OpenVPN #1: Beter beveiligen

[RaymondMMouthaan]

Allereerst mijn complimenten voor deze tutorial! Super duidelijk beschreven!

Helaas heb ik het zelf (nog) niet aan de praat en loop tegen het probleem aan dat de client(s) niet kunnen connecten met de server.

Ik heb vanaf een frisse start, alle stappen van de tutorial doorlopen en krijg bij het connecten met de server de volgende error in de openvpn.log op de server.

Code: [Selecteer]

Fri Feb 12 15:38:42 2016 us=486294 MULTI: multi_create_instance called
Fri Feb 12 15:38:42 2016 us=486453 62.140.132.44:7508 Re-using SSL/TLS context
Fri Feb 12 15:38:42 2016 us=517408 62.140.132.44:7508 LZO compression initialized
Fri Feb 12 15:38:42 2016 us=517633 62.140.132.44:7508 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Feb 12 15:38:42 2016 us=517688 62.140.132.44:7508 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb 12 15:38:42 2016 us=517989 62.140.132.44:7508 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Fri Feb 12 15:38:42 2016 us=518071 62.140.132.44:7508 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Fri Feb 12 15:38:42 2016 us=518139 62.140.132.44:7508 Local Options hash (VER=V4): '162b04de'
Fri Feb 12 15:38:42 2016 us=518190 62.140.132.44:7508 Expected Remote Options hash (VER=V4): '9e7066d2'
Fri Feb 12 15:38:42 2016 us=518273 62.140.132.44:7508 TLS: Initial packet from [AF_INET]62.140.132.44:7508, sid=5e1458ec 44de9ac1
Fri Feb 12 15:38:48 2016 us=894780 62.140.132.44:7508 VERIFY OK: depth=1, CN=CA
Fri Feb 12 15:38:48 2016 us=896201 62.140.132.44:7508 Validating certificate key usage
Fri Feb 12 15:38:48 2016 us=896264 62.140.132.44:7508 ++ Certificate has key usage  00a0, expects 0080
Fri Feb 12 15:38:48 2016 us=896300 62.140.132.44:7508 ++ Certificate has key usage  00a0, expects 0008
Fri Feb 12 15:38:48 2016 us=896334 62.140.132.44:7508 ++ Certificate has key usage  00a0, expects 0088
Fri Feb 12 15:38:48 2016 us=896367 62.140.132.44:7508 VERIFY KU ERROR
Fri Feb 12 15:38:48 2016 us=896480 62.140.132.44:7508 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:lib(20):func(137):reason(178)
Fri Feb 12 15:38:48 2016 us=896519 62.140.132.44:7508 TLS Error: TLS object -> incoming plaintext read error
Fri Feb 12 15:38:48 2016 us=899685 62.140.132.44:7508 SYNO_ERR_CERT
Fri Feb 12 15:38:48 2016 us=899772 62.140.132.44:7508 TLS Error: TLS handshake failed
Fri Feb 12 15:38:48 2016 us=899998 62.140.132.44:7508 SIGUSR1[soft,tls-error] received, client-instance restarting
Getest vanaf iOS met OpenVPN client en vanaf Windows 10 met OpenVPN client naar Synology DS1813+ met DSM 5.2-5644 Update 3.

Mvg,
Ray

[Pippin]

VERIFY KU ERROR

Deze error geeft aan dat de Key Usage niet correct is.
Het lijkt er dus op dat er met de certificaten iets niet goed is.

Het eerste waar ik dan aan denk is dat er in Stap 1 sub 3. en/of sub 4. iets mis gegaan is.

Dat kun je controleren door rechtsklik op Server.crt en openen met XCA ---> Details ---> Extensions  te kiezen.

Code: [Selecteer]

509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
Voor client.crt

Code: [Selecteer]

X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, Key Agreement
X509v3 Extended Key Usage:
TLS Web Client Authentication

[RaymondMMouthaan]

Code: [Selecteer]

X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, [b]Key Agreement[/b]
X509v3 Extended Key Usage:
TLS Web Client Authentication
Ik had idd Key Encipherment ipv Key Agreement voor het client certificaat, 

Thanks!

Nu zou het nog cool zijn wanneer de dns en evt andere netwerk settings naar de clients gepushed worden en dat alle netwerk devices op hostname bereikbaar zijn <--(heb dit al werkend)

[Pippin]

Voor DNS kun je

Code: [Selecteer]

push "dhcp-option DNS ip.van.rou.ter"in de openvpn.conf.user toevoegen. Dan krijgen alle clients die optie gepushed.
Wil je dat niet dan kun je in openvpn.ovpn per client

Code: [Selecteer]

dhcp-option DNS ip.van.rou.tertoevoegen.
Of je installeert DNS server op de DS en wijzigt ip.van.je.router in het ip.van.je.DS

Met hostname bedoel je neem ik aan NETBIOS (Computernamen), kijk dan hier:
http://www.synology-forum.nl/vpn-server/openvpn-host-name-resolution/

Code: [Selecteer]

evt andere netwerk settingsIets beter omschrijven graag...

[RaymondMMouthaan]

Code: [Selecteer]

push dhcp-option DNS ip.van.rou.ter heb eerder idd ook gebruikt en zal deze ff toevoegen in de openvpn.config.user. Doordat ik DNS server op de nas heb draaien kan ik tevens via vpn mijn andere devices benaderen op basis van <hostname>.<domain>  Ik zal ook ff de NETBIOS link bekijken.

Code: [Selecteer]

evt andere netwerk settingsKun je wel negeren, het werkt zoals ik wil 

[Pippin]

In mijn vorige post was ik "" vergeten, het is dan dus:

Code: [Selecteer]

push "dhcp-option DNS ip.van.rou.ter"

[Banaan99]

Het zou kunnen dat je het certificaat die voor OVPN gebruikt wordt moet toevoegen aan:
Instellingen-->Beveiliging-->onder Opslag van referenties-->Installeren vanaf SD-kaart
Vervolgens selecteer je de twee *.crt bestanden die je in de map VPNcerts hebt staan.

"Opslag van referenties" heb ik niet maar wel-> "Installeren uit apparaatopslag". Daar heb ik beide toegevoegd. Zal een kijken wat het oplevert.

Gebruikt/heeft VyprVPN een eigen App?
Zo ja, dan zet die app de route die nodig is.

Het is een gratis Android APP dus mogelijk makkelijker om de APP zelf te installeren. Beperking zit op 500Mb traffic per maand ofzo. Vandaar mijn voorkeur voor een oplossing zonder databeperking.

[Pippin]

@Banaan99
Ik bedoel eigenlijk, wanneer je verbindt met VyprVPN, gebruik je dan hun app?
Wanneer je verbindt naar je DS gebruik je de OpenVPN Connect app?

Het verschil zit waarschijnlijk in, dat de VyprVPN app een route zet die nodig is om via tether/hotspot naar het internet te komen.
De OpenVPN Connect app doet dat namelijk niet.
Normaal gesproken installeert men de OpenVPN client op de laptop, dan is er geen route nodig maar dat gaat dan in jouw geval niet omdat het niet toegestaan is.

Er is nog een andere goede app van Arne Schwabe, OpenVPN for Android, die kan misschien wel routes zetten?
Zal eens even zoeken vanavond.

[Pippin]

Zal een kijken wat het oplevert.

En werkt?

Heb het volgende gevonden:

The VPN connection warning telling you that this app can intercept all traffic is imposed by the system to prevent abuse of the VPNService API.
The VPN connection notification (The key symbol) is also imposed by the Android system to signal an ongoing VPN connection. On some images this notification plays a sound.
Android introduced these system dialogs for your own safety and made sure that they cannot be circumvented. (On some images this unfortunately includes a notification sound)

Het ligt er dus aan welke versie Android men heeft.
M.a.w., dit is een Android "issue".

[Banaan99]

Ik bedoel eigenlijk, wanneer je verbindt met VyprVPN, gebruik je dan hun app?
Wanneer je verbindt naar je DS gebruik je de OpenVPN Connect app?

Beide ja

Er is nog een andere goede app van Arne Schwabe, OpenVPN for Android, die kan misschien wel routes zetten?

App gedownload en daar staat idd het e.e.a. over routes..... Kan even niet met zekerheid zeggen dat dit gaat werken. Buiten dat heb ik geen idee wat en waar ik certificaten etc zou moeten importeren

[Banaan99]

Ben ik weer :-)

Net per abuis vinkje weggehaald bij 'ken machtigingen alleen toe aan nieuw toegevoegde lokale gebruikers'

Vervolgens kan ik niet meer connecten. Ook niet na weer aanvinken!

Ik zie in de VPN server log: VPN network interface has been changes to eth0

In APP log: Server poll timeout, trying next

Wat nu :-) ?

[Pippin]

Tussen het eten koken door :-)

Probeer eens weer terug te zetten zoals het was, niet vergeten op te slaan, VPN Server in het Package Center stoppen.
DS herstarten en in het Package Center VPN Center weer starten.
Dan opnieuw proberen.

[Handige Harry]

Eet smakelijk alvast

[Banaan99]

Probleem blijft helaas....

[Pippin]

VPN network interface has been changes to eth0

Die melding ken ik niet... Is "Synology eigen" denk ik.
Hmm... dan ben ik bang dat je overnieuw moet beginnen.
Certificaten kun je nog gebruiken uiteraard, scheelt wat werk.

Dan eerst VPN Center deinstalleren, DS herstarten, weer installeren en handleiding vanaf dat moment volgen.