OpenVPN #1: Beter beveiligen

[Pippin]

@Birdy
Normaal heb je gelijk, echter de WebUI wordt uitgeschakeld.
Als je dan de poort wilt wijzigen, of iets anders, dan moet dat in de openvpn.conf.user gebeuren.
Uiteraard moet dan VPN Server herstart worden in het Package Center zodat de config opnieuw ingelezen wordt door OpenVPN.

[J-J]

Deze lijn worden herhaalt in de log als ik via windows connecteer:

Thu Nov 24 21:15:57 2016 TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)

Over welk bestand heeft men het dan?
Ook spreekt men van de poort 1149 terwijl deze verandert werd...
Eerder in de log staat er dan weer wel poort 4911...

Log bestand in bijlage. ( openvpn.log.txt (14.41 kB - gedownload 266 keer.))

[Birdy]

echter de WebUI wordt uitgeschakeld

Ahhhhh, nu zie ik het 


Maar, bij mij gebeurt dat n.l. niet, poort gewijzigd naar 11111:

[J-J]

Heb log bestand toegevoegd aan vorige post. Misschien ziet iemand dan het probleem...

[Pippin]

Met het log komen we dichterbij, waarschijnlijk iets met NAT op je router.
Stel het eens compleet in zoals je het hebben wilt en doe daarna ook een herstart van je router.

Als dat niet helpt dan is

Code: [Selecteer]

floattoevoegen aan de openvpn.ovpn waarschijnlijk een workaround.

Weet je zeker dat je vanuit extern verbind en niet vanuit je LAN?

[J-J]

Je bedoelt deze instellingen?



Wat moet ik dan juist aanpassen?


Ik bevind mezelf in het buitenland momenteel, dus ik ben zeker dat ik niet op hetzelfde netwerk zit.
Kan het zijn dat men hier op de hotspot al deze poorten blokkeert? Poort 10000 ook getest, maar lukt ook niet.

[Birdy]

Het probleem zit hier:

TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)

Dus, kennelijk komen de poorten niet overeen.

My two cents.

[J-J]

Moet ik dan nog iets op de client zelf aanpassen?

In windows vind ik de instelling niet terug in het OpenVPN programma. Op iOS kan ik volgende instellingen, maar zie niet waar ik de poort kan wijzigen in de app...

[Pippin]

Thu Nov 24 21:15:57 2016 TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)

Ook spreekt men van de poort 1149 (TYPO) terwijl deze verandert werd...

Die poort 1194 is de poort waarmee server naar de client toe communiceert, het log is immers van de client.


Voeg eens float toe zoals hierboven geschreven aan openvpn.ovpn en doe dat dan ook maar in openvpn.conf.user

[J-J]

Voeg eens float toe zoals hierboven geschreven aan openvpn.conf en doe dat dan ook maar in openvpn.conf.user

Op deze manier?

remote DDNS.adres 4911 --float### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk

of een extra regel?

remote DDNS.adres 4911### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
--float

[Pippin]

 

Moet ik dan nog iets op de client zelf aanpassen?

Wijzigingen doe je in de config bestanden, openvpn.conf.user en openvpn.ovpn.

Edit:
Een extra regel toevoegen.

Tevens moet dat opnieuw geïmporteerd worden op een telefoon, dus oude verwijderen en nieuwe importeren.
De reden waarom dit op de telefoon zo moet is omdat het geïmporteerde *.ovpn profiel in de App opgeslagen wordt zodat men de bestanden dan wissen kan uit veiligheids overweging.

[J-J]

Spijtig genoeg werkt het niet.
Ik heb eens mijn openvpn.conf.user, openvpn.ovpn en de log vanuit windows toegevoegd.

[Pippin]

Ok,
De float optie werkt want de melding

Code: [Selecteer]

TCP/UDP: Incoming packet rejected from [AF_INET]is nu weg uit het log.

Het volgende probleem dat opduikt is dat je twee gebruikers, in één profiel probeert te stoppen en dat is waarschijnlijk waarom er nu in het log staat:

Code: [Selecteer]

TLS Error: TLS key negotiation failed to occur within 60 seconds
Onderaan heb ik de *.ovpn aangehangen voor gebruiker saidou.
Nog wel de rest invullen.

Elke gebruiker dient zijn eigen gebruiker.crt en gebruiker.key te hebben.
Dus voor elke gebruiker dien je die apart te genereren met XCA.

CA.crt en ta.key is voor elke gebruiker hetzelfde.

De bestanden die gebruiker saidou dan krijgt:
CA.crt
ta.key
saidou.crt
saidou.key
openvpn.ovpn

En voor nargesse:
CA.crt
ta.key
nargesse.crt
nargesse.key
openvpn.ovpn

Je gebruikt echter inline certificaten, dan krijgt elke gebruiker alleen openvpn.ovpn
Maar dat is geloof ik wel goed overgekomen.

[Pippin]

OpenVPN 2.4_beta2 -- released
Download
Changes

[J-J]

Ik heb de file verder aangepast, en nu werkt het! top!
Hartelijk bedankt voor alle hulp @MMD ! 

Nu gaan we voort met "Beter beveiligen als client". Hopelijk lukt dat vlotjes