Pagina's: [1] 2

Auteur Topic: OpenVPN #5: Live switchen van udp naar tcp en andersom  (gelezen 10022 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
OpenVPN #5: Live switchen van udp naar tcp en andersom
« Gepost op: 18 juni 2015, 00:06:12 »
Tot op heden heb ik altijd nog via UDP, op poort 1194, kunnen verbinden met de VPN server.
Voor het geval het eens gebeurt dat dit niet lukt, doordat er poorten geblokkeerd worden, wou ik graag iets achter de hand hebben.

Ik heb aan verschillende dingen gedacht tot ik gisteren op het idee kwam om twee server configuratie bestanden te maken.
Eén zoals ik nu heb via poort 1194 en extra een tweede voor TCP poort 443.

Het volgende was hoe ik de VPN server kon stoppen om de TCP poort 443 configuratie te starten. Men verliest immers de verbinding op het moment dat men de VPN server stopt.......om hem daarna weer met de nieuwe configuratie te kunnen starten, wat dan dus niet gaat.
Daar waren twee scripts voor nodig die dat allemaal doen, één om te switchen naar TCP en een tweede om later weer terug te kunnen switchen naar UDP.

Samen met de hulp van een gebruiker bij de buren is dat gelukt met de volgende twee scripts,

Van UDP naar TCP (tcp.sh):
Code: [Selecteer]
#!/bin/sh
mv /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.udp
mv /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.tcp /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
/volume1/@appstore/VPNCenter/scripts/openvpn.sh restart

Van TCP naar UDP (udp.sh):
Code: [Selecteer]
#!/bin/sh
mv /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.tcp
mv /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.udp /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
/volume1/@appstore/VPNCenter/scripts/openvpn.sh restart
Elk script hernoemt eenvoudigweg de actieve configuratie daarna hernoemt het de gewenste configuratie.
Als dat gedaan is herstart de VPN server waarna in de client de config (profiel) gewisseld kan worden.

Je hebt dus twee configuraties in /usr/syno/etc/packages/VPNCenter/openvpn staan.
1 openvpn.conf (UDP) en 1 openvpn.conf.tcp (TCP)

Om te schakelen gebruik ik JuiceSSH op Android en PuTTY op Windows.

De twee scripts heb ik staan in /volume1 met permissie 0755
De één heet tcp.sh om te switchen naar TCP en de ander heet udp.sh om te switchen naar UDP.

Om te switchen naar TCP geef je op de prompt:
sh /volume1/tcp.sh

Om te switchen naar UDP geef je op de prompt:
sh /volume1/udp.sh
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1413
  • -Ontvangen: 8106
  • Berichten: 44.403
    • Truebase
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #1 Gepost op: 18 juni 2015, 11:13:17 »
Leuke oplossing  :!:

Als ik mag aanvullen, je moet dus de standaard openvpn.conf copieeren naar openvpn.conf.tcp en daarin toevoegen, neem ik aan:
port 443
proto tcp


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-7   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-3
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-3   RT2600ac  SRM 1.3.1-9346-13
BeeDrive   1TB             BeeStation BSM 1.2-65586                                                                 MR2200ac  SRM 1.3.1-9346-13

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #2 Gepost op: 18 juni 2015, 12:22:24 »
Ja, het kopieren klopt.

Op de VPN server staat de poort achter het adres (IP/DDNS)
B.v.:
111.222.111.222 443
proto tcp-server
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 166
  • Berichten: 1.375
  • Yum yum brains...
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #3 Gepost op: 19 juni 2015, 08:58:25 »
Welke redenen zou je kunnen aangeven om (ad-hoc) te willen switchen van UDP naar TCP voor VPN traffic?
Dat immers UDP standaard gebruikt wordt hiervoor heeft immers een legitieme rede.

Ik ben benieuwd.

NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8GB RAM

DS1515+ 5*3TB SHR5 Btrfs 16GB RAM
DX513 4*6TB SHR5 Btrfs

DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #4 Gepost op: 19 juni 2015, 09:03:00 »
Het antwoord staat in de openingspost :)

"Voor het geval het eens gebeurt dat dit niet lukt, doordat er poorten geblokkeerd worden, wou ik graag iets achter de hand hebben."
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 181
  • -Ontvangen: 2695
  • Berichten: 16.662
Re: OpenVPN: Live switchen van tcp naar udp en andersom
« Reactie #5 Gepost op: 19 juni 2015, 09:16:05 »
Het enige wat niet klopt is dat het "Live" gebeurd. Dan zou het ook een onzinnige actie zijn om via VPN ingelogd, naar een ander protocol te switchen.  Bij een echte "Live" switch zou ik verwachten dat je die SSH verbinding via een VPN inlog uitvoert. :D

Ik denk ook dat anderen die via VPN ingelogd zijn, eruit gegooid worden. Bij een echte "live" switch zou ik verwachten dat ze ingelogd blijven.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: "Live" switchen van tcp naar udp en andersom
« Reactie #6 Gepost op: 19 juni 2015, 09:22:14 »
Eerlijk gezegd zat ik te wachten tot iemand zou vragen:
"Maar hoe kun je switchen als je geen verbinding krijgt via UDP?"

Dan kan dat via 2/3/4G of een ander hotspot.

Titel is aangepast.

Het switchen gebeurt trouwens wel tijdens de live VPN verbinding.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #7 Gepost op: 19 juni 2015, 11:00:21 »
Citaat van: MMD op 18 juni 2015, 00:06:12
Tot op heden heb ik altijd nog via UDP, op een hogere poort dan 1194, kunnen verbinden met de VPN server.
Voor het geval het eens gebeurt dat dit niet lukt, doordat er poorten geblokkeerd worden, wou ik graag iets achter de hand hebben.

Leuk verhaal en mooi uitgedokterd, maar is zie de reden niet(anders dan dat het gewoon kan ;D)

UDP wordt gebruikt binnen de VPN tunnel, dus tussen de twee VPN endpoints.
Als je dus een VPN tunnel kunt opzetten kan geen enkele router die UDP stream blokeren via een port block, want die router ziet alleen die VPN.
Dit zou hooguit nuttig kunnen zijn als je daarna weer verder moet routeren en dat niet met UDP kan/wil.
Het lijkt me dat dit in een thuissituatie nooit voor zal komen..

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #8 Gepost op: 19 juni 2015, 11:11:11 »
Wat ik bedoel is dat als alleen poort 80 en 443 openstaat, zoals b.v. recent hier iemand op het forum die op een camping zat, ik een optie heb om te switchen van b.v. UDP 1194 naar TCP 443.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #9 Gepost op: 19 juni 2015, 13:25:23 »
Aha nu snap ik het.
Je tekst is een beetje verwarrend. Je bedoelt de VPN port en niet de UDP port.

Het gaat om de VPN port en UDP of TCP maakt dan helemaal niets uit.
Je kunt je VPN net zo goed over port 433 (of 80) sturen en UDP gebruiken.

UDP heeft de voorkeur bij VPN, omdat het minder overhead heeft en omdat het ingekapselt is in het VPN protocol heb je de voordelen die TCP bied niet nodig (UDP is stateless en TCP is statefull).

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #10 Gepost op: 19 juni 2015, 13:44:22 »
UDP heeft de voorkeur, dat weet ik.

Ik zie nu op iana.org dat inderdaad zowel protocol UDP, TCP (en SCTP) gebruikt word voor HTTPS.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #11 Gepost op: 19 juni 2015, 13:55:50 »
Je haalt een paar dingen door elkaar.
VPN is geen HTTPS, het lijkt er wel veel op maar is wat anders.
En over een VPN tunnel kun je elk willekeurig protocol gebruiken wat je wilt als je maar aan beide zijden van de tunnel iets hebt dat dat protocol begrijpt.
Voor mijn part stuur je er ipx/spx overheen als je nog een novell server zou hebben.

Onderstaand plaatje is heel verhelderend al is het van een bepaalt merk.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #12 Gepost op: 19 juni 2015, 14:01:24 »
Dat is mij allemaal duidelijk  @Ben(V) :)

Het gaat mij om b.v. de camping die evt. ook protocollen blokt.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 181
  • -Ontvangen: 2695
  • Berichten: 16.662
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #13 Gepost op: 19 juni 2015, 14:06:16 »
Camping? Dat betekend toch vakantie. Hoe is vakantie nu te rijmen met VPN? Die twee zaken zijn volgens mij incompatibel.  ;D

Probeert een campingeigenaar eens echte vakantie bij zijn gasten af te dwingen en is het weer niet goed.

Voor niet-vakantie toepassing is het verhaal overigens wel zeer informatief.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN: Semi live switchen van tcp naar udp en andersom
« Reactie #14 Gepost op: 19 juni 2015, 14:11:36 »
Niet iedereen gebruikt VPN voor zakelijke doeleinden  :P

Het is wat mij betreft een leuke oplossing tenzij middels DPI VPN geblokt wordt natuurlijk.
Maar ook daar zijn mogelijke oplossingen voor, zoekterm "stunnel".
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp
Pagina's: [1] 2
 

PIA OpenVPN vragen

Gestart door mouse1277Board DDNS / Quick Connect / EZ-Internet / Portforwarding

 Reacties: 2
Gelezen: 2174 		Laatste bericht 17 maart 2016, 12:00:51
door Briolet
3G/4G en OpenVPN

Gestart door paul vdbBoard Synology Router

 Reacties: 8
Gelezen: 3802 		Laatste bericht 14 juni 2017, 12:57:07
door Babylonia
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

 Reacties: 0
Gelezen: 360 		Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

 Reacties: 7
Gelezen: 2910 		Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

 Reacties: 3
Gelezen: 1445 		Laatste bericht 30 oktober 2018, 20:18:38
door Pippin