Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 223809 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #135 Gepost op: 31 maart 2016, 19:46:51 »

Inmiddels is er bericht dat er gewerkt wordt aan identificatie van de server evenals tls-auth.
Hoelang dat nog duurt is onbekend.

Tevens zou het in DSM 6 nu al mogelijk moeten zijn om certificaten per App toe te wijzen.
Draai zelf nog geen DSM 6 dus weet niet of dat functioneert en waar men dat vinden kan in de WebUI.

Voelt iemand zich geroepen?
 
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #136 Gepost op: 31 maart 2016, 20:07:27 »
Tevens zou het in DSM 6 nu al mogelijk moeten zijn om certificaten per App toe te wijzen.
Ha, iets gevonden, schijnt nog niet te werken.....  ::)
https://forum.synology.com/enu/viewtopic.php?f=173&t=116453

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Alias4Fun

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 7
Re: OpenVPN: Beter beveiligen
« Reactie #137 Gepost op: 09 april 2016, 09:34:30 »
Hallo,

Allereerst iedereen bedankt om zoveel tijd in dit forum te steken!!
Zonder al jullie adviezen, tips en handleidingen zou een leek als ik veel minder met de NAS kunnen doen en dat zou jammer zijn.

Inmiddels al paar pogingen gedaan om OpenVPN werkend te krijgen met iPhone.
Vorig weekend net niet af kunnen ronden, maar wel allerlei poorten opengezet dus de DSM Security Advisor even alles laten checken zodat ik toch het gevoel heb dat de NAS beveiligd is. (Ik hoop dat ik daar vanuit mag gaan).
Advisor gaf melding op o.a. de SSH poort 22. Was niet veilig of een risico o.i.d.

Ga dit weekend alle stappen opnieuw doorlopen, maar heb de volgende vragen (om evt. gelijk aan te passen).
Kan ik voor SSH ook een willekeurige andere poort opgeven of moet dit poort 22 zijn?
Dan neem ik gelijk overal mijn gekozen poornr. mee en hoef ik dat niet achteraf overnieuw te doen.

En dit geldt ook voor de DSM poorten http 5000 en https 5001
De security advisor geeft aan hier willekeurige andere poortnummers aan toe te wijzen.
Dat heb ik vorig jaar, toen alles net nieuw binnen was, als één vd eerste dingen gedaan en daar heb ik dus met openvpn niet bij stilgestaan en flink mee zitten tobben.
Ik zou graag de willenkeurige poortnummers voor http en https die ik nu heb blijven gebruiken, maar levert dat geen probleem op met openvpn?
Uiteraard zal ik betreffende poortnummers ook meenemen bij instellingen waar nodig in deze voortreffelijke handleiding.
Of levert dit zoveel problemen op dat ik ze toch beter op http 5000 en https 5001 terug kan zetten?

Alvast bedankt voor jullie advies. :P
  • Mijn Synology: DS415+
  • HDD's: 4 x WD60EFRX
  • Extra's: 8 GB ram

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 902
  • -Ontvangen: 1480
  • Berichten: 7.936
Re: OpenVPN: Beter beveiligen
« Reactie #138 Gepost op: 09 april 2016, 09:51:33 »
SSH poort 22 is alleen voor FTP om van buitenaf te kunnen benaderen.
Gebruik je die mogelijkheid niet, is er geen reden die poort in je router door te sturen.

Als je OpenVPN gebruikt gaat alles via de poort van de VPN  (standaard poort 1194).
Als je die altijd van buitenaf gaat gebruiken, hoef je poort 5000/5001 evenmin in de router door te sturen.
Andere gebruikers "zonder VPN" kunnen je NAS dan sowieso in het geheel niet van buitenaf benaderen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Alias4Fun

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 7
Re: OpenVPN: Beter beveiligen
« Reactie #139 Gepost op: 09 april 2016, 11:56:21 »
Hallo Babylonia, bedankt voor de uitleg.

Nog 1 puntje m.b.t. die poort 22.
FTP gebruik ik (nog) niet, maar heb ik die nodig voor PuTTY c.q. WinSCP?
Om daarmee de stappen uit de handleiding (PuTTY / WinSCP) van Birdy te kunnen uitvoeren?
En is het zo dat als ik SSH poort 22 in DSM aanzet, die alleen vanuit mijn eigen netwerk bereikbaar is?
Of is van buitenaf die poort dan ook te benaderen (dus ook evt. door mensen met minder goede bedoelingen)?

[ FTP was toch iets om een website te uploaden? Of ben ik nu het spoor bijster? ]

Alvast bedankt.
  • Mijn Synology: DS415+
  • HDD's: 4 x WD60EFRX
  • Extra's: 8 GB ram

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 902
  • -Ontvangen: 1480
  • Berichten: 7.936
Re: OpenVPN: Beter beveiligen
« Reactie #140 Gepost op: 09 april 2016, 12:08:16 »
Poort 22 heb je inderdaad nodig voor PuTTY c.q. WinSCP.
Het lijkt me niet dat je van buiten uit op dat niveau met je NAS bezig wilt zijn. Dat is meer iets voor als je thuis bent.
Binnen je thuisnetwerk heb je geen port forwarders nodig. Daar ga je rechtstreeks naar het IP van de NAS en vult dat hooguit aan met de poort van de service die je nodig hebt.

Met VPN heb je verbinding "alsof je in je thuisnetwerk zit".
Dus wil je eventueel alsnog met PuTTY c.q. WinSCP aan de gang zou dat via VPN op afstand in principe ook nog kunnen,
zonder extra port forwaders, alleen die van OpenVPN zelf (poort 1194)
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #141 Gepost op: 09 april 2016, 12:18:56 »

@Mod Misschien kan dit verplaatst worden  :?:

Citaat
SSH poort 22 is alleen voor FTP om van buitenaf te kunnen benaderen.
Tikvoutje denk ik...

SSH en SFTP en SCP protocol = standaard TCP poort 22

FTP protocol = standaard TCP poort 21

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Kevin--

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 1
Re: OpenVPN: Beter beveiligen
« Reactie #142 Gepost op: 24 april 2016, 16:50:49 »
Beste forumleden,

ik ben ook aan de slag gegaan met mijn synology (DS3615xs) maar het wil me echt niet lukken om alles werkend te krijgen.
inmiddels ben ik op het punt aanbeland dat ik de moed om het zelf op te lossen ben kwijtgeraakt.

het is me gelukt om in ieder geval een verbinding met mijn telefoon naar mijn openVPN server te krijgen, maar daar is dan ook alles mee gezegd. soms lukt het om heel snel 1 webpagina te laden maar dan lijkt het alsof de verbinding tussen mijn telefoon (via 4G) en mijn nas (lokaal in mijn netwerk) eruit geknikkerd wordt.

ook in de verbindinglijst van de openVPN server kan ik zien dat de verbinding maximaal 5 tot 10 seconde lijkt te duren voordat de verbinding uit de lijst wordt gehaald.

ik heb alle stappen meermaals doorlopen en goed opgelet of ik alles goed geconfigureerd heb en dat lijkt het geval. zouden jullie mij hiermee kunnen helpen? als jullie iets van mij nodig hebben als mijn config files of iets dergelijks dan hoor ik dat graag!


alvast heel erg bedankt,

Kevin
  • Mijn Synology: DS3615xs
  • HDD's: 2x3TB (voorlopig)
  • Extra's: 8GB DDR3

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: OpenVPN: Beter beveiligen
« Reactie #143 Gepost op: 24 april 2016, 16:53:29 »
Als een Android 6. versie hebt dan kan dat ook het probleem zijn dat je maar 'even' verbinding hebt.

Dan moet je je 'spaarstand ' uitschakelen op je mobiel.

Zie link :
http://www.synology-forum.nl/index.php?topic=27449.0
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Alias4Fun

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 7
Re: OpenVPN: Beter beveiligen
« Reactie #144 Gepost op: 24 april 2016, 21:39:00 »
Beste Kevin--,

Ik ben ook verschillende weekenden aan het puzzelen geweest en had dit weekend ook de moed opgegeven.
Ben verschillende keren helemaal opnieuw begonnen en alle stappen opnieuw uitgevoerd maar niets werkte.
Dus nu wat rigoreus te werk gegaan en heb VPN server van de Nas verwijderd en vervolgens opnieuw geïnstalleerd.
Het was mijn bedoeling om het IP adres opnieuw in te stellen, want dat kon ik niet wijzigen.
Met opnieuw installeren kon ik nog steeds het IP adres niet aanpassen? Maar zag wel dat ik voorheen in IP 192.168.x.x zat en nu 10.0.x.x. heb.
Verder nergens iets veranderd maar.... nu werkt het prima!
Ik vermoed dat ik in het begin ben gestart met de installatie van VPN Server en die met de DSM handleiding heb ingesteld. Toen dat niet werkte allerlei handleidingen gevolgd en zaken opnieuw ingesteld behalve VPN Server op de nas. Nu na herinstallatie werkt het wel dus denk dat daar bij mij het probleem in zat.
Ik wil zeker niemand adviseren om ook VPN Server te verwijderen en opnieuw te installeren, maar dat bleek voor mijn situatie wel de oplossing.
Wellicht dat er mensen in dit forum zijn die aan de hand van mijn ervaring jou en anderen weer verder kunnen helpen. Ik kan het niet verklaren maar ben erg blij dat het bij mij nu werkt.
Dus geef de moed niet op. Ik ben benieuwd naar reacties op dit bericht want wil zelf ook graag begrijpen hoe en wat.
De security check op de NAS geeft aan dat alles in orde is dus probleem heeft m.i. in VPN server op nas gezeten.

Succes!!!
  • Mijn Synology: DS415+
  • HDD's: 4 x WD60EFRX
  • Extra's: 8 GB ram

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 902
  • -Ontvangen: 1480
  • Berichten: 7.936
Re: OpenVPN: Beter beveiligen
« Reactie #145 Gepost op: 25 april 2016, 03:20:57 »
@Alias4Fun
In je uitleg, lijk je te refereren naar de basis-eisen waarop een VPN verbinding moet voldoen, namelijk

De drie subnetten mogen niet in elkaars bereik liggen.

IP/routeer conflicten voorkomen.
We hebben te maken met drie IP bereiken:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel adres)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Deze drie mogen niet in hetzelfde bereik zitten.


Geregeld door @MMD  aangehaald, zoals o.a. < HIER >

Het is echter maar zeer de vraag of de problemen van  @Kevin--  daar mee te maken zouden hebben. Realiseer je dat deze draad specifiek gaat over een  persoonlijk afwijkende OpenVPN configuratie  om de verbinding nog meer veiligheid te geven dan standaard al gebeurt.
Zie de aanwijzingen  in de allereerste reactie van deze draad.

Het is daarbij overigens de vraag of de standaard OpenVPN methode gevoelig zou zijn voor Man In The Middle attacks?  De discussie of onderbouwing komt verder niet aan de orde in deze draad. Het is alleen een persoonlijke opvatting, waarin je in mee kunt gaan of niet.

Zonder een oordeel te geven in de effectiviteit van die afwijkende configuratie. Als het erom gaat om OpenVPN de allereerste keer in te stellen, zou ik willen adviseren niet meteen te starten met deze afwijkende configuratie, wat voor de meeste "VPN-leken" veel te complex is, om daar mee te beginnen, maar te starten met de "basis-configuratie" van OpenVPN. Pas als je daar ervaring mee hebt opgedaan, en er een tijdje mee hebt gewerkt, en de principes ervan begrijpt, kun je overwegen die afwijkende methode die door  @MMD  in deze draad wordt gepropageerd te gaan toepassen. Besef dat het een persoonlijke keuze is die je voor jezelf moet afwegen, of je dat de moeite waard vindt.
Het is geen "verplichting" die afwijkende configuratie te gebruiken om OpenVPN als connectie werkend te krijgen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline blbean

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 6
  • Berichten: 16
Re: OpenVPN: Beter beveiligen
« Reactie #146 Gepost op: 27 april 2016, 01:06:02 »
@MMD Na een herinstallatie van DSM 6 de tut weer doorlopen. Werkt wederom foutloos op mijn DS415+ in combinatie met iPhone, iPad en de Samsung S6. Enige waar ik even naar moest speuren, was het omzeilen van de dichtgetimmerde root. De oplossing daarvoor vond ik vrij snel hier. Bedankt weer!

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7981
  • Berichten: 43.993
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: OpenVPN: Beter beveiligen
« Reactie #147 Gepost op: 27 april 2016, 10:05:27 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline blbean

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 6
  • Berichten: 16
Re: OpenVPN: Beter beveiligen
« Reactie #148 Gepost op: 27 april 2016, 17:15:36 »
Ctrl+d, Thanks!

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #149 Gepost op: 27 april 2016, 18:41:24 »

En fijn dat het/nog weer werkt.  8)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1311
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2055
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 111
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2557
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3543
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia