Auteur Topic: OpenVPN en certificate  (gelezen 12922 keer)

Offline M77

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 0
  • Berichten: 17
OpenVPN en certificate
« Gepost op: 16 juli 2018, 11:42:23 »
Ik heb een vraag over de VPN server op mijn Synology NAS in combinatie met OpenVPN.
Na installatie heb ik het zip bestand met de ca.crt en (aangepaste) openvpn.openvpn gedownload op mijn Andoid mobiel. Nu kan ik met de OpenVPN app de configuratie uit het .openvpn bestand halen. De app blijft echter klagen over een client cerificaat met deze melding:

This profile doesn't include a client certificate. Continue connecting without a certificate or select one from the Android keychain?

Hoe zit dat nu precies? Kan ik deze melding wegklikken of is de verbinding dan minder veilig?

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: OpenVPN en certificate
« Reactie #1 Gepost op: 16 juli 2018, 15:51:43 »
Voor zover ik weet wordt tegenwoordig in het  VPNConfig.ovpn  configuratiebestand het certificaat reeds ingesloten.
(Ik gebruik doorgaans OpenVPN vanuit de router, waar dat als zodanig wordt ingevoegd).
Kun je zelf controleren als je zo'n hele lap tekst onderaan met cijfers en letters tussen <ca> </ca> -tags ziet staan.

Hoef je het certificaat zelf (ca.crt) niet meer apart bij te sluiten.
Verander je de regel in het configuratiebestand op een onjuiste wijze, zodat het niet wordt aangeroepen, heb je een probleem.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline M77

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 0
  • Berichten: 17
Re: OpenVPN en certificate
« Reactie #2 Gepost op: 16 juli 2018, 15:59:52 »
Dat klopt. Het ca.cert bestand staat ook in het Openvpn.openvpn bestand. Punt is dat de Android app wel blijft vragen naar het client certificaat. Ook in het topic op dit forum over het beter beveiligen van je OpenVPN wordt er steeds over certificaten gesproken. Ik heb me er al veel in verdiept maar krijg het niet helder, hoe zit dat nu precies?

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: OpenVPN en certificate
« Reactie #3 Gepost op: 16 juli 2018, 16:52:22 »
Ik dacht me te herinneren, (mijn profielen zijn al langer geleden geïmporteerd).
Dat je bij een melding canceld, en dan wordt het toch ingeladen??
Er moeten op het forum daarover nog wel berichten zijn die je kunt terugzoeken.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline M77

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 0
  • Berichten: 17
Re: OpenVPN en certificate
« Reactie #4 Gepost op: 16 juli 2018, 16:55:25 »
Bedankt voor je antwoord. Je kunt de melding inderdaad wegklikken, maar wat is dan het nut van een certificaat als iemand gewoon verbinding kan maken zonder? In mijn beleving zou de OpenVPN server dan moeten blokkeren en de verbinding niet accepteren.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 8005
  • Berichten: 44.019
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: OpenVPN en certificate
« Reactie #5 Gepost op: 16 juli 2018, 17:01:24 »
Het Certificaat laat je alleen maar zien dat je met de juiste VPN Server verbind, meer niet, zoals bij HTTPS.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: OpenVPN en certificate
« Reactie #6 Gepost op: 16 juli 2018, 17:04:13 »
Werkt dat zo?
Je zou het in ieder geval kunnen uittesten door werkelijk geen certificaat bij te sluiten, of je dan een verbinding kunt maken.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline M77

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 0
  • Berichten: 17
Re: OpenVPN en certificate
« Reactie #7 Gepost op: 17 juli 2018, 08:44:43 »
@Birdy: ok, het heeft dus niks met encryptie te maken of MiTM aanvallen (zie ook dit topic op dit forum: https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/)

@Babylonia: Je kunt inderdaad gewoon doorklikken, ter verduidelijking hieronder een screenshot van de melding.
Weet iemand zo of je dit in het openvpn.openvpn bestand kan zetten dat hij niet om het Client Certificate vraagt?



Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: OpenVPN en certificate
« Reactie #8 Gepost op: 17 juli 2018, 09:25:02 »
Ik bedoel dus werkelijk het certificaat niet in het Openvpn.openvpn bestand insluiten of als apart bestand importeren.
Als het er niet inzit, en je kunt wel verbinding maken, weet je zeker dat het in dat geval dus ook zonder certificaat kan.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline M77

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 0
  • Berichten: 17
Re: OpenVPN en certificate
« Reactie #9 Gepost op: 17 juli 2018, 09:35:44 »
Ok, ik denk dat het om iets anders gaat hier. Het certificaat ca.cert gebruikt OpenVPN om connectie te maken(?) Het Client Certificaat waar hij om vraagt moet ik via een .pfx bestand toevoegen aan de Android Keychain en die vervolgens kiezen. Vandaar ook de verwarring, wat is nu het verschil tussen het ca.cert bestand en het feit dat je een certificaat op je mobiel kunt toevoegen?

De certificaten zijn bij een Android telefoon te vinden onder Instellingen/Schermvergrendeling en beveiliging/Andere beveiligingsinstellingen/Gebruikercertificaten

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: OpenVPN en certificate
« Reactie #10 Gepost op: 17 juli 2018, 10:54:06 »
Ik weet niet wat je bedoeling is?
Een .pfx bestand maakt geen deel uit van een OpenVPN set-up of profiel?

Een certificaat was apart bijgesloten in oudere firmware opties, tegenwoordig zit het ingesloten in het Openvpn.openvpn configuratiebestand.
Dat ene enkele bestand nu kun je naar behoefte opsplitsen in twee bestanden, zoals de situatie vroeger was.
Andersom, die oudere versies van twee bestanden kon je daar altijd al ook één bestand van maken.

Je kunt met beide versies testen of het zonder certificaat ook nog werkt. Door het certificaat gedeelte weg te laten.

In mijn geval zitten er meerdere certificaten ingesloten en een key certificaat, corresponderend met de certificaten die ik binnen de Synology apparaten hebt geïmporteerd m.b.t. mijn NL-domein wat ik op mijn WAN internetverbinding heb en een SSL certificaat op dat NL-domein.

Vroeger had ik dat NL-domein niet en was het aandeel certificaten wellicht om die reden minder uitgebreid.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN en certificate
« Reactie #11 Gepost op: 17 juli 2018, 17:04:15 »
De app blijft echter klagen over een client cerificaat met deze melding:
This profile doesn't include a client certificate. Continue connecting without a certificate or select one from the Android keychain?
Hoe zit dat nu precies? Kan ik deze melding wegklikken of is de verbinding dan minder veilig?
De app klaagt terecht, zoals je hebt gelezen in het OpenVPN #1: Beter beveiligen topic:
Citaat
...gevoelig voor een Man In The Middle attack doordat er geen verificatie van certificaten plaatsvindt van zowel de Server als de Client(s).
Autorisatie vindt dus alleen plaats door gebruikersnaam/wachtwoord.
De ca.crt is altijd nodig, dat is de "autoriteit" die de certificaten van de clients maar ook server ondertekent heeft maar die zijn dus niet aanwezig in Synology`s configuratie.

maar wat is dan het nut van een certificaat als iemand gewoon verbinding kan maken zonder?
Er wordt gevraagd om gebruikersnaam/wachwoord..... maar dat is dan ook alles wat "veiligheid" betreft, dus goed opgemerkt.

In mijn geval zitten er meerdere certificaten ingesloten en een key certificaat, corresponderend met de certificaten die ik binnen de Synology apparaten hebt geïmporteerd m.b.t. mijn NL-domein wat ik op mijn WAN internetverbinding heb en een SSL certificaat op dat NL-domein.
Meen je dat nou?
Certificaten voor domeinen hebben daar helemaal niets te zoeken...
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: OpenVPN en certificate
« Reactie #12 Gepost op: 17 juli 2018, 18:52:28 »
Certificaten voor domeinen hebben daar helemaal niets te zoeken...

Toch is het zo. (Ik gebruik overigens de Synology router als VPN-server).
En lijkt me juist dat het daar wel mee te maken heeft.
Wat Birdy eerder schreef:

Het Certificaat laat je alleen maar zien dat je met de juiste VPN Server verbind, meer niet, zoals bij HTTPS.

Omdat ik een eigen NL-domein heb op mijn WAN IP-adres, met SSL certificaat op dat domein,
correspondeert het dus met de server die erachter zit.

Die SSL certificaten + key importeer ik in de router (tevens ook in de NAS):
- Private key
- Certificate
- Intermediate certificate

Specifiek wat men importeert in de router onder het kopje "Intermediate certicate" voor een domein,
wordt letterlijk 1 op 1 overgenomen in het OpenVPN configuratiebestand.

Alleen de private key in het OpenVPN configuratiebestand is een volledig nieuw gegenereerde key, niet die je bij het SSL certificaat kreeg.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 131
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
Inloggen via OpenVPN met certificaat

Gestart door UhhhBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 2140
Laatste bericht 20 december 2014, 23:42:32
door Uhhh
OpenVPN '#redirect-gateway def1' werkt niet met gecomprimeerde data-overdracht

Gestart door BabyloniaBoard VPN Server

Reacties: 10
Gelezen: 5182
Laatste bericht 27 april 2018, 19:13:36
door Babylonia
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2583
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1327
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin