
192.168.7
192.168.8
192.168.9
192.168.10
192.168.11
192.168.13
192.168.15
192.168.16
192.168.18
192.168.20
192.168.29
192.168.30
192.168.31
192.168.33
192.168.39
192.168.40
192.168.42 # Android USB tethering #
192.168.43 # Android built-in hotspot #
192.168.50
192.168.55
192.168.61
192.168.62
192.168.65
192.168.77
192.168.80
192.168.85
192.168.88
192.168.98
192.168.99
192.168.100
192.168.101
192.168.102
192.168.111
192.168.123
192.168.126
192.168.129
192.168.137 # Windows Phone built-in hotspot #
192.168.168
192.168.178
192.168.190
192.168.199
192.168.200
192.168.220
192.168.223
192.168.229
192.168.240
192.168.245
192.168.251
192.168.252
192.168.254

200.200.200



****************************************************************************************************************

In de router zal UDP poort 1194 doorgestuurd moeten worden naar de NAS.
Meld je op het forum voor de router en eventueel de firewall omdat dit specifiek is voor een ieder.

Als je nog geen gebruik maakt van "Automatisch blokkeren" is het daar nu mooi de tijd voor.
Configuratiescherm-->Beveiliging-->Automatisch blokkeren

Elk model DS heeft een maximaal aantal VPN gebruikers die je terug vind in de specificaties van je model.

Nu laten we de VPN Server uit en gaan we "onder de motorkap".

[Pippin]

Stap 3

De VPN Server aanpassen.

Nu gaan we de certificaten en key`s, die we in Stap 1 hebben gemaakt, op de juiste plek zetten.
We gaan ook nog een ta.key maken die nodig is op de server en cliënt voor nog een extra bescherming.

Eerst even een overzicht van wat waar komt te staan:

/usr/syno/etc/packages/VPNCenter/VPNcerts
CA.crt
Server.crt
Server.key
dh4096.pem
ta.key

/usr/syno/etc/packages/VPNCenter/openvpn
Hier komt openvpn.conf.user te staan.


1. WinSCP

Navigeer naar: /usr/syno/etc/packages/VPNCenter
Maak een nieuwe map genaamd:
VPNcerts

Kopieer de nieuw aangemaakte CA.crt, Server.crt, Server.key en dh4096.pem naar de map.
Permissies als volgt:
0400 voor CA.crt, Server.crt, Server.key
0400 voor dh4096.pem

Permissies zetten we in WinSCP met rechter-muistoets->properties op het betreffende bestand.

2. PuTTY (Terminal is ook aanwezig in WinSCP. Zie menu Commands --> Open Terminal)

SSH naar de NAS en type na elkaar het volgende in:

Code: [Selecteer]

cd /usr/syno/etc/packages/VPNCenter/VPNcerts
Afhankelijk van het model DS kan het zijn dat er geen Apparmor aanwezig is.
Om de ta.key te genereren moeten we eerst Apparmor stoppen:

Code: [Selecteer]

/usr/syno/etc.defaults/rc.sysv/apparmor.sh stop
ta.key genereren:

Code: [Selecteer]

openvpn --genkey --secret ta.keyEr is nu in de map VPNcerts een ta.key te vinden.
Permissies (met WinSCP) als volgt:
0400 voor ta.key
De ta.key is straks in de OpenVPN Connect App ook nodig.
Handig als je die nu met WinSCP naar de Database map kopieert.

Apparmor weer starten:

Code: [Selecteer]

/usr/syno/etc.defaults/rc.sysv/apparmor.sh start
En als laatste:

Code: [Selecteer]

exit
3. WinSP

Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn

Download onderaan deze post het configuratie bestand openvpn-server.zip, pak het uit en volg de instructies die in openvpn.conf.user staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.conf.user in bovenstaande map met rechten 0400.


Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.

Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /var/log en open openvpn.log om te kijken wat de melding is.

[Pippin]

Stap 4


Stop je sd-kaart van de telefoon in de PC en maak een map aan met de naam VPNcerts.
Kopieer de bestanden die we in de eerste stap hebben gemaakt naar deze map.
CA.crt, client.crt en client.key. (of CA.crt, gebruikersnaam.crt en gebruikersnaam.key)

Kopieer de ta.key uit stap 3 hier ook naartoe.

Download onderaan deze post het configuratie bestand openvpn-client.zip, pak het uit en volg de instructies die in openvpn.ovpn staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.ovpn ook in de VPNcerts map en daarna stop je de sd-kaart terug in de telefoon.


Download in de Play store OpenVPN Connect van OpenVPN en installeer deze.
Open de App en importeer Profile from SD card.
Navigeer naar de map VPNcerts op de sd-kaart waar we de CA, crt, key, ta en ovpn opgeslagen hebben.
Selecteer het openvpn.ovpn profiel en vul je gebruikersnaam en wachtwoord in.

De rest van de bestanden worden automatisch met het openvpn.ovpn profiel geïmporteerd.
Dit betekent dan ook dat als je het profiel bewerkt, dat je het opnieuw moet importeren.
Zodra de verbinding werkt kun je de map VPNcerts wissen uit veiligheidsoverweging.

Er is ook een optie om CA.crt, client.crt, client.key en ta.key in het ovpn profiel op te slaan.
Dan hoef je maar één bestand te overhandigen aan een gebruiker.
Deze optie, "Inline file support" genaamd vind je hier.

[Handige Harry]

Ga dit eens proberen van de week. 
Iig alvast dank voor alle moeite die je erin gestopt hebt

[Birdy]

Ziet er goed uit, handig en overzichtelijk op een rijtje gezet.
Ga deze procedure zeker eens doorlopen en kijken of ik het aan de praat krijg 

Als ik mag toevoegen: WinSCP procedure hier (voor de zekerheid) 

[Ben(V)]

Goed verhaal MMD.

Kleine opmerking, aangezien je aangaf liever niet met putty te werken en omdat als je het met een tool kan doen waarom met twee.

WinScp heeft ook een terminal optie (blauwe venster met prompt icon) daar krijg je een command line tot je beschikking, heb je geen putty meer nodig.

[Pippin]

Heb ik me rot gelezen en gezocht terwijl Terminal voor me neus stond 

[Handige Harry]

Misschien een newbie vraag, maar als je al een certificaat hebt zoals een :
SSL-certificaat: Domain Validation - Comodo EssentialSSL.

Dan kun je die toch gewoon gebruiken?

[Briolet]

Hier gaat het om een inlogprocedure waarmee elke gebruiker met een eigen certificaat authenticeert i.p.v. met wachtwoord.

[Handige Harry]

@Briolet thnx, ik zat even helemaal verkeerd te denken idd.

[Handige Harry]

5. WinSP

Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn
Hernoem openvpn.conf naar openvpnoud.conf

Download onderaan deze post het config .zip bestand ovpn-server.zip en pak het uit.
Plaats openvpn.conf uit het .zip bestand in bovenstaande map waar de hernoemde versie staat EN VOLG DE INSTRUCTIES die in het bestand staan.

Ik kan de melding ook niet vinden, maar heb nu ook een huilend kind naast me staan.
Dat verstoord ook een beetje de aandacht, vanavond maar even verder prutsen!!

Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.

Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /usr/syno/etc/packages/VPNCenter/openvpn en open openvpn.conf.
Haal # weg voor #log-append /var/log/openvpn.log, sla op en start opnieuw de VPN Server.
Navigeer naar /var/log en open openvpn.log om te kijken wat de melding is.

Hier gaat het bij mij fout, en ik snap eigenlijk nog niet wat ik fout doe.
Kun je geen screenshot maken van wat er moet staan in het nieuwe openvpn.conf?
Of het verschil tussen oud en nieuw?

Ik heb nu een huilend kind naast me staan, dat verstoord wel een beetje de concentratie....
Vanavond nog maar even verder prutsen!!!

[wizjos]

#kind 

[Pippin]

Je moet ook niet alleen alle snoepjes opeten