OpenVPN #1: Beter beveiligen

[TopGear_1542]

Ja, ik verbind met 4G. WiFi is uit.

Ik zal eens verder zoeken op internet naar deze problemen.

Heb inderdaad nog wel een Android toestel. Zal als ik in de gelegenheid ben even verder proberen.

Bedankt voor het meedenken! Als ik nog iets vind of er is een oplossing laat ik het uiteraard weten.

[TopGear_1542]

Het valt me wel op dat er achter "Client IP" geen IP adres genoemd staat in de UI van de OpenVPN app voor IOS. Er is dus wel een IP adres voor de tunnel (192.168.168.6), maar het lijkt er op dat er geen IP adres voor de client is. Toch iets met DHCP? Wie heeft er nog een idee?

[Pippin]

Wat mij nu opvalt is het tunnel IP, 192.168.168.6, dat je krijgt uitgedeeld van de server.
Dat hoeft geen probleem te zijn maar dat lijkt op "topology net30".
Deze handleiding gebruikt echter topology subnet.

Staat er in de server config "topology subnet" ?

[Pippin]

Ai 
Bij de laatste wijziging die ik aan het server bestand heb gedaan ben ik vergeten "topology subnet" toe te voegen.
Zal nu een nieuwe plaatsen.

@TopGear_1542
Je hoeft alleen

Code: [Selecteer]

topology subnettoe te voegen aan de server config, mogelijk is dat de oorzaak.

[TopGear_1542]

@MMD
Ik heb "topology subnet" toegevoegd. Vervolgens het pakket gestopt en gestart. Helaas zonder resultaat.

Hoe dan ook, wederom bedankt voor het meedenken! 

Daarna heb ik de optie "redirect gateway def1" uitgeschakeld door er "# redirect gateway def1" van te maken. Direct internetverbinding!
Als ik naar whatismyip.com ga zie ik echter niet het extern IP adres van mijn serverlocatie, maar het IP adres van mijn 4G provider. Logisch natuurlijk, maar deze wil ik wel graag zien. Wat kan er mis gaan in combinatie met "redirect gateway def1"?

Bovendien heb ik geen toegang tot IP adressen op het LAN.

[Pippin]

Dit soort dingen komt telkens weer voor en vaak is onduidelijk waardoor het komt.

Wanneer redirect gateway niet werkt:
1. Wordt er geen route gezet op de client die naar het LAN wijst.

2. Het tunnel subnet is niet ge-NAT op de server.

3. ipforwarding is niet aktief.

2 en 3 zorgt de VPN Server voor als je "client toegang geven tot het LAN" aangevinkt hebt, herstart is dan nodig.
Heb echter nog nooit ergens gelezen dat een DS dat niet deed.

Voor 1. zou ik nu Android/Windows proberen.

[TopGear_1542]

Ik heb vandaag geprobeerd met standaard inrichting van de Ovpnvpn applicatie van Synology op een Android (v. 4.4.4) toestel om de "redirect-gateway def1" functie aan de praat te krijgen. Ook dit is helaas zonder succes.

Ook heb ik het pakket op beide NASsen (zelfde versie van DSM) geprobeerd. Beide geven geen resultaat.

1. Wordt er geen route gezet op de client die naar het LAN wijst.

Mijn kennis en kunde reiken helaas niet zover dat ik bovenstaande aan de praat krijg. Kan je / iemand mij hier nog bij helpen?

Lees het e.e.a. over configuratie van de IPTABLES, POSTROUTING en IFCONFIG, maar ook dat gaat mijn kennis te boven.

[Pippin]

Met iptables hoeft je je eigenlijk ook niet bezig te houden want dat behoort VPN Server zelf te regelen.
Controleren kan eventueel wel maar moet eigenlijk niet nodig zijn, heb ook nog nooit ergens gelezen dat dit een probleem was/is.

Kan je / iemand mij hier nog bij helpen?

Jawel hoor, het werkt dus ook niet met een standaard configuratie...

Zodra je verbinding hebt probeer je dan b.v. www.google.nl ?
Naar het LAN probeer je dan een IP of DNS van een apparaat?

Welke DNS heb je ingevuld bij

Code: [Selecteer]

dhcp-option DNS x.x.x.x
in de client config?
Probeer daar eens de DNS van Google, 8.8.8.8
Of als je daar niets invult, # ervoor, dan wordt de DNS gebruikt die je provider je toewijst.

Als dat niet helpt dan met een standaard inrichting en "Clients toegang geven LAN" aangevinkt, op de server in openvpn.conf

Code: [Selecteer]

verb 4
/var/log/openvpn.logtoevoegen en dan OpenVPN her/starten.

Opnieuw config voor de client exporteren.
In de client config, openvpn.ovpn voeg je nog extra

Code: [Selecteer]

verb 4
dhcp-option DNS 8.8.8.8toe.

Installeer vervolgens een App op Android waarmee je kunt pingen, b.v. Fing. (makkelijker is eigenlijk een PC als client)
Dan verbinden met VPN en ping met Fing

Code: [Selecteer]

192.168.168.1
192.168.193.1 (hier ga ik ervan uit dat dit je gateway van de NAS is, pas dus aan indien nodig)
192.168.193.x (IP van NAS)
192.168.193.xx (IP van ander apparaat waarvan je zeker weet dat die antwoord op ping)
8.8.8.8
216.58.212.142
www.google.nlPing resultaten dan hier plaatsen.

Verbinding verbreken en dan tevens beide logs hier plaatsen/aanhangen.
Haal dan wel even uit het client log je openbare IP, DDNS en evt. andere privé gegevens weg.

[TopGear_1542]

De resultaten zijn overduidelijk. Er is een tunnel, maar daarnaast eigenlijk helemaal niets.

Heb ook onderstaande toegevoegd aan client config. Geen succes :-(

verb 4
dhcp-option DNS 8.8.8.8

[Pippin]

Mis de gevraagde logs van de server en client.....

Maar ik denk dat het tijd is met een schone lei te beginnen van een standaard installatie.
VPN Server verwijderen, NAS herstarten en dan hetzelfde voor OpenVPN client op Windows.
En niet vergeten op Windows, OpenVPN te starten als Admin.

[TopGear_1542]

 Ik op beide NASsen VPNserver verwijderd. Heb vervolgens op beide het pakket met de meest standaard OpenVPN configuratie geprobeerd op IOS en Windows.

- Client toegang geven tot LAN aangevinkt
- Redirect-gateway def1 zonder # ervoor in openvpn.ovpn

Op beide NASsen direct VPN verbinding, maar geen toegang tot internet.

Eerlijk gezegd ben ik even kwijt waar ik nog kan zoeken.

Zijn logs zinvol als het volgens mij niet in de VPNserver zit, maar ergens in mijn netwerk?

De Help doet het wel. Daarmee moet de NAS in de basis toch een internetconnectie hebben.

[Birdy]

De help werkt ook zonder internet.

[Pippin]

De client en server met verb 4 in de config zoals hierboven omschreven kunnen zinvol zijn.
En op command line van Windows client:

Code: [Selecteer]

route printnadat het IP toegewezen is/verbinding volledig tot stand gekomen is om te controleren of de routes gezet worden maar vaak is het log van de client daar al voldoende voor.

Meer info kan sneller tot een oplossing leiden.
Ook is nog niet echt duidelijk hoe het met de firewall regels is.
In DSM 6 is daar het één en ander gewijzigd als ik het goed begrepen heb.
Die draai ik echter niet, daar zou een ander misschien meer over kunnen zeggen.

Code: [Selecteer]

C:\Users\Gebruiker>ping 10.8.0.1

Pinging 10.8.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.Deze ping ^^^ is naar het tunnel IP van de server.
Maak eens een regel aan voor 10.8.0.0 255.255.255.0 (of 10.8.0.0/24) allow to any in de firewall.
Dat zou echter automatisch moeten gebeuren voor zover ik weet.

[GravityRZ]

Hallo,

ik ben welgeteld 2 dagen bezig geweest om de vpn aan de praat te krijgen.

standaard vpn werkte gelijk.
daarna de iets betere implementatie gedaan vanuit deze link
https://docs.openvpn.net/docs/openvpn-connect/openvpn-connect-ios-faq.html
met name voor de iphone worden de certificaten dan mooi zichtbaar in openvpn.
ik had echter(bij gebrek aan kennis) de server certificaten van de synology als client certificaat in client.p12 gezet.
het werkte goed maar ik weer niet of dit ook secure was.

nu deze handleiding gevolgd waarbij ik moet zeggen dat hij niet helemaal idiot proof is.
met name het laten staan van de standaard openvpn.conf is niet duidelijk beschreven.
ook certificaten met hoofdletters is niet slim(voor de iphone).
winscp had ik moeite mee omdat ik er wel in kwam maar niet als root.
bleek dat ik ales al dichtgetimmerd had op dit vlak
even bij ssh mijn key ingevoegd en voila inloggen zonder pasword maar met certificaat

ik heb echter nog 2 vragen

in de oude situatie had ik een certificaat synology staan in zowel

op de iphone onder iphone
instellingen/algemeen/profiel
synology trusted

in OpenVPN app op iphone
standaard profile
synology trusted


nu staat er
op de iphone onder iphone
instellingen/algemeen/profiel
Ronald niet gecontroleerd

in OpenVPN app op iphone
standaard profile
Helemaal geen certificaat meer

is er nog wat te doen aan dat "niet gecontroleerd" of is dit altijd zo als je zelf certificaten aanmaakt.

hierbij een stukje log
super handleiding.. thanks

2016-08-21 11:51:17 VERIFY OK: depth=1
cert. version    : 3
serial number    : 01
issuer name      : CN=CA
subject name      : CN=CA
issued  on        : 2016-08-20 14:43:00
expires on        : 2026-08-20 14:43:00
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true
cert. type        : SSL CA, Email CA, Object Signing CA
key usage        : Key Cert Sign, CRL Sign

2016-08-21 11:51:17 VERIFY OK: depth=0
cert. version    : 3
serial number    : 02
issuer name      : CN=CA
subject name      : CN=Server
issued  on        : 2016-08-20 14:47:00
expires on        : 2021-08-20 14:47:00
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
key usage        : Digital Signature, Key Encipherment
ext key usage    : TLS Web Server Authentication

2016-08-21 11:51:18 SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
2016-08-21 11:51:18 Session is ACTIVE
2016-08-21 11:51:18 EVENT: GET_CONFIG
2016-08-21 11:51:18 Sending PUSH_REQUEST to server...
2016-08-21 11:51:19 OPTIONS:
0 [redirect-gateway] [def1]
1 [route] [192.168.1.0] [255.255.255.0]
2 [route] [10.8.0.0] [255.255.255.0]
3 [sndbuf]

4 [rcvbuf]

5 [route] [10.8.0.1]
6 [topology] [net30]
7 [ping] [10]
8 [ping-restart] [60]
9 [ifconfig] [10.8.0.6] [10.8.0.5]

2016-08-21 11:51:19 PROTOCOL OPTIONS:
  cipher: AES-256-CBC
  digest: SHA1
  compress: LZO
  peer ID: -1
2016-08-21 11:51:19 EVENT: ASSIGN_IP
2016-08-21 11:51:19 Google DNS fallback enabled
2016-08-21 11:51:19 TunPersist: saving tun context:

[Pippin]

ik ben welgeteld 2 dagen bezig geweest om de vpn aan de praat te krijgen.

Dat gaat nu sneller denk ik

nu deze handleiding gevolgd waarbij ik moet zeggen dat hij niet helemaal idiot proof is.
met name het laten staan van de standaard openvpn.conf is niet duidelijk beschreven.

Er staat ook niet beschreven dat die verwijderd moet worden
Als die mist dan start de server niet want één van de "start" scripts kijkt of die aanwezig is.

ook certificaten met hoofdletters is niet slim(voor de iphone).

Zou kunnen, heb geen ervaring met Apple.
Dan alle bestanden kleine letters maken, ook in de config de paden dan aanpassen.

ik heb echter nog 2 vragen
....
..
.

Volgens mij worden voor Apple inline certificaten aangeraden.
Anders zal iemand die het werkend heeft met een iPhone even moeten reageren.