Auteur Topic: OpenVPN onder DSM7.1.1-42963 Update 3  (gelezen 1256 keer)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
OpenVPN onder DSM7.1.1-42963 Update 3
« Gepost op: 16 januari 2023, 15:20:34 »
Ik heb op mijn DS218+ nog DSM 6.2.4 draaien omdat ik hierop OpenVPN server 1.3.14-2782 geinstalleerd heb.
Deze heb ik volgens dit topic aangepast i.v.m. veiligheid (Man In The Middle) en dergelijke.
Nieuwere versies van het OpenVPN server pakket 'vernielden' deze setup op een één of andere manier waardoor het niet meer werkte.

In hoeverre is de VPN Server onder DSM 7.1.1 veilig ten opzichte van de methode in het genoemde topic?
Als dit 'net zo goed' is, dan houd weinig me nog tegen om de laatste upgrade naar 7.1.1 te voltooien.
En kan ik dezelfde methode toepassen om de VPN server ook adequaat te beveiligen tegen diezelfde Man In The Middle attack's?

Het genoemde topic is nu wat rommelig geworden met 20 pagina's aan op- en aanmerkingen, en om al die 20 pagina's met 25 posts door te worstelen ontbreekt het me helaas aan tijd (druk met werken).

Ik gebruik VPN op mijn telefoon o.a. om gebruik te kunnen maken van mijn 2 Pi-Holes thuis, die irritante reclame die je anders krijgt.... BRR.
(Buiten dat ik het wel erg prettig vind om ook off-site eens thuis te kunnen inloggen op je LAN om daar eventuele bestanden te zoeken of om alvast een printje thuis klaar te hebben liggen)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #1 Gepost op: 17 januari 2023, 22:05:57 »
Niemand een idee????
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #2 Gepost op: 26 januari 2023, 21:02:02 »
Lastig onderwerp gok ik....
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #3 Gepost op: 26 januari 2023, 23:13:07 »
Nee dit is geen simpel onderwerp, maar heeft wel een simpel antwoord: in jouw geval is UPDATEN altijd verstandiger dan twijfelen en niets doen. Dat lek is allang gepatched.
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #4 Gepost op: 26 januari 2023, 23:25:01 »
Met twee kattebelletjes om het onderwerp onder de aandacht te brengen, lijkt het alsof de meeste gebruikers het minder relevant vinden??

Zelf benut ik de VPN functies van een Synoloy router.
Dus kom eigenlijk niet toe aan een configuratie m.b.t. OpenVPN op een NAS.
Er is sinds de start van het bewuste onderwerp  -november 2014-  natuurlijk best veel veranderd,
van zowel officiële updates van DSM OS versies, alsook VPN Server pakketten, etc.

Heb evenwel als test nog eens een OpenVPN configuratiebestand gedownload, om te kijken wat daarin relevant is,
in relatie tot het onderhavige onderwerp over die "extra beveiliging".
En met eerdere downloads van configuratiebestanden vergeleken.

Gebruik zelf een eigen NL-domein voor het WAN IP-adres met een SSL-certificaat wat is geïmporteerd in de NAS.

Het geëxporteerde OpenVPN configuratiebestand voldoet in mijn situatie volledig aan de daarvoor gestelde eisen van beveiliging.
Een combinatie van een ingekapseld certificaat, alsook een persoonlijke sleutel (de basis van het onderwerp voor extra beveiliging).

Met een vergelijkbare set-up met wat ik voor VPN op een router gebruik voldoet de beveiliging uitstekend.
Als certificaat of sleutel niet voldoet (door veroudering), kan ik onder geen beding een VPN verbinding opbouwen.
(Bijv. na een jaar als een certificaat is verouderd  / verlopen en ik nog geen nieuw configuratiebestand heb samengesteld,
en geïmporteerd in al mijn apparaten waarbij ik als VPN Client een VPN verbinding wil opbouwen).

Afgezien van mogelijk net een minimaal andere opbouw van het OpenVPN configuratiebestand tussen router en NAS.
Houd ik de persoonlijke aanpassingen voor beide VPN set-ups gelijk.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #5 Gepost op: 27 januari 2023, 11:27:47 »
@Babylonia bedankt voor je input, waar het mij om gaat is eigenlijk of de huidige versie van OpenVPN server onder DSM7 ook de feature heeft dat zowel client als server elkaar verifiëren bij het opbouwen van een verbinding en die feature zou ik het liefst willen behouden.
(tenminste, dit was als ik het goed begrepen heb het doel van die aanpassing, het weren van een Man-In-The-Middle aanval)
Nu kun je me misschien paranoïde noemen, maar zoals Dhr van Zweden (leerkracht sport op de RK-LTS in Emmen) ons ooit eens adviseerde op de vrijdag middag "Valhelm en Durex, beter safe than sorry!"

Ook heb ik zitten kijken naar WireGuard op één dan mijn Pi-Holes maar het niet kunnen blokkeren van landen (of eigenlijk beter het alleen toelaten van 2-3 landen) bij die manier houd mij nu nog tegen.
Mijn USG Pro 4 heeft wel treat-management (IPS/IDS) maar dan dondert mijn connectie van 1000/1000 in elkaar naar ongeveer 285Mbit/sec omdat de USG Pro het gewoon niet verder aan kan. (CPU limiet)

Waarom ik die VPN gebruik is 2-ledig:
1) Toegang tot mijn data en LAN en daarbij het weren van inlog-pogingen uit ongewenste landen
2) het hebben van een Add-Block (2x Pi-Holes) onderweg op mijn veeg-foon en vouw-pjoeter onderweg.
Dat het dan lijkt alsof ik thuis ben kwa internet, boeit me niet zo heel veel (is wel handig soms, dat dan weer wel)

Vandaar min vraag dus...
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #6 Gepost op: 27 januari 2023, 14:36:36 »
waar het mij om gaat is eigenlijk of de huidige versie van OpenVPN server onder DSM7 ook de feature heeft dat zowel client als server elkaar verifiëren bij het opbouwen van een verbinding en die feature zou ik het liefst willen behouden.

Dat kun je toch zelf uittesten, met als basis het standaard configuratiebestand wat je vanuit VPN Server exporteert?
Zonder naar de reacties en aanpassingen te kijken van dat speciale "VPN beveiliging" onderwerp?

De enkele persoonlijke aanpassingen die ikzelf ook bij een NAS heb ingesteld vanuit het voorbeeld van de OpenVPN configuratie van de router,
is net dezer dagen voorbij gekomen bij een ander onderwerp < HIER >.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #7 Gepost op: 27 januari 2023, 19:18:46 »
@Babylonia Ja en nee, ik kan i.d.d. op een DSM7 NAS het pakket kunnen installeren en dan de config exporteren.
Dat heb ik dus gedaan maar zie daar slechts één config.ovpn en een readme staan (in de zip die je krijgt). In die .ovpn bestand is maar één certificaat vermeld. (inline heet dat geloof ik)

De bestanden voor de gemodde OpenVPN server bevat 5 bestanden, te weten:
ta.key
openvpn.ovpn (de config file)
client.key
client.crt
CA.crt

Dat is dus meer gegevens om de verbinding op te zetten dan alleen die .ovpn met één inline certificaat.
Daarom dus ook de vraag: hoe secure is het default? Of maak ik me druk om weinig?
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #8 Gepost op: 27 januari 2023, 20:02:32 »
Misschien gebruik je het verkeerde certificaat op je NAS om daarmee "veilig" een OpenVPN verbinding te maken??
(Men kan meerdere certificaten bij een NAS importeren / aanmaken, en voor verschillende services inzetten).

Ik gebruik een eigen NL domein met een SSL certificaat voor mijn WAN IP internetverbinding.
Importeer als basis dus reeds een private key  -  certificaat en een "bundle" certificaat.  (Allemaal onderdeel bij gebruik van een eigen domein).
Gewoon allemaal standaard, wat men zou moeten inzetten.
Één keer per jaar moet ik het SSL certificaat via mijn serviceprovider waar ik het domein heb ondergebracht vernieuwen.
Als het certificaat is verlopen, en nog niet aangepast, kan ik geen VPN verbinding opzetten.

Bij gebruik van een geldig (vernieuwd) certificaat.

Als ik vervolgens vanuit de VPN Server bij OpenVPN het configuratiebestand exporteer,
is dat inclusief private key en twee blokken certificaten zoals in mijn verwijzing getoond.

Naast een aan te passen WAN IP of domein om in te vullen.
Betreffen de enige persoonlijke aanvullingen die ik heb ingesteld:

float

dhcp-option DNS 1.1.1.2
dhcp-option DNS 1.0.0.2

auth-nocache

explicit-exit-notify
            (helemaal onderaan)
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #9 Gepost op: 27 januari 2023, 21:06:26 »
Die .crt en .key bestanden worden lokaal gegenereerd door een programma 'XCA' met enkele templates (1e reactie in het boven genoemde topic).

Voor zover ik nagaan kan word er geen Let's Encrypt certificaat (of self-signed exemplaar van de Syno zelf) gebruikt bij het opbouwen van een VPN connectie, volgens mij worden die alleen bekeken door de browser als je naar de NAS surft.
Want dan lijkt mij dat je iedere keer als die SSL-certificaat vernieuwd word je al je VPN clienten ook opnieuw van de juiste certificaten moet voorzien... Toch?? En dat is bij die aangepaste VPN server in ieder geval niet zo.

Mijn .nl domein wordt wel doorgestuurd naar mijn WAN IP (DNS A-record met of zonder 'www', verder niets),  maar daar moet ik me nog verder in verdiepen kwa certificaat werk en dergelijke en hoe ik dat het meest ideaal instel bij mijn domein/web hoster.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #10 Gepost op: 27 januari 2023, 21:50:40 »
Ik gebruik al jaren een eigen NL domein met bijbehorend SSL certificaat, en daar nooit problemen in gehad in het installeren ervan.
Of om het even het testen op betrouwbaarheid.
(Een verlopen certificaat  -  of maar net even één karakter verschil in de key of certificaat bij het testen ervan).

Heb geen ervaring met het gebruik van Let's Encrypt certificaten in relatie tot VPN.  Gebruik ik niet.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: OpenVPN onder DSM7.1.1-42963 Update 3
« Reactie #11 Gepost op: 30 januari 2023, 21:56:36 »
Update: ik heb de tijd kunnen nemen en nu werkt mijn DS218+ ook onder DSM 7.1.1 en laatste VPNServer versie.

@Babylonia Ondertussen hier nu ook op mijn .nl domeinnaam (dat naar mijn WAN IP verwijst) ook Let's Encrypt certificaat voor elkaar.
Alleen even afwachten hoe dat straks in April gaat met verlengen van dat certificaat.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)


 

OpenVPN: certifcaten en keys in één bestand

Gestart door BartSBoard VPN Server

Reacties: 4
Gelezen: 3197
Laatste bericht 06 maart 2016, 17:29:52
door BartS
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 196
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
OpenVPN '#redirect-gateway def1' werkt niet met gecomprimeerde data-overdracht

Gestart door BabyloniaBoard VPN Server

Reacties: 10
Gelezen: 5244
Laatste bericht 27 april 2018, 19:13:36
door Babylonia
Foutmelding OpenVPN, waaar probleem te zoeken?

Gestart door BabyloniaBoard VPN Server

Reacties: 4
Gelezen: 1895
Laatste bericht 06 oktober 2018, 12:33:49
door Babylonia
OpenVPN vragen mbt. clients

Gestart door HenkGroenBoard VPN Server

Reacties: 22
Gelezen: 3101
Laatste bericht 12 februari 2021, 17:55:23
door Plerry