Auteur Topic: OpenVPN #1: Beter beveiligen  (gelezen 225622 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #390 Gepost op: 10 november 2018, 19:35:49 »
Hallo Wuter,

Heb je een Unix capabele tekst editor gebruikt, zoals Notepad++ b.v.?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Wuter

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 11
Re: OpenVPN #1: Beter beveiligen
« Reactie #391 Gepost op: 10 november 2018, 19:48:37 »
Ja inderdaad deze heb ik gebruikt hiervoor.
  • Mijn Synology: DS718+
  • HDD's: 2x ST4000
  • Extra's: Extra Ram: 16GB

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #392 Gepost op: 10 november 2018, 20:27:14 »
Controleer het bestand goed in Notepad++ want dan zou het moeten werken als het onder Windows ook werkt.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #393 Gepost op: 28 maart 2019, 17:00:18 »
Net mijn DS918+ en DS218+ geupdate nar 6.2.2
de DS218+ werkt ook als VPN server volgens het idee van dit topic, en mijn eerste indruk is dat het met de DSM update ook gewoon werkt.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #394 Gepost op: 28 maart 2019, 17:09:29 »
Bedankt voor het melden.  :thumbup:

Zolang Synology niets veranderd in de mappen structuur van VPN Server zal het blijven werken, tenminste... tot het moment er door OpenVPN developers besloten wordt de verouderde versie die Synology gebruikt, 2.3.11, niet meer te ondersteunen.

Dit blijft een hekel punt voor mij, OpenVPN wordt door veel gebruikers ingezet maar Synology blijft hopeloos achter.....
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #395 Gepost op: 28 maart 2019, 17:14:26 »
Alternatief zou dan een ander hardware stuk te gebruiken (Raspberry, Unifi gateway of zo...)
Mogelijk dat Syno OpenVPN alsnog gaat upgraden/updaten??
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #396 Gepost op: 28 maart 2019, 17:24:43 »
Een extra apparaat brengt meer configuratie en dus kennis, dat is niet voor de gemiddelde gebruiker weggelegd.

Alternatief kan ook Easy Bootstrap Installer zijn zodat men zelf alles in de hand heeft maar ook dan is kennis vereist en alleen als Entware zich laat installeren op het type DS dat men heeft. IPKG heeft n.l. ook een verouderde versie...

Of Synology gaat updaten, geen idee, ben al een jaar of twee geleden gestopt met communiceren, brengt helemaal niets......
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #1: Beter beveiligen
« Reactie #397 Gepost op: 28 maart 2019, 17:50:31 »
De tijd zal het leren....
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline hscheff

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #398 Gepost op: 07 mei 2019, 19:13:55 »
Ek is van Suid-Afrika en skryf in Afrikaans.
Ek verstaan meeste van wat hier geskryf is in Nederlands, en hoop jul kan Afrikaans verstaan.
Hoop dit is OK :)

Vraag: Sal dit nie nog veiliger wees om geen gebruikernaam / wagwoord te gebruik vir die VPN verbinding nie?
I.e. Slegs klient sertifikaat; dan is daar geen wagwoord wat hackers kan kry nie.
Of verstaan ek verkeerd?
  • Mijn Synology: DS213+
  • HDD's: 2 x WD20EFRX

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #399 Gepost op: 07 mei 2019, 19:22:56 »
Deze handleiding maakt gebruik van:
1. certificaten
2. gebruikersnaam+wachtwoord.
3. tls-auth key

Een hacker heeft dus 1,2 en 3 nodig om binnen te komen.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline hscheff

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: OpenVPN #1: Beter beveiligen
« Reactie #400 Gepost op: 07 mei 2019, 19:43:44 »
Dankie MMD

Daar is wel ander DSM dienste wat slegs gebruikersnaam en wagwoord gebruik.
Dieselfde Synology gebruikernaam en wagwoord word ook hier vir VPN gebruik en via die internet gestuur.
Ek aanvaar dit word encrypt en beskerm deur die sertifikate.

Beste praktyk is dus om slegs VPN na die internet beskikbaar te maak.
Toegang vanaf die internet na alle ander DSM dienste moet via VPN wees.
Korrek?
  • Mijn Synology: DS213+
  • HDD's: 2 x WD20EFRX

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #401 Gepost op: 07 mei 2019, 19:53:06 »
Dat is helemaal correct.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline JeffreyJDavis

Re: OpenVPN #1: Beter beveiligen
« Reactie #402 Gepost op: 31 juli 2019, 20:06:44 »
<I hope you do not mind that I post in English, your native in mind translation will most likely be better than that of Google's>

First off:  Much Thanks to MMD for posting this thorough and excellent manual for getting OpenVPN securely running on DSM.
Second off: Thanks to b00bytrap for posting a very helpful English translation walk through youtube of MMD's manual.
Third off: Thanks to everyone in this community for being very helpful to all the users who are struggling with various issues.

I have google translated my way through all 27 pages of this thread and it is very educational.  I was able to successfully follow the procedure and get OpenVPN running on my new DS1019+.  I am able to authenticate correctly I believe via windows client on my laptop.  (I am connecting my win laptop to my mobile phone hotspot and then tunnelling in to my home LAN.)  I am able to access my DS shares and DSM via VPN.  So I think I got the hard part working correctly, but I have some stupid beginner's error here in the overall network / DHCP / DNS  config on either server or client side which is preventing me from getting DNS resolution.  I cannot access the WWW nor ping any websites from CMD window on Win10 once connected to VPN.

My LAN is on a 10.0.0.xxx subnet and my tunnel LAN is set to 10.10.0.xxx subnet  .  I have disguised my external WAN IP as www.xxx.yyy.zzz in the attached files and my admin acct as myadmin .  I included the OpenVPN log and also a dump of an IPCONFIG and PING command from Windows.  It seems that I am not getting a gateway for my VPN connection?

I'm guessing it might be quite obvious to someone helpful in this forum, but I for the life of me cannot figure it out.  Any help or suggestions appreciated in advance.
  • Mijn Synology: DS1019+
  • HDD's: 4 x WD100EFAX
  • Extra's: 2 x 512MB NvME R/W

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #403 Gepost op: 31 juli 2019, 20:27:38 »
The routes in the client log look ok to me.

1. Did you allow the VPN subnet 10.10.0.0/24 in the firewall on the DS?

2. What gives:
cat /proc/sys/net/ipv4/ip_forwardon the DS command line?

3. Did you try another OS, Linux, Android...or is this specific Windows?


DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #1: Beter beveiligen
« Reactie #404 Gepost op: 31 juli 2019, 20:36:07 »
Ok, I see you set public DNS server in the client config.
You have to comment (#) these lines in the server config:
block-outside-dns
register-dns

Does that solve the issue?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 182
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2116
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2679
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3613
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1360
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin