OpenVPN #1: Beter beveiligen

[JohnGiezen]

Ik wil zo langzamerhand ook gebruik gaan maken van een VPN verbinding en heb inmiddels een account bij OpenVPN.

Heb al het e.e.a. gelezen en wil vanuit dit topic mijn start gaan maken.

Voordat ik een start ga maken heb ik een vraag over het aanmaken van ssl certificaten.
Moet je voor openvpn nieuwe certificaten aanmaken, of kan je gebruik maken van bestaande certificaten? B.v van Let's Encrypt.

Wat ik in iedergeval begrepen heb is dat je voor elke persoon die wil inloggen op mijn nas een apart ssl certificaat moet aanmaken.
Of kunnen die in één certificaat worden aangemaakt?

Ben een beginner op dit gebied.

Ps. Ik neem aan dat de hele uitleg ook is te gebruiken op de Synology Router?

[Pippin]

heb inmiddels een account bij OpenVPN

Bij Private Tunnel neem ik aan?
Dan heb je deze handleiding niet nodig want dan maak je gebruik van de OpenVPN client die in de NAS/Router ingebouwd is.

Als je zelf de NAS/Router wilt inrichten als OpenVPN server, zodat je veilig naar huis kunt verbinden kun je deze handleiding wel toepassen. Het werkt ook onder DSM 6 maar of het op de router ook werkt weet ik niet, beide heb ik zelf niet maar als de router dezelfde mappenstructuur heeft zou het kunnen dat het werkt.

Als je deze handleiding toepast is het inderdaad zo dat elke gebruiker zijn eigen configuratie krijgt.
Let`s Encrypt gaat zeer waarschijnlijk niet werken met deze handleiding omdat de vereiste Key Usage, Extended Key Usage en unieke Common Name per client niet in die certificaten zit.
Voor OpenVPN is het vanuit veiligheidsoverweging sowieso beter om een eigen (unieke) database met ca, certificaten en keys te gebruiken.

Als je het bezwaarlijk vind in geval van meerdere gebruikers zou je het ook met één gebruiker kunnen doen.
Dat is dan de enige gebruiker in DSM die je recht geeft om OpenVPN te gebruiken en die ontneem je zoveel als mogelijk alle rechten op mappen en applicaties. Vervolgens krijgen alle andere gebruikers de inlog van de OpenVPN gebruiker waarmee ze op OpenVPN kunnen inloggen en daarna op hun eigen account (met hun eigen rechten).

[JohnGiezen]

uuuuuuh.

Volgens mij heb ik me alleen aangemeld om programma's te kunnen downloaden.
Van een Private Tunnel weet ik niets af.

Ik heb in de router VPN server geinstalleerd om deze te gaan gebruiken vanuit je handleiding.

Denk dat ik het gewoon moet gaan doen en kijken waar ik uit kom.
Kan altijd nog vragen stellen indien het niet lukt.
Zie aan de reacties dat je een zeer uitgebreide handleiding hebt gemaakt.

Zal dan een één gebruiker aanmaken in DSM en de anderen via deze weg te laten inloggen.

Wordt vervolgt.

[Pippin]

Om te OpenVPN van de community te downloaden hoef je je niet aan te melden.
Wel als je de Acces Server wil proberen/kopen, dat is de commerciele versie.

gebruiker aanmaken in DSM

Denk dat je SRM bedoelt...
Laat je dan even weten of het op de Synology Router werkt?

Succes

[JohnGiezen]

U hoort van mij 😉

[haplx]

Hi,

Ik ben nieuwe user op forum en vind er erg veel nuttige info. Complementen voor de kwaliteit.
@MMD, dankzij je heldere handleiding heb ik de openVPN verbinding heel snel aan de praat gekregen. Maar niet helemaal zie onder

Het bij mij om:
Android 4.1.2
DS 415+ (achter Fritz router)
DSM 6.0.2-8451 Update 2
OpenVPN Connect 1.1.17, build 76


Wat vragen --> ik krijg geen verbinding met eigen LAN:
1.Op de telefoon geeft de OpenVPN App aan dat er een verbinding is, maar in de VPN server op de DSM zie ik dat niet terug in de connectie lijst. Klopt dat? Voor PPTP VPN zie ik wel een regel in de connectie lijst, als ik onder dezelfde omstandigheden een PPTP VPN verbiniding opzet.
2. Na het maken van de openvpn verbinding krijg ik op mijn telefoon www.watismijnip.nl gebruik, netjes mijn externe IP adres te zien. Dus ik zit wel op de mijn eigen netwerk.zou ik denken. Ik kan mijn Synology echter niet bereiken onder zijn locale IP adres (zeg subnet xxx), maar wel op zijn VPN virtuele server adres (zeg in subnet yyy). Als ik vanaf mijn telefoon (met werkende openvpn connectie) het locale IP adres ping (dus in xxx  subnet)met de PingTools, krijg ik “connection timed out”. De push route statements in de openvpn.conf.user file werken niet, heb ik de indruk. Ik heb wel netjes alle routes gepushed in de openvpn.conf.user file. Verder ligt source IP van 3G verbinding ligt in rang 10.114xxx. Er kan dus ook geen conflict tussen IP adressen bereiken optreden. In de log file /var/log/openvpn.log, zie ik ook niet meteen wat schort.
3. Ik heb al wat geprobeerd (firewall helemaal uit, andere topology namelijk subnet, redirect gateway autolocal, reboot synology, reinstallatie VPN serveri etc, maar ik krijg nog geen contact met mijn eigen LAN, raar.
4. Is er misschien nog een andere oplossing: bv is het mogelijk om het virtuele IP bereik van de VPN te plaatsen in een deel van local IP bereik dat niet gebruikt wordt door de DHCP server in de router. Dus in subnet xxx. Met het kiezen van een handig mask moet dat toch lukken. Dan zit is meteen in mijn eigen LAN. Een dergelijk oplossing werkt wel voor pptp, maar ik weet niet hoe ik dat met openvpn kan realiseren. Is daar vanuit beveiligingsoogpount of andere oogpunt nog bezwaar tegen? Graag je mening…
5. In het handleiding zeg je niets over de eigenaar en de groep van de certificaten en de sleutels. Ik zag dat voor alle oorspronkelijken certifcates en keys van synology de owner en de group “root” is. Dit heb dan ook maar gedaan voor de zelf gegenereerde keys en certificaten met chown en chgroup commando's Is dat ok zo?

[Pippin]

Hallo @haplx

1.
http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg186737/#msg186737

2.
Altijd verbinden vanuit het internet dus niet vanuit het LAN.
Kun je wel andere machines bereiken in je LAN?
Probeer het met een andere client (laptop/pc/tablet).
Had je aangevinkt dat clients toegang krijgen tot het LAN?
Controleer de firewall regels op de DS, heb geen DSM 6 hier, kun je regels maken voor VPN (tun) interface?

3.
Firewall helemaal uit? Hoe had je dat gedaan, door het vinkje weg te halen bij "Als niet aan de regels wordt voldaan" op elke interface in de firewall?
topology hoeft niet gewijzigd te worden.
redirect gateway kun je nog proberen zonder toevoeging.

4.
Nee, subnetten dienen verschillend te zijn en zo uniek mogelijk. Gebruik niet de standaard bereiken die router fabrikanten gebruiken.
Er worden twee netwerken "aan elkaar geknoopt" met behulp van een derde (VPN subnet) en vervolgens wordt dat gerouteerd.
OpenVPN werkt anders dan PPTP/L2IPSEC, werken op verschillende Layers.

5.
Was je als root ingelogd in WinSCP?
Standaard zou dan groep en eigenaar root moeten zijn.
Als je de rechten zet zoals beschreven is het goed.

Meest voorkomende oorzaken van het niet kunnen bereiken van het LAN vanuit een client:
1.
Firewall
2.
Routes worden niet gezet op de client
3.
ipforward is niet ingeschakeld

1 goed nalopen
Bij 2 kun je verb 4 in de config van de client zetten en in het log kijken of daar iets bijzonders opduikt.
3 zorgt de DS voor, tenzij er een bug in zit.

[haplx]

Dank je voor je uitgebreide reactie, ik loop even langs de puntjes:

1.
Ok, dat klopt dus dat het niet werkt, slordig dat synology daar nog steeds niets aan gedaan heeft

2.
Bij testen maak ik openVPN verbinding van buiten mijn LAN (via 3G en via een ander wifi netwerk dan waarop LAN zit).
Ja, dat is een goeie, ik kan andere devices (apple tv, tablets etc) wel pingen, behalve de syno. Nu is de DS415+ verbonden met 2 ethernet kabels met de router. Kan het daar iets met te maken hebben (zie onder routing tables)?
Ik heb gisteren de openvpn client op windows 8.1 geinstalleerd, die vertoond in ieder geval precies hetzelfde gedrag.

3.
Ik had inderdaad aangevinkt in synology's VPNserver dat voor open VPN de client toegang krijgen to LAN.
Ik had FW geheel open staan en het nu nog eens geprobeerd, geen effect: NAS onbereikbaar.
Ik kan inderdaad aparte FW regels maken voor VPN, maar welke had je in gedachten?

De firewall rules die ik aan had staan zijn:
open voor all porten en protocollen van eigen LAN (192.168.178.0 / 256.256.256.0)
open voor all porten en protocollen van openvpn virtual netwerk (192.168.200.0 / 256.256.256.0) -- ik weet niet of dit laatste nodig is eigenlijk.
en de generieke port 1174 voor VPN verkeer natuurlijk, anders hadden we helemaal geen verbinding gehad.

4.
Ok, jammer, maar is het me nu duidelijk waarom niet.

5.
Ik heb helemaal via putty gewerkt. Ingelogd gebruiker met admin rechten en dan met "sudo -i''  root geworden. De files die je maakt houden dan als eigenaar de gebruiker met admin rechten klaarblijkelijk. Maar goed alles staat nu op root. Goed om te weten dat dit ok is.

6.
1. Het lijkt me dat we dat problemen met FW kunnen uitsluiten.
2. De routes worden gepush op de openvpn server, volgens jouw voorbeeldje, dus:

server 192.168.200.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf

push "route 192.168.178.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)

push "route 192.168.200.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)

max-clients 10 ### 5 vervangen door het nummer uit openvpn.conf

3. Ik heb met "sysctl net.ipv4.ip_forward" gecheckt. Antwoord is: net.ipv4.ip_forward = 1. Die staat dus aan.

4. ip router table ziet er als volgt uit (178 = mijn LAN subnet en 200 openvpn subnet). Misschien kun jij daar wat aan zien. Ik snap nog niet precies hoe dit werkt.

Kernel IP routing table
Destination       Gateway           Genmask              Flags Metric Ref    Use Iface
0.0.0.0              192.168.178.1   0.0.0.0                 UG     0        0        0 eth0
192.168.178.0   0.0.0.0              255.255.255.0     U       0        0        0 eth0
192.168.178.0   0.0.0.0              255.255.255.0     U       0        0        0 eth1
192.168.200.0   192.168.200.2   255.255.255.0      UG    0        0        0 tun0
192.168.200.2   0.0.0.0              255.255.255.255  UH    0        0        0 tun0

De synology is dus wel bereikbaar op 192.168.200.1, pingen gaat wel nar devices in 178 subnet, maar dus niet syno

Als ik een van de ethernet kabels (van achter gezien de meest rechtse) eruit haal en Dank je voor je uitgebreide reactie, ik loop even langs de puntjes:

1.
Ok, dat klopt dus dat het niet werkt, slordig dat synology daar nog steeds niets aan gedaan heeft

2.
Bij testen maak ik openVPN verbinding van buiten mijn LAN (via 3G en via een ander wifi netwerk dan waarop LAN zit).
Ja, dat is een goeie, ik kan andere devices (apple tv, tablets etc) wel pingen, behalve de syno. Nu is de DS415+ verbonden met 2 ethernet kabels met de router. Kan het daar iets met te maken hebben?
Ik heb gisteren de openvpn client op windows 8.1 geinstalleerd, die vertoond in ieder geval precies hetzelfde gedrag.

3.
Ik had inderdaad aangevinkt in synology's VPNserver dat voor open VPN de client toegang krijgen to LAN.
Ik had FW geheel open staan en het nu nog eens geprobeerd: geen effect NAS onbereikbaar.
Ik kan inderdaad aparte FW regels maken voor VPN, maar welke had je in gedachten.

De firewall rules die ik aan had staan zijn:
open voor all porten en protocollen van eigen LAN (192.168.178.0 / 256.256.256.0)
open voor all porten en protocollen van openvpn virtual netwerk (192.168.200.0 / 256.256.256.0) -- ik weet niet of dit laatste nodig is eigenlijk.
en de generieke port 1174 voor VPN verkeer natuurlijk, anders hadden we helemaal geen verbinding gehad.

4.
Ok, jammer, maar is het me nu duidelijk waarom niet.

5.
Ik heb helemaal via putty gewerkt. Ingelogd gebruiker met admin rechten en dan met "sudo -i''  root geworden. De files die je maakt houden dan als eigenaar de gebruiker met admin rechten klaarblijkelijk. Maar goed alles staat nu op root en goed om te weten dat dit ok is.

6.
1. Het lijkt me dat we dat problemen met FW kunnen uitsluiten.
2. De routes worden gepush op de openvpn server, volgens jouw voorbeeldje, dus:

server 192.168.200.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf

push "route 192.168.178.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)

push "route 192.168.200.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)

max-clients 10 ### 5 vervangen door het nummer uit openvpn.conf

3. Ik heb met "sysctl net.ipv4.ip_forward" gecheckt. Antwoord is: net.ipv4.ip_forward = 1. Die staat dus aan.

4. ip router table ziet er als volgt uit (178 = mijn LAN subnet en 200 openvpn subnet). Misschien kun jij daar wat aan zien. Ik snap nog niet precies hoe dit werkt.

Kernel IP routing table
Destination       Gateway           Genmask              Flags Metric Ref    Use Iface
0.0.0.0              192.168.178.1   0.0.0.0                 UG     0        0        0 eth0
192.168.178.0   0.0.0.0              255.255.255.0     U       0        0        0 eth0
192.168.178.0   0.0.0.0              255.255.255.0     U       0        0        0 eth1
192.168.200.0   192.168.200.2   255.255.255.0      UG    0        0        0 tun0
192.168.200.2   0.0.0.0              255.255.255.255  UH    0        0        0 tun0

De synology is wel bereikbaar op 192.168.200.1

Als ik een van de ethernet kabels (van achter gezien de meest rechtse) eruit haal en VPNserver restart,  krijg ik. 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.200.0   192.168.200.2   255.255.255.0   UG    0      0        0 tun0
192.168.200.2   0.0.0.0         255.255.255.255 UH    0      0        0 tun0

Maar nog steeds geen verbinding met de NAS natuurlijk...jammer.

vr groet. 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.200.0   192.168.200.2   255.255.255.0   UG    0      0        0 tun0
192.168.200.2   0.0.0.0         255.255.255.255 UH    0      0        0 tun0

Maar nog steeds geen verbinding met de NAS natuurlijk.

[Pippin]

Dus andere devices op het LAN zijn wel bereikbaar behalve de DS op zijn LAN IP.
Vreemd....

Voeg eens

Code: [Selecteer]

local 192.168.178.XXXtoe aan de server config, openvpn.conf.user, en probeer het nog eens.
192.168.178.XXX is dan het LAN IP van de DS.

Als bovenstaande niet helpt heb ik eigenlijk geen ideeën meer...
Behalve dan eventueel de firewall.
Config ziet er tot zover goed uit.

Routes zijn zover ik zien kan in orde en worden ook gezet op de client.
Anders zou je ook niet het LAN kunnen bereiken.
Overigens, dat routes gepushed worden wil nog niet zeggen dat ze ook gezet worden op de client.
Maar daar is in dit geval dus geen sprake van.

Voor het instellen van de firewall kun je beter op het forum zoeken, heb geen ervaring met DSM 6.
Sowieso een Allow All to Any regel op de VPN (tun) interface maken.

PS
Knip je vorige bericht even tot iets beter leesbaars

[GravityRZ]

bij mij werkte alles als een zonnetje tot vandaag.

vpnverbinding opzetten geen probleem maar ik kon geen verbinding meer maken met al mijn lokale devices.
alles geprobeerd
router uit/aan
port forwarding uit/aangezet
firewal uit/aan

openvpn opnieuw op mijn telefoon geinstalleerd inclusief alle certificaten.
niets hielp
totdat ik gewoon de vpnserver package stopte en weer starte

voila alles werkt weer.
Blijkbaar zit er er dus ergens een lek in die vpnserver die na verloop van tijd zichzelf ophangt.

ik zit op de laatste dsm en de laatste vpn server package.


mocht eea dus opeens niet meer werken. stop en start de vpnserver package op je synology dan als eerste

iets anders om te overwegen is om de port forwarding rule hard in je router te zetten en niet via upnp via synology.
ook hier heb ik een keer gehad dat eea niet meer werkte en toen lag het aan de upnp setting die blijkbar niet goed meer was.

[Birdy]

UPnP / EZ
http://www.synology-forum.nl/ddns-extern-benaderen/zoveelste-waarschuwing-om-geen-ez-internet-te-gebruiken/

[GravityRZ]

check

ik heb het uitgezet

ik dacht trouwens dat upnp alleen intern werkte en niet naar buiten toe.
blijkbaar dus niet.

[Pippin]

Het blijft zeer vers van de pers
OpenVPN 2.3.13-- released
Download
Changes

[rommert]

Mijn Norton virusscanner zegt een bedreiging in deze nieuwe versie hebben gevonden en heeft ze meteen verwijderd.

[Pippin]

Dat zal een false positive zijn:
https://www.virustotal.com/nl/file/8e259de0c3e7d679cefcc52dc606e2fe083a715ab2864472fc738df69c83425c/analysis/