Auteur Topic: openVPN vraagjes  (gelezen 6331 keer)

Offline pa3hio

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 18
  • Berichten: 224
    • Weerstation Waalwijk
openVPN vraagjes
« Gepost op: 22 november 2017, 08:47:31 »
Ik heb een openVPN server in de NAS opgestart, en ingesteld, dit werkt. Ik gebruik hiervoor de standaard client versie van openVPN, om met mijn windows PC een verbinding te maken.
Tijdens de verbindings-opbouw, zie ik in  het venster van de openVPN client wat rode meldingen, die betrekking hebben op de beveiliging.
Mijn vragen zijn:
- standaard gebruikt de server het UDP protocol, is TCP niet beter ?
- de codering staat default op BF-CBC, kan ik niet beter iets van AES-192 of zelfs AES-256 kiezen, en welke verificatie (nu SHA1) moet ik dan kiezen ?

Voorde duidelijkheid: de verbinding werkt, maar ik vroeg me af hoe ik de rode waarschuwingsteksten "aan moet pakken"  :)

Alvast bedankt voor het mee denken.
DS718+     (2 * WD red) 16 GB memory
DS218+.    (2 * WD red) 10 GB memory
RT2600ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8047
  • Berichten: 44.189
  • Fijne feestdagen.......
    • Truebase
Re: openVPN vraagjes
« Reactie #1 Gepost op: 22 november 2017, 09:03:56 »
Citaat
TCP niet beter
TCP is niet beter maar, langzamer dan UDP.

Citaat
e codering staat default op BF-CBC, kan ik niet beter iets van AES-192 of zelfs AES-256 kiezen
Ik gebruik AES-256-CBC.

Citaat
welke verificatie (nu SHA1) moet ik dan kiezen ?
Ik gebruik SHA512

Citaat
zie ik in  het venster van de openVPN client wat rode meldingen
En wat voor een rode meldingen dan?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline pa3hio

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 18
  • Berichten: 224
    • Weerstation Waalwijk
Re: openVPN vraagjes
« Reactie #2 Gepost op: 22 november 2017, 10:01:41 »
Birdy, hier kan ik wel wat mee :) De meldingen hebben betrekking op de (nu) te lage beveiligings-instellingen. Ik ga dit bekijken, en kom er op terug.

DS718+     (2 * WD red) 16 GB memory
DS218+.    (2 * WD red) 10 GB memory
RT2600ac

Ben(V)

  • Gast
Re: openVPN vraagjes
« Reactie #3 Gepost op: 22 november 2017, 11:38:33 »
Even ter uitleg.

UDP is een handshake less protocol, wat inhoud dat het aan de ene kant verzonden worden en er niet gekeken wordt of het aankomt.
Dat is voor normaal verkeer alleen werkbaar op zeer betrouwbare verbindingen of voor broadcast achtig verkeer.

Echter als je een VPN gebruikt dan zorgt het VPN protocol voor een gegarandeerde aflevering en kun je binnen die VPN tunnel dus gerust UDP gebruiken.
En zoals te verwachten was, heeft UDP minder overhead dan TCP dus heeft het de voorkeur boven TCP binnen een VPN.

Offline pa3hio

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 18
  • Berichten: 224
    • Weerstation Waalwijk
Re: openVPN vraagjes
« Reactie #4 Gepost op: 22 november 2017, 14:27:42 »
Dank je Ben, duidelijke uitleg. Waarom kies je er in het ene geval wel, en in het andere geval niet voor, om alle data via de tunnel te laten lopen? Alles door de VPN tunnel vertraagt, maar is dat dan wel veel veiliger?
DS718+     (2 * WD red) 16 GB memory
DS218+.    (2 * WD red) 10 GB memory
RT2600ac

Ben(V)

  • Gast
Re: openVPN vraagjes
« Reactie #5 Gepost op: 22 november 2017, 14:36:13 »
Eigenlijk is er geen keuze, alle andere methoden dan VPN zijn een security risico.

VPN heeft enkele voordelen.
1. Het is veel veiliger en sterk encrypted.
2. Je hoeft maar een poort te forwarden en daarna is het gewoon alsof je op het lan zit.
3. Die ene poort staat onder controle van de VPN server en is dus niet(voor zover bekent) te hacken.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8047
  • Berichten: 44.189
  • Fijne feestdagen.......
    • Truebase
Re: openVPN vraagjes
« Reactie #6 Gepost op: 22 november 2017, 15:07:01 »
Citaat
Alles door de VPN tunnel vertraagt
Dat is wat kort door de bocht, normaal gesproken mag/kan dit niet traag zijn, behalve als er slechte verbindingen ontstaan (op afstand) maar, dat heb je ook als je met andere oplossing dan VPN.
Vaak zit het tussen de up/down stream bij 1 of beide Providers.

Hoe denk je dat mensen thuis kunnen werken, met VPN natuurlijk, er is geen betere oplossing voor thuiswerkers.
Zelf werk ik ook thuis, en heb altijd een prima VPN connectie met het bedrijf.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline pa3hio

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 18
  • Berichten: 224
    • Weerstation Waalwijk
Re: openVPN vraagjes
« Reactie #7 Gepost op: 23 november 2017, 11:32:14 »
Birdy, met jouw settings werkt het ook weer direct, blij mee ! Wanneer ik het thuis test, en ik verbreek de verbinding, kan ik deze niet weer direct verbinden, ik moet enkele minuten wachten, met de laptop buitenshuis heb ik dit niet, geen probleem, maar het viel me op. Dit treedt zowel op de mac, als op Windows op, maar alleens binnenshuis.

Wat is een aan te raden IP-range om te gebruiken? Ik heb maar weer de standaard van 10.8.0.1 aangehouden.
Een van de doelen is om tijdens vakantie met de Ipad, de ziggo-app te gebruiken, om TV te kijken, is voor deze toepassing het IP adres nog van belang?

DS718+     (2 * WD red) 16 GB memory
DS218+.    (2 * WD red) 10 GB memory
RT2600ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.991
Re: openVPN vraagjes
« Reactie #8 Gepost op: 23 november 2017, 11:39:41 »
Welke IP-range wordt gebruikt is zeker belangrijk.
Omdat men feitelijk met 3 sub-nets te maken heeft, mogen die niet met elkaar in conflict komen.

https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135813/#msg135813
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8047
  • Berichten: 44.189
  • Fijne feestdagen.......
    • Truebase
Re: openVPN vraagjes
« Reactie #9 Gepost op: 23 november 2017, 11:44:50 »
Ik heb mij nog nooit bezig gehouden over IP-Ranges, neem gewoon wat er standaard gegeven wordt, het is maar virtueel.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8047
  • Berichten: 44.189
  • Fijne feestdagen.......
    • Truebase
Re: openVPN vraagjes
« Reactie #10 Gepost op: 23 november 2017, 11:48:12 »
Toevoeging: Als je b.v. je NAS wilt aanspreken, dan gebruik je immers niet een virtueel (b.v. 10.8.0.1) maar het IP-adres van de NAS zelf of NAS-naam.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.991
Re: openVPN vraagjes
« Reactie #11 Gepost op: 23 november 2017, 12:02:01 »
Maar als je daarbij op locatie onder een WiFi netwerk daar in eenzelfde standaard "normaal" LAN sub-net bereik zit, als wat je thuis ook gebruikt, heb je een conflict.  Dat is het achterliggende idee van andere IP bereiken gebruiken.  Omdat je er hooguit alleen thuis rekening mee zou kunnen houden (op locatie kun je niets veranderen), thuis juist "een niet standaard" IP-bereik instellen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: openVPN vraagjes
« Reactie #12 Gepost op: 23 november 2017, 22:28:13 »

64bit block ciphers moeten vermeden worden i.v.m. SWEET32, b.v. BF-CBC.

De huidige aanbeveling vanuit OpenVPN is minimaal AES-128-CBC en SHA256.

Oplopende volgorde is:
AES-128-CBC - AES-192-CBC - AES-256-CBC

SHA1 - SHA224 - SHA256 - SHA384 - SHA512
SHA224 t/m SHA512 vallen onder SHA2.
De RSA-SHAxxx keuzes zijn hetzelfde als de bovenstaande, het is slechts een andere benaming.


TCP of UDP, reeds hierboven geschreven m.b.t. het verschil, aanbevolen is UDP.
TCP kan ook goed werken. Wanneer TCP door de tunnel gaat kan dat eventueel tot problemen leiden die hier beschreven staan: http://sites.inka.de/bigred/devel/tcp-tcp.html
Uit eigen ervaring kan ik schrijven dat SSH en SCP door een TCP tunnel niet altijd even goed werkt, zeker als de lijn/WiFi wat trager is en ping hoog.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8047
  • Berichten: 44.189
  • Fijne feestdagen.......
    • Truebase
Re: openVPN vraagjes
« Reactie #13 Gepost op: 23 november 2017, 23:14:40 »
Dus, ik zit nog steeds op het goede spoor ;)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline pa3hio

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 18
  • Berichten: 224
    • Weerstation Waalwijk
Re: openVPN vraagjes
« Reactie #14 Gepost op: 24 november 2017, 15:33:53 »
Dank allen voor de leerzame antwoorden. @MMD, default stond deze op BF-CBC, maar is dus reeds aangepast.
DS718+     (2 * WD red) 16 GB memory
DS218+.    (2 * WD red) 10 GB memory
RT2600ac


 

2 factor authenticatie toevoegen aan openvpn

Gestart door RubenskyBoard VPN Server

Reacties: 7
Gelezen: 2726
Laatste bericht 08 maart 2021, 16:15:00
door André PE1PQX
OpenVPN '#redirect-gateway def1' werkt niet met gecomprimeerde data-overdracht

Gestart door BabyloniaBoard VPN Server

Reacties: 10
Gelezen: 5249
Laatste bericht 27 april 2018, 19:13:36
door Babylonia
Inloggen via OpenVPN met certificaat

Gestart door UhhhBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 2186
Laatste bericht 20 december 2014, 23:42:32
door Uhhh
OpenVPN: certifcaten en keys in één bestand

Gestart door BartSBoard VPN Server

Reacties: 4
Gelezen: 3206
Laatste bericht 06 maart 2016, 17:29:52
door BartS
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 248
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy