Auteur Topic: OpenVPN over poort 443  (gelezen 4361 keer)

Offline Geus

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 2
  • Berichten: 45
OpenVPN over poort 443
« Gepost op: 08 april 2018, 17:15:07 »
Goeie dag. Ik vraag graag jullie hulp bij het volgende.

Sinds enige tijd heb ik mijn OpenVPN draaien op port 443 (TCP) van mijn DS met daarbij de hardening, zoals beschreven door ons eerwaarde forumlid MMD. Afgelopen week kreeg ik bij het verbinden onverwachts de volgende foutmelding:

WARNING: Bad encapsulated packet length from peer (18516), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]

Na wat uitzoekwerk kom ik tot de volgende bevindingen:
1.   Wanneer ik client en server overzet op poort 1194, werkt alles weer prima.
2.   De laatste keer dat de verbinding op poort 443 goed functioneerde, was op 30 maart jl. de dag waarop de laatste update van DMS bij mij werd geïnstalleerd (versie 6.1.6-15266).
3.   In het log van de vpn-server staat geen melding dat deze hierbij is gestopt. Ook bleken alle config-files in /usr/syno/etc/packages/VPNCenter/openvpn onveranderd.
4.   Bij het nakijken van het change-log van 6.1.6-15266 zag ik o.m. de volgende beveiligings-update:

Synology-SA-18:14 DSM: Multiple vulnerabilities allow remote attackers to steal credentials or inject arbitrary web script or HTML via a susceptible version of Synology DiskStation Manager (DSM).

5.   Wanneer ik in mijn browser (ongeacht welke) type http://<local_IP>/, dan springt hij vanzelf naar de DMS-pagina http://<local_IP/5000. Of naar https://<local_IP/5001 als de optie HTTP verbindingen automatisch omleiden naar HTTPS staat gevinkt (Netwerk, laatste tab).  Evenzo springt hij van https://<local_IP>/ naar https://<local_IP/5001.
6.   Ik trek hieruit de voorzichtige conclusie dat de client bij het verbinden niet bij de vpn-server uitkomt, maar bij de web-server van het DMS (nginx).
7.   Bij mijn instellingen voor reverse proxy in DSM is niets ingesteld (Toepassingenportaal).

Nu wil ik heel graag poort 443 blijven gebruiken en begrijpen wat er met m'n NAS is gebeurd. Heeft iemand misschien een antwoord?
Alvast bedankt.
  • Mijn Synology: DS918+
  • HDD's: WD Red

Offline Hutje

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 202
  • -Ontvangen: 221
  • Berichten: 1.811
Re: OpenVPN over poort 443
« Reactie #1 Gepost op: 08 april 2018, 19:52:31 »
Kijk even in ControlPanel hoe de redirect HTTP > HTTPS settings staan :

40368-0

Klopt dit wat je hebt staan :

5.   Wanneer ik in mijn browser (ongeacht welke) type http://<local_IP>/, dan springt hij vanzelf naar de DMS-pagina http://<local_IP/5000. Of naar https://<local_IP/5001 als de optie HTTP verbindingen automatisch omleiden naar HTTPS staat gevinkt (Netwerk, laatste tab).  Evenzo springt hij van https://<local_IP>/ naar https://<local_IP/5001.
Poort 443 is immers de HTTPS  poort.
Dus lijkt mij dat je het vinkje daar niet aan wilt hebben....

DS1515+  [3x 8TB + 1x 4TB + 1x 3TB]  8 GB DDR3 DSM 6.1.7-15284 Update 3
DS1512+  [3x 4TB + 2x 2TB]  4 GB DDR3 DSM 6.1.7-15284 Update 3
DS411j     [3 x 2TB SHR] DSM 6.1.7-15284 Update 3
DS211j     [TEST-NAS] DSM 6.1-15101
RT1900    [AP-mode] SRM 1.2-7742
UPS          APC Back-UPS ES 700G

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN over poort 443
« Reactie #2 Gepost op: 08 april 2018, 23:26:42 »
Zo lezend zou ik vermoeden dat er iets anders luistert op poort 443.
Oftewel, client probeert b.v. met een HTTP/s server te verbinden... of iets dergelijks.

Controle gedaan met
netstat -atunp?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Geus

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 2
  • Berichten: 45
Re: OpenVPN over poort 443
« Reactie #3 Gepost op: 10 april 2018, 23:11:54 »
netstat -atunp
Verwijzingen naar 443 zijn als volgt:

Citaat
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
...
tcp6       0      0 :::443                  :::*                    LISTEN

port in openvpn.conf.user had ik al op 1194 gezet en de portforwarding op de router de vertaalslag laten maken van 443 (buiten) naar 1194 (binnen). Dit werkt. Maar ik voel me toch een beetje bestolen van mijn 443 poort voor OpenVPN.

Ik las ergens dat je met Apache 443 kunt delen tussen de webserver en OpenVPN. Hoe werkt dat?
  • Mijn Synology: DS918+
  • HDD's: WD Red

Offline Geus

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 2
  • Berichten: 45
Re: OpenVPN over poort 443
« Reactie #4 Gepost op: 10 april 2018, 23:20:55 »
Citaat
Dus lijkt mij dat je het vinkje daar niet aan wilt hebben....

Dank voor je antwoord.
Het vinkje zegt dat hij automatisch van http://<local_IP>/5000 naar https://<local_IP>/5001 moet springen.
Van https://<local_IP>/ verspringen naar https://<local_IP>/5001 is nieuw.
  • Mijn Synology: DS918+
  • HDD's: WD Red

Ben(V)

  • Gast
Re: OpenVPN over poort 443
« Reactie #5 Gepost op: 11 april 2018, 09:49:57 »
Dit werkt. Maar ik voel me toch een beetje bestolen van mijn 443 poort voor OpenVPN.

Dit zijn de poorten die Synology zelf gebruikt en uiteraard kun je die dan niet ook nog een keer voor een eigen applicatie gebruiken.

https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

Zie eigenlijk ook geen reden waarom je perse 443 wilt gebruiken.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: OpenVPN over poort 443
« Reactie #6 Gepost op: 11 april 2018, 18:39:19 »
port in openvpn.conf.user had ik al op 1194 gezet en de portforwarding op de router de vertaalslag laten maken van 443 (buiten) naar 1194 (binnen).
Zo heb ik het ook dus heb dit probleem nooit gehad, vindt het eigenlijk ook niet echt een probleem.
netstat -atunp laat bij mij ook het proces zien voor poort 443, nginx, bij jou niet, zal versie afhankelijk zijn dan.

Citaat
Ik las ergens dat je met Apache 443 kunt delen tussen de webserver en OpenVPN. Hoe werkt dat?
Zie:
OpenVPN #7: Poort delen/proxy


Of het package sslh.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 197
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
OpenVPN '#redirect-gateway def1' werkt niet met gecomprimeerde data-overdracht

Gestart door BabyloniaBoard VPN Server

Reacties: 10
Gelezen: 5244
Laatste bericht 27 april 2018, 19:13:36
door Babylonia
Inloggen via OpenVPN met certificaat

Gestart door UhhhBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 2184
Laatste bericht 20 december 2014, 23:42:32
door Uhhh
NAS als openvpn client/Samba/Torrents/VM

Gestart door m2000Board Aankoopadvies

Reacties: 3
Gelezen: 1373
Laatste bericht 30 oktober 2018, 20:18:38
door Pippin
2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2715
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX