Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 225571 keer)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #270 Gepost op: 09 juni 2017, 14:53:20 »
Heeft even wat nadenken, iets-niet-goed-doen-en-overnieuw-beginnen (*) etc. gekost, maar met mijn DS216j (DSM 6.1.1-15101 Update 4) werkt het ook.
Kan nu een VPN opbouwen volgens de stappenplan in dit topic tussen mijn Samsung Galaxy S5 (Android 6.0.1) en de NAS.
Nu kijken of ik dat ook werkend krijgen kan tussen laptop en NAS als ik elders ben.

*): Het "iets-niet-goed-doen-en-overnieuw-beginnen" is puur mijn eigen schuld, ik lees, wil gelijk doen maar lees niet eerst het hele stuk om de op- en aanmerkingen die van belang zijn zo te missen.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #271 Gepost op: 09 juni 2017, 15:03:37 »

Er staat in de opening: "wel even voor gaan zitten"  :P ;)

Mooi dat het dan toch gelukt is en bedankt voor de melding.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #272 Gepost op: 09 juni 2017, 15:14:39 »
Haha... klopt, maar ik heb heel vaak momenten van 'wat mijn ogen zien, willen mijn handen onmiddellijk doen'... dat loopt wel eens mis  :geek:

komt er een volgende vraag bij mij boven drijven:

Ik heb nu de boel werkend tussen mijn NAS en smartphone (met 'user-1'), maar moet ik nu 'user-2' gaan verwerken voor bijvoorbeeld mijn laptop of kan ik daar ook 'user-1' voor inzetten.
De kans dat die beide apparaten tegelijk inloggen is niet zo heel erg groot, wel dat er met dynamische IP-adressen ingelogd gaan worden.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #273 Gepost op: 09 juni 2017, 15:26:20 »

Als je 1 user hebt kun je met die user (met zijn config) van elk apparaat waar OpenVPN op te installeren is inloggen.
Gelijktijdig met die zelfde user inloggen gaat niet, dan wordt de eerste inlog gekickt.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #274 Gepost op: 09 juni 2017, 15:36:20 »
Kijk, helemaal helder. Voor tegelijk inloggen heb je dus 2 users nodig... (je kunt niet met 2x jezelf door 1 deur)
Bedankt!!
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #275 Gepost op: 09 juni 2017, 15:39:04 »

Graag gedaan.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #276 Gepost op: 09 juni 2017, 16:25:58 »
Ik weet niet of je wat aan deze aanvulling hebt:

Voor Windows machines vind je een OpenVPN client op https://openvpn.net/index.php/open-source/downloads.html
Download de juiste smaak (x86 of eventueel x64 zo je wilt) en installeer deze op de gebruikelijke manier.

In de map c:\Program Files\OpenVPN\config (*) plaats je de bestanden ta.key, client.key, openvpn.conf.user, openvpn.ovpn en CA.crt (dus de zelfde bestanden die je in je Android apparaat gebruikt)
Vervolgens kun je eenvoudig 'OpenVPN GUI' opstarten, en omdat de juiste bestanden op de juiste plek gezet zijn hoef je alleen maar de juiste username en wachtwoord in te vullen.

Ik heb dit ook zo gedaan met mijn laptop en hiermee kan ik probleemloos van 'buitenaf' inloggen via OpenVPN op mijn netwerk.
(heb hiervoor een XS4ALL UMTS dongeltje gebruikt).
Zo kan ik dan bijvoorbeeld probleemloos een printje maken met mijn LAN-laser-printer

@MMD als je nog belang hebt bij een log hiervan om te zien hoe die er mee omgaat heb ik die eventueel voor je beschikbaar.

*) Voor x86 machines kan het zijn dat de path iets anders is: C:\Program Files (x86)\OpenVPN\config
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #277 Gepost op: 09 juni 2017, 16:39:32 »
Welkome aanvulling.

Dan heb ik er ook nog één.
Als je geen administrator rechten hebt op Windows kun je vanaf OpenVPN versie 2.4.0 toch gebruik maken van de VPN. Installatie dient echter nog wel als administrator te geschieden.
Plaats daarvoor de config in de gebruikers map:
c:\Users\GEBRUIKER\OpenVPN\config\

Dit is mogelijk gemaakt door een service die toegevoegd is aan OpenVPN, kijk maar eens in taakbeheer.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #278 Gepost op: 09 juni 2017, 20:56:34 »
Vreemd verschijnsel: kom er net achter dat de OpenVPN connectie vanaf mijn smartphone prima werkt, ik kan daarnaast gewoon ook surfen op het web (en appjes ontvangen, mail checken enz. enz...) Netwerk: Vodafone -> het werkt zoals gewenst.

Als ik met de zelfde configuratie bestanden met mijn laptop via de XS4ALL dongeltje (= 4G LTE verbinding) een VPN opzet kan ik dit weer niet vreemd genoeg.
Websites worden gewoon niet geladen, pingen en tracert leveren niets op (in dos-command venster) en krijgen een time-out...
Ik zit wel in mijn LAN (kan een printje maken bijvoorbeeld) maar kom verder niet naar 'buiten'.

Enig idee?! Of misschien toch een 2e account organiseren....?
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #279 Gepost op: 09 juni 2017, 21:13:52 »
Citaat
Ik heb dit ook zo gedaan met mijn laptop en hiermee kan ik probleemloos van 'buitenaf' inloggen via OpenVPN op mijn netwerk.
(heb hiervoor een XS4ALL UMTS dongeltje gebruikt).
Werkte eerst wel?

Heb je een client log?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #280 Gepost op: 09 juni 2017, 21:20:02 »
Ik ben er nu achter dat de DNS niet mee genomen werd. Nadat ik die van Google ( 8.8.8.8 ) er in geklopt had in de config werkt het wel.

In openvpn.conf de regel "dhcp-option DNS 8.8.8.8" toegevoegd.

Wat ik dan weer niet snap is dat het inmijn SGS5 wel werkt maar met  de laptop en XS4ALL dongeltje weer niet... Zelfde config bestanden.
Zal even kijken naar die logs voor je, geef me eventjes tijd.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #281 Gepost op: 09 juni 2017, 21:25:59 »
Ik denk dat het belangrijkte regeltje in de log het volgende is:
"Recursive routing detected, drop tun packet to [AF_INET]w.x.y.z:1194"

(w.x.y.z is mijn xs4all IP-adres thuis)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #282 Gepost op: 09 juni 2017, 21:38:44 »
Yup dat is het, tenzij je ook nog verbonden bent op je eigen LAN.
Aan de config van de client toevoegen:
allow-recursive-routing
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #283 Gepost op: 09 juni 2017, 21:41:14 »
Als ik het dongeltje gebruik verbreek ik de WiFi connectie (zet WiFi in de laptop zelfs uit)

Zal die regel eens toevoegen... Wordt vervolgt!
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #284 Gepost op: 09 juni 2017, 21:51:38 »
Met  "allow-recursive-routing" geen verbetering...
Denk dat de snelste oplossing het toevoegen van de Google DNS adressen is.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)


 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 181
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2676
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3612
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2116
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1360
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin