OpenVPN #1: Beter beveiligen

[Pippin]

Inmiddels is er bericht dat er gewerkt wordt aan identificatie van de server evenals tls-auth.
Hoelang dat nog duurt is onbekend.

Tevens zou het in DSM 6 nu al mogelijk moeten zijn om certificaten per App toe te wijzen.
Draai zelf nog geen DSM 6 dus weet niet of dat functioneert en waar men dat vinden kan in de WebUI.

Voelt iemand zich geroepen?
 

[Pippin]

Tevens zou het in DSM 6 nu al mogelijk moeten zijn om certificaten per App toe te wijzen.

Ha, iets gevonden, schijnt nog niet te werken..... 
https://forum.synology.com/enu/viewtopic.php?f=173&t=116453

[Alias4Fun]

Hallo,

Allereerst iedereen bedankt om zoveel tijd in dit forum te steken!!
Zonder al jullie adviezen, tips en handleidingen zou een leek als ik veel minder met de NAS kunnen doen en dat zou jammer zijn.

Inmiddels al paar pogingen gedaan om OpenVPN werkend te krijgen met iPhone.
Vorig weekend net niet af kunnen ronden, maar wel allerlei poorten opengezet dus de DSM Security Advisor even alles laten checken zodat ik toch het gevoel heb dat de NAS beveiligd is. (Ik hoop dat ik daar vanuit mag gaan).
Advisor gaf melding op o.a. de SSH poort 22. Was niet veilig of een risico o.i.d.

Ga dit weekend alle stappen opnieuw doorlopen, maar heb de volgende vragen (om evt. gelijk aan te passen).
Kan ik voor SSH ook een willekeurige andere poort opgeven of moet dit poort 22 zijn?
Dan neem ik gelijk overal mijn gekozen poornr. mee en hoef ik dat niet achteraf overnieuw te doen.

En dit geldt ook voor de DSM poorten http 5000 en https 5001
De security advisor geeft aan hier willekeurige andere poortnummers aan toe te wijzen.
Dat heb ik vorig jaar, toen alles net nieuw binnen was, als één vd eerste dingen gedaan en daar heb ik dus met openvpn niet bij stilgestaan en flink mee zitten tobben.
Ik zou graag de willenkeurige poortnummers voor http en https die ik nu heb blijven gebruiken, maar levert dat geen probleem op met openvpn?
Uiteraard zal ik betreffende poortnummers ook meenemen bij instellingen waar nodig in deze voortreffelijke handleiding.
Of levert dit zoveel problemen op dat ik ze toch beter op http 5000 en https 5001 terug kan zetten?

Alvast bedankt voor jullie advies.

[Babylonia]

SSH poort 22 is alleen voor FTP om van buitenaf te kunnen benaderen.
Gebruik je die mogelijkheid niet, is er geen reden die poort in je router door te sturen.

Als je OpenVPN gebruikt gaat alles via de poort van de VPN  (standaard poort 1194).
Als je die altijd van buitenaf gaat gebruiken, hoef je poort 5000/5001 evenmin in de router door te sturen.
Andere gebruikers "zonder VPN" kunnen je NAS dan sowieso in het geheel niet van buitenaf benaderen.

[Alias4Fun]

Hallo Babylonia, bedankt voor de uitleg.

Nog 1 puntje m.b.t. die poort 22.
FTP gebruik ik (nog) niet, maar heb ik die nodig voor PuTTY c.q. WinSCP?
Om daarmee de stappen uit de handleiding (PuTTY / WinSCP) van Birdy te kunnen uitvoeren?
En is het zo dat als ik SSH poort 22 in DSM aanzet, die alleen vanuit mijn eigen netwerk bereikbaar is?
Of is van buitenaf die poort dan ook te benaderen (dus ook evt. door mensen met minder goede bedoelingen)?

[ FTP was toch iets om een website te uploaden? Of ben ik nu het spoor bijster? ]

Alvast bedankt.

[Babylonia]

Poort 22 heb je inderdaad nodig voor PuTTY c.q. WinSCP.
Het lijkt me niet dat je van buiten uit op dat niveau met je NAS bezig wilt zijn. Dat is meer iets voor als je thuis bent.
Binnen je thuisnetwerk heb je geen port forwarders nodig. Daar ga je rechtstreeks naar het IP van de NAS en vult dat hooguit aan met de poort van de service die je nodig hebt.

Met VPN heb je verbinding "alsof je in je thuisnetwerk zit".
Dus wil je eventueel alsnog met PuTTY c.q. WinSCP aan de gang zou dat via VPN op afstand in principe ook nog kunnen,
zonder extra port forwaders, alleen die van OpenVPN zelf (poort 1194)

[Pippin]

@Mod Misschien kan dit verplaatst worden 

SSH poort 22 is alleen voor FTP om van buitenaf te kunnen benaderen.

Tikvoutje denk ik...

SSH en SFTP en SCP protocol = standaard TCP poort 22

FTP protocol = standaard TCP poort 21

[Kevin--]

Beste forumleden,

ik ben ook aan de slag gegaan met mijn synology (DS3615xs) maar het wil me echt niet lukken om alles werkend te krijgen.
inmiddels ben ik op het punt aanbeland dat ik de moed om het zelf op te lossen ben kwijtgeraakt.

het is me gelukt om in ieder geval een verbinding met mijn telefoon naar mijn openVPN server te krijgen, maar daar is dan ook alles mee gezegd. soms lukt het om heel snel 1 webpagina te laden maar dan lijkt het alsof de verbinding tussen mijn telefoon (via 4G) en mijn nas (lokaal in mijn netwerk) eruit geknikkerd wordt.

ook in de verbindinglijst van de openVPN server kan ik zien dat de verbinding maximaal 5 tot 10 seconde lijkt te duren voordat de verbinding uit de lijst wordt gehaald.

ik heb alle stappen meermaals doorlopen en goed opgelet of ik alles goed geconfigureerd heb en dat lijkt het geval. zouden jullie mij hiermee kunnen helpen? als jullie iets van mij nodig hebben als mijn config files of iets dergelijks dan hoor ik dat graag!


alvast heel erg bedankt,

Kevin

[Handige Harry]

Als een Android 6. versie hebt dan kan dat ook het probleem zijn dat je maar 'even' verbinding hebt.

Dan moet je je 'spaarstand ' uitschakelen op je mobiel.

Zie link :
http://www.synology-forum.nl/index.php?topic=27449.0

[Alias4Fun]

Beste Kevin--,

Ik ben ook verschillende weekenden aan het puzzelen geweest en had dit weekend ook de moed opgegeven.
Ben verschillende keren helemaal opnieuw begonnen en alle stappen opnieuw uitgevoerd maar niets werkte.
Dus nu wat rigoreus te werk gegaan en heb VPN server van de Nas verwijderd en vervolgens opnieuw geïnstalleerd.
Het was mijn bedoeling om het IP adres opnieuw in te stellen, want dat kon ik niet wijzigen.
Met opnieuw installeren kon ik nog steeds het IP adres niet aanpassen? Maar zag wel dat ik voorheen in IP 192.168.x.x zat en nu 10.0.x.x. heb.
Verder nergens iets veranderd maar.... nu werkt het prima!
Ik vermoed dat ik in het begin ben gestart met de installatie van VPN Server en die met de DSM handleiding heb ingesteld. Toen dat niet werkte allerlei handleidingen gevolgd en zaken opnieuw ingesteld behalve VPN Server op de nas. Nu na herinstallatie werkt het wel dus denk dat daar bij mij het probleem in zat.
Ik wil zeker niemand adviseren om ook VPN Server te verwijderen en opnieuw te installeren, maar dat bleek voor mijn situatie wel de oplossing.
Wellicht dat er mensen in dit forum zijn die aan de hand van mijn ervaring jou en anderen weer verder kunnen helpen. Ik kan het niet verklaren maar ben erg blij dat het bij mij nu werkt.
Dus geef de moed niet op. Ik ben benieuwd naar reacties op dit bericht want wil zelf ook graag begrijpen hoe en wat.
De security check op de NAS geeft aan dat alles in orde is dus probleem heeft m.i. in VPN server op nas gezeten.

Succes!!!

[Babylonia]

@Alias4Fun
In je uitleg, lijk je te refereren naar de basis-eisen waarop een VPN verbinding moet voldoen, namelijk

De drie subnetten mogen niet in elkaars bereik liggen.

IP/routeer conflicten voorkomen.
We hebben te maken met drie IP bereiken:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel adres)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Deze drie mogen niet in hetzelfde bereik zitten.

Geregeld door @MMD  aangehaald, zoals o.a. < HIER >

Het is echter maar zeer de vraag of de problemen van  @Kevin--  daar mee te maken zouden hebben. Realiseer je dat deze draad specifiek gaat over een  persoonlijk afwijkende OpenVPN configuratie  om de verbinding nog meer veiligheid te geven dan standaard al gebeurt.
Zie de aanwijzingen  in de allereerste reactie van deze draad.

Het is daarbij overigens de vraag of de standaard OpenVPN methode gevoelig zou zijn voor Man In The Middle attacks?  De discussie of onderbouwing komt verder niet aan de orde in deze draad. Het is alleen een persoonlijke opvatting, waarin je in mee kunt gaan of niet.

Zonder een oordeel te geven in de effectiviteit van die afwijkende configuratie. Als het erom gaat om OpenVPN de allereerste keer in te stellen, zou ik willen adviseren niet meteen te starten met deze afwijkende configuratie, wat voor de meeste "VPN-leken" veel te complex is, om daar mee te beginnen, maar te starten met de "basis-configuratie" van OpenVPN. Pas als je daar ervaring mee hebt opgedaan, en er een tijdje mee hebt gewerkt, en de principes ervan begrijpt, kun je overwegen die afwijkende methode die door  @MMD  in deze draad wordt gepropageerd te gaan toepassen. Besef dat het een persoonlijke keuze is die je voor jezelf moet afwegen, of je dat de moeite waard vindt.
Het is geen "verplichting" die afwijkende configuratie te gebruiken om OpenVPN als connectie werkend te krijgen.

[blbean]

@MMD Na een herinstallatie van DSM 6 de tut weer doorlopen. Werkt wederom foutloos op mijn DS415+ in combinatie met iPhone, iPad en de Samsung S6. Enige waar ik even naar moest speuren, was het omzeilen van de dichtgetimmerde root. De oplossing daarvoor vond ik vrij snel hier. Bedankt weer!

[Birdy]

En hier wat uitgebreider

[blbean]

Ctrl+d, Thanks!

[Pippin]

En fijn dat het/nog weer werkt.