Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 223796 keer)

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Beter beveiligen
« Reactie #75 Gepost op: 12 februari 2016, 15:49:44 »
Allereerst mijn complimenten voor deze tutorial! Super duidelijk beschreven!

Helaas heb ik het zelf (nog) niet aan de praat en loop tegen het probleem aan dat de client(s) niet kunnen connecten met de server.

Ik heb vanaf een frisse start, alle stappen van de tutorial doorlopen en krijg bij het connecten met de server de volgende error in de openvpn.log op de server.

Fri Feb 12 15:38:42 2016 us=486294 MULTI: multi_create_instance called
Fri Feb 12 15:38:42 2016 us=486453 62.140.132.44:7508 Re-using SSL/TLS context
Fri Feb 12 15:38:42 2016 us=517408 62.140.132.44:7508 LZO compression initialized
Fri Feb 12 15:38:42 2016 us=517633 62.140.132.44:7508 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Feb 12 15:38:42 2016 us=517688 62.140.132.44:7508 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb 12 15:38:42 2016 us=517989 62.140.132.44:7508 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Fri Feb 12 15:38:42 2016 us=518071 62.140.132.44:7508 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Fri Feb 12 15:38:42 2016 us=518139 62.140.132.44:7508 Local Options hash (VER=V4): '162b04de'
Fri Feb 12 15:38:42 2016 us=518190 62.140.132.44:7508 Expected Remote Options hash (VER=V4): '9e7066d2'
Fri Feb 12 15:38:42 2016 us=518273 62.140.132.44:7508 TLS: Initial packet from [AF_INET]62.140.132.44:7508, sid=5e1458ec 44de9ac1
Fri Feb 12 15:38:48 2016 us=894780 62.140.132.44:7508 VERIFY OK: depth=1, CN=CA
Fri Feb 12 15:38:48 2016 us=896201 62.140.132.44:7508 Validating certificate key usage
Fri Feb 12 15:38:48 2016 us=896264 62.140.132.44:7508 ++ Certificate has key usage  00a0, expects 0080
Fri Feb 12 15:38:48 2016 us=896300 62.140.132.44:7508 ++ Certificate has key usage  00a0, expects 0008
Fri Feb 12 15:38:48 2016 us=896334 62.140.132.44:7508 ++ Certificate has key usage  00a0, expects 0088
Fri Feb 12 15:38:48 2016 us=896367 62.140.132.44:7508 VERIFY KU ERROR
Fri Feb 12 15:38:48 2016 us=896480 62.140.132.44:7508 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:lib(20):func(137):reason(178)
Fri Feb 12 15:38:48 2016 us=896519 62.140.132.44:7508 TLS Error: TLS object -> incoming plaintext read error
Fri Feb 12 15:38:48 2016 us=899685 62.140.132.44:7508 SYNO_ERR_CERT
Fri Feb 12 15:38:48 2016 us=899772 62.140.132.44:7508 TLS Error: TLS handshake failed
Fri Feb 12 15:38:48 2016 us=899998 62.140.132.44:7508 SIGUSR1[soft,tls-error] received, client-instance restarting

Getest vanaf iOS met OpenVPN client en vanaf Windows 10 met OpenVPN client naar Synology DS1813+ met DSM 5.2-5644 Update 3.

Mvg,
Ray
  • Mijn Synology: DS1813+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #76 Gepost op: 12 februari 2016, 16:36:07 »
Citaat
VERIFY KU ERROR
Deze error geeft aan dat de Key Usage niet correct is.
Het lijkt er dus op dat er met de certificaten iets niet goed is.

Het eerste waar ik dan aan denk is dat er in Stap 1 sub 3. en/of sub 4. iets mis gegaan is.

Dat kun je controleren door rechtsklik op Server.crt en openen met XCA ---> Details ---> Extensions  te kiezen.

509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication

Voor client.crt
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, Key Agreement
X509v3 Extended Key Usage:
TLS Web Client Authentication

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Beter beveiligen
« Reactie #77 Gepost op: 12 februari 2016, 16:54:03 »
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, [b]Key Agreement[/b]
X509v3 Extended Key Usage:
TLS Web Client Authentication

Ik had idd Key Encipherment ipv Key Agreement voor het client certificaat,  :oops:

Thanks!

Nu zou het nog cool zijn wanneer de dns en evt andere netwerk settings naar de clients gepushed worden en dat alle netwerk devices op hostname bereikbaar zijn <--(heb dit al werkend) :D
  • Mijn Synology: DS1813+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #78 Gepost op: 12 februari 2016, 17:09:35 »

Voor DNS kun je
push "dhcp-option DNS ip.van.rou.ter"in de openvpn.conf.user toevoegen. Dan krijgen alle clients die optie gepushed.
Wil je dat niet dan kun je in openvpn.ovpn per client
dhcp-option DNS ip.van.rou.tertoevoegen.
Of je installeert DNS server op de DS en wijzigt ip.van.je.router in het ip.van.je.DS

Met hostname bedoel je neem ik aan NETBIOS (Computernamen), kijk dan hier:
http://www.synology-forum.nl/vpn-server/openvpn-host-name-resolution/

evt andere netwerk settingsIets beter omschrijven graag...

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline RaymondMMouthaan

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 21
Re: OpenVPN: Beter beveiligen
« Reactie #79 Gepost op: 12 februari 2016, 17:18:26 »
push dhcp-option DNS ip.van.rou.ter heb eerder idd ook gebruikt en zal deze ff toevoegen in de openvpn.config.user. Doordat ik DNS server op de nas heb draaien kan ik tevens via vpn mijn andere devices benaderen op basis van <hostname>.<domain>  :) Ik zal ook ff de NETBIOS link bekijken.

evt andere netwerk settingsKun je wel negeren, het werkt zoals ik wil  ;D
  • Mijn Synology: DS1813+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #80 Gepost op: 12 februari 2016, 17:23:01 »

In mijn vorige post was ik "" vergeten, het is dan dus:
push "dhcp-option DNS ip.van.rou.ter"
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Banaan99

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 23
Re: OpenVPN: Beter beveiligen
« Reactie #81 Gepost op: 12 februari 2016, 17:33:13 »
Het zou kunnen dat je het certificaat die voor OVPN gebruikt wordt moet toevoegen aan:
Instellingen-->Beveiliging-->onder Opslag van referenties-->Installeren vanaf SD-kaart
Vervolgens selecteer je de twee *.crt bestanden die je in de map VPNcerts hebt staan.


"Opslag van referenties" heb ik niet maar wel-> "Installeren uit apparaatopslag". Daar heb ik beide toegevoegd. Zal een kijken wat het oplevert.

Gebruikt/heeft VyprVPN een eigen App?
Zo ja, dan zet die app de route die nodig is.

Het is een gratis Android APP dus mogelijk makkelijker om de APP zelf te installeren. Beperking zit op 500Mb traffic per maand ofzo. Vandaar mijn voorkeur voor een oplossing zonder databeperking.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #82 Gepost op: 12 februari 2016, 18:07:08 »
@Banaan99
Ik bedoel eigenlijk, wanneer je verbindt met VyprVPN, gebruik je dan hun app?
Wanneer je verbindt naar je DS gebruik je de OpenVPN Connect app?

Het verschil zit waarschijnlijk in, dat de VyprVPN app een route zet die nodig is om via tether/hotspot naar het internet te komen.
De OpenVPN Connect app doet dat namelijk niet.
Normaal gesproken installeert men de OpenVPN client op de laptop, dan is er geen route nodig maar dat gaat dan in jouw geval niet omdat het niet toegestaan is.

Er is nog een andere goede app van Arne Schwabe, OpenVPN for Android, die kan misschien wel routes zetten?
Zal eens even zoeken vanavond.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #83 Gepost op: 12 februari 2016, 18:20:16 »


Citaat
Zal een kijken wat het oplevert.
En werkt?

Heb het volgende gevonden:
Citaat
The VPN connection warning telling you that this app can intercept all traffic is imposed by the system to prevent abuse of the VPNService API.
The VPN connection notification (The key symbol) is also imposed by the Android system to signal an ongoing VPN connection. On some images this notification plays a sound.
Android introduced these system dialogs for your own safety and made sure that they cannot be circumvented. (On some images this unfortunately includes a notification sound)
Het ligt er dus aan welke versie Android men heeft.
M.a.w., dit is een Android "issue".
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Banaan99

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 23
Re: OpenVPN: Beter beveiligen
« Reactie #84 Gepost op: 12 februari 2016, 18:28:04 »
Ik bedoel eigenlijk, wanneer je verbindt met VyprVPN, gebruik je dan hun app?
Wanneer je verbindt naar je DS gebruik je de OpenVPN Connect app?
Beide ja

Er is nog een andere goede app van Arne Schwabe, OpenVPN for Android, die kan misschien wel routes zetten?
App gedownload en daar staat idd het e.e.a. over routes..... Kan even niet met zekerheid zeggen dat dit gaat werken. Buiten dat heb ik geen idee wat en waar ik certificaten etc zou moeten importeren

Offline Banaan99

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 23
Re: OpenVPN: Beter beveiligen
« Reactie #85 Gepost op: 12 februari 2016, 18:53:18 »
Ben ik weer :-)

Net per abuis vinkje weggehaald bij 'ken machtigingen alleen toe aan nieuw toegevoegde lokale gebruikers'

Vervolgens kan ik niet meer connecten. Ook niet na weer aanvinken!

Ik zie in de VPN server log: VPN network interface has been changes to eth0

In APP log: Server poll timeout, trying next

Wat nu :-) ?

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #86 Gepost op: 12 februari 2016, 19:09:12 »

Tussen het eten koken door :-)

Probeer eens weer terug te zetten zoals het was, niet vergeten op te slaan, VPN Server in het Package Center stoppen.
DS herstarten en in het Package Center VPN Center weer starten.
Dan opnieuw proberen.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: OpenVPN: Beter beveiligen
« Reactie #87 Gepost op: 12 februari 2016, 19:15:22 »
Eet smakelijk alvast
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Banaan99

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 23
Re: OpenVPN: Beter beveiligen
« Reactie #88 Gepost op: 12 februari 2016, 19:45:01 »
Probleem blijft helaas....


Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #89 Gepost op: 12 februari 2016, 19:55:58 »

Citaat
VPN network interface has been changes to eth0
Die melding ken ik niet... Is "Synology eigen" denk ik.
Hmm... dan ben ik bang dat je overnieuw moet beginnen.
Certificaten kun je nog gebruiken uiteraard, scheelt wat werk.

Dan eerst VPN Center deinstalleren, DS herstarten, weer installeren en handleiding vanaf dat moment volgen.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2557
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1311
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3543
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 111
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2055
Laatste bericht 17 maart 2016, 12:00:51
door Briolet