Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 223814 keer)

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: OpenVPN: Beter beveiligen
« Reactie #165 Gepost op: 29 juli 2016, 23:05:40 »
Ja, ik verbind met 4G. WiFi is uit.

Ik zal eens verder zoeken op internet naar deze problemen.

Heb inderdaad nog wel een Android toestel. Zal als ik in de gelegenheid ben even verder proberen.

Bedankt voor het meedenken! Als ik nog iets vind of er is een oplossing laat ik het uiteraard weten.
DS918+, DS713+, DS215J

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
OpenVPN: Beter beveiligen
« Reactie #166 Gepost op: 30 juli 2016, 10:05:44 »
Het valt me wel op dat er achter "Client IP" geen IP adres genoemd staat in de UI van de OpenVPN app voor IOS. Er is dus wel een IP adres voor de tunnel (192.168.168.6), maar het lijkt er op dat er geen IP adres voor de client is. Toch iets met DHCP? Wie heeft er nog een idee?
DS918+, DS713+, DS215J

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #167 Gepost op: 30 juli 2016, 10:26:52 »

Wat mij nu opvalt is het tunnel IP, 192.168.168.6, dat je krijgt uitgedeeld van de server.
Dat hoeft geen probleem te zijn maar dat lijkt op "topology net30".
Deze handleiding gebruikt echter topology subnet.

Staat er in de server config "topology subnet" ?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #168 Gepost op: 30 juli 2016, 10:33:24 »
Ai  :o
Bij de laatste wijziging die ik aan het server bestand heb gedaan ben ik vergeten "topology subnet" toe te voegen.
Zal nu een nieuwe plaatsen.

@TopGear_1542
Je hoeft alleen
topology subnettoe te voegen aan de server config, mogelijk is dat de oorzaak.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
OpenVPN: Beter beveiligen
« Reactie #169 Gepost op: 30 juli 2016, 13:44:37 »
@MMD
Ik heb "topology subnet" toegevoegd. Vervolgens het pakket gestopt en gestart. Helaas zonder resultaat.

Hoe dan ook, wederom bedankt voor het meedenken!  :thumbup:

Daarna heb ik de optie "redirect gateway def1" uitgeschakeld door er "# redirect gateway def1" van te maken. Direct internetverbinding!
Als ik naar whatismyip.com ga zie ik echter niet het extern IP adres van mijn serverlocatie, maar het IP adres van mijn 4G provider. Logisch natuurlijk, maar deze wil ik wel graag zien. Wat kan er mis gaan in combinatie met "redirect gateway def1"?

Bovendien heb ik geen toegang tot IP adressen op het LAN.
DS918+, DS713+, DS215J

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #170 Gepost op: 30 juli 2016, 15:23:31 »

Dit soort dingen komt telkens weer voor en vaak is onduidelijk waardoor het komt.

Wanneer redirect gateway niet werkt:
1. Wordt er geen route gezet op de client die naar het LAN wijst.

2. Het tunnel subnet is niet ge-NAT op de server.

3. ipforwarding is niet aktief.

2 en 3 zorgt de VPN Server voor als je "client toegang geven tot het LAN" aangevinkt hebt, herstart is dan nodig.
Heb echter nog nooit ergens gelezen dat een DS dat niet deed.

Voor 1. zou ik nu Android/Windows proberen.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: OpenVPN: Beter beveiligen
« Reactie #171 Gepost op: 31 juli 2016, 22:41:51 »
Ik heb vandaag geprobeerd met standaard inrichting van de Ovpnvpn applicatie van Synology op een Android (v. 4.4.4) toestel om de "redirect-gateway def1" functie aan de praat te krijgen. Ook dit is helaas zonder succes.

Ook heb ik het pakket op beide NASsen (zelfde versie van DSM) geprobeerd. Beide geven geen resultaat.

Citaat
1. Wordt er geen route gezet op de client die naar het LAN wijst.

Mijn kennis en kunde reiken helaas niet zover dat ik bovenstaande aan de praat krijg. Kan je / iemand mij hier nog bij helpen?

Lees het e.e.a. over configuratie van de IPTABLES, POSTROUTING en IFCONFIG, maar ook dat gaat mijn kennis te boven.
DS918+, DS713+, DS215J

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #172 Gepost op: 01 augustus 2016, 01:35:49 »

Met iptables hoeft je je eigenlijk ook niet bezig te houden want dat behoort VPN Server zelf te regelen.
Controleren kan eventueel wel maar moet eigenlijk niet nodig zijn, heb ook nog nooit ergens gelezen dat dit een probleem was/is.

Citaat
Kan je / iemand mij hier nog bij helpen?
Jawel hoor, het werkt dus ook niet met een standaard configuratie...

Zodra je verbinding hebt probeer je dan b.v. www.google.nl ?
Naar het LAN probeer je dan een IP of DNS van een apparaat?

Welke DNS heb je ingevuld bij
dhcp-option DNS x.x.x.x
in de client config?
Probeer daar eens de DNS van Google, 8.8.8.8
Of als je daar niets invult, # ervoor, dan wordt de DNS gebruikt die je provider je toewijst.

Als dat niet helpt dan met een standaard inrichting en "Clients toegang geven LAN" aangevinkt, op de server in openvpn.conf
verb 4
/var/log/openvpn.log
toevoegen en dan OpenVPN her/starten.

Opnieuw config voor de client exporteren.
In de client config, openvpn.ovpn voeg je nog extra
verb 4
dhcp-option DNS 8.8.8.8
toe.

Installeer vervolgens een App op Android waarmee je kunt pingen, b.v. Fing. (makkelijker is eigenlijk een PC als client)
Dan verbinden met VPN en ping met Fing :)
192.168.168.1
192.168.193.1 (hier ga ik ervan uit dat dit je gateway van de NAS is, pas dus aan indien nodig)
192.168.193.x (IP van NAS)
192.168.193.xx (IP van ander apparaat waarvan je zeker weet dat die antwoord op ping)
8.8.8.8
216.58.212.142
www.google.nl
Ping resultaten dan hier plaatsen.

Verbinding verbreken en dan tevens beide logs hier plaatsen/aanhangen.
Haal dan wel even uit het client log je openbare IP, DDNS en evt. andere privé gegevens weg.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: OpenVPN: Beter beveiligen
« Reactie #173 Gepost op: 02 augustus 2016, 22:48:36 »
De resultaten zijn overduidelijk. Er is een tunnel, maar daarnaast eigenlijk helemaal niets.

Heb ook onderstaande toegevoegd aan client config. Geen succes :-(

Citaat
verb 4
dhcp-option DNS 8.8.8.8
DS918+, DS713+, DS215J

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #174 Gepost op: 03 augustus 2016, 00:18:46 »

Mis de gevraagde logs van de server en client.....

Maar ik denk dat het tijd is met een schone lei te beginnen van een standaard installatie.
VPN Server verwijderen, NAS herstarten en dan hetzelfde voor OpenVPN client op Windows.
En niet vergeten op Windows, OpenVPN te starten als Admin.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: OpenVPN: Beter beveiligen
« Reactie #175 Gepost op: 03 augustus 2016, 23:07:42 »
 Ik op beide NASsen VPNserver verwijderd. Heb vervolgens op beide het pakket met de meest standaard OpenVPN configuratie geprobeerd op IOS en Windows.

- Client toegang geven tot LAN aangevinkt
- Redirect-gateway def1 zonder # ervoor in openvpn.ovpn

Op beide NASsen direct VPN verbinding, maar geen toegang tot internet.

Eerlijk gezegd ben ik even kwijt waar ik nog kan zoeken.

Zijn logs zinvol als het volgens mij niet in de VPNserver zit, maar ergens in mijn netwerk?

De Help doet het wel. Daarmee moet de NAS in de basis toch een internetconnectie hebben.

DS918+, DS713+, DS215J

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7981
  • Berichten: 43.993
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: OpenVPN: Beter beveiligen
« Reactie #176 Gepost op: 03 augustus 2016, 23:20:58 »
De help werkt ook zonder internet.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #177 Gepost op: 04 augustus 2016, 00:25:44 »
De client en server met verb 4 in de config zoals hierboven omschreven kunnen zinvol zijn.
En op command line van Windows client:
route printnadat het IP toegewezen is/verbinding volledig tot stand gekomen is om te controleren of de routes gezet worden maar vaak is het log van de client daar al voldoende voor.

Meer info kan sneller tot een oplossing leiden.
Ook is nog niet echt duidelijk hoe het met de firewall regels is.
In DSM 6 is daar het één en ander gewijzigd als ik het goed begrepen heb.
Die draai ik echter niet, daar zou een ander misschien meer over kunnen zeggen.

C:\Users\Gebruiker>ping 10.8.0.1

Pinging 10.8.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Deze ping ^^^ is naar het tunnel IP van de server.
Maak eens een regel aan voor 10.8.0.0 255.255.255.0 (of 10.8.0.0/24) allow to any in de firewall.
Dat zou echter automatisch moeten gebeuren voor zover ik weet.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline GravityRZ

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 19
Re: OpenVPN: Beter beveiligen
« Reactie #178 Gepost op: 21 augustus 2016, 12:29:00 »
Hallo,

ik ben welgeteld 2 dagen bezig geweest om de vpn aan de praat te krijgen.

standaard vpn werkte gelijk.
daarna de iets betere implementatie gedaan vanuit deze link
https://docs.openvpn.net/docs/openvpn-connect/openvpn-connect-ios-faq.html
met name voor de iphone worden de certificaten dan mooi zichtbaar in openvpn.
ik had echter(bij gebrek aan kennis) de server certificaten van de synology als client certificaat in client.p12 gezet.
het werkte goed maar ik weer niet of dit ook secure was.

nu deze handleiding gevolgd waarbij ik moet zeggen dat hij niet helemaal idiot proof is.
met name het laten staan van de standaard openvpn.conf is niet duidelijk beschreven.
ook certificaten met hoofdletters is niet slim(voor de iphone).
winscp had ik moeite mee omdat ik er wel in kwam maar niet als root.
bleek dat ik ales al dichtgetimmerd had op dit vlak
even bij ssh mijn key ingevoegd en voila inloggen zonder pasword maar met certificaat

ik heb echter nog 2 vragen

in de oude situatie had ik een certificaat synology staan in zowel

op de iphone onder iphone
instellingen/algemeen/profiel
synology trusted

in OpenVPN app op iphone
standaard profile
synology trusted


nu staat er
op de iphone onder iphone
instellingen/algemeen/profiel
Ronald niet gecontroleerd

in OpenVPN app op iphone
standaard profile
Helemaal geen certificaat meer

is er nog wat te doen aan dat "niet gecontroleerd" of is dit altijd zo als je zelf certificaten aanmaakt.

hierbij een stukje log
super handleiding.. thanks

2016-08-21 11:51:17 VERIFY OK: depth=1
cert. version    : 3
serial number    : 01
issuer name      : CN=CA
subject name      : CN=CA
issued  on        : 2016-08-20 14:43:00
expires on        : 2026-08-20 14:43:00
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true
cert. type        : SSL CA, Email CA, Object Signing CA
key usage        : Key Cert Sign, CRL Sign

2016-08-21 11:51:17 VERIFY OK: depth=0
cert. version    : 3
serial number    : 02
issuer name      : CN=CA
subject name      : CN=Server
issued  on        : 2016-08-20 14:47:00
expires on        : 2021-08-20 14:47:00
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
key usage        : Digital Signature, Key Encipherment
ext key usage    : TLS Web Server Authentication

2016-08-21 11:51:18 SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
2016-08-21 11:51:18 Session is ACTIVE
2016-08-21 11:51:18 EVENT: GET_CONFIG
2016-08-21 11:51:18 Sending PUSH_REQUEST to server...
2016-08-21 11:51:19 OPTIONS:
0 [redirect-gateway] [def1]
1 [route] [192.168.1.0] [255.255.255.0]
2 [route] [10.8.0.0] [255.255.255.0]
3 [sndbuf]

4 [rcvbuf]

5 [route] [10.8.0.1]
6 [topology] [net30]
7 [ping] [10]
8 [ping-restart] [60]
9 [ifconfig] [10.8.0.6] [10.8.0.5]

2016-08-21 11:51:19 PROTOCOL OPTIONS:
  cipher: AES-256-CBC
  digest: SHA1
  compress: LZO
  peer ID: -1
2016-08-21 11:51:19 EVENT: ASSIGN_IP
2016-08-21 11:51:19 Google DNS fallback enabled
2016-08-21 11:51:19 TunPersist: saving tun context:







  • Mijn Synology: DS112+
  • HDD's: 1x WD30EZRX

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen
« Reactie #179 Gepost op: 21 augustus 2016, 16:00:17 »
ik ben welgeteld 2 dagen bezig geweest om de vpn aan de praat te krijgen.
Dat gaat nu sneller denk ik :)

Citaat
nu deze handleiding gevolgd waarbij ik moet zeggen dat hij niet helemaal idiot proof is.
met name het laten staan van de standaard openvpn.conf is niet duidelijk beschreven.
Er staat ook niet beschreven dat die verwijderd moet worden ;)
Als die mist dan start de server niet want één van de "start" scripts kijkt of die aanwezig is.

Citaat
ook certificaten met hoofdletters is niet slim(voor de iphone).
Zou kunnen, heb geen ervaring met Apple.
Dan alle bestanden kleine letters maken, ook in de config de paden dan aanpassen.
Citaat
ik heb echter nog 2 vragen
....
..
.
Volgens mij worden voor Apple inline certificaten aangeraden.
Anders zal iemand die het werkend heeft met een iPhone even moeten reageren.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 111
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1311
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2557
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3543
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2055
Laatste bericht 17 maart 2016, 12:00:51
door Briolet