Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 225570 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #225 Gepost op: 24 november 2016, 21:17:28 »

@Birdy
Normaal heb je gelijk, echter de WebUI wordt uitgeschakeld.
Als je dan de poort wilt wijzigen, of iets anders, dan moet dat in de openvpn.conf.user gebeuren.
Uiteraard moet dan VPN Server herstart worden in het Package Center zodat de config opnieuw ingelezen wordt door OpenVPN.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline J-J

  • Bedankjes
  • -Gegeven: 37
  • -Ontvangen: 17
  • Berichten: 206
Re: OpenVPN: Beter beveiligen
« Reactie #226 Gepost op: 24 november 2016, 21:25:05 »
Deze lijn worden herhaalt in de log als ik via windows connecteer:
Citaat
Thu Nov 24 21:15:57 2016 TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)

Over welk bestand heeft men het dan?
Ook spreekt men van de poort 1149 terwijl deze verandert werd...
Eerder in de log staat er dan weer wel poort 4911...

Log bestand in bijlage. (* openvpn.log.txt (14.41 kB - gedownload 265 keer.))
  • Mijn Synology: DS412+
  • HDD's: 4x ST4000VN000
  • Extra's: 2GB DDR3 / DSM6.2

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8038
  • Berichten: 44.149
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN: Beter beveiligen
« Reactie #227 Gepost op: 24 november 2016, 21:27:20 »
Citaat
echter de WebUI wordt uitgeschakeld
Ahhhhh, nu zie ik het  ;)


Maar, bij mij gebeurt dat n.l. niet, poort gewijzigd naar 11111:



CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline J-J

  • Bedankjes
  • -Gegeven: 37
  • -Ontvangen: 17
  • Berichten: 206
Re: OpenVPN: Beter beveiligen
« Reactie #228 Gepost op: 24 november 2016, 21:35:35 »
Heb log bestand toegevoegd aan vorige post. Misschien ziet iemand dan het probleem...
  • Mijn Synology: DS412+
  • HDD's: 4x ST4000VN000
  • Extra's: 2GB DDR3 / DSM6.2

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #229 Gepost op: 24 november 2016, 21:40:39 »

Met het log komen we dichterbij, waarschijnlijk iets met NAT op je router.
Stel het eens compleet in zoals je het hebben wilt en doe daarna ook een herstart van je router.

Als dat niet helpt dan is
floattoevoegen aan de openvpn.ovpn waarschijnlijk een workaround.

Weet je zeker dat je vanuit extern verbind en niet vanuit je LAN?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline J-J

  • Bedankjes
  • -Gegeven: 37
  • -Ontvangen: 17
  • Berichten: 206
Re: OpenVPN: Beter beveiligen
« Reactie #230 Gepost op: 24 november 2016, 21:52:18 »
Je bedoelt deze instellingen?



Wat moet ik dan juist aanpassen?


Ik bevind mezelf in het buitenland momenteel, dus ik ben zeker dat ik niet op hetzelfde netwerk zit. :)
Kan het zijn dat men hier op de hotspot al deze poorten blokkeert? Poort 10000 ook getest, maar lukt ook niet.
  • Mijn Synology: DS412+
  • HDD's: 4x ST4000VN000
  • Extra's: 2GB DDR3 / DSM6.2

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8038
  • Berichten: 44.149
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN: Beter beveiligen
« Reactie #231 Gepost op: 24 november 2016, 22:00:11 »
Het probleem zit hier:

Citaat
TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)

Dus, kennelijk komen de poorten niet overeen.

My two cents. ;)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline J-J

  • Bedankjes
  • -Gegeven: 37
  • -Ontvangen: 17
  • Berichten: 206
OpenVPN: Beter beveiligen
« Reactie #232 Gepost op: 24 november 2016, 22:04:24 »
Moet ik dan nog iets op de client zelf aanpassen?

In windows vind ik de instelling niet terug in het OpenVPN programma. Op iOS kan ik volgende instellingen, maar zie niet waar ik de poort kan wijzigen in de app...

  • Mijn Synology: DS412+
  • HDD's: 4x ST4000VN000
  • Extra's: 2GB DDR3 / DSM6.2

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #233 Gepost op: 24 november 2016, 22:06:33 »
Citaat
Thu Nov 24 21:15:57 2016 TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)
Citaat
Ook spreekt men van de poort 1149 (TYPO) terwijl deze verandert werd...
Die poort 1194 is de poort waarmee server naar de client toe communiceert, het log is immers van de client.


Voeg eens float toe zoals hierboven geschreven aan openvpn.ovpn en doe dat dan ook maar in openvpn.conf.user
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline J-J

  • Bedankjes
  • -Gegeven: 37
  • -Ontvangen: 17
  • Berichten: 206
Re: OpenVPN: Beter beveiligen
« Reactie #234 Gepost op: 24 november 2016, 22:11:23 »
Voeg eens float toe zoals hierboven geschreven aan openvpn.conf en doe dat dan ook maar in openvpn.conf.user

Op deze manier?
Citaat
remote DDNS.adres 4911 --float### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk

of een extra regel?
Citaat
remote DDNS.adres 4911### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
--float

  • Mijn Synology: DS412+
  • HDD's: 4x ST4000VN000
  • Extra's: 2GB DDR3 / DSM6.2

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #235 Gepost op: 24 november 2016, 22:14:52 »
 :)
Citaat
Moet ik dan nog iets op de client zelf aanpassen?
Wijzigingen doe je in de config bestanden, openvpn.conf.user en openvpn.ovpn.

Edit:
Een extra regel toevoegen.

Tevens moet dat opnieuw geïmporteerd worden op een telefoon, dus oude verwijderen en nieuwe importeren.
De reden waarom dit op de telefoon zo moet is omdat het geïmporteerde *.ovpn profiel in de App opgeslagen wordt zodat men de bestanden dan wissen kan uit veiligheids overweging.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline J-J

  • Bedankjes
  • -Gegeven: 37
  • -Ontvangen: 17
  • Berichten: 206
Re: OpenVPN: Beter beveiligen
« Reactie #236 Gepost op: 24 november 2016, 22:54:20 »
Spijtig genoeg werkt het niet.
Ik heb eens mijn openvpn.conf.user, openvpn.ovpn en de log vanuit windows toegevoegd.
  • Mijn Synology: DS412+
  • HDD's: 4x ST4000VN000
  • Extra's: 2GB DDR3 / DSM6.2

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #237 Gepost op: 24 november 2016, 23:40:08 »
Ok,
De float optie werkt want de melding
TCP/UDP: Incoming packet rejected from [AF_INET]is nu weg uit het log.

Het volgende probleem dat opduikt is dat je twee gebruikers, in één profiel probeert te stoppen en dat is waarschijnlijk waarom er nu in het log staat:
TLS Error: TLS key negotiation failed to occur within 60 seconds
Onderaan heb ik de *.ovpn aangehangen voor gebruiker saidou.
Nog wel de rest invullen.

Elke gebruiker dient zijn eigen gebruiker.crt en gebruiker.key te hebben.
Dus voor elke gebruiker dien je die apart te genereren met XCA.

CA.crt en ta.key is voor elke gebruiker hetzelfde.

De bestanden die gebruiker saidou dan krijgt:
CA.crt
ta.key
saidou.crt
saidou.key
openvpn.ovpn

En voor nargesse:
CA.crt
ta.key
nargesse.crt
nargesse.key
openvpn.ovpn

Je gebruikt echter inline certificaten, dan krijgt elke gebruiker alleen openvpn.ovpn
Maar dat is geloof ik wel goed overgekomen.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #238 Gepost op: 25 november 2016, 11:26:18 »

OpenVPN 2.4_beta2 -- released
Download
Changes
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline J-J

  • Bedankjes
  • -Gegeven: 37
  • -Ontvangen: 17
  • Berichten: 206
Re: OpenVPN: Beter beveiligen
« Reactie #239 Gepost op: 25 november 2016, 13:10:04 »
Ik heb de file verder aangepast, en nu werkt het! top!
Hartelijk bedankt voor alle hulp @MMD:clap:

Nu gaan we voort met "Beter beveiligen als client". Hopelijk lukt dat vlotjes :)
  • Mijn Synology: DS412+
  • HDD's: 4x ST4000VN000
  • Extra's: 2GB DDR3 / DSM6.2


 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 181
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2676
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3612
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2116
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1360
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin