Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 225649 keer)

Offline PatrickMarq

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 22
Re: OpenVPN: Beter beveiligen
« Reactie #150 Gepost op: 03 mei 2016, 10:57:32 »
Je kan nog één stapje verder gaan op je openVPN te beveiligen, het idee hierachter is als iemand nu je certificaat te pakken krijgt kan hij inloggen. in onderstaand voorbeeld zou een 'hacker' die je certificaat heeft een VPN tunnel kunnen opbouwen maar kan dan verder niets doen.
Tevens kan je indien er verschillende lan's / IP ranges zijn deze ook nog verder beveiligen, en het is ook mogelijk om elke client een vast IP adres te geven, dat je ook nog zou kunnen gebruiken in een firewall.

Je gebruikt de CCD opties in de openvpn server config file
client-config-dir ccd

Hierna moet je een file aanmaken met exact dezelfde naam als de commonname die gebruikt is in je certificaat en voeg je de IP range toe die deze client mag gebruiken
iroute 192.168.4.0 255.255.255.0

Het IP adres voor de client
ifconfig-push 10.8.2.5 10.8.2.6
  • Mijn Synology: DS1815+
2 x ST6000VN0021
2 x WD60EFRX
2 x WD50EFRX
2 x SSD 850 EVO

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #151 Gepost op: 03 mei 2016, 13:58:14 »
Je kan nog één stapje verder gaan op je openVPN te beveiligen, het idee hierachter is als iemand nu je certificaat te pakken krijgt kan hij inloggen.
Hij zal ook nog op DSM of actieve services/packages moeten inloggen en krijgt vervolgens de rechten van de gebruiker waarmee hij inlogt. Zie niet zo goed wat de extra beveiliging dan is?

Citaat
In onderstaand voorbeeld zou een 'hacker' die je certificaat heeft een VPN tunnel kunnen opbouwen maar kan dan verder niets doen.
Zie bovenstaande, ligt eraan welke rechten de gecompromitteerde gebruiker heeft..... of ik begrijp het verkeerd.

Citaat
Je gebruikt de CCD opties in de openvpn server config file
client-config-dir ccd
Hierna moet je een file aanmaken met exact dezelfde naam als de commonname die gebruikt is in je certificaat en voeg je de IP range toe die deze client mag gebruiken
iroute 192.168.4.0 255.255.255.0
Het IP adres voor de client
ifconfig-push 10.8.2.5 10.8.2.6
Dat is mogelijk op de NAS , ik doe dat namelijk zelf ook zo.
Het is echter niet zo eenvoudig als je hier schrijft, er moet wat meer gebeuren om dat op de NAS werkend te krijgen.


We hebben het over een Synology NAS en om nog het veiliger te maken zou men kunnen doen wat ik tegenwoordig doe.
Voor wat betreft de certificaten doe ik in grote lijnen wat in de handleiding beschreven staat (zie onderaan) maar voor de toegang van gebruikers tot OpenVPN heb ik het anders gedaan. Ik heb niet meer per gebruiker het recht op OpenVPN ingesteld maar werk met een "globale OpenVPN gebruiker".
Dat "truukje" kun je dus al zo toepassen, zonder deze handleiding, en verhoogt de veiligheid aanzienlijk.

Eigenlijk heel simpel:
1. Geef geen enkele "normale" gebruiker het recht op OpenVPN.
2. Maak één gebruiker aan en ontneem deze alle rechten in DSM en packages behalve OpenVPN.
3. Geef alle gebruikers de inlog gegevens van de OpenVPN gebruiker.

Deze OpenVPN gebruiker dient dus slechts om een verbinding op te bouwen.
Nadat de verbinding opgebouwd is kan elke gebruiker op de NAS inloggen met zijn eigen inlog gegevens en krijgt vervolgens de rechten zoals deze die heeft in DSM.
Dat betekent dus dat als de OpenVPN gebruiker gecompromitteerd raakt hij nog steeds niets kan want hij zal ook nog de inlog gegevens van een "normale" gebruiker moeten hebben.


Als je veel gebruikers hebt kun je dus een policy bedenken en met twee of meer OpenVPN gebruikers werken.
Het voordeel wordt in dat geval, dat als een betreffend OpenVPN account gecompromitteerd raakt je niet alle gebruikers nieuwe gegevens hoeft te verschaffen.
Een tweede voordeel is dat je niet veel certificaten hoeft te maken/onderhouden.

Ik heb zelf slechts drie actieve en twee passieve gebruikers dus ik heb nog maar twee certificaten.
Met actief bedoel ik dat ze zich verplaatsen en passieve zijn apparaten die 24/7 eraan hangen.

Citaat
Voor wat betreft de certificaten doe ik in grote lijnen wat in de handleiding beschreven staat
Als verheldering hierop:
Ik heb twee CA`s gemaakt, één voor de server en één voor de clients.
Dit als een extra verdediging tegen een Man In The Middle attack.

Overkill? Misschien ja, het is ook gewoon leuk om mee te spelen  ;D
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #152 Gepost op: 07 mei 2016, 17:09:14 »

Nieuwe versie van 2.3.10:
Citaat
New OpenVPN Windows installers have been released.
The I003 and I604 installers bundle OpenSSL 1.0.1t which fixes some security vulnerabilities.
The I604 installers also bundle a new tap-windows6 driver (9.21.2) which has dual authenticode signatures (SHA1/SHA2) for the best possible compatibility across Windows versions (Vista -> Windows 10).
In addition, the 9.21.2 driver fixes a security vulnerability which, however, required local admin rights to be exploitable.
OpenVPN-GUI has also seen minor changes.

Download
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #153 Gepost op: 07 mei 2016, 17:48:52 »

Om DNS leaks in Windows 8 en hoger tegen te gaan heb ik een nieuwe aangepaste openvpn-client.zip geplaatst.
Deze twee instellingen zijn toegevoegd,
block-outside-dns
register-dns
en hebben verder geen invloed op andere besturingssystemen.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #154 Gepost op: 10 mei 2016, 21:33:25 »

Wederom een nieuwe versie 2.3.11:

Download
Citaat
Gert Doering (1):
      Preparing for release v2.3.11 (ChangeLog, version.m4)

James Yonan (1):
      Fixed port-share bug with DoS potential

Jens Neuhalfen (2):
      Make intent of utun device name validation clear
      Fix buffer overflow by user supplied data

Leonardo Basilio (1):
      Correctly report TCP connection timeout on windows.

Lev Stipakov (1):
      Report Windows bitness

Michael McConville (1):
      Fix undefined signed shift overflow

Niels Ole Salscheider (1):
      Fix build with libressl

Samuli Seppänen (1):
      Improve LZO, PAM and OpenSSL documentation

Selva Nair (2):
      Ensure input read using systemd-ask-password is null terminated
      Support reading the challenge-response from console

Steffan Karger (10):
      openssl: improve logging
      polarssl: improve logging
      Update manpage: OpenSSL might also need /dev/urandom inside chroot
      socks.c: fix check on get_user_pass() return value(s)
      Fix OCSP_check.sh
      hardening: add safe FD_SET() wrapper openvpn_fd_set()
      Fix memory leak in argv_extract_cmd_name()
      Replace MSG_TEST() macro for static inline msg_test()
      Restrict default TLS cipher list
      Various Changes.rst fixes

ValdikSS (3):
      Clarify mssfix documentation
      Clarify --block-outside-dns documentation
      Update --block-outside-dns to work on Windows Vista
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Edgarfcm

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 1
  • Berichten: 1
Re: OpenVPN: Beter beveiligen
« Reactie #155 Gepost op: 23 juni 2016, 10:49:12 »
Zojuist getest op een 713+ en het werkt perfect.  :thumbup:
Super bedankt voor deze complete handleiding die de verbinding nog veiliger maakt.  :)
  • Mijn Synology: DS713+
  • HDD's: CT960M500SSD1

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #156 Gepost op: 23 juni 2016, 15:25:26 »

En ook bedankt voor de melding :thumbup:
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
OpenVPN: Beter beveiligen
« Reactie #157 Gepost op: 29 juli 2016, 20:54:56 »
Wat een goed topic!! Dankjewel voor al het werk wat je er in hebt gestoken en alle plezier die ik en andere gebruikers hiervan beleven.

Bij mij werkt het geweldig. Een niet onbelangrijk punt. Zodra ik verbinding heb, heb ik geen internet? Ook kan ik apparaten op mijn LAN niet benaderen. Terwijl ik de functie "clients toegang geven tot LAN" wel aangevinkt heb.

Ik gebruik IOS i.c.m. DS215J met DSM 6.0.1-7393 Update 2.

Wat kan de oorzaak zijn?
DS918+, DS713+, DS215J

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8039
  • Berichten: 44.151
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN: Beter beveiligen
« Reactie #158 Gepost op: 29 juli 2016, 21:11:56 »
Is 192.168.168.1 wel goed ?
Wat is b.v. het adres van je NAS ?
Wat is de range van je DHCP ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: OpenVPN: Beter beveiligen
« Reactie #159 Gepost op: 29 juli 2016, 21:17:59 »
Dat is precies waar ik aan getwijfeld heb. De range van mijn DHCP is 192.168.193.x. Maar ik heb eerder ook OpenVPN gebruikt met IP adressen in standaard range. Zoals deze wordt uitgeleverd door Synology. Ik geloof dat die adressen beginnen met 10.8.0.1. Daar heb ik eerder wel internet mee gehad. Dat zou dan toch ook niet kunnen?
DS918+, DS713+, DS215J

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8039
  • Berichten: 44.151
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN: Beter beveiligen
« Reactie #160 Gepost op: 29 juli 2016, 21:20:39 »
Nu zit je VPN in het verkeerde subnet, vandaar dat niets werkt.
Pak een adres buiten je DHCP range en zorg ervoor dat je +5 (max aantal verbindingen) kunt uitgeven vanuit de VPN Server.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8039
  • Berichten: 44.151
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN: Beter beveiligen
« Reactie #161 Gepost op: 29 juli 2016, 21:29:17 »
En.....zorg ervoor dat je geen vast IP-adres gebruikt die NIET in de DHCP range zit.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #162 Gepost op: 29 juli 2016, 22:00:36 »

Graag gedaan  :)

Mogelijke oorzaken:

1.
Zorg ervoor dat de volgende drie subnetten niet conflicteren:
1e. LAN 192.168.193.0/24
2e. Tunnel 192.168.168.0/24
3e. Dit subnet heb je geen invloed op, dat is het subnet van waaruit je verbind met je iOS, dat leid automatisch naar 2.

2.
3e heeft dan tot gevolg dat je niet vanuit je LAN kunt verbinden want dan voldoe je niet meer aan die drie regels.
Gebruik je telefoon, schakel WiFi uit, dan via 3/4G verbinden.

Er kunnen meer oorzaken zijn maar wat betreft de NAS zou het goed moeten zijn.
Op DSM 6 weet ik niet of je iets in de Firewall moet doen want DSM 6 draai ik niet.

Apple producten heb ik niet maar over het algemeen lees ik dat daar de meeste probleempjes mee zijn als het over OpenVPN gaat.
Oorzaak is mijn inziens dat ze graag afwijken van wat hoort te zijn i.g.v. OpenVPN ;)
B.v. door instellingen die in de *.ovpn staan te negeren.....

Staat er iets in het log van de OpenVPN app in iOS?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: OpenVPN: Beter beveiligen
« Reactie #163 Gepost op: 29 juli 2016, 22:40:42 »
Ik heb een aantal combinaties geprobeerd. Helaas tot op heden zonder succes.

In openvpn.conf staan onderstaande adressen:
Citaat
push "route 192.168.193.0 255.255.255.0"
push "route 192.168.168.0 255.255.255.0"
dev tun

management 127.0.0.1 1195

server 192.168.168.0 255.255.255.0

en

Citaat
max-clients 5

In openvpn.conf.user staan volgende adressen:
Citaat
server 192.168.168.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf

push "route 192.168.193.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)

push "route 192.168.168.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)

max-clients 5 ### 5 vervangen door het nummer uit openvpn.conf

In OpenVPN op IOS krijg ik IP-adres 192.168.168.6 toegewezen. Ik heb geen vast IP adres anders dan voor mijn NAS ingesteld.

Toch geen internetverbinding. Haal ik IP 1,2 en 3 zoals je die aangeeft nu door elkaar?

Het log geeft geen foutmeldingen of andere nuttige informatie. Overigens gebruik ik wel inline certificaten. Maar ik zie niet hoe dat van invloed kan zijn.
DS918+, DS713+, DS215J

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #164 Gepost op: 29 juli 2016, 23:00:10 »

Als er iets met de certificaten mis is op welke manier dan ook krijg je überhaupt geen verbinding, dat is het dus niet.

De subnetten is ook niets mis mee.
Je verbindt wel vanuit 3/4G toch? Met WiFi uit?

Aan de server zijde lijkt dus alles in orde.

Als je een Android hebt probeer het daar eens mee.

Of als je een PC of Laptop hebt, installeer dan daar OpenVPN op.
Zet dan de hotspot aan op je iOS.
Verbindt vervolgens naar de iOS hotspot met je PC/Laptop en dan naar je VPN.

Als dat wel lukt zit het hem ergens in iOS.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2679
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3613
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 182
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1360
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2116
Laatste bericht 17 maart 2016, 12:00:51
door Briolet