Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 223778 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #420 Gepost op: 01 maart 2020, 14:55:14 »
De developers proberen ervoor te zorgen dat "oude" instellingen blijven werken, dat is best nog een complex iets, dat compatibel blijven.
Er zal echter een moment komen waar dit niet meer lukt, of voor bepaalde functies niet meer.

Langzaam aan worden bepaalde opties verwijderd:
https://community.openvpn.net/openvpn/wiki/DeprecatedOptions

Er worden ook weer verbeterde en nieuwe opties toegevoegd.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #421 Gepost op: 01 maart 2020, 15:43:24 »
We kunnen niet anders dan afwachten dus... (In april ga ik 11 dagen naar Gran Canaria, en een beetje beveiliging is wel prettig)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Xmas

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 1
Re: OpenVPN #1: Beter beveiligen
« Reactie #422 Gepost op: 06 april 2020, 18:02:17 »
Hello!
I've followed the guide in first page.
When I open OpenVPN GUI, I can connect to VPN (I see the green icon) and connect to NAS but in Synology VPNServer panel I find 0 client connected (as you can see in image attached).


Also, under VPN I can't visit other websites because I receive this error:
DNS_PROBE_FINISHED_BAD_CONFIG

When I created VPN with classic Synology official guide, I saw "1 client connected" in VPNServer panel and I could also visit other websites.

Is normal this difference?

Sorry for my bas English! I hope to be clear.

Thanks!
  • Mijn Synology: DS218+
  • HDD's: 1 x ST8000VN004
  • Extra's: 10 GB RAM

Offline cowstreet

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #423 Gepost op: 28 juli 2020, 14:47:51 »
Het lukt me na toch een hele tijd zoeken niet om de verbinding op te zetten. Handleiding gevolgd en zowel via telefoon (android) als laptop (wifi hotspot) geprobeerd. Foutmeldingen zijn wel verschillend. In bijlage die van de laptop en van telefoon geeft telkens de melding:
TLS error: cannot locate HMAC in incoming packet from [AF_INET]IP: Poort

In router portforward aangezet, betreft router achter ziggo modem dat in bridge staat. Bij check via diverse websites wordt aangegeven dat poort nog steeds dichtstaat maar dat schijn niet betrouwbaar te zijn met UDP. Twijfel dus of dat het probleem is.

NAS geeft geen log info van mijn pogingen van zojuist.

Heeft er iemand suggesties hoe verder te gaan?
  • Mijn Synology: DS220j

Offline cowstreet

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #424 Gepost op: 29 juli 2020, 19:51:36 »
Ik weet niet wat er gebeurd is maar toen ik het vandaag nogmaals probeerde, zonder iets gewijzigd te hebben, werkte het wel! Opgelost dus.
  • Mijn Synology: DS220j

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #425 Gepost op: 04 april 2021, 17:57:59 »
Even ter info: VPN server heeft onlangs een update gehad naar 1.3.12-2780.
Helaas betekend dit ook dat de beveiligingsaanpassingen van dit topic bij deze update niet meer werken.
Of dit een BUG is weet ik zelf niet. Mijn ICT kennis schiet hierin te kort.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline GravityRZ

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 19
Re: OpenVPN #1: Beter beveiligen
« Reactie #426 Gepost op: 04 april 2021, 18:20:13 »
mijn kennis ook.
voor de mensen die hier verstand van hebben
Normaliter verschijnt in de log de user die ik gebruik om in te loggen(extra security naast de certificaten)
na upgrade naar package 2780  werkt niets meer en verschijnt er user UNDEF in de log.

ook had ik na upgrade de melding dat eth0 niet beschikbaar was.
het selecteren van eth1 hielp niet en ook na terugswitchen werkte het niet.
na een reboot was die error melding weg maar ook dit kan er op duiden dat er toch iets ingrijpends veranderd is

wellicht is het dus een simpel probleem dat de user credentials niet worden doorgegeven aan openvpn


  • Mijn Synology: DS112+
  • HDD's: 1x WD30EZRX

Offline jav231

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #427 Gepost op: 06 april 2021, 19:45:44 »
Hi,

I used this guide and have had a successful VPN connection and never had a problem until the recent update. I restored the package prior and i am back up and running. Not sure if anyone else has this issue, but when my clients are connected to the vpn they do not show under connected users. On the package vpn server>conected users, it only shows the clients connected up until a minute or so after thhat they are gone from the list, but the connect stays active until i close it. I saw online that if you had proto udp6 to the server conf file that will fix this error and show connected users. I did that and left the client config file as is and it works. The problem is that if i use that same account to login on my mac and iphone simultaneously, both connections timeout, disconnect and reconnect. I was hoping someone knows how to fix this issue the right way. So i am able to see what clients are connected to the vpn. Thank you all for this incredible guide!

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #428 Gepost op: 07 april 2021, 09:53:31 »
@jav231 We had that issue also here. My post on April 4th (post #425) also warns for this.
this is also the reason I do not update the VPN package for now.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline jav231

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #429 Gepost op: 07 april 2021, 15:15:18 »
@ André PE1PQX

Hi,

The update just broke the whole connection, what i was referring too has been happening since i followed this guide from like 4 years ago or so. I figured being that the new update broke the connection and i restored to the package prior too, i figured i would mention to see if anyone knew how to fix the connected users issue.

Thanks!

Offline kmuehlemann

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 1
Re: OpenVPN #1: Beter beveiligen
« Reactie #430 Gepost op: 09 april 2021, 19:42:12 »
Hi

I am new to this forum. I speak German and English (but unfortunately no Dutch).

I had installed an openVPN on my Synology DS1019+. It worked fine until the update at the beginning of April 2021. Since then I have been stuggling to get back on-line. I can successfully achieve this with the basic installation provided by Synology, but no longer with tls-authentication.

I tried multiple times to install openVPN again as I had done it before, and I always end up with the message "TLS Error: cannot locate HMAC in incoming packet from [AF_INET]xxx.xxx.xx.xx:1194 (where xxx.xxx.xx.xx is my current WAN-IP). I have of course analyzed the problem to the best of my ability, and I have googled the issue: No solution found.

When I was out of ideas, I tried this tutorial to get back on track (only deviation: I used the latest version of XCA). I generated all the certificates and keys and installed them. However, when I connect my client, I get the same error message once again.

Who out there had the same problem and solved it? Who has an idea for a systematic approach to track the problem down? I would really appreciate your support.

I am attaching my server (openvpn.conf.user.txt) and client (openvpn-client.ovpn.txt) files. I added the txt-extentions so that the forum accepts the upload.

Kind regards

Kurt
  • Mijn Synology: DS1019+

Offline Geerten

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #431 Gepost op: 09 april 2021, 22:42:24 »
@jav231:
How did you manage to roll back the VPN-server to a version prior to 30 march??
Is there a possibility to download these old version packages somewhere? Or should I have made a back-up somehow? I just installed the package from the package centre.

Since my knowledge and time for this is limited, until (if at all) this gets fixed by synology, I really would like to roll back the package.  :'(

Thanks and kind regards,

Geerten
DS216+II

Offline GravityRZ

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 19
Re: OpenVPN #1: Beter beveiligen
« Reactie #432 Gepost op: 09 april 2021, 22:53:56 »
you need to unistall the current package
then download the old package from this site

https://archive.synology.com/download/Package/VPNCenter/1.3.11-2777

after that restore the customized files or follow the complete manual again

  • Mijn Synology: DS112+
  • HDD's: 1x WD30EZRX

Offline Geerten

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 8
Re: OpenVPN #1: Beter beveiligen
« Reactie #433 Gepost op: 09 april 2021, 23:12:03 »
Super, thanks!!

It works again! I did not need to redo any of the configuration. During the removal of the package, just do not check the option to delete the database. After installing the old package again, and enabling the OpenVPN, all just runs like it always did. The only thing: the settings shown in the OpenVPN tab in the GUI are not correct (The GUI apparently does not update with the openvpn.conf.user file, but openVPN does use the file to override the settings in the GUI).

Thanks again for the help,

Geerten
DS216+II

Offline JosF

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 2
  • Berichten: 59
Re: OpenVPN #1: Beter beveiligen
« Reactie #434 Gepost op: 09 mei 2021, 19:34:05 »
Ik ben ook getroffen door deze VPN Server versie "upgrade".
Dat had ik 'n maand geleden gedaan en toen niet getest :wtf:

Lesson learned: Don't fix what ain't broken (tenzij er een security update in zit)

Het terugrollen van de oude package was uiteindelijk makkelijk
(net zoals gemeld bij de vorige post, inclusief het melden door de VPN Server van
verkeerde data in de GUI,  in mijn geval had ik ooit een andere Poort geconfigureerd)


 

3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3543
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 111
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1311
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2055
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2557
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX