Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 223793 keer)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7981
  • Berichten: 43.991
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: OpenVPN #1: Beter beveiligen
« Reactie #375 Gepost op: 26 augustus 2018, 21:05:47 »
Je zal wel root moeten zijn, geef het commando:sudo -ien geef het password in van admin.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7981
  • Berichten: 43.991
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: OpenVPN #1: Beter beveiligen
« Reactie #376 Gepost op: 26 augustus 2018, 21:08:33 »
Overigens, welke stap 3 ?
Er zijn n.l. ruim 370 reacties.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #377 Gepost op: 26 augustus 2018, 21:37:03 »
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7981
  • Berichten: 43.991
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: OpenVPN #1: Beter beveiligen
« Reactie #378 Gepost op: 26 augustus 2018, 21:39:52 »
Dat is dan waarschijnlijk stap 3.1 en WinSCP, om dan root te zijn, kijk dan hier.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline JohnnyR

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #379 Gepost op: 27 augustus 2018, 20:14:59 »
Het was inderdaad stap 3.1, het probleem begint al wanneer ik in de shell line invoer sudo -i.
dankrijg ik de melding:
Citaat
Fout tijdens het overslaan van het opstartbericht. Uw shell is mogelijk niet compatibel met de toepassing (BASH wordt aangeraden).
bij invoer van /sudo i krijg ik server stuurde opdracht beëindigingsstatus 127.

Ik heb alle instellingen zoals die in de post nas benaderen met SSH gecontroleerd. en met putty krijg ik wel de admin status.
bedankt voor de snelle reactie trouwens :D

geprobeerd via een opdracht regel en dan krijg ik
Citaat
/$ sudo -i
sudo: no tty present and no askpass program specified
  • Mijn Synology: DS416slim
  • HDD's: 4x WD10JFCX-68N6GN0

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7981
  • Berichten: 43.991
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: OpenVPN #1: Beter beveiligen
« Reactie #380 Gepost op: 27 augustus 2018, 22:50:10 »
Dan heb je toch iets niet goed gedaan, dus nog even goed nalezen.
https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #381 Gepost op: 18 september 2018, 12:09:15 »
In verband met de Voracle attack zijn de configuratie bestanden voor de server en client aangepast.
Dit geldt alleen voor verkeer dat niet reeds versleuteld is.
Zo is b.v. HTTPS dat door de tunnel gaat niet gevoelig voor deze attack.

De aanpassing betreft de compressie die nu uitgeschakeld is zodat deze attack onmogelijk wordt.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #382 Gepost op: 18 september 2018, 12:30:49 »
Goed bezig @MMD , maar even een (mogelijk onzinnige) vraag:
Wat zijn de wijzigingen in de config bestanden. Had al gezien dat zowel de server config als de client config gewijzigd zijn (download teller stond op nul).

Als er maar 1 of 2 regels gewijzigd zijn of toegevoegd hoef je toch niet de hele config te vervangen? Of denk ik te simpel?
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #383 Gepost op: 18 september 2018, 16:58:02 »
Nee hoor, je denkt niet te simpel maar als men hier nieuw is gaat men waarschijnlijk niet de hele thread doornemen en dan is deze pleister niet geplakt  :)

Wijzigingen:
1. "comp-lzo" ---> "comp-lzo no" voor server en client(s)
Dat is al voldoende tegen Voracle.

2. "nobind" toegevoegd voor de client(s).
Kiest een willekeurige poort voor reply packets.

3. "float" toegevoegd voor de client(s).
Hiermee kunnen clients "floaten", b.v. wanneer men in de auto rijdt en van 4G mast naar 4G mast verbindt of als een client een dynamisch IP krijgt toegewezen van zijn ISP.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #384 Gepost op: 18 september 2018, 22:00:20 »
Bedankt!!  :thumbup:
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline GravityRZ

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 19
Re: OpenVPN #1: Beter beveiligen
« Reactie #385 Gepost op: 06 oktober 2018, 17:30:11 »
ik heb de laatste aanpassingen gedaan in zowel server als client files
toegevoegd comp-lzo no, nobind, float prng SHA256 32, auth SHA256

weggehaald reneg-sec 0


verbinden gaat prima maar als ik in de log kijk zie ik staan compress:LZO_STUB

betekent dit nu dat compressie uit staat?
ik kan overigens in de settings van openvpn(v3.0.1) de compressie op NO, Full of downlink only zetten maar alles blijft gewoon werken(waarschijnlijk omdat dit overruled wordt door de config files )

ik heb eea veranderd omdat ik begrepen heb dat upgraden naar 3.0.2 problemen geeft als je compressie nog hebt aan staan


  • Mijn Synology: DS112+
  • HDD's: 1x WD30EZRX

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #386 Gepost op: 06 oktober 2018, 17:44:46 »
Als comp-lzo no gebruikt wordt staat het uit.
De melding in het log is alleen de initialisatie van compressie o.i.d.

Versie 3.0.x, dat zal voor Apple zijn?
Daar heb ik geen ervaring mee.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline GravityRZ

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 19
Re: OpenVPN #1: Beter beveiligen
« Reactie #387 Gepost op: 06 oktober 2018, 20:46:32 »
ok thanks

3.0.2(ios 12) geinstalleerd en die doet het ook
  • Mijn Synology: DS112+
  • HDD's: 1x WD30EZRX

Offline willieaames

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 1
Re: OpenVPN #1: Beter beveiligen
« Reactie #388 Gepost op: 09 november 2018, 12:26:28 »
ik heb de laatste aanpassingen gedaan in zowel server als client files
toegevoegd comp-lzo no, nobind, float prng SHA256 32, auth SHA256

weggehaald reneg-sec 0


verbinden gaat prima maar als ik in de log kijk zie ik staan compress:LZO_STUB

betekent dit nu dat compressie uit staat?
ik kan overigens in de settings van openvpn(v3.0.1) de compressie op NO, Full of downlink only zetten maar alles blijft gewoon werken(waarschijnlijk omdat dit overruled wordt door de config files )

ik heb eea veranderd omdat ik begrepen heb dat upgraden naar 3.0.2 problemen geeft als je compressie nog hebt aan staan

Dit is afhankelijk van de externe "firewall" pakketinspectieapparatuur die ze gebruiken. Als ze een geavanceerde gebruiken, detecteert de poort de handshake, ongeacht de poort en blokkeert de verbinding met de VPN. Vooral bij gebruik van vrij verkrijgbare VPN-protocollen.

Offline Wuter

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 11
Re: OpenVPN #1: Beter beveiligen
« Reactie #389 Gepost op: 10 november 2018, 19:23:09 »
Ben onlangs overgeshakeld van VPN LTP naar OpenVPN via jullie tutorial dit allemaal zeer vlot gelukt enkel heb ik nog 1 probleem met het inline plaatsen van alle keys/certs voor een android apparaat. Op mijn vaste PC werkt het maar op men gsm krijg ik steeds volgende foutmelding. Maar vindt niet direct waar het aan kan liggen.

42865-0
  • Mijn Synology: DS718+
  • HDD's: 2x ST4000
  • Extra's: Extra Ram: 16GB


 

2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2557
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1311
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3543
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 111
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2055
Laatste bericht 17 maart 2016, 12:00:51
door Briolet