OpenVPN #2: Beter beveiligen als client

[Pippin]

Deze handleiding beschrijft hoe men een DS als OpenVPN-client kan verbinden naar een DS als OpenVPN-server die geconfigureerd is zoals beschreven in de handleiding OpenVPN #1: Beter beveiligen.

Het is echter niet alleen daarvoor geschikt maar ook voor een DS die als OpenVPN-client naar een VPN-provider verbinden moet die een aantal bestanden aanlevert die men zo 1-2-3 niet geïmporteerd krijgt tijdens het creëren van het VPN profiel.

Het gaat er dus om dat we de extra bestanden in de config krijgen van het OpenVPN-client profiel. Het CA.crt bestand kan op de normale manier geïmporteerd worden. Als men deze handleiding goed volgt hoop ik dat men een redelijk goed idee krijgt van hoe men dat bewerkstelligen kan, ook voor als men naar een VPN-provider wil verbinden. Het is eigenlijk een "zoek de verschillen" puzzel.


Een OpenVPN-client profiel kan men aanmaken in het Control Panel:


Daar kan men echter zeer beperkt gegevens invullen en alleen maar een certificaat importeren zoals in onderstaande afbeelding te zien is. Men kan b.v. geen client.crt, client.key en ta.key importeren zoals we in de OpenVPN #1: Beter beveiligen handleiding hebben gemaakt.


We gaan er even vanuit dat we certificaten hebben gemaakt voor een gebruiker die Backup-DS heet.
Uit Stap 1 van OpenVPN #1: Beter beveiligen nemen we dan de volgende client bestanden:
CA.crt
Backup-DS.crt
Backup-DS.key
En uit Stap 3 sub 2:
ta.key


Stap 1

Als eerste maken we een VPN profile aan:
Network-->Network Interface-->Create-->Create VPN profile
Selecteer OpenVPN
Klik Next

Profile name: Backup over VPN (of wat je wilt)
Server Address: Extern IP adres van server, DDNS-naam of Domain-naam
User name: Backup-DS
Password: Wachtwoord van Backup-DS
Port: 1194
Protocol: UDP
Certificate: CA.crt
Klik Next

Aanvinken:
V Enable compression on the VPN link
V Use default gateway on remote network
V Allow other network devices to connect through this Synology server`s Internet connection***
V Reconnect when the VPN connection is lost
Klik Apply
Klik echter nog niet op Connect
***In Stap 4 meer over deze instelling.


Stap 2

Verbind met WinSCP naar de DS.
Navigeer aan de rechterzijde naar:

Code: [Selecteer]

/usr/syno/etc/synovpnclient/openvpn
Open client_o...nummer... door dubbelklik en voeg de volgende regels toe die uit openvpn.ovpn komen en nog missen in de config van het profiel:

Code: [Selecteer]

log /var/log/ovpnclient.log #<--Hier word een log geschreven voor troubleshooting
verb 4 #<--4 laat genoeg zien in het log
dhcp-option DNS vul.hier.ip.in #<--IP van DNS server in je LAN, dit is meestal het IP van je router
remote-cert-tls server
cipher AES-256-CBC
tls-version-min 1.2 or-highest
fast-io
Wijzig:

Code: [Selecteer]

redirect-gateway
in:

Code: [Selecteer]

redirect-gateway def1

Stap 3

Navigeer in WinSCP aan de linkerzijde naar de map waar de bestanden van OpenVPN #1: Beter beveiligen staan en open door dubbelklik de volgende bestanden:
Backup-DS.crt
Backup-DS.key
ta.key

Kopieer vervolgens de inhoud van elk bestand zoals hieronder staat en plak het aan het einde van client_o...nummer... erbij.
Aan de tags <...> </...> kun je zien wat waar moet staan:

Code: [Selecteer]

<cert>
-----BEGIN CERTIFICATE-----
...Hier de cijfers/letters van Backup-DS.crt...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...Hier de cijfers/letters van Backup-DS.key...
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
...Hier de cijfers/letters van ta.key...
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1
Sla nu client_o...nummer... op en klik op Connect daar waar dat niet mocht in Stap 1 :-)

Voor het geval van problemen wordt er een log geschreven naar:

Code: [Selecteer]

/var/log/ovpnclient.logHet log wordt elke keer als de DS of OpenVPN-client herstart (dus niet reconnect), leeggemaakt.


***Eventueel Stap 4

--Allow other network devices to connect through this Synology server`s Internet connection--

Deze instelling maakt het mogelijk om met een PC/Laptop/etc. via de OpenVPN-client op de DS het internet op te gaan. Dit betekent dat men met het IP van de OpenVPN-server het internet opgaat, dat word het "exit-point".
Als men dat wil moet men in de instellingen van de netwerkkaart, op de PC/Laptop/etc., als gateway het IP van de DS, die als OpenVPN-client dient, opgeven. Dat kan dus voor elk apparaat in het LAN waarbij men een gateway op kan geven.

[Birdy]

Bedankt en sticky gemaakt.

[Pippin]

Mooi en bedankt, nu die andere nog sticky 

[Birdy]

Had ik al of bedoel je die niet.

[Pippin]

Oh ja, mooi paartje 

Edit:
Ze staan alleen verkeerd om 

[Birdy]

Ha....krijg het niet omgekeerd, komt denk ik omdat er op de nieuwste start datum gesorteerd wordt 

[Pippin]

Nee, prima zo

[hevey]

Super bedankt voor de weer heldere uitleg, ik ga dit zsm uitproberen

[Pippin]

Dan hoop ik dat het lukt. Laat a.u.b. even weten, misschien loop je ergens tegenaan, dan kan ik dat veranderen.
Succes

[hevey]

Wat ik al zei, de uitleg was helder en nu heb ik het ook uitgevoerd, en werkend.

 TOP!!! Bijzonder bedankt voor de heldere uitleg!!!
Het is niet moeilijk om uit te voeren je moet alleen even weten wat waar moet staan etc.

[Pippin]

Bedankt voor het melden, fijn dat het werkt 

[André PE1PQX]

Voor mijn DS214+ (gepland als off-site backup) wil ik ook OpenVPN connectie hebben.
Ik kom met WinSCP geen 'client_o...nummer...' bestand tegen in de map '/usr/syno/etc/synovpnclient/openvpn'.
kan het zijn dat e.e.a. is gewijzigd in DSM 6.2.2-24922 Update 4?

De DS218+ zal als OpenVPN server functioneren.

[Pippin]

Dat zou kunnen...

Kan mij ook voorstellen dat het 'client_o...nummer...' bestand pas geschreven wordt als daadwerkelijk een profiel opgeslagen wordt.

Wat als je wel op opslaan klikt en dan weer stopt?

[André PE1PQX]

Ik klikte op 'opslaan', en kan niet eens op 'connecten' klikken.
Profiel wordt aangemaakt en that's it.

Edit: Na één keer op 'connect' te klikken staan de bestanden er nu wel. VOOR 'CONNECT' DUS NOG NIET!
Uiteraard zal de eerste keer de connectie mislukken omdat de aanpassing nog niet gedaan is.

Edit: Geeft zichzelf een draai om de oren: of je kijkt met WinSCP op de juiste NAS

[André PE1PQX]

Follow up vraag: klopt het dat alle gegevens in één bestand komen te staan, nl in 'client_o.....'?