Pagina's: 1 ... 20 21 [22] 23 24 ... 32

Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 225620 keer)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #315 Gepost op: 12 november 2017, 21:51:25 »
Ah, die PRNG uitleg verklaart het verhaal van crashen.
Alleen het genereren duurde meer dan een uur of 2...
Dwingt je wel even wat anders te gaan doen, en de bewuste pjoeter met rust te laten.
(vriendin lichtelijk geirriteerd omdat de computer niet beschikbaar is voor facebook meuk 8) )
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #316 Gepost op: 12 november 2017, 22:09:35 »
Schiet me een andere vraag te binnen: Kan ik zo de procedure voor het aanmaken van meerdere <client>.key en <client>.crt uitvoeren zonder die dh4096.pem bestand opnieu te moeten genereren?

Ik bedoel: heb nu voor 3 losse clients de key en crt files gemaakt, en ik wil (for whatever reason) toch nog een 4e er bij aan maken, moet ik dan die dh4096.pem opnieuw genereren?
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #317 Gepost op: 13 november 2017, 13:57:16 »

Nee hoor, dat is niet nodig.
Alleen de nieuwe <client>.key, <client>.crt en bestaande ta.key met de *.ovpn voor die nieuwe client.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #318 Gepost op: 13 november 2017, 14:02:23 »
Top, duidelijk!
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #319 Gepost op: 24 december 2017, 17:56:56 »
Update: Op de DS918+ werkt het ook, mits je maar 1 LAN aansluiting gebruikt... (zie andere topic)

Op de DS918+ werkt het inmiddels ook prima.
Let er wel op dat je in "netwerk" > "Geavanceerde instellingen" BEIDE vinkjes plaatst, dus bij "Antwoord op ARP-aanvragen als het doel-ip-adres identiek is aan een lokaal adres dat op de inkomende interface is geconfigureerd" EN "Meerdere gateways inschakelen"
(Dank @Ben(V) !!)

Zie dit topic.

"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #320 Gepost op: 09 maart 2018, 12:58:13 »
Na een app-upgrade in mijn Android toestel van de OpenVPN app werkte de bliksemse boel niet meer.
Uit pure ellende de gehele procedure opnieuw gevolgd (en kleine frustraties omdat het genereren van de dh4069 bestand niet direct in 1x lukte door eigen toedoen  ;) ) werkt het weer in de SGS7.
App versie: OpenVPN Connect 3.0.3 voor Android (in Android 7, beveiligingsupdate 1 Feb 2018)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #321 Gepost op: 09 maart 2018, 14:13:41 »
De bestaande config opnieuw importeren werkte niet?
Dat is vreemd...

Wat ik altijd doe is, app verwijderen, telefoon herstarten, nieuwe app installeren.
Tot nu toe heeft dat altijd gewerkt, heb wel een andere telefoon, Motorola.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #322 Gepost op: 09 maart 2018, 14:27:07 »
Ik vond het ook vreemd, mede omdat ik vanaf mijn laptop op een remote locatie ook al geen VPN kon opbouwen.
Normaler wijze zou het deinstalleren en de client opnieuw installeren + .ovpn importeren voldoende moeten zijn.

Zal het gelijk ook eerlijk vermelden, ik sluit een geval van PEBKAC ook niet uit.  8)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline rommert

  • Bedankjes
  • -Gegeven: 42
  • -Ontvangen: 5
  • Berichten: 182
Re: OpenVPN #1: Beter beveiligen
« Reactie #323 Gepost op: 11 maart 2018, 22:38:31 »
Ah, ik bent ook "uit de lucht" na de update voor OpenVPN voor Android. Sindsdien zijn er al een stuk of 3 updates verschenen maar desondanks kan de App mijn certificaat niet vinden. Heb deze als los bestand maar ook in mijn .ovpn bestand staan.

  • Mijn Synology: DS920+
  • HDD's: 3x WD40EFRX

Offline ibizatiger

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN #1: Beter beveiligen
« Reactie #324 Gepost op: 15 maart 2018, 08:58:05 »
hartelijk dank voor de mooie uitleg...
is prima gelukt op windows client en android. :thumbup: :thumbup: :thumbup: ;)

  • Mijn Synology: DS718+
  • HDD's: 2 x IronWolfPro 6TB

Offline ibizatiger

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN #1: Beter beveiligen
« Reactie #325 Gepost op: 19 maart 2018, 12:13:10 »
hallo iedereen,

zoals aangegeven in dit topic, voor elke client een nieuw client.crt en client.key aanmaken indien nodig...

ik heb het volgende voor en word er beetje gek van :-)

krijg steeds de volgende fout in log

Options error: --ca fails with 'CA.crt': No such file or directory (errno=2)
Options error: --cert fails with 'user.crt': No such file or directory (errno=2)
Mon Mar 19 12:08:57 2018 us=17971 WARNING: cannot stat file 'user.key': No such file or directory (errno=2)
Options error: --key fails with 'user.key'
Mon Mar 19 12:08:57 2018 us=19474 WARNING: cannot stat file 'ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with 'ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.

ik heb op 1 laptop + android device perfect aan de praat gekregen.

nu wil ik op een 3e laptop met een andere user inloggen op vpn, maar het wil niet werken. ik heb exact dezelfde stappen gevolgd als bij de eerste 2 toestellen.

bij 3e toestel  nieuwe user.crt en user.key aangemaakt, zelfde ca.crt en ta.key gehouden van vorige sessie en ovpn aangepast naar de user.
ps: heb het volledig path ook al ingeven in de.ovpn file maar dit veranderd niets...

wat ben ik vergeten, of zie ik over het hoofd?

alvast bedankt voor jullie inzicht.

mvg

sander
Use --help for more information.

  • Mijn Synology: DS718+
  • HDD's: 2 x IronWolfPro 6TB

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #326 Gepost op: 19 maart 2018, 16:00:22 »
Citaat
ps: heb het volledig path ook al ingeven in de.ovpn file maar dit veranderd niets...
Hoe zien die paden er daadwerkelijk uit dan?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline ibizatiger

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN #1: Beter beveiligen
« Reactie #327 Gepost op: 23 maart 2018, 14:47:50 »
hello,

probleem is opgelost :-)

had path niet aangepast naar de map met de bestanden in de openVPN GUI

dan zal hij idd niets vinden

greetz
sander
  • Mijn Synology: DS718+
  • HDD's: 2 x IronWolfPro 6TB

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #328 Gepost op: 23 maart 2018, 14:56:28 »
Mooi zo, succes.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mni82

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 4
Re: OpenVPN #1: Beter beveiligen
« Reactie #329 Gepost op: 24 maart 2018, 21:20:18 »
Hallo,

Ik krijg een error en kom er niet achter wat het probleem is.
Volgens mij ontstaat het probleem door: could not extract X509 subject string from certificate
Weet iemand waar ik naar kan kijken

output from OpenVPN client log:
Sat Mar 24 21:05:57 2018 us=699046 TLS: Initial packet from [AF_INET]84.xx.xx.xxx:443, sid=5254bdb5 ce779d2c
Sat Mar 24 21:05:57 2018 us=932273 VERIFY ERROR: depth=1, could not extract X509 subject string from certificate
Sat Mar 24 21:05:57 2018 us=933276 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Sat Mar 24 21:05:57 2018 us=933276 TLS_ERROR: BIO read tls_read_plaintext error
Sat Mar 24 21:05:57 2018 us=933276 TLS Error: TLS object -> incoming plaintext read error
Sat Mar 24 21:05:57 2018 us=933276 TLS Error: TLS handshake failed
Sat Mar 24 21:05:57 2018 us=933276 Fatal TLS error (check_tls_errors_co), restarting
Sat Mar 24 21:05:57 2018 us=933276 TCP/UDP: Closing socket
Sat Mar 24 21:05:57 2018 us=934276 SIGUSR1[soft,tls-error] received, process restarting


output from /var/log/openvpn.log:
Sat Mar 24 21:05:56 2018 us=488460 LZO compression initialized
Sat Mar 24 21:05:56 2018 us=488562 Control Channel MTU parms [ L:1604 D:212 EF:112 EB:0 ET:0 EL:3 ]
Sat Mar 24 21:05:56 2018 us=488597 Data Channel MTU parms [ L:1604 D:1450 EF:104 EB:143 ET:0 EL:3 AF:3/1 ]
Sat Mar 24 21:05:56 2018 us=488652 Local Options String: 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Sat Mar 24 21:05:56 2018 us=488675 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Sat Mar 24 21:05:56 2018 us=488713 Local Options hash (VER=V4): 'eda38e81'
Sat Mar 24 21:05:56 2018 us=488748 Expected Remote Options hash (VER=V4): 'c19f87b0'
Sat Mar 24 21:05:56 2018 us=488821 TCP connection established with [AF_INET]84.xx.xx.xxx:57571
Sat Mar 24 21:05:56 2018 us=488852 TCPv4_SERVER link local: [undef]
Sat Mar 24 21:05:56 2018 us=488877 TCPv4_SERVER link remote: [AF_INET]84.xx.xx.xxx:57571
Sat Mar 24 21:05:57 2018 us=486522 84.xx.xx.xxx:57571 TLS: Initial packet from [AF_INET]84.xx.xx.xxx:57571, sid=414a8bf8 1d9f4a63
Sat Mar 24 21:05:57 2018 us=723439 84.xx.xx.xxx:57571 Connection reset, restarting [-1]
Sat Mar 24 21:05:57 2018 us=723494 84.xx.xx.xxx:57571 SIGUSR1[soft,connection-reset] received, client-instance restarting

Commands en output die ik heb geprobeerd tijdens het onderzoek:

# openssl verify -CAfile CA.crt -purpose sslserver Server.crt
Server.crt: OK

# openssl x509 -noout -subject -in Server.crt
subject= /CN=Server
Pagina's: 1 ... 20 21 [22] 23 24 ... 32
 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

 Reacties: 0
Gelezen: 182 		Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

 Reacties: 2
Gelezen: 2116 		Laatste bericht 17 maart 2016, 12:00:51
door Briolet
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

 Reacties: 7
Gelezen: 2679 		Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

 Reacties: 8
Gelezen: 3613 		Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

 Reacties: 3
Gelezen: 1360 		Laatste bericht 30 oktober 2018, 20:18:38
door Pippin