OpenVPN en certificate

[M77]

Ik heb een vraag over de VPN server op mijn Synology NAS in combinatie met OpenVPN.
Na installatie heb ik het zip bestand met de ca.crt en (aangepaste) openvpn.openvpn gedownload op mijn Andoid mobiel. Nu kan ik met de OpenVPN app de configuratie uit het .openvpn bestand halen. De app blijft echter klagen over een client cerificaat met deze melding:

This profile doesn't include a client certificate. Continue connecting without a certificate or select one from the Android keychain?

Hoe zit dat nu precies? Kan ik deze melding wegklikken of is de verbinding dan minder veilig?

[Babylonia]

Voor zover ik weet wordt tegenwoordig in het  VPNConfig.ovpn  configuratiebestand het certificaat reeds ingesloten.
(Ik gebruik doorgaans OpenVPN vanuit de router, waar dat als zodanig wordt ingevoegd).
Kun je zelf controleren als je zo'n hele lap tekst onderaan met cijfers en letters tussen <ca> </ca> -tags ziet staan.

Hoef je het certificaat zelf (ca.crt) niet meer apart bij te sluiten.
Verander je de regel in het configuratiebestand op een onjuiste wijze, zodat het niet wordt aangeroepen, heb je een probleem.

[M77]

Dat klopt. Het ca.cert bestand staat ook in het Openvpn.openvpn bestand. Punt is dat de Android app wel blijft vragen naar het client certificaat. Ook in het topic op dit forum over het beter beveiligen van je OpenVPN wordt er steeds over certificaten gesproken. Ik heb me er al veel in verdiept maar krijg het niet helder, hoe zit dat nu precies?

[Babylonia]

Ik dacht me te herinneren, (mijn profielen zijn al langer geleden geïmporteerd).
Dat je bij een melding canceld, en dan wordt het toch ingeladen??
Er moeten op het forum daarover nog wel berichten zijn die je kunt terugzoeken.

[M77]

Bedankt voor je antwoord. Je kunt de melding inderdaad wegklikken, maar wat is dan het nut van een certificaat als iemand gewoon verbinding kan maken zonder? In mijn beleving zou de OpenVPN server dan moeten blokkeren en de verbinding niet accepteren.

[Birdy]

Het Certificaat laat je alleen maar zien dat je met de juiste VPN Server verbind, meer niet, zoals bij HTTPS.

[Babylonia]

Werkt dat zo?
Je zou het in ieder geval kunnen uittesten door werkelijk geen certificaat bij te sluiten, of je dan een verbinding kunt maken.

[M77]

@Birdy: ok, het heeft dus niks met encryptie te maken of MiTM aanvallen (zie ook dit topic op dit forum: https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/)

@Babylonia: Je kunt inderdaad gewoon doorklikken, ter verduidelijking hieronder een screenshot van de melding.
Weet iemand zo of je dit in het openvpn.openvpn bestand kan zetten dat hij niet om het Client Certificate vraagt?

[Babylonia]

Ik bedoel dus werkelijk het certificaat niet in het Openvpn.openvpn bestand insluiten of als apart bestand importeren.
Als het er niet inzit, en je kunt wel verbinding maken, weet je zeker dat het in dat geval dus ook zonder certificaat kan.

[M77]

Ok, ik denk dat het om iets anders gaat hier. Het certificaat ca.cert gebruikt OpenVPN om connectie te maken(?) Het Client Certificaat waar hij om vraagt moet ik via een .pfx bestand toevoegen aan de Android Keychain en die vervolgens kiezen. Vandaar ook de verwarring, wat is nu het verschil tussen het ca.cert bestand en het feit dat je een certificaat op je mobiel kunt toevoegen?

De certificaten zijn bij een Android telefoon te vinden onder Instellingen/Schermvergrendeling en beveiliging/Andere beveiligingsinstellingen/Gebruikercertificaten

[Babylonia]

Ik weet niet wat je bedoeling is?
Een .pfx bestand maakt geen deel uit van een OpenVPN set-up of profiel?

Een certificaat was apart bijgesloten in oudere firmware opties, tegenwoordig zit het ingesloten in het Openvpn.openvpn configuratiebestand.
Dat ene enkele bestand nu kun je naar behoefte opsplitsen in twee bestanden, zoals de situatie vroeger was.
Andersom, die oudere versies van twee bestanden kon je daar altijd al ook één bestand van maken.

Je kunt met beide versies testen of het zonder certificaat ook nog werkt. Door het certificaat gedeelte weg te laten.

In mijn geval zitten er meerdere certificaten ingesloten en een key certificaat, corresponderend met de certificaten die ik binnen de Synology apparaten hebt geïmporteerd m.b.t. mijn NL-domein wat ik op mijn WAN internetverbinding heb en een SSL certificaat op dat NL-domein.

Vroeger had ik dat NL-domein niet en was het aandeel certificaten wellicht om die reden minder uitgebreid.

[Pippin]

De app blijft echter klagen over een client cerificaat met deze melding:
This profile doesn't include a client certificate. Continue connecting without a certificate or select one from the Android keychain?
Hoe zit dat nu precies? Kan ik deze melding wegklikken of is de verbinding dan minder veilig?

De app klaagt terecht, zoals je hebt gelezen in het OpenVPN #1: Beter beveiligen topic:

...gevoelig voor een Man In The Middle attack doordat er geen verificatie van certificaten plaatsvindt van zowel de Server als de Client(s).
Autorisatie vindt dus alleen plaats door gebruikersnaam/wachtwoord.

De ca.crt is altijd nodig, dat is de "autoriteit" die de certificaten van de clients maar ook server ondertekent heeft maar die zijn dus niet aanwezig in Synology`s configuratie.

maar wat is dan het nut van een certificaat als iemand gewoon verbinding kan maken zonder?

Er wordt gevraagd om gebruikersnaam/wachwoord..... maar dat is dan ook alles wat "veiligheid" betreft, dus goed opgemerkt.

In mijn geval zitten er meerdere certificaten ingesloten en een key certificaat, corresponderend met de certificaten die ik binnen de Synology apparaten hebt geïmporteerd m.b.t. mijn NL-domein wat ik op mijn WAN internetverbinding heb en een SSL certificaat op dat NL-domein.

Meen je dat nou?
Certificaten voor domeinen hebben daar helemaal niets te zoeken...

[Babylonia]

Certificaten voor domeinen hebben daar helemaal niets te zoeken...

Toch is het zo. (Ik gebruik overigens de Synology router als VPN-server).
En lijkt me juist dat het daar wel mee te maken heeft.
Wat Birdy eerder schreef:

Het Certificaat laat je alleen maar zien dat je met de juiste VPN Server verbind, meer niet, zoals bij HTTPS.

Omdat ik een eigen NL-domein heb op mijn WAN IP-adres, met SSL certificaat op dat domein,
correspondeert het dus met de server die erachter zit.

Die SSL certificaten + key importeer ik in de router (tevens ook in de NAS):
- Private key
- Certificate
- Intermediate certificate

Specifiek wat men importeert in de router onder het kopje "Intermediate certicate" voor een domein,
wordt letterlijk 1 op 1 overgenomen in het OpenVPN configuratiebestand.

Alleen de private key in het OpenVPN configuratiebestand is een volledig nieuw gegenereerde key, niet die je bij het SSL certificaat kreeg.