Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 225568 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #255 Gepost op: 22 februari 2017, 14:57:11 »
Citaat
Of begrijp ik je nu verkeerd?
Of kan ik dat oplossen met die --duplicate-cn instelling? En ik welke config file moet ik die instelling dan zetten?
Goed begrepen.
Dan kun je de standaard installatie gebruiken. Kies dan voor tenminste AES-128-CBC i.p.v.  BF-CBC ... als die optie aanwezig is.


DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Mbwum73

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN: Beter beveiligen
« Reactie #256 Gepost op: 22 februari 2017, 15:02:20 »
Dat kan ik met jouw oplossing dus niet regelen? Ik had gehoopt dat het een kwestie van die regel toevoegen zou zijn. Maar of die regel er wel of niet staat maakt in geval van jouw oplossing dus niet uit? Ik was juist zo blij met dat certificaat gekoppeld aan de username.

Maar met de huidige (jouw) oplossing kan ik dus wel met twee verschillende gebruikers + certificaten verbinden? Het zou nu alleen fout gaan als twee dezelfde gebruikers inloggen.

Ik zag in mijn config file wel duplicate-cn staan. Is het niet genoeg om daar --duplicate-cn van te maken?
  • Mijn Synology: DS216+
  • HDD's: 2 x WD RED 3 GB
  • Extra's: 8 GB

Offline Mbwum73

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN: Beter beveiligen
« Reactie #257 Gepost op: 22 februari 2017, 16:14:53 »
Ik heb het nog eens geprobeerd met twee verschillende users en certificaten.
Maar het werkt ook dan niet.
Eer kan hoe dan ook maar 1 persoon tegelijk verbonden zijn lijkt het.

Als Jan inlogt met zijn Jan username en Jan certificaat krijgt hij keurig een verbinding.
Als vervolgens Piet een verbinding maakt met zijn Piet username en Piet certificaat, wordt de verbinding van Jan verbroken.

Ik ben op zich heel blij met de oplossing en wil je dan ook ontzettend bedanken. Ik vrees dat ik er verder mee moet leven dat er maar 1 gebruiker tegelijk kan inloggen.
  • Mijn Synology: DS216+
  • HDD's: 2 x WD RED 3 GB
  • Extra's: 8 GB

Offline Mbwum73

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN: Beter beveiligen
« Reactie #258 Gepost op: 23 februari 2017, 10:15:39 »
Sorry dat ik toch nog een vraag heb. Dat ik met een user maar 1 keer mag verbinden begrijp ik nu. Ik snap echter nog niet waarom twee verschillende users met twee verschillende certificaten niet tegelijk kunnen werken.
Dat zou toch moeten werken?

Waar moet die --duplicate-cn instelling precies staan?

Ik zou het geweldig vinden als ik een user gebonden certificaat heb. Dus een gebruiker kan dan alleen inloggen als hij ook het certificaat heeft. Daarmee hou je brute force attacks min of meer buiten de deur (ondanks dat ik ook na 5 pogingen in 5 minuten het account blokkeer). Zelfs als iemand het juiste account + password zou hebben, heeft hij immers ook het certificaat nodig.
Is dit mogelijk? Jouw methode komt dicht in de buurt en ik ben er heel content mee. Maar dat multi inlog verhaal zou het helemaal af maken voor mij. Ik kan wel helemaal opnieuw beginnen met de standaard methode, maar daarmee heb ik volgens mijn geen user gebonden certificaat toch?
Ik kan natuurlijk ook per apparaat een andere gebruiker en certificaat aanmaken, maar dat zou dus betekenen dat ik op de NAS meerdere users aan moet maken die in feite dezelfde persoon zijn. Alleen maar om in te kunnen loggen vanaf mijn tablet, telefoon en windows machine tegelijk. Dan kom je weer in de knel met home drives etc. Wat voor de NAS zijn het drie verschillende gebruikers.

Als ik maar 1 keer in kan loggen is dat niet zo'n ramp (ik gebruik zelden mijn pc, telefoon en tablet tegelijk. Maar ik snap simpelweg niet waarom ik niet met 2 verschillende personen tegelijk kan inloggen. Ik doe vast iets fout, maar ik zie het niet. De config's zijn allemaal correct en gebruiken echt een ander certificaat.
  • Mijn Synology: DS216+
  • HDD's: 2 x WD RED 3 GB
  • Extra's: 8 GB

Offline heffenaar

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 5
Re: OpenVPN: Beter beveiligen
« Reactie #259 Gepost op: 01 maart 2017, 20:30:30 »
Heb eind 2016 een synology router aangeschaft en ben daar nogal tevreden over, zeker met die regelmatige updates die gebeuren.
Alleen spijtig dat door die updates hiermee ook werkende instellingen verloren gaan. Zie vpn plus server.

Ik had op de router werkende verbindingen zowel met openvpn en l2tp en kon met laptop met mint 17.1 en android tablet en smartphone een verbinding opzetten.
Hiermee kon ik verbinding maken met mijn zelfgebouwde nas, waarop ik een raid 1 met 2 harde schijven heb geïnstalleerd. De mappen
kon ik met een vpn benaderen. Maar met de update naar vpn plus was het over en uit.

Heb vervolgens geprobeerd dit met de plus server terug in te stellen maar dit lukte van geen kanten.
Ben dan terug naar de oude vpn server overgeschakeld maar kreeg dit ook niet klaar. L2tp heb ik niet meer werkend gekregen.
Voor openvpn ben ik in dit forum op de topic van mmd  terechtgekomen.

Allereerst een dikke proficiat voor mmd, een ongelooflijk goede how-to om openvpn veilig in te stellen.
Zo een klare en duidelijke uitleg verdient een dikke pluim.
 
Wat heb ik :  een pc en een laptop met dualboot waarop windows 7 en linux mint 18 draait.
                    normaal werk ik altijd onder linux , windows is nog voor " in geval van "

 De router deelt de dhcp adressen uit, het lokaal netwerk is 192.168.150.xxx. Het gateway adres is 192.168.150.2

Ik heb alle stappen doorlopen onder windows zonder problemen. Maar het loopt mis met openvpn.config.

wat heb ik gedaan : heb alles van openvpn.config user overgezet naar openvpn.config.

Maar als ik vpnserver start krijg ik volgende melding " de bewerking is mislukt. Meld u opnieuw aan bij SRM en probeer opnieuw "

Het logfile geeft : options error server directive network/ netmask combination is invalid

Bij de instellingen van openvpn op de vpnserver wordt niets ingevuld en krijg ik die foutmelding.

Ik lig helemaal in de knoop met de ip-adressen en  heb al van alles uitgeprobeerd maar kom er niet uit.

Wat doe ik fout en wat moet ik nu veranderen aan het config file ?
  • Mijn Synology: RT1900ac
  • HDD's: nvt
  • Extra's: nvt

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #260 Gepost op: 24 maart 2017, 21:45:14 »
Ik snap echter nog niet waarom twee verschillende users met twee verschillende certificaten niet tegelijk kunnen werken.
Dat zou toch moeten werken?
Dat zou moeten werken echter kan ik mij voorstellen, als je vanuit hetzelfde netwerk (met hetzelfde WAN-IP) met meerdere clients verbind er IP/routeer conflicten ontstaan (waarschijnlijk wordt hetzelfde VPN-IP gegeven aan verschillende clients)

Citaat
1. Waar moet die --duplicate-cn instelling precies staan?
2. Ik zou het geweldig vinden als ik een user gebonden certificaat heb.
1 en 2 gaan niet samen. Het is of 1 of 2.
1 = meerdere gebruikers hetzelfde certificaat (standaard configuratie), wordt afgeraden door developers/manual van OpenVPN.
2 = elke gebruiker zijn eigen certificaat (dus zonder duplicate-cn in de config).
Overigens gebeurt de gebruikersnaam en wachtwoord authenticatie extern, middels een Radius plugin.
Ook handig om te weten is dat de gebruiker die inlogt op OpenVPN niet de gebruiker hoeft te zijn die inlogt op DSM.
Citaat
Zelfs als iemand het juiste account + password zou hebben, heeft hij immers ook het certificaat nodig.
Is dit mogelijk? Jouw methode komt dicht in de buurt.....
Het beschrijft eigenlijk een three factor authentication, n.l. tls-auth, eigen certificaat en gebr./ww.
Automatisch blokkeren komt wat OpenVPN betreft niet in de picture, wel voor DSM. Altijd goed om er gebruik van te maken.
Citaat
Maar dat multi inlog verhaal zou het helemaal af maken voor mij. Ik kan wel helemaal opnieuw beginnen met de standaard methode, maar daarmee heb ik volgens mijn geen user gebonden certificaat toch?
Ik kan natuurlijk ook per apparaat een andere gebruiker en certificaat aanmaken, maar dat zou dus betekenen dat ik op de NAS meerdere users aan moet maken die in feite dezelfde persoon zijn. Alleen maar om in te kunnen loggen vanaf mijn tablet, telefoon en windows machine tegelijk. Dan kom je weer in de knel met home drives etc. Wat voor de NAS zijn het drie verschillende gebruikers.
Een oplossing zou dan kunnen zijn om de OpenVPN client op de gateway te draaien, dit zal de router zijn, i.p.v. op elke host.
Daarmee ben je er dan nog niet want OpenVPN op de NAS zal dan "op de hoogte gesteld" moeten worden van het netwerk achter die client/router. Dat wordt dan wel een meer geavanceerde configuratie en ik vraag mij af of dat de tijd waard is.

Een andere oplossing kan ook zijn om aan beide zijden OpenVPN op de gateway/router te draaien en een site-to-site (routed tun) op te zetten. Maar ook dat is niet kant en klaar beschikbaar.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #261 Gepost op: 24 maart 2017, 21:53:24 »
@heffenaar

Op een router dient OpenVPN anders geconfigureerd te worden.
Het verschil is n.l. dat een NAS achter een router zit en dat brengt andere routen met zich mee.

Ik heb zelf geen Synology router en weet eigenlijk niet of deze handleiding daarvoor geschikt is.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #262 Gepost op: 24 maart 2017, 22:04:16 »
OpenVPN 2.4.1 -- released on 2017.03.22 Changes.
En het change log.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #263 Gepost op: 03 april 2017, 00:20:50 »
In XCA kan men templates maken.
Voor deze handleiding zijn er drie nodig, CA, Server en client.

Bij deze toegevoegd aan Reactie #1.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #264 Gepost op: 14 april 2017, 23:29:42 »

De configuratie in deze handleiding maakte nog gebruik van de standaard topology /30 (net30) van OpenVPN.
Omdat OpenVPN inmiddels op standaard topology subnet is overgegaan met de komst van versie 2.4 heb ik de beide configuratie bestanden aangepast, openvpn-server.zip en openvpn-client.zip.

Vragen graag in een nieuw topic zoals in de openingspost reeds geschreven.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: OpenVPN: Beter beveiligen
« Reactie #265 Gepost op: 15 april 2017, 09:21:53 »
Hoi mmd, bedoel je van /30 naar /24 ?
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #266 Gepost op: 15 april 2017, 12:42:20 »
Ja, dat wordt bedoelt.

De server als ook elke client krijgt één tunnel IP toegewezen, net zoals in een normaal /24 netwerk zeg maar.
192.168.160.0 netwerk adres
192.168.160.1 virtueel server adres
192.168.160.2 - 253 voor clients beschikbaar
192.168.160.254 DHCP
192.168.160.255 broadcast adres

In net30 topology "slurpt" de server en elke client vier IP`s op.
Server:
.0 netwerk adres
.1 virtueel adres in de server
.2 virtueel server adres
.3 broadcast adres
Client1:
.4 netwerk adres
.5 virtueel adres in de server
.6 virtueel client1 adres
.7 broadcast adres
Client2:
.8 netwerk adres
.9 virtueel adres in de server
.10 virtueel client2 adres
.11 broadcast adres
enz.....
enz.....

Hier vind je wat meer info aangaande topology.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: OpenVPN: Beter beveiligen
« Reactie #267 Gepost op: 15 april 2017, 15:02:19 »
bedankt voor de uitleg. :)
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

heuv0716

  • Gast
Re: OpenVPN #1: Beter beveiligen
« Reactie #268 Gepost op: 31 mei 2017, 23:36:14 »
Het was een avondje lekker knutselen, maar ik kan trots zeggen dat het me is gelukt!
Ik heb het werkend op een DS213, met 1 kleine aanpassing in het client-config bestand. De DNS werd niet geresolved (prachtig nederlands) en dat heb ik via het toevoegen van "float" op weten te lossen.
Ontzettend bedankt voor je duidelijke handleiding! Zonder deze zat er nog een (potentieel) mannetje tussenin ;)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #269 Gepost op: 01 juni 2017, 01:23:05 »

Fijn dat het gelukt is, graag gedaan en bedankt voor de melding.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 181
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2676
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3612
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2116
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1360
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin