OpenVPN #1: Beter beveiligen

[aliazzz]

Ach, verdikkie! Bedankt voor de hulp! 

Dus opnieuw client key/crt aanmaken.

[Pippin]

Graag gedaan.
Men leest er makkelijk overheen, zeker als je al even zoekt.

Succes.

[aliazzz]

En, als een zonnetje!

[aliazzz]

Overigens gebruik ik persoonlijk 1 speciaal VPN user account welke puur dient om de VPN brug te openen.
Uiteraard ook een lang password op het account, overige users mogen geen VPN verbinding opzetten.
Resultaat hiervan is dat ik naast de VPN user inloggen ook de losse apps met hun eigen specifieke user moeten inloggen.


Hoe regel jij dit @MMD?

[Pippin]

Als ik het goed begrijp... doe ik dat hetzelfde.
Verbonden via VPN betekent dan niet meteen toegang tot alles.

[hevey]

Bedankt voor de heldere uitleg, ik heb de OpenVPN verbinding inmiddels getest op DS214, DS215+ en DS115,
het lukt mij echter niet om een openvpn verbinding tussen twee nas-sen op te zetten.
Dus een server zoals besproken geïnstaleerd op bijvoorbeeld de DS115, en een client op bijvoorbeeld op de DS215+

Ik heb op het forum al gezocht maar geen artiekel gevonden die dit beschijft. Is het mogelijk om dit nog te beschrijven?
 

[Pippin]

Mooi dat het tot zover gelukt is.
Zal dat van de week proberen helder op te schrijven.

[Babylonia]

Overigens gebruik ik persoonlijk 1 speciaal VPN user account welke puur dient om de VPN brug te openen.
Uiteraard ook een lang password op het account, overige users mogen geen VPN verbinding opzetten.

Maar dat is standaard toch al in te stellen met de rechten van de gebruikers onder het menu van de VPN-server?
Als jij vind dat slechts één gebruiker een VPN-verbinding mag opzetten, geef je de andere gebruikers toch gewoon geen rechten om dat te doen?

Geef je een andere gebruiker (zijnde niet een admin) wel rechten om een VPN-verbinding op te zetten, heeft hij erna ook slechts de mogelijkheid van enkel zijn eigen share te kunnen bekijken. Tenslotte kent hij de inlog via andere accounts niet.

[aliazzz]

Nee, dat is standaard niet zo ingesteld, en dat kan je wijzigen maar dan moet je dat natuurlijk wel doen.
Je vergeet echter dat de user nog aangemaakt moet worden en in een eigen gemaakt groep moet.
Daarna moet die groep qua rechten geheel uitgekleed worden. Dus geen enkele app meer openen, nergens leesrecht, laat staan schrijfrecht. Niet onbelangrijk, dit moet je ook uitgebreid testen en verifieren. Daarna geef je alleen die user in het VPN pakket het expliciete vpn recht. Dus, erg standaard is dit niet.

[Babylonia]

Ik zeg niet dat het standaard "is" (dat alleen jezelf een VPN-verbinding mag opzetten), maar dat het standaard "is in te stellen".
Met de aanwijzingen erbij hoe dat te doen. En zoveel acties hoef je daar echt niet voor te verrichten.

Bij mij hebben gebruikers van een share alleen toegang tot die shares die hen zijn toegewezen, en niet tot andere mappen.
Bij een VPN-verbinding verandert dat niet (daar hoef ik dus ook niets aan te veranderen).  Met "groepen" hoef ik helemaal niets te doen.
Alleen, zou ik tevens alleen zelf een VPN-verbinding willen maken en de andere gebruikers mogen dat niet (waarom niet? Hoe komen die dan via een "beveiligde VPN verbinding" bij hun shares?), moet ik deze afwijkende benadering) inderdaad wel instellen.

Het is wat ik onlangs nog < eerder schreef >:
"Eigenlijk  zo min mogelijk veranderingen aanbrengen is het devies.
Standaard gaan de instellingen al gauw uit van de meest voor  de hand liggende opties.
Alleen voor de "afwijkende" zaken (stel je nieuwe groepen in), en regel je daarvan afwijkend de rechten."

Dat geldt hier precies zo bij VPN.
Moet ik er wel bij zeggen dat ik de VPN-server op de Synology Router heb geïnstalleerd, en niet op een NAS.
Maar omdat het om precies hetzelfde pakket gaat, vermoed ik om die reden ook overeenkomstige instellingen.

[aliazzz]

Beste Babylonia,

In jouw geval, met multi-user omgeving, zou ik zeker niet de standaard vpn settings van synology toepassen.
In dat geval zou mijn keuze zijn om elke gebruiker zijn eigen gebruikerscertificaat te geven. Deze werkwijze staat ook duidelijk in het verhaal van @MMD. Zodra er ooit ellende is kan je het desbetreffende certificaat snel intrekken en eventueel een nieuwe uitgeven (zie hiervoor de goede openvpn documentatie om dit te bewerkstelligen).

Wat betreft je mening;
"Eigenlijk  zo min mogelijk veranderingen aanbrengen is het devies. Standaard gaan de instellingen al gauw uit van de meest voor  de hand liggende opties"

Ik sluit me daar niet bij aan.
Synology heeft danwel zijn uiterste best gedaan om een mooie schil over de openvpn server heen te maken, maar echt veilige settings bezit de default synology variant openvpn implementatie niet. In de praktijk blijkt dat software, welke "out of the box" prettig werkt, default vaak niet erg secure is. Dit heeft alles te maken de default settings, deze zijn vrijwel altijd ingesteld om een maximum aan compatibiliteit te garanderen en te voorzien in een fijne gebruiks-ervaring (lees gemak). Ik pas daarom dan ook vrijwel nooit default settings toe. Een NAS via het internet benaderbaar maken doe ik graag veilig en niet gedreven door gemakszucht.

[Babylonia]

Ik kies er juist bewust voor om geen gebruikerscertificaat per gebruiker af te stemmen, veel te omslachtig.
Het is dan een keus uit iets wat te omslachtig is om er dan maar helemaal vanaf te zien om in te zetten, tegenover een optie die voor mij wel prima voldoet (zijnde gewoon de standaard methode met standaard gegeven instellingen).

En in die gevallen dat er "ellende" zou zijn met een gebruiker, is het intrekken van diens account voldoende om niet meer te kunnen inloggen door die gebruiker.  Met alleen een OpenVPN certificaat maar geen geldend account om een VPN-verbinding op te zetten kan men helemaal niets.
Alleen die ene gebruiker eruit wippen, klaar.
De andere gebruikers merken er verder helemaal niets van. Daar hoef ik ook niets op aan te passen.

[Pippin]

@hevey

OpenVPN: Beter beveiligen als client

[Birdy]

Deze ook maar eens sticky gemaakt, is de moeite waard.

[FireHeart]

Hello,

Firstly sorry for posting in English, I have tried to find answers to my questions on this but without luck, and this thread seems the best to answer this.

I have been trying to setup OpenVPN on the NAS DS215j DSM 5.2 5644 to my Windows 7 64bit PC.

When I follow the steps at the start of this thread I complete each one, and then when I add the  openvpn.conf.user the OpenVpn application has an error : VPN Server --> Management --> Overview: Status OpenVPN Status: Activation Failed

The log file (/var/log/openvpn.log) states its parameters in the openvpn.conf.user, and when I change go back to the original system openvpn.conf, the OpenVPN Status is: Enabled

Here are the details of the Openvpn.conf.user (basically the same as what has been added to the initial thread:


# This config file must be adapted to your situation
# Change only what is asked!

# A log file is written to:
log /var/log/openvpn.log
# If you have problems connecting to check the openvpn.log
# See also the log of the client
# Will not you come out there, sign up here: http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/
verb 4

################################################## ##############
# This you should take over openvpn.conf in / usr / synonym / etc / packages / VPNCenter / openvpn
# If you have acquired the IP address 192.168.168.0 in the manual which you do not need to change

server 10.8.0.0 255.255.255.0 ### IP replaced by the rule of openvpn.conf

push "route 192.168.1.130 255.255.255.0" ### IP replaced by the rule of openvpn.conf (Local LAN DS)

push "route 10.8.0.1 255.255.255.0" ### IP replaced by the rule of openvpn.conf (Dynamic IP / tunnel)

Max Clients 5 ### 5 is replaced by the number of openvpn.conf

# What it says here under does not need to be changed
################################################################

push "sndbuf 0"

push "rcvbuf 0"

sndbuf 0

rcvbuf 0

management 127.0.0.1 1195

dev tun

proto udp

port 1194

persist-tun

persist-key

cipher AES-256-CBC

tls-version-min 1.2 or-highest

remote-cert-tls client

dh /usr/syno/etc/packages/VPNCenter/VPNcerts/dh2048.pem

ca /usr/syno/etc/packages/VPNCenter/VPNcerts/ca.crt

cert /usr/syno/etc/packages/VPNCenter/VPNcerts/Internal_Server.crt

key /usr/syno/etc/packages/VPNCenter/VPNcerts/Internal_Server.key

tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0

fast-io

comp-lzo

keepalive 10 60

reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf

status /tmp/ovpn_status_2_result 30

status-version 2




Any help will be welcome.

Thanks.