Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 225591 keer)

Offline Banaan99

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 23
Re: OpenVPN: Beter beveiligen
« Reactie #90 Gepost op: 12 februari 2016, 21:06:49 »

Dan eerst VPN Center deinstalleren, DS herstarten, weer installeren en handleiding vanaf dat moment volgen.
Krijg het niet weer aan de praat... Deze stappen heb ik doorlopen
- VPN deinstall
- DS restart
- openvpn.conf.user verwijderd (ander kan je de VPN IP etc niet instellen)
- VPN install
- Stap 2
- VPN stop
- Stap 3 - enkel terugplaatsen openvpn.conf.user. Lijkt mij niet nodig om de ta.key opnieuw aan te maken toch??? En -> /usr/syno/etc.defaults/rc.sysv/apparmor.sh start + exit gedaan
- VPN start

Bij connectie zelfde foutmeldingen

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #91 Gepost op: 12 februari 2016, 21:33:57 »

Ok, dus de mappen van de server zijn na de herstart blijven staan, komt dan waarschijnlijk door de extra map VPNcerts, maar mag geen probleem zijn als alle rechten nog goed staan.
Apparmor was niet nodig geweest maar mag ook geen probleem zijn.
ta.key hoeft niet opnieuw gemaakt te worden.
.....
.....
openvpn.conf.user...niet aan gedacht, daar kwam je dan achter na opnieuw installeren van VPN Center.
Kun je het nog eens doen en dan eerst openvpn.conf.user verwijderen?
Dus:
VPN Center stoppen
openvpn.conf.user verwijderen
en dan weer verder maar dan zonder het apparmor deel, dat is alleen nodig als je een ta.key moet maken.

Maar dit
Citaat
VPN network interface has been changes to eth0
kan ik niet thuisbrengen. Dat heeft er iets mee te maken naar mijn idee.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Banaan99

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 23
Re: OpenVPN: Beter beveiligen
« Reactie #92 Gepost op: 13 februari 2016, 00:12:41 »
Het werkt weer. Mogelijk dat ik ergens ook nog een tijdje mijn mijn mobiel op mijn eigen netwerk zat en dat helpt ook niet natuurlijk :-)

De VPN app van Arne Schwabe lost idd mijn probleem op voor de connected laptop :-)

Nog 1 opmerking. In de log van de Arne Schwabe app zag ik staan -> remote/local TLS keys are out of sync (of iets dergelijks). Maar ondanks dat wel connectie. Ik heb de ta.key opnieuw geladen op mijn mobiel en nu komt de melding niet meer. De key lijkt echter gene waarde te hebben in deze config.

Mooi werk!

Bedankt weer

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #93 Gepost op: 13 februari 2016, 00:51:57 »
Citaat
remote/local TLS keys are out of sync
Server herstart terwijl je nog was verbonden met je telefoon?
In dat geval is het eenmalig.
De ta.key behoud zijn waarde ;-)

Maar, goed dat het nu (weer) werkt, toppie.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Beter beveiligen
« Reactie #94 Gepost op: 13 februari 2016, 11:08:42 »
Mijn VPN Server en clients draaien als een zonnetje door dit topic, nogmaals bedankt! :D

Nu heb ik nog de volgende vraag ...

Is het mogelijk, nadat een client is geconnect, om deze te benaderen vanaf een andere client in het lan? Het idee er achter is om een vpn client met RDP of VNC of iets dergelijks te beheren.

Mvg,
Ray
  • Mijn Synology: DS1813+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #95 Gepost op: 13 februari 2016, 11:32:46 »

Daar doen we het voor  :)

Ja, client-to-client is mogelijk.
Hoe is afhankelijk van het aantal clients....

Er zijn twee manieren, alleen client-to-client toevoegen aan de server waarbij je moet bedenken dat alle clients elkaar kunnen zien.
Dat kan onwenselijk zijn i.v.m. b.v. ransomware (denk aan Synolocker en consorten), virus, "lastige gebruikers",etc.
Als je de enige gebruiker bent of slechts 2-3 die niet continu verbonden zijn kan het een oplossing zijn.

De tweede manier is een heel stuk gecompliceerder waarbij je eerst goed op papier moet hebben wie welke routes gezet krijgen.
Daarmee kun je LAN(S) die achter clients zitten benaderbaar maken. Die optie heet client-config-dir.
Daarover vindt je meer hier: Routed LANS
Dat heb ik echter zelf nooit geprobeerd omdat die behoefte er niet is. En daarbij ben ik zeker geen netwerk specialist.
Om te begrijpen hoe dat werkt is een gedegen verstand van netwerken wel vereist.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Beter beveiligen
« Reactie #96 Gepost op: 13 februari 2016, 12:31:31 »
client-to-client is volgens mij om twee (of meerdere) vpn clients elkaar te laten "zien", echter wil ik met een lan machine (192.168.1.x) de vpn client (10.8.0.x) kunnen "zien". Dit heb ik nu geprobeerd door een static route toe toevoegen op de lan machine.

Voor OSX (lan machine):
route -n add -net 10.8.0.0/16  192.168.1.10waarbij 10.8.0.0 het vpn netwerk is en 192.168.10 het ip adres van de NAS.

Door deze route toe te voegen is de vpn client te benaderen vanaf de lan machine en kan ik een vnc connectie maken met de vpn client.
  • Mijn Synology: DS1813+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #97 Gepost op: 13 februari 2016, 12:41:47 »
Citaat
client-to-client is volgens mij om twee (of meerdere) vpn clients elkaar te laten "zien"
Dat klopt en kan ook een oplossing zijn, alleen verbind je dan op het VPN-IP van de client, 10.8.0.x

Het gaat dus om 1 machine die bereikbaar moet zijn.
Dan is jouw oplossing een prima oplossing.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Beter beveiligen
« Reactie #98 Gepost op: 13 februari 2016, 12:47:19 »
Wellicht is het nog mogelijk om de "route" op/door de nas in te stellen, zodat deze van 192.168.1.x netwerk routeert naar het 10.8.0.x netwerk, maar ach nu werkt het ook wel :D
  • Mijn Synology: DS1813+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #99 Gepost op: 13 februari 2016, 13:20:29 »
Edit:
Ik zit niet op te letten  :lol:
Onderstaande geldt voor VPN clients, niet voor LAN clients ::)
De OVPN server kan natuurlijk niet automatisch routes zetten op machines die niet met hem verbonden zijn.
Laat het toch staan want het is wel informatief  :lol:

#####

Dat is precies wat de client-config-dir methode doet.
Het voordeel daarvan is, dat wanneer je meerdere gebruikers hebt, je niet op elke client machine de route hoeft te zetten.
Die worden dan gepushed door de server op het moment dat een client verbindt en die routes zijn on-the-fly te wijzigen.
Bedrijven en VPN aanbieders b.v. doen dat op die manier.

Standaard maakt OpenVPN (nog) gebruik van een net30 topologie, d.w.z. de server en elke client krijgen 4 IP`s toegewezen.
net30 gaan ze waarschijnlijk verwijderen omdat het eigenlijk obsolete geworden is.
Dan wordt het een subnet topology waarbij de server en elke client slechts één IP krijgt.
De server zit dan op 10.8.0.1 met dhcp op 10.8.0.254
Dat is dan natuurlijk makkelijker te administreren en overzichtelijker.

Daarvoor hoef je alleen
Citaat
topology subnet
push "topology subnet"
toe te voegen aan de server config.

Indien je client-config-dir (ccd) wilt toepassen moet je wel in
Citaat
/volume1/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnf
Citaat
overwriteccfiles=true
wijzigen in
Citaat
overwriteccfiles=false
Anders worden de client files overschreven door Radius.
Elke client file dient de CommonName van zijn certificaat te hebben
Zo wordt het eventueel mogelijk specifieke routes per client/groep te zetten.
Policy routing

De ccd directory, waar de client files in staan, plaats je dan in
Citaat
/var/packages/VPNCenter/etc/openvpn/ccd
En aan de server config dan nog
Citaat
client-config-dir ccd
toevoegen.

Als je bovenstaande link van Routed LANS (en eventueel Policy routing) volgt kun je zien hoe je dat moet doen, vermoed dat je daar wel uitkomt.


DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Beter beveiligen
« Reactie #100 Gepost op: 13 februari 2016, 13:44:00 »
Ik ga hier zeker even mee aan de slag als ik weer ff tijd heb. Bedankt maar weer!!!
  • Mijn Synology: DS1813+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #101 Gepost op: 13 februari 2016, 13:47:18 »

Zie wel even mijn Edit  ;D
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Beter beveiligen
« Reactie #102 Gepost op: 13 februari 2016, 13:48:28 »
LOL  :lol:
  • Mijn Synology: DS1813+

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: OpenVPN: Beter beveiligen
« Reactie #103 Gepost op: 14 februari 2016, 19:49:14 »
Beste MMD,

Ik lees helaas de volgende meldingen in /var/log/openvpn.log;

Sun Feb 14 19:30:49 2016 us=690751 188.207.100.160:6720 ++ Certificate has key usage  0090, expects 0080
Sun Feb 14 19:30:49 2016 us=690776 188.207.100.160:6720 ++ Certificate has key usage  0090, expects 0008
Sun Feb 14 19:30:49 2016 us=690801 188.207.100.160:6720 ++ Certificate has key usage  0090, expects 0088

Uiteraard ben ik dus gaan kijken wat er met de certificaten aan de hand is;
Server crt details;
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication

Client crt details;
X509v3 Key Usage:
Digital Signature, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication

Enig idee waar ik verder moet zoeken?


Alvast dank
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #104 Gepost op: 14 februari 2016, 20:19:21 »

Hallo @aliazzz

Citaat
Client crt details;
X509v3 Key Usage:
Digital Signature, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication

Data Encipherment klopt niet, dient Key Agreement te zijn ;-)

Zie Stap 1 sub 4.
Citaat
Op de Key usage tab selecteren we links alleen Digital Signature en Key Agreement.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2116
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 182
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3612
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2677
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1360
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin