OpenVPN #1: Beter beveiligen

[GravityRZ]

gaat nu inderdaad een heel stuk sneller.
als ik nu iets moet veranderen dan is het met 5 minuten gebeurd.

Nog even een compliment over het opzetten in een andere directory(VPNcerts)
als je het niet snapt denk je Moeilijk!!!!!!!
als je het wel snapt is het echter super makkelijk.
het enige wat ik nu zou hoeven te doen is
het stoppen van het pakket
verwijderen van openvpn.conf.user
starten van pakket en alles draait weer zoals vroeger(client natuurlijk wel weer opnieuw inrichten)

ja dat apple is apart.

methode 1 is om alles in de openvpn.ovpn te zetten
alle certificaten onder hun eigen noemer
<ca>
inhoud ca certificaat
.....
.....
</ca>

daarna openvpn.ovpn en ca.crt sturen naar je iphone middels itunes.

mooiere methode is echter om alle certificaten in een client.p12 document te zetten en dit te emailen naar je telefoon.
als je de attachment aan tikt dan gaat hij alle certificaten op je iphone installeren.
daarna kale openvpn.ovpn met alleen ca.crt naar iphone sturen.(DUS ALLE REFERENTIES NAAR DE REST VAN DE CERTIFICATEN VERWIJDEREN. ALLEEN REFERENTIE NAA CA.CRT LATEN STAAN)
doordat je de referenties uit openvpn.ovpn weghaalt zet de openvp app nu een extra certificaat entry onder je verbinding die je kunt kiezen

op deze manier kreeg ik dat mooie client certificaat te zien in openvpn.
Update:
 na installatie client certificaat op iphone werkt alles dus maar het certificaat zegt "niet gecontrolleerd"
het lijkt er op dat het CA certificaat niet vanuit client.p12 wordt meegenomen.
vervolgens emailtje gestuurd met daarin ca.crt
die aanklikken zodat deze wordt geïnstalleerd
daarna zijn beide certificaten Trusted en groen
ik heb onder profielen nu 2 certificaten staan
CA
Client




check even of dit bij jou ook zo is of dat jij wel een certificaat ziet in openvpn

[Pippin]

Vers van de pers

OpenVPN 2.3.12

Release notes:

Arne Schwabe (2):
      Complete push-peer-info documentation and allow IV_PLAT_VER for other platforms than Windows if the client UI supplies it.
      Move ASSERT so external-key with OpenSSL works again

David Sommerseth (5):
      Only build and run cmocka unit tests if its submodule is initialized
      Another fix related to unit test framework
      Remove NOP function and callers
      Revert "Drop recursively routed packets"
      Preparing release of v2.3.12

Dorian Harmans (1):
      Add CHACHA20-POLY1305 ciphersuite IANA name translations.

Ivo Manca (1):
      Plug memory leak in mbedTLS backend

Jeffrey Cutter (1):
      Update contrib/pull-resolv-conf/client.up for no DOMAIN

Jens Neuhalfen (2):
      Add unit testing support via cmocka
      Add a test for auth-pam searchandreplace

Josh Cepek (1):
      Push an IPv6 CIDR mask used by the server, not the pool's size

Leon Klingele (1):
      Add link to bug tracker

Lev Stipakov (1):
      Drop recursively routed packets

Samuli Seppänen (2):
      Update CONTRIBUTING.rst to allow GitHub PRs for code review purposes
      Clarify the fact that build instructions in README are for release tarballs

Selva Nair (4):
      Make error non-fatal while deleting address using netsh
      Make block-outside-dns work with persist-tun
      Ignore SIGUSR1/SIGHUP during exit notification
      Promptly close the netcmd_semaphore handle after use

Steffan Karger (4):
      Fix polarssl / mbedtls builds
      Don't limit max incoming message size based on c2->frame
      Fix '--cipher none --cipher' crash
      Discourage using 64-bit block ciphers

[Pippin]

check even of dit bij jou ook zo is of dat jij wel een certificaat ziet in openvpn

Apple producten heb ik niet.......

Misschien is iemand anders bereid daar eens naar te kijken.

[GravityRZ]

hebben we nog iets aan die nieuwe versie

ik zie bv dat er nu geen  tls-cipher gebruikt wordt in de config files

middels dit commando zijn de beschikbare ciphers voor tls te zien
openvpn --show-tls

zover ik weet support de huidige openvpn geen ECDHE ciphers.
als ik echter een andere cipher probeer die wel zou moeten werken dan werkt de verbinding nog steeds niet.

moet dit toevallig in zowel de openvpn.conf.user als de openvpn.ovpn staan?

[Pippin]

Hallo,

Haal even de quote uit je bericht, dat wordt gewaardeerd.

Of je er iets aan hebt kan ik niet bepalen, dat is afhankelijk van use-case maar ik denk in het geval van doorsnee/normaal gebruik niet persé nodig. Hoewel, als je meerdere tunnels op een Windows machine hebt en gebruik maakt van block-outside-dns zou ik toch updaten. Zelf blijf ik het liefst bij wat OpenVPN betreft. Eraf gooien en vorige versie erop is een minuut werk.

tls-cipher zit er wel in Daar hoef je niets aan te doen als je deze handleiding volgt.
In deze handleiding heb ik gekozen voor tls-version-min 1.2 or-highest
Daarmee wordt het hoogst mogelijke tls-cipher onderhandeld die server en client beide ondersteunen.

Voor AEAD, ofwel eleptic curve cryptography support moeten we wachten tot versie 2.4 uitkomt, dus nee ECDH is nu nog niet ondersteund.
Dan komt ook AES-GCM beschikbaar en dat zou wat CPU power kunnen schelen op een NAS, vooral op de kleinere.
Maar dan hebben we er nog niks aan want Synology weigert pertinent de OpenVPN binary te updaten.
Dat geldt voor DSM 5.x, die zit op versie 2.3.6, release 1-12-2014.
DSM 6 zit voor zover ik weet op versie 2.3.11

[GravityRZ]

check.

gister kreeg ik een update van dsm6 en daarin ook een update van openvpn
ik denk dat synology andere versie nummers hanteert van hun packages want hij zit nu op versie 1.3.3-2748

hoe kan ik zien welke versie er draait

[Pippin]

Ze hanteren een eigen nummer voor het VPN Center package.
Daarin zit echter de standaard OpenVPN binairy.
De updates betreffen dan scripts en andere zaken die ze om OpenVPN heen gebouwd hebben.

Voor versie, in putty:
openvpn --version

[GravityRZ]

mijn synology draait op 2.3.11

lopen ze nog net iets achter

[GravityRZ]

ik heb gemerkt dat bij een reboot alles wel wordt opgestart maar dat een openvpn verbinding opzetten mislukt
package stoppen en starten lost het probleem op.

dit staat er in de log

enig idee
ik heb een reboot geprobeerd en volgens mij werkte het vroeger wel.
zou het door de laatste package update kunnen komen?


client certificaat heeft OpenVPN-Ronald
mijn login is Ronald

zou het kunnen dat het niet werkt omdat ze niet gelijk heten
na stop/start werkt alles wel als een zonnetje

2016-09-03T10:50:55+02:00 DiskStation openvpn[6647]: Libgcrypt warning: missing initialization - please fix the application
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:773 not client format
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:845 SepOpenvpnClientStr(CLIENT_LIST,OpenVPN-Ronald,xx.xx.xx.xx:35344,10.8.0.2,3351,3608,Sat Sep  3 10:50:54 2016,1472892654,Ronald) failed
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:884 ParseOpenvpnClient2DB() failed
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:912 SetOpenvpnClient2DB() failed
2016-09-03T10:51:04+02:00 DiskStation synovpnnet: connection.c:941 failed to refresh openvpn connection DB
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:773 not client format
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:845 SepOpenvpnClientStr(CLIENT_LIST,OpenVPN-Ronald,xx.xx.xx.xx:35344,10.8.0.2,4473,3815,Sat Sep  3 10:50:54 2016,1472892654,Ronald) failed
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:884 ParseOpenvpnClient2DB() failed
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:912 SetOpenvpnClient2DB() failed
2016-09-03T10:51:39+02:00 DiskStation synovpnnet: connection.c:941 failed to refresh openvpn connection DB
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:773 not client format
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:845 SepOpenvpnClientStr(CLIENT_LIST,OpenVPN-Ronald,xx.xx.xx.xx:35344,10.8.0.2,4728,4022,Sat Sep  3 10:50:54 2016,1472892654,Ronald) failed
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:884 ParseOpenvpnClient2DB() failed
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:912 SetOpenvpnClient2DB() failed
2016-09-03T10:52:08+02:00 DiskStation synovpnnet: connection.c:941 failed to refresh openvpn connection DB

[Pippin]

De melding heeft te maken met een bugje in de Connection List, dat is bekend maar het is onduidelijk of ze dat opgelost hebben.
http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg186737/#msg186737
Die melding staat er elke 30 seconden. Eventueel kun je de regel

status /tmp/ovpn_status_2_result 30 <--

wijzigen van 30 naar b.v. 240.
Maar dat heeft zover ik weet niet te maken met

dat bij een reboot alles wel wordt opgestart maar dat een openvpn verbinding opzetten mislukt
package stoppen en starten lost het probleem op

Kijk ook andere logs eens na in /var/log, dmesg en kern.log en natuurlijk ook openvpn.log

[GravityRZ]

alle logfiles zien er keurig uit
openvpn.log laat alles ook goed zien zonder foutmeldingen
het zijn dus alleen de meldingen in messages die raar zijn.
alles werkt dus goed

de meldingen verschijnen overigens ook als ik weer opnieuw inlog dus het heeft waarschijnlijk niets te maken met een evt reboot

ook als ik al mijn oude certificaten terugzet maakt het niets uit
User is dan gelijk aan certificaatnaam maar nog steeds dezelfde melding

2016-09-03T12:48:22+02:00 DiskStation synovpnnet: connection.c:845 SepOpenvpnClientStr(CLIENT_LIST,Ronald,xx.xx.xx.xx:35445,10.8.0.6,4435,4657,Sat Sep  3 12:45:20 2016,1472899520,Ronald) failed
2016-09-03T12:48:22+02:00 DiskStation synovpnnet: connection.c:884 ParseOpenvpnClient2DB() failed
2016-09-03T12:48:22+02:00 DiskStation synovpnnet: connection.c:912 SetOpenvpnClient2DB() failed
2016-09-03T12:48:22+02:00 DiskStation synovpnnet: connection.c:941 failed to refresh openvpn connection DB
2016-09-03T12:48:52+02:00 DiskStation synovpnnet: connection.c:773 not client format
 

[Pippin]

synovpnnet leest informatie uit van de management interface van OpenVPN (management 127.0.0.1 1195) en schrijft dat naar een database. Daar ergens zit de bug die ik al vaker en lang geleden gemeld heb. Staat verder los van deze handleiding.

Eventueel kun je voor dat reboot verhaal een nieuw topic openen.

[Pippin]

Voor wie bij wil blijven, vers van de pers, OpenVPN Versie 2.4_alpha2

New features
Full changes

[GravityRZ]

ziet er goed uit.

dat met die proxy wachtwoorden, zou dat ook gelden voor normale username/wachtwoord.
momenteel staat dat ingesteld in de app en hij onthoudt dat.
De Iphone heeft echter een VPN switch die Openvpn opstart.
hij neemt dan echter de username/wachtwoord niet mee waardoor de vpn niet lukt.
natuurlijk niet zo sceure maar het zou handig zijn als dit in de configfile kan(wellicht dat het nu al kan maar dat weet ik niet)

[Pippin]

In de config van de client toevoegen:

Code: [Selecteer]

auth-user-pass login"login" is gewoon een tekst bestand met daarin:

Code: [Selecteer]

gebruiker
wachtwoordop de eerste twee regels.

Het kan zijn dat het pad naar "login" meegegeven moet worden.
Onder Windows niet als het in de config map staat.

Werkt op Linux/Windows/Freebsd..... maar of dit werkt op Iphone weet ik niet.