Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 225610 keer)

Offline JeffreyJDavis

Re: OpenVPN #1: Beter beveiligen
« Reactie #405 Gepost op: 31 juli 2019, 21:03:04 »
The routes in the client log look ok to me.

1. Did you allow the VPN subnet 10.10.0.0/24 in the firewall on the DS?


DOH!!!!!!!   That was all it took!  I have a pretty extreme DS firewall setup.  Allow a few specific services and ports and then a blanket DENY all rule.  I put an allow all protocols 10.10.0.1 -- 10.10.0.254 and it is working great now.  Do you think that rule is leaving my back door too wide open?

THANKS SO MUCH FOR YOUR QUICK HELP!!   :thumbup: :thumbup:
  • Mijn Synology: DS1019+
  • HDD's: 4 x WD100EFAX
  • Extra's: 2 x 512MB NvME R/W

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #406 Gepost op: 31 juli 2019, 22:58:29 »
The door is wide open for that subnet to go anywhere but not accessible from the WAN.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline o3sen

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN #1: Beter beveiligen
« Reactie #407 Gepost op: 21 oktober 2019, 11:10:35 »
Hallo MMD,
Ik kan de handleiding helemaal volgen tot stap 4. Ik probeer een Windows machine als client in te stellen ipv een telefoon. In welke directories moet ik een en ander neerzetten op de PC. Is dit Program Files/OpenVPN/config voor alle aangemaakte bestanden?
Alvast bedankt.
  • Mijn Synology: DS216play
  • HDD's: 2x4TB WD Red

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #408 Gepost op: 21 oktober 2019, 11:49:38 »
Hallo,

Heb zelf al een hele tijd geen Windows meer maar volgens mij moet je het nu in
Gebruikersnaam/OpenVPN/config
plaatsen.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline o3sen

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN #1: Beter beveiligen
« Reactie #409 Gepost op: 21 oktober 2019, 13:17:55 »
Sorry, toch nog 1 vraagje. Worden alle bestanden gewoon gevonden ondanks dat de directory anders heet en een andere padnaam heeft? Ik snap nl niet zo goed waarom in het voorbeeld van de Android configuratie de naam VPNcerts wordt gebruikt, terwijl in de Windows variant de config folder voldoet.
  • Mijn Synology: DS216play
  • HDD's: 2x4TB WD Red

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8038
  • Berichten: 44.150
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN #1: Beter beveiligen
« Reactie #410 Gepost op: 21 oktober 2019, 13:32:09 »
Dat klopt, in Windows is het de directory config waarin alles komt te staan (mijn ervaring).


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline o3sen

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN #1: Beter beveiligen
« Reactie #411 Gepost op: 25 oktober 2019, 11:23:24 »
Goedemorgen weer,
Ik heb alle stappen uitgevoerd, maar bij opstarten openvpn krijg ik de volgende melding:

TLS Error: cannot locate HMAC in incoming packet from [AF_INET] <EXTERN-IP>:1194

De complete log is:
Fri Oct 25 11:16:48 2019 MANAGEMENT: >STATE:1571995008,AUTH,,,,,,
Fri Oct 25 11:16:48 2019 TLS: Initial packet from [AF_INET]<EXTERN-IP>:1194, sid=8ac3f127 9cba1ca4
Fri Oct 25 11:16:48 2019 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]OpenVPN #1: <EXTERN-IP>:1194

Het zegt mij helaas niets. Als je aanwijzingen hebt houd ik me aanbevolen.
  • Mijn Synology: DS216play
  • HDD's: 2x4TB WD Red

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8038
  • Berichten: 44.150
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN #1: Beter beveiligen
« Reactie #412 Gepost op: 25 oktober 2019, 12:04:15 »
Niet handig om je Extern IP-adres te laten zien, heb dit maar gewijzigd.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline o3sen

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Re: OpenVPN #1: Beter beveiligen
« Reactie #413 Gepost op: 25 oktober 2019, 12:15:36 »
Niet aan gedacht, bedankt voor het meedenken.
  • Mijn Synology: DS216play
  • HDD's: 2x4TB WD Red

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #414 Gepost op: 25 oktober 2019, 14:53:04 »
Er is iets mis met de ta.key, pad klopt niet, is helemaal niet aanwezig, verkeerde key, verkeerde key-direction (0 voor server, 1 voor client(s)), enz.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Minotaure

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #415 Gepost op: 25 februari 2020, 22:20:56 »
Beste Pippin,

Alvast bedankt voor dit mooi stappenplan, ik heb dit gevolgd maar kan niet connecten..

Ik krijg steeds:

Tue Feb 25 21:59:40 2020 us=370745 TLS: Initial packet from [AF_INET6]<extern Ipv6>:1194, sid=e0fabb4f 9b434e57
Tue Feb 25 21:59:40 2020 us=370745 TLS Error: cannot locate HMAC in incoming packet from [AF_INET6]<extern Ipv6>:1194

Alle files zijn aanwezig in de openvpn config folder, de inhoud van de ta.key file is dezelfde op de NAS als op de PC.

Enig idee wat ik nog kan proberen?

Alvast bedankt,
Steven
  • Mijn Synology: DS918+
  • HDD's: 3 Seagate 4TB
  • Extra's: 16Gb ram

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #416 Gepost op: 25 februari 2020, 23:00:21 »
IPv6, nog (steeds) niet mee bezig gehouden.

Probeer het eens met
proto udp6in plaats van
proto udpaan beide zijden.

Wel vanaf het internet verbinding opbouwen, dus niet vanuit het netwerk waar de NAS staat.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Minotaure

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #417 Gepost op: 27 februari 2020, 23:22:04 »
Dag Pippin,

GRMBL! Ik denk dat ik het gevonden heb.. Het path in de openvpn.conf.user voor de certificaten had een mismatch..
Folder op de NAS is VPNCerts (C in hoofdletter) ; het path in de config file was met kleine c..

Tja, windows admin he, die kijken daar over! LOL!

Toch bedankt voor je snelle antwoord!

Steven
  • Mijn Synology: DS918+
  • HDD's: 3 Seagate 4TB
  • Extra's: 16Gb ram

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #418 Gepost op: 27 februari 2020, 23:55:44 »
Mooi zo  :thumbup:
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #419 Gepost op: 01 maart 2020, 14:35:43 »
Zoals het nu lijkt: het werkt ook in een Android 10 foon (DS218+ met de meest recente DSM)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)


 

PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2116
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 182
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3612
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2677
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1360
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin