OpenVPN onder DSM7.1.1-42963 Update 3

[André PE1PQX]

Ik heb op mijn DS218+ nog DSM 6.2.4 draaien omdat ik hierop OpenVPN server 1.3.14-2782 geinstalleerd heb.
Deze heb ik volgens dit topic aangepast i.v.m. veiligheid (Man In The Middle) en dergelijke.
Nieuwere versies van het OpenVPN server pakket 'vernielden' deze setup op een één of andere manier waardoor het niet meer werkte.

In hoeverre is de VPN Server onder DSM 7.1.1 veilig ten opzichte van de methode in het genoemde topic?
Als dit 'net zo goed' is, dan houd weinig me nog tegen om de laatste upgrade naar 7.1.1 te voltooien.
En kan ik dezelfde methode toepassen om de VPN server ook adequaat te beveiligen tegen diezelfde Man In The Middle attack's?

Het genoemde topic is nu wat rommelig geworden met 20 pagina's aan op- en aanmerkingen, en om al die 20 pagina's met 25 posts door te worstelen ontbreekt het me helaas aan tijd (druk met werken).

Ik gebruik VPN op mijn telefoon o.a. om gebruik te kunnen maken van mijn 2 Pi-Holes thuis, die irritante reclame die je anders krijgt.... BRR.
(Buiten dat ik het wel erg prettig vind om ook off-site eens thuis te kunnen inloggen op je LAN om daar eventuele bestanden te zoeken of om alvast een printje thuis klaar te hebben liggen)

[André PE1PQX]

Niemand een idee?

[André PE1PQX]

Lastig onderwerp gok ik....

[aliazzz]

Nee dit is geen simpel onderwerp, maar heeft wel een simpel antwoord: in jouw geval is UPDATEN altijd verstandiger dan twijfelen en niets doen. Dat lek is allang gepatched.

[Babylonia]

Met twee kattebelletjes om het onderwerp onder de aandacht te brengen, lijkt het alsof de meeste gebruikers het minder relevant vinden??

Zelf benut ik de VPN functies van een Synoloy router.
Dus kom eigenlijk niet toe aan een configuratie m.b.t. OpenVPN op een NAS.
Er is sinds de start van het bewuste onderwerp  -november 2014-  natuurlijk best veel veranderd,
van zowel officiële updates van DSM OS versies, alsook VPN Server pakketten, etc.

Heb evenwel als test nog eens een OpenVPN configuratiebestand gedownload, om te kijken wat daarin relevant is,
in relatie tot het onderhavige onderwerp over die "extra beveiliging".
En met eerdere downloads van configuratiebestanden vergeleken.

Gebruik zelf een eigen NL-domein voor het WAN IP-adres met een SSL-certificaat wat is geïmporteerd in de NAS.

Het geëxporteerde OpenVPN configuratiebestand voldoet in mijn situatie volledig aan de daarvoor gestelde eisen van beveiliging.
Een combinatie van een ingekapseld certificaat, alsook een persoonlijke sleutel (de basis van het onderwerp voor extra beveiliging).

Met een vergelijkbare set-up met wat ik voor VPN op een router gebruik voldoet de beveiliging uitstekend.
Als certificaat of sleutel niet voldoet (door veroudering), kan ik onder geen beding een VPN verbinding opbouwen.
(Bijv. na een jaar als een certificaat is verouderd  / verlopen en ik nog geen nieuw configuratiebestand heb samengesteld,
en geïmporteerd in al mijn apparaten waarbij ik als VPN Client een VPN verbinding wil opbouwen).

Afgezien van mogelijk net een minimaal andere opbouw van het OpenVPN configuratiebestand tussen router en NAS.
Houd ik de persoonlijke aanpassingen voor beide VPN set-ups gelijk.

[André PE1PQX]

@Babylonia bedankt voor je input, waar het mij om gaat is eigenlijk of de huidige versie van OpenVPN server onder DSM7 ook de feature heeft dat zowel client als server elkaar verifiëren bij het opbouwen van een verbinding en die feature zou ik het liefst willen behouden.
(tenminste, dit was als ik het goed begrepen heb het doel van die aanpassing, het weren van een Man-In-The-Middle aanval)
Nu kun je me misschien paranoïde noemen, maar zoals Dhr van Zweden (leerkracht sport op de RK-LTS in Emmen) ons ooit eens adviseerde op de vrijdag middag "Valhelm en Durex, beter safe than sorry!"

Ook heb ik zitten kijken naar WireGuard op één dan mijn Pi-Holes maar het niet kunnen blokkeren van landen (of eigenlijk beter het alleen toelaten van 2-3 landen) bij die manier houd mij nu nog tegen.
Mijn USG Pro 4 heeft wel treat-management (IPS/IDS) maar dan dondert mijn connectie van 1000/1000 in elkaar naar ongeveer 285Mbit/sec omdat de USG Pro het gewoon niet verder aan kan. (CPU limiet)

Waarom ik die VPN gebruik is 2-ledig:
1) Toegang tot mijn data en LAN en daarbij het weren van inlog-pogingen uit ongewenste landen
2) het hebben van een Add-Block (2x Pi-Holes) onderweg op mijn veeg-foon en vouw-pjoeter onderweg.
Dat het dan lijkt alsof ik thuis ben kwa internet, boeit me niet zo heel veel (is wel handig soms, dat dan weer wel)

Vandaar min vraag dus...

[Babylonia]

waar het mij om gaat is eigenlijk of de huidige versie van OpenVPN server onder DSM7 ook de feature heeft dat zowel client als server elkaar verifiëren bij het opbouwen van een verbinding en die feature zou ik het liefst willen behouden.

Dat kun je toch zelf uittesten, met als basis het standaard configuratiebestand wat je vanuit VPN Server exporteert?
Zonder naar de reacties en aanpassingen te kijken van dat speciale "VPN beveiliging" onderwerp?

De enkele persoonlijke aanpassingen die ikzelf ook bij een NAS heb ingesteld vanuit het voorbeeld van de OpenVPN configuratie van de router,
is net dezer dagen voorbij gekomen bij een ander onderwerp < HIER >.

[André PE1PQX]

@Babylonia Ja en nee, ik kan i.d.d. op een DSM7 NAS het pakket kunnen installeren en dan de config exporteren.
Dat heb ik dus gedaan maar zie daar slechts één config.ovpn en een readme staan (in de zip die je krijgt). In die .ovpn bestand is maar één certificaat vermeld. (inline heet dat geloof ik)

De bestanden voor de gemodde OpenVPN server bevat 5 bestanden, te weten:
ta.key
openvpn.ovpn (de config file)
client.key
client.crt
CA.crt

Dat is dus meer gegevens om de verbinding op te zetten dan alleen die .ovpn met één inline certificaat.
Daarom dus ook de vraag: hoe secure is het default? Of maak ik me druk om weinig?

[Babylonia]

Misschien gebruik je het verkeerde certificaat op je NAS om daarmee "veilig" een OpenVPN verbinding te maken??
(Men kan meerdere certificaten bij een NAS importeren / aanmaken, en voor verschillende services inzetten).

Ik gebruik een eigen NL domein met een SSL certificaat voor mijn WAN IP internetverbinding.
Importeer als basis dus reeds een private key  -  certificaat en een "bundle" certificaat.  (Allemaal onderdeel bij gebruik van een eigen domein).
Gewoon allemaal standaard, wat men zou moeten inzetten.
Één keer per jaar moet ik het SSL certificaat via mijn serviceprovider waar ik het domein heb ondergebracht vernieuwen.
Als het certificaat is verlopen, en nog niet aangepast, kan ik geen VPN verbinding opzetten.

Bij gebruik van een geldig (vernieuwd) certificaat.

Als ik vervolgens vanuit de VPN Server bij OpenVPN het configuratiebestand exporteer,
is dat inclusief private key en twee blokken certificaten zoals in mijn verwijzing getoond.

Naast een aan te passen WAN IP of domein om in te vullen.
Betreffen de enige persoonlijke aanvullingen die ik heb ingesteld:

float

dhcp-option DNS 1.1.1.2
dhcp-option DNS 1.0.0.2

auth-nocache

explicit-exit-notify            (helemaal onderaan)

[André PE1PQX]

Die .crt en .key bestanden worden lokaal gegenereerd door een programma 'XCA' met enkele templates (1e reactie in het boven genoemde topic).

Voor zover ik nagaan kan word er geen Let's Encrypt certificaat (of self-signed exemplaar van de Syno zelf) gebruikt bij het opbouwen van een VPN connectie, volgens mij worden die alleen bekeken door de browser als je naar de NAS surft.
Want dan lijkt mij dat je iedere keer als die SSL-certificaat vernieuwd word je al je VPN clienten ook opnieuw van de juiste certificaten moet voorzien... Toch?? En dat is bij die aangepaste VPN server in ieder geval niet zo.

Mijn .nl domein wordt wel doorgestuurd naar mijn WAN IP (DNS A-record met of zonder 'www', verder niets),  maar daar moet ik me nog verder in verdiepen kwa certificaat werk en dergelijke en hoe ik dat het meest ideaal instel bij mijn domein/web hoster.

[Babylonia]

Ik gebruik al jaren een eigen NL domein met bijbehorend SSL certificaat, en daar nooit problemen in gehad in het installeren ervan.
Of om het even het testen op betrouwbaarheid.
(Een verlopen certificaat  -  of maar net even één karakter verschil in de key of certificaat bij het testen ervan).

Heb geen ervaring met het gebruik van Let's Encrypt certificaten in relatie tot VPN.  Gebruik ik niet.

[André PE1PQX]

Update: ik heb de tijd kunnen nemen en nu werkt mijn DS218+ ook onder DSM 7.1.1 en laatste VPNServer versie.

@Babylonia Ondertussen hier nu ook op mijn .nl domeinnaam (dat naar mijn WAN IP verwijst) ook Let's Encrypt certificaat voor elkaar.
Alleen even afwachten hoe dat straks in April gaat met verlengen van dat certificaat.