OpenVPN #1: Beter beveiligen

[Pippin]

Of begrijp ik je nu verkeerd?
Of kan ik dat oplossen met die --duplicate-cn instelling? En ik welke config file moet ik die instelling dan zetten?

Goed begrepen.
Dan kun je de standaard installatie gebruiken. Kies dan voor tenminste AES-128-CBC i.p.v.  BF-CBC ... als die optie aanwezig is.

[Mbwum73]

Dat kan ik met jouw oplossing dus niet regelen? Ik had gehoopt dat het een kwestie van die regel toevoegen zou zijn. Maar of die regel er wel of niet staat maakt in geval van jouw oplossing dus niet uit? Ik was juist zo blij met dat certificaat gekoppeld aan de username.

Maar met de huidige (jouw) oplossing kan ik dus wel met twee verschillende gebruikers + certificaten verbinden? Het zou nu alleen fout gaan als twee dezelfde gebruikers inloggen.

Ik zag in mijn config file wel duplicate-cn staan. Is het niet genoeg om daar --duplicate-cn van te maken?

[Mbwum73]

Ik heb het nog eens geprobeerd met twee verschillende users en certificaten.
Maar het werkt ook dan niet.
Eer kan hoe dan ook maar 1 persoon tegelijk verbonden zijn lijkt het.

Als Jan inlogt met zijn Jan username en Jan certificaat krijgt hij keurig een verbinding.
Als vervolgens Piet een verbinding maakt met zijn Piet username en Piet certificaat, wordt de verbinding van Jan verbroken.

Ik ben op zich heel blij met de oplossing en wil je dan ook ontzettend bedanken. Ik vrees dat ik er verder mee moet leven dat er maar 1 gebruiker tegelijk kan inloggen.

[Mbwum73]

Sorry dat ik toch nog een vraag heb. Dat ik met een user maar 1 keer mag verbinden begrijp ik nu. Ik snap echter nog niet waarom twee verschillende users met twee verschillende certificaten niet tegelijk kunnen werken.
Dat zou toch moeten werken?

Waar moet die --duplicate-cn instelling precies staan?

Ik zou het geweldig vinden als ik een user gebonden certificaat heb. Dus een gebruiker kan dan alleen inloggen als hij ook het certificaat heeft. Daarmee hou je brute force attacks min of meer buiten de deur (ondanks dat ik ook na 5 pogingen in 5 minuten het account blokkeer). Zelfs als iemand het juiste account + password zou hebben, heeft hij immers ook het certificaat nodig.
Is dit mogelijk? Jouw methode komt dicht in de buurt en ik ben er heel content mee. Maar dat multi inlog verhaal zou het helemaal af maken voor mij. Ik kan wel helemaal opnieuw beginnen met de standaard methode, maar daarmee heb ik volgens mijn geen user gebonden certificaat toch?
Ik kan natuurlijk ook per apparaat een andere gebruiker en certificaat aanmaken, maar dat zou dus betekenen dat ik op de NAS meerdere users aan moet maken die in feite dezelfde persoon zijn. Alleen maar om in te kunnen loggen vanaf mijn tablet, telefoon en windows machine tegelijk. Dan kom je weer in de knel met home drives etc. Wat voor de NAS zijn het drie verschillende gebruikers.

Als ik maar 1 keer in kan loggen is dat niet zo'n ramp (ik gebruik zelden mijn pc, telefoon en tablet tegelijk. Maar ik snap simpelweg niet waarom ik niet met 2 verschillende personen tegelijk kan inloggen. Ik doe vast iets fout, maar ik zie het niet. De config's zijn allemaal correct en gebruiken echt een ander certificaat.

[heffenaar]

Heb eind 2016 een synology router aangeschaft en ben daar nogal tevreden over, zeker met die regelmatige updates die gebeuren.
Alleen spijtig dat door die updates hiermee ook werkende instellingen verloren gaan. Zie vpn plus server.

Ik had op de router werkende verbindingen zowel met openvpn en l2tp en kon met laptop met mint 17.1 en android tablet en smartphone een verbinding opzetten.
Hiermee kon ik verbinding maken met mijn zelfgebouwde nas, waarop ik een raid 1 met 2 harde schijven heb geïnstalleerd. De mappen
kon ik met een vpn benaderen. Maar met de update naar vpn plus was het over en uit.

Heb vervolgens geprobeerd dit met de plus server terug in te stellen maar dit lukte van geen kanten.
Ben dan terug naar de oude vpn server overgeschakeld maar kreeg dit ook niet klaar. L2tp heb ik niet meer werkend gekregen.
Voor openvpn ben ik in dit forum op de topic van mmd  terechtgekomen.

Allereerst een dikke proficiat voor mmd, een ongelooflijk goede how-to om openvpn veilig in te stellen.
Zo een klare en duidelijke uitleg verdient een dikke pluim.
 
Wat heb ik :  een pc en een laptop met dualboot waarop windows 7 en linux mint 18 draait.
                    normaal werk ik altijd onder linux , windows is nog voor " in geval van "

 De router deelt de dhcp adressen uit, het lokaal netwerk is 192.168.150.xxx. Het gateway adres is 192.168.150.2

Ik heb alle stappen doorlopen onder windows zonder problemen. Maar het loopt mis met openvpn.config.

wat heb ik gedaan : heb alles van openvpn.config user overgezet naar openvpn.config.

Maar als ik vpnserver start krijg ik volgende melding " de bewerking is mislukt. Meld u opnieuw aan bij SRM en probeer opnieuw "

Het logfile geeft : options error server directive network/ netmask combination is invalid

Bij de instellingen van openvpn op de vpnserver wordt niets ingevuld en krijg ik die foutmelding.

Ik lig helemaal in de knoop met de ip-adressen en  heb al van alles uitgeprobeerd maar kom er niet uit.

Wat doe ik fout en wat moet ik nu veranderen aan het config file ?

[Pippin]

Ik snap echter nog niet waarom twee verschillende users met twee verschillende certificaten niet tegelijk kunnen werken.
Dat zou toch moeten werken?

Dat zou moeten werken echter kan ik mij voorstellen, als je vanuit hetzelfde netwerk (met hetzelfde WAN-IP) met meerdere clients verbind er IP/routeer conflicten ontstaan (waarschijnlijk wordt hetzelfde VPN-IP gegeven aan verschillende clients)

1. Waar moet die --duplicate-cn instelling precies staan?
2. Ik zou het geweldig vinden als ik een user gebonden certificaat heb.

1 en 2 gaan niet samen. Het is of 1 of 2.
1 = meerdere gebruikers hetzelfde certificaat (standaard configuratie), wordt afgeraden door developers/manual van OpenVPN.
2 = elke gebruiker zijn eigen certificaat (dus zonder duplicate-cn in de config).
Overigens gebeurt de gebruikersnaam en wachtwoord authenticatie extern, middels een Radius plugin.
Ook handig om te weten is dat de gebruiker die inlogt op OpenVPN niet de gebruiker hoeft te zijn die inlogt op DSM.

Zelfs als iemand het juiste account + password zou hebben, heeft hij immers ook het certificaat nodig.
Is dit mogelijk? Jouw methode komt dicht in de buurt.....

Het beschrijft eigenlijk een three factor authentication, n.l. tls-auth, eigen certificaat en gebr./ww.
Automatisch blokkeren komt wat OpenVPN betreft niet in de picture, wel voor DSM. Altijd goed om er gebruik van te maken.

Maar dat multi inlog verhaal zou het helemaal af maken voor mij. Ik kan wel helemaal opnieuw beginnen met de standaard methode, maar daarmee heb ik volgens mijn geen user gebonden certificaat toch?
Ik kan natuurlijk ook per apparaat een andere gebruiker en certificaat aanmaken, maar dat zou dus betekenen dat ik op de NAS meerdere users aan moet maken die in feite dezelfde persoon zijn. Alleen maar om in te kunnen loggen vanaf mijn tablet, telefoon en windows machine tegelijk. Dan kom je weer in de knel met home drives etc. Wat voor de NAS zijn het drie verschillende gebruikers.

Een oplossing zou dan kunnen zijn om de OpenVPN client op de gateway te draaien, dit zal de router zijn, i.p.v. op elke host.
Daarmee ben je er dan nog niet want OpenVPN op de NAS zal dan "op de hoogte gesteld" moeten worden van het netwerk achter die client/router. Dat wordt dan wel een meer geavanceerde configuratie en ik vraag mij af of dat de tijd waard is.

Een andere oplossing kan ook zijn om aan beide zijden OpenVPN op de gateway/router te draaien en een site-to-site (routed tun) op te zetten. Maar ook dat is niet kant en klaar beschikbaar.

[Pippin]

@heffenaar

Op een router dient OpenVPN anders geconfigureerd te worden.
Het verschil is n.l. dat een NAS achter een router zit en dat brengt andere routen met zich mee.

Ik heb zelf geen Synology router en weet eigenlijk niet of deze handleiding daarvoor geschikt is.

[Pippin]

OpenVPN 2.4.1 -- released on 2017.03.22 Changes.
En het change log.

[Pippin]

In XCA kan men templates maken.
Voor deze handleiding zijn er drie nodig, CA, Server en client.

Bij deze toegevoegd aan Reactie #1.

[Pippin]

De configuratie in deze handleiding maakte nog gebruik van de standaard topology /30 (net30) van OpenVPN.
Omdat OpenVPN inmiddels op standaard topology subnet is overgegaan met de komst van versie 2.4 heb ik de beide configuratie bestanden aangepast, openvpn-server.zip en openvpn-client.zip.

Vragen graag in een nieuw topic zoals in de openingspost reeds geschreven.

[aliazzz]

Hoi mmd, bedoel je van /30 naar /24 ?

[Pippin]

Ja, dat wordt bedoelt.

De server als ook elke client krijgt één tunnel IP toegewezen, net zoals in een normaal /24 netwerk zeg maar.
192.168.160.0 netwerk adres
192.168.160.1 virtueel server adres
192.168.160.2 - 253 voor clients beschikbaar
192.168.160.254 DHCP
192.168.160.255 broadcast adres

In net30 topology "slurpt" de server en elke client vier IP`s op.
Server:
.0 netwerk adres
.1 virtueel adres in de server
.2 virtueel server adres
.3 broadcast adres
Client1:
.4 netwerk adres
.5 virtueel adres in de server
.6 virtueel client1 adres
.7 broadcast adres
Client2:
.8 netwerk adres
.9 virtueel adres in de server
.10 virtueel client2 adres
.11 broadcast adres
enz.....
enz.....

Hier vind je wat meer info aangaande topology.

[aliazzz]

bedankt voor de uitleg.

[heuv0716]

Het was een avondje lekker knutselen, maar ik kan trots zeggen dat het me is gelukt!
Ik heb het werkend op een DS213, met 1 kleine aanpassing in het client-config bestand. De DNS werd niet geresolved (prachtig nederlands) en dat heb ik via het toevoegen van "float" op weten te lossen.
Ontzettend bedankt voor je duidelijke handleiding! Zonder deze zat er nog een (potentieel) mannetje tussenin

[Pippin]

Fijn dat het gelukt is, graag gedaan en bedankt voor de melding.