Auteur Topic: OpenVPN #2: Beter beveiligen als client  (gelezen 26761 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
OpenVPN #2: Beter beveiligen als client
« Gepost op: 10 maart 2016, 22:16:14 »
Deze handleiding beschrijft hoe men een DS als OpenVPN-client kan verbinden naar een DS als OpenVPN-server die geconfigureerd is zoals beschreven in de handleiding OpenVPN #1: Beter beveiligen.

Het is echter niet alleen daarvoor geschikt maar ook voor een DS die als OpenVPN-client naar een VPN-provider verbinden moet die een aantal bestanden aanlevert die men zo 1-2-3 niet geïmporteerd krijgt tijdens het creëren van het VPN profiel.

Het gaat er dus om dat we de extra bestanden in de config krijgen van het OpenVPN-client profiel. Het CA.crt bestand kan op de normale manier geïmporteerd worden. Als men deze handleiding goed volgt hoop ik dat men een redelijk goed idee krijgt van hoe men dat bewerkstelligen kan, ook voor als men naar een VPN-provider wil verbinden. Het is eigenlijk een "zoek de verschillen" puzzel.


Een OpenVPN-client profiel kan men aanmaken in het Control Panel:
23898-0

Daar kan men echter zeer beperkt gegevens invullen en alleen maar een certificaat importeren zoals in onderstaande afbeelding te zien is. Men kan b.v. geen client.crt, client.key en ta.key importeren zoals we in de OpenVPN #1: Beter beveiligen handleiding hebben gemaakt.
23900-1

We gaan er even vanuit dat we certificaten hebben gemaakt voor een gebruiker die Backup-DS heet.
Uit Stap 1 van OpenVPN #1: Beter beveiligen nemen we dan de volgende client bestanden:
CA.crt
Backup-DS.crt
Backup-DS.key
En uit Stap 3 sub 2:
ta.key


Stap 1

Als eerste maken we een VPN profile aan:
Network-->Network Interface-->Create-->Create VPN profile
Selecteer OpenVPN
Klik Next

Profile name: Backup over VPN (of wat je wilt)
Server Address: Extern IP adres van server, DDNS-naam of Domain-naam
User name: Backup-DS
Password: Wachtwoord van Backup-DS
Port: 1194
Protocol: UDP
Certificate: CA.crt
Klik Next

Aanvinken:
V Enable compression on the VPN link
V Use default gateway on remote network
V Allow other network devices to connect through this Synology server`s Internet connection***
V Reconnect when the VPN connection is lost
Klik Apply
Klik echter nog niet op Connect
***In Stap 4 meer over deze instelling.


Stap 2

Verbind met WinSCP naar de DS.
Navigeer aan de rechterzijde naar:
/usr/syno/etc/synovpnclient/openvpn
Open client_o...nummer... door dubbelklik en voeg de volgende regels toe die uit openvpn.ovpn komen en nog missen in de config van het profiel:
log /var/log/ovpnclient.log #<--Hier word een log geschreven voor troubleshooting
verb 4 #<--4 laat genoeg zien in het log
dhcp-option DNS vul.hier.ip.in #<--IP van DNS server in je LAN, dit is meestal het IP van je router
remote-cert-tls server
cipher AES-256-CBC
tls-version-min 1.2 or-highest
fast-io

Wijzig:
redirect-gateway
in:
redirect-gateway def1

Stap 3

Navigeer in WinSCP aan de linkerzijde naar de map waar de bestanden van OpenVPN #1: Beter beveiligen staan en open door dubbelklik de volgende bestanden:
Backup-DS.crt
Backup-DS.key
ta.key

Kopieer vervolgens de inhoud van elk bestand zoals hieronder staat en plak het aan het einde van client_o...nummer... erbij.
Aan de tags <...> </...> kun je zien wat waar moet staan:
<cert>
-----BEGIN CERTIFICATE-----
...Hier de cijfers/letters van Backup-DS.crt...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...Hier de cijfers/letters van Backup-DS.key...
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
...Hier de cijfers/letters van ta.key...
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1

Sla nu client_o...nummer... op en klik op Connect daar waar dat niet mocht in Stap 1 :-)

Voor het geval van problemen wordt er een log geschreven naar:
/var/log/ovpnclient.logHet log wordt elke keer als de DS of OpenVPN-client herstart (dus niet reconnect), leeggemaakt.


***Eventueel Stap 4

--Allow other network devices to connect through this Synology server`s Internet connection--

Deze instelling maakt het mogelijk om met een PC/Laptop/etc. via de OpenVPN-client op de DS het internet op te gaan. Dit betekent dat men met het IP van de OpenVPN-server het internet opgaat, dat word het "exit-point".
Als men dat wil moet men in de instellingen van de netwerkkaart, op de PC/Laptop/etc., als gateway het IP van de DS, die als OpenVPN-client dient, opgeven. Dat kan dus voor elk apparaat in het LAN waarbij men een gateway op kan geven.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8038
  • Berichten: 44.149
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN: Beter beveiligen als client
« Reactie #1 Gepost op: 10 maart 2016, 22:39:30 »
Bedankt en sticky gemaakt. 8)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen als client
« Reactie #2 Gepost op: 10 maart 2016, 22:48:07 »

Mooi en bedankt, nu die andere nog sticky  ;D ;)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8038
  • Berichten: 44.149
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN: Beter beveiligen als client
« Reactie #3 Gepost op: 10 maart 2016, 22:49:37 »
Had ik al ;D of bedoel je die niet.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen als client
« Reactie #4 Gepost op: 10 maart 2016, 22:53:26 »

Oh ja, mooi paartje  :lol:

Edit:
Ze staan alleen verkeerd om  :P
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8038
  • Berichten: 44.149
  • Fijne feestdagen.......
    • Truebase
Re: OpenVPN: Beter beveiligen als client
« Reactie #5 Gepost op: 10 maart 2016, 23:03:00 »
Ha....krijg het niet omgekeerd, komt denk ik omdat er op de nieuwste start datum gesorteerd wordt  ::)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen als client
« Reactie #6 Gepost op: 10 maart 2016, 23:14:08 »
Nee, prima zo 8)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline hevey

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 1
  • Berichten: 3
Re: OpenVPN: Beter beveiligen als client
« Reactie #7 Gepost op: 11 maart 2016, 18:52:58 »
Super bedankt voor de weer heldere uitleg, ik ga dit zsm uitproberen
  • Mijn Synology: DS214
  • HDD's: 2x WD10EFRX-68FYTN0

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen als client
« Reactie #8 Gepost op: 11 maart 2016, 19:15:19 »

Dan hoop ik dat het lukt. Laat a.u.b. even weten, misschien loop je ergens tegenaan, dan kan ik dat veranderen.
Succes
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline hevey

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 1
  • Berichten: 3
Re: OpenVPN: Beter beveiligen als client
« Reactie #9 Gepost op: 12 maart 2016, 13:43:57 »
Wat ik al zei, de uitleg was helder en nu heb ik het ook uitgevoerd, en werkend.

 TOP!!! Bijzonder bedankt voor de heldere uitleg!!!
Het is niet moeilijk om uit te voeren je moet alleen even weten wat waar moet staan etc.
  • Mijn Synology: DS214
  • HDD's: 2x WD10EFRX-68FYTN0

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Beter beveiligen als client
« Reactie #10 Gepost op: 12 maart 2016, 14:14:21 »

Bedankt voor het melden, fijn dat het werkt  8)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #2: Beter beveiligen als client
« Reactie #11 Gepost op: 01 maart 2020, 15:49:46 »
Voor mijn DS214+ (gepland als off-site backup) wil ik ook OpenVPN connectie hebben.
Ik kom met WinSCP geen 'client_o...nummer...' bestand tegen in de map '/usr/syno/etc/synovpnclient/openvpn'.
kan het zijn dat e.e.a. is gewijzigd in DSM 6.2.2-24922 Update 4?

De DS218+ zal als OpenVPN server functioneren.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN #2: Beter beveiligen als client
« Reactie #12 Gepost op: 01 maart 2020, 16:09:03 »
Dat zou kunnen...

Kan mij ook voorstellen dat het 'client_o...nummer...' bestand pas geschreven wordt als daadwerkelijk een profiel opgeslagen wordt.

Wat als je wel op opslaan klikt en dan weer stopt?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #2: Beter beveiligen als client
« Reactie #13 Gepost op: 01 maart 2020, 16:10:49 »
Ik klikte op 'opslaan', en kan niet eens op 'connecten' klikken.
Profiel wordt aangemaakt en that's it.

Edit: Na één keer op 'connect' te klikken staan de bestanden er nu wel. VOOR 'CONNECT' DUS NOG NIET!
Uiteraard zal de eerste keer de connectie mislukken omdat de aanpassing nog niet gedaan is.


Edit: Geeft zichzelf een draai om de oren: of je kijkt met WinSCP op de juiste NAS
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN #2: Beter beveiligen als client
« Reactie #14 Gepost op: 01 maart 2020, 19:35:18 »
Follow up vraag: klopt het dat alle gegevens in één bestand komen te staan, nl in 'client_o.....'?
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)


 

2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2676
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
Inloggen via OpenVPN met certificaat

Gestart door UhhhBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 2171
Laatste bericht 20 december 2014, 23:42:32
door Uhhh
PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 2116
Laatste bericht 17 maart 2016, 12:00:51
door Briolet
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

Reacties: 8
Gelezen: 3612
Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 180
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy