Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 223770 keer)

Offline Chris12

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 11
  • Berichten: 92
Re: OpenVPN #1: Beter beveiligen
« Reactie #300 Gepost op: 02 juli 2017, 11:53:22 »
ja de ta.key staat in de VPNcerts folder op de SDcard.
  • Mijn Synology: DS415+
  • HDD's: 4x WD60EZRX
  • Extra's: 8GB RAM Corsair

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #301 Gepost op: 02 juli 2017, 11:58:08 »

Oude profiel eerst verwijderen dan gewijzigde opnieuw importeren.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #302 Gepost op: 02 juli 2017, 12:02:42 »
Ok, ik heb de regel:
tls-auth ta.key 1
toegevoegd aan: /var/pacakges/VPNCenter/etc/openvpn openvpn.conf
openvpn.conf ?
Je bedoelt openvpn.conf.user neem ik aan ?

Aan de server zijde dient ta.key 0 te staan.
Aan de client zijde ta.key 1

Je hebt toch de handleiding op de letter gevolgd?
Dat staat n.l. in de config bestanden al goed en zou niets aan gewijzigd hoeven worden.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #303 Gepost op: 02 juli 2017, 12:11:30 »

Dit pad klopt ook niet, wordt niet gebruikt...
/var/pacakges/VPNCenter/etc/openvpn openvpn.conf
Even voor gaan zitten ;)
Kijk even in reactie #3, daar staan de paden beschreven.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Chris12

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 11
  • Berichten: 92
Re: OpenVPN #1: Beter beveiligen
« Reactie #304 Gepost op: 02 juli 2017, 12:27:25 »
In openvpn.conf.user staat:
tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0

In de openvpn.ovpn file (op android phone) staat:
tls-auth ta.key 1

Heb de handleiding gevolgd (incl de inline file support, zodat ik alle certs in de ovpn file heb zitten), en in de files geen verdere aanpassingen gedaan.

Ik heb de wijziging in de ander file (tls-auth ta.key 1) weer ongedaan gemaakt.
Profile op mobiel opnieuw geladen

Zodat we nu weer op zelfde punt zitten als bij mij eerste post.

Welke settings moet de OpenVPN server op de DS415+ hebben voor:
- codering (BF-CBC ?)
- verificatie (SHA256 ?)


  • Mijn Synology: DS415+
  • HDD's: 4x WD60EZRX
  • Extra's: 8GB RAM Corsair

Offline Chris12

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 11
  • Berichten: 92
Re: OpenVPN #1: Beter beveiligen
« Reactie #305 Gepost op: 02 juli 2017, 12:48:21 »
Ik heb alle stappen nog een keer nagelopen, en inderdaad bij stap 3 was ik onderstaande (stap 3 van 3) vergeten:  :o

3. WinSCP

Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn

Download onderaan deze post het configuratie bestand openvpn-server.zip, pak het uit en volg de instructies die in openvpn.conf.user staan. Openen/bewerken van het bestand kan men met dubbelklik in WinSCP.
Plaats openvpn.conf.user in bovenstaande map.


Hierna de VPNcenter package stop-start gedaan.

Nu kan ik connecten:   OpenVPN: Connected
En tevens als test de DS415+ ook benaderd via de webbrowser

Ik zie in de vpn.log file wel een groot aantal meldingen van:
MULTI: bad source address from client [xxx.yyy.zzz.www], packet dropped
  • Mijn Synology: DS415+
  • HDD's: 4x WD60EZRX
  • Extra's: 8GB RAM Corsair

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #306 Gepost op: 02 juli 2017, 12:54:11 »
Ok, dit gaat om DSM 6.x

De handleiding maakt gebruik van:
codering: AES-256-CBC
verificatie: SHA512

Dit hoeft echter niet perse ingevuld te worden want het staat al in de config bestanden van deze handleiding.

De openvpn.conf.user is een "verborgen" optie die niet door de GUI gebruikt wordt.
Wanneer openvpn.conf.user aanwezig is wordt die geladen en de GUI uitgeschakeld.
Vandaar dat men "OpenVPN-configuratie is aangepast" ziet in het scherm van OpenVPN.


DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #307 Gepost op: 02 juli 2017, 13:00:22 »

Citaat
MULTI: bad source address from client [xxx.yyy.zzz.www], packet dropped
Je mobiel zit in een zogenaamd CGN netwerk, xxx.yyy.zzz.www zal wel een 100.xxx.xxx.xxx adres zijn.
Betekent achter één IP adres zitten vele mobieltjes middels NAT.
Die melding kun je negeren en zul je vaker zien wanneer je via 4G verbonden bent.

Eind goed, al goed  :thumbup:
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline alexander

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 3
Re: OpenVPN #1: Beter beveiligen
« Reactie #308 Gepost op: 06 september 2017, 22:16:18 »
Bedankt MMD voor de heldere beschrijving en de vele tijd die je hierin gestoken hebt. Ik heb het doorgevoerd op mijn DS213 en het werkt prima.
Mijn studerende dochters in Tilburg en Helsinki kunnen beiden bij de NAS, en belangrijker, hun data blijft gesynct op de NAS.

Leuke feitjes:
1) ik heb een Telfort ADSL abo thuis, met 50/25 mbit down/up. Mijn dochter in Finland kan behoorlijk snel grote bestanden van de NAS halen: haar maximum download blijft hangen op ongeveer 2,5Mb/s. Dus mijn upload is de beperkende factor, de rest tussen NL en Finland is sneller  :lol:
2) mijn dochter in Finland kan via NPO en RTL tv kijken. Een andere Nederlandse student mopperde dat ze geen NL tv kon kijken. Een bijeffect wat we van tevoren niet bedacht hadden, maar wel erg prettig is voor haar.

Nogmaals bedankt, zonder deze beschrijving was ik waarschijnlijk weken zoet geweest om het goed beveiligd werkend te krijgen met certicaten, nu was ik in 2 avondjes klaar.
  • Mijn Synology: DS224+
  • HDD's: ST6000VN001/WD60EFZX
  • Extra's: DS120J remote backup

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #309 Gepost op: 07 september 2017, 12:16:14 »
Mooi dat het ook voor jullie werkt  :thumbup:
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline rene6921

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 0
  • Berichten: 34
Re: OpenVPN #1: Beter beveiligen
« Reactie #310 Gepost op: 13 september 2017, 16:17:02 »
Aan de kenners:
Deze topic loopt al sinds 2014. In het eerste bericht staat dat de vpnserver pakket van synology niet geheel veilig is, o.m. MITM.
Geldt dat nog steeds of is het pakket met OpenVPN inmiddels al wel safe?

Dank voor de reacties.
  • Mijn Synology: DS216+
  • HDD's: 2x3TB WD Red

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #311 Gepost op: 13 september 2017, 17:57:22 »
Voor zover ik er enige kennis van heb opgestoken:

Een Man In The Middle wisselt geen (geldige) certificaten uit, de modificatie in dit topic verifiëren de cliënt en server elkaar door middel van die certificaten.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #312 Gepost op: 15 september 2017, 00:15:12 »
Nog altijd ben ik van mening dat Synology zich weinig voor een veilige OpenVPN inzet.
Diegenen die nog op DSM versie 5.2 zitten en er niets aan gedaan hebben zijn kwetsbaar.
https://www.synology.com/nl-nl/support/security/Sweet32
De oplossing (die nooit gelezen wordt) die daar voor hen geboden wordt is niet zo eenvoudig dat iedereen dat zomaar even kan.
Een SIMPELE update van OpenVPN (versie en config) en het is opgelost maar het is ze schijnbaar teveel moeite.

Ook onder DSM 6.x bestaan er nog altijd kwetsbaarheden maar ze verekken het OpenVPN op de laatste versie te brengen. Kan nog veel meer schrijven maar ga nu beter maar slapen, morgen nuchter weer op :)
https://www.synology.com/nl-nl/support/security/Synology_SA_17_23_OpenVPN
 (:
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #313 Gepost op: 12 november 2017, 20:12:37 »
Na een gedwongen upgrade van mijn smartphone, kan ik melden dat het ook prima lijkt te functioneren onder Andoid 7 (Samsung Galaxy S7).

Ik was de originele gegenereerde bestanden kwijt, dus was ook gedwongen de eerste stappen te herhalen. Wat mij opviel was dat het genereren van de Diffie Hellman parameters crashte de XCA utility bij het bewegen van de muis... (Win 7, x64 met 16Gbyte RAM)
Ook maakte ik van deze gelegenheid gebruik voor meerdere users de certificaten en key bestanden aan te maken.

Onder Windows 7 met mijn vouw-pjoeter zal ik de boel tzt (ander account) ook eens testen.
Onder Windows 7 met een extra aangemaakte account werkt het ook.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #314 Gepost op: 12 november 2017, 21:44:45 »

Bedankt, Android 7 toegevoegd aan het lijstje.

Het genereren vereist een zo random mogelijke input, PRNG (pseudorandom number generator).
PRNG wordt gevoed door hardware events (o.a. bewegen van de muis).
Misschien dat er een bug in XCA zit of bepaalde versie Windows i.c.m. XCA.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3543
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2055
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 111
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1311
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2557
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX