Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: Tom3k op 30 maart 2018, 12:24:04
-
Beste allen, ik ben me sinds kort aan het verdiepen in het veilig benaderen van bepaalde apps op mijn NAS. Ik heb veel gelezen, maar niet alles is mij duidelijk. Hopelijk kunnen jullie mij helpen met onderstaande vragen.
Ik wil enkel dat ik toegang heb tot een paar apps (DS Cam, DS Foto, mogelijk nog benaderen van 1 specifieke map met documenten), dus niet meteen mijn hele netwerk.
Om DS Cam te benaderen heb ik HTTPS ingesteld in DSM alsmede 2 step verification. Daarnaast had ik op mijn Asus router (bridgemodus met Ziggo modus) de betreffende poort open gezet en daarbij had ik als source IP het IP adres van mijn telefoon. Hierdoor werden alle andere IP adressen van buitenaf al bij de poort (router) tegengehouden. Ik testen en blij want het werkte perfect. Als ik een afwijkend IP in Source IP zette dan kon ik er met mijn 4G niet bij, maar bij correcte source IP wel. Dit toont meteen mijn onervarenheid, want toen ik een dag later vol trots mijn prestaties aan iemand op werk wilde tonen, kwam ik natuurlijk van een koude kermis thuis dankzij dynamische IP van Vodafone 4G abo.
Mijn wens is echter nog steeds een zo beperkt mogelijke toegang van buitenaf en dat enkel met een paar apparaten zoals eigen smartphone en misschien later nog tablet/laptop.
Nu denk ik over (Open?)VPN en bij voorkeur niet via 3de partij. Maar ik heb meerdere vragen.
Ik kan op mijn Asus router VPN server instellen, maar het kan ook met DSM. Stel je doet het enkel op DSM en ik zet de poort op router open. Houdt dit dan niet in dat in principe de connectie met DSM beveiligd is, maar andere eventuele apparaten die via die poort praten niet? Immers, VPN op DSM is niet VPN op router toch? Ik bedoel, ik lees dat je op router 1701, 500, en 4500 moet port forwarden, maar dan zijn andere apparaten die ook van die poorten gebruik maken toch zomaar benaderbaar via internet?
Ik lees dat je met VPN op DSM kunt instellen welke gebruikers ervan gebruik kunnen maken. Klopt het dat het dan sowieso veiliger is om daarvoor gebruikers te gebruiken zonder admin rechten?
Hoe kan ik mijn wens zo makkelijk mogelijk invullen? Ik heb topics over "OpenVPN #1: Beter beveiligen" gelezen, maar dat vind ik wel erg ingewikkeld en volgens mij ook overkill voor mijn behoefte, maar ik hoor het graag van jullie.
Alvast dank en groeten!
Tom
-
Beperken van toegang tot enkele apparaten is op basis van wisselende mobiele IP-adressen niet mogelijk zoals je hebt gemerkt.
Maar je kunt in de Firewall wel regels aanpassen die de toegang beperken tot enkele regio's. Bijvoorbeeld alleen vanuit Nederland. Ga je op vakantie neem je de toegang van die andere landen erbij. Als je dan ook alleen de toegang via VPN regelt, heb je een aardig strenge beveiliging.
Poorten 1701, 500, en 4500 worden alleen voor een VPN-server gebruikt (met L2TP/IPSec protocol).
Als je op andere apparaten geen VPN-servers instelt, worden die poorten dus niet door andere apparaten gebruikt.
Door bijv. gebruik te maken van de VPN-server mogelijkheden op de NAS, stuur je die poorten door naar de NAS.
Er is van buitenaf dan geen mogelijkheid om "rechtstreeks" via die poorten andere apparaten te bereiken dan alleen je NAS.
En dat ook alleen via het VPN protocol.
Wel is het mogelijk als eenmaal de VPN-verbinding tot stand is gekomen, andere apparaten in je thuis netwerk te benaderen.
(Daar ligt nu juist de kracht van VPN voor veel "thuisgebruikers"). Maar daar zijn naar wens ook wel weer beperkingen op in te stellen.
Je hebt geen betaalde 3e partij externe VPN-dienst nodig om van buitenaf je eigen geïnstalleerde VPN-server te benaderen.
Verder zou ik beslist andere gebruikers die je toegang wilt verlenen tot je NAS, geen adminrechten geven.
-
Dank voor je reactie. Het wordt mij al een stuk duidelijker.
Nog wel paar vragen naar aanleiding van je reactie:
"Wel is het mogelijk als eenmaal de VPN-verbinding tot stand is gekomen, andere apparaten in je thuis netwerk te benaderen." Dat volg ik niet helemaal. Ik begrijp dat als je VPN server op je NAS hebt ingesteld en je router die VPN poorten forward naar je NAS, dat je eigenlijk alleen met een VPN verbinding bij je NAS kunt komen en niet bij andere apparaten (bv IPCamera).
Hoe kun je als je eenmaal een VPN verbinding tot stand hebt gebracht met je NAS toch bij andere apparaten in je thuisnetwerk komen?
Je hebt het over L2TP/IPSec. Is dat secure genoeg? Ik lees geregeld dat OpenVPN veiliger is en sneller. Of is dat overkill?
Indien L2TP/IPSec: Mijn Galaxy S8 heeft VPN functie waar ik dat kan instellen, maar daar zie ik veel opties;
L2TP/IPSec PSK
L2TP/IPSec RSA
IPSec Hybrid RSA
IPSec Hybrid PSK
IPSec Xauth PSK
IPSec Xauth RSA
IPSec IKEv2 PSK
IPSec IKEv2 RSA
Wat moet ik dan kiezen?
Alvast dank!
-
Ik begrijp dat als je VPN server op je NAS hebt ingesteld en je router die VPN poorten forward naar je NAS, dat je eigenlijk alleen met een VPN verbinding bij je NAS kunt komen
Die port forwarding is inderdaad nodig om bij de VPN Server op je NAS te komen.
en niet bij andere apparaten (bv IPCamera).
Dat is niet waar:
Hoe kun je als je eenmaal een VPN verbinding tot stand hebt gebracht met je NAS toch bij andere apparaten in je thuisnetwerk komen?
Daar zorgt VPN voor, je kunt alle apparaten gewoon benaderen alsof je thuis bent.
Op deze manier kunnen ook werknemers thuiswerken alsof ze op kantoor zitten.
Zou kiezen voor OpenVPN, is de meest veilige VPN verbinding!
-
@Tom3k
Bij een VPN-verbinding is het "alsof je thuis" bent. Normaal thuis kun je als voorbeeld een mediaspeler oproepen, een andere PC (als die in het netwerk hangt), of net wat er meer in je netwerk zit.
Zelf gebruik ik een VPN-verbinding bijvoorbeeld expliciet om het netwerkbeheer van een organisatie "op afstand" bij te houden.
Routers, managed switches, Access Points, Printers... Ik hoef er niet speciaal voor naar de organisatie te gaan om daar ter plekke instellingen te wijzigen. Een stuk handiger als er eens iets aan de hand is. ;)
Je hebt het over L2TP/IPSec. Is dat secure genoeg? Ik lees geregeld dat OpenVPN veiliger is en sneller. Of is dat overkill?
Eerder heb je het specifiek over de poorten 500, 1701, 4500 Dat hoort bij L2TP/IPSec en niet bij OpenVPN.
Of je de ene methode gebruikt of de andere. Beide methodes zijn prima in te zetten. Als je PPTP maar beter nalaat.
Verder een ander advies dan @Birdy :P
Omdat je nog helemaal van start moet gaan en geen ervaring hebt met VPN zou ik niet meteen met OpenVPN beginnen.
Daar zul je naar ik vermoed, net als de meeste "instap" gebruikers in het begin gegarandeerd wel ergens op vast lopen.
Start met L2TP/IPSec, en als je daar gedurende de tijd wat meer ervaring mee hebt, kun je alsnog naar OpenVPN overstappen.
In je smartphone bovenste in het rijtje L2TP/IPSec PSK
-
Die redenering kan ik niet goed volgen.
Men hoeft geen L2TP in te stellen om OpenVPN in te stellen ;)
Nu of later maakt geen verschil, behalve dan dat men misschien bij L2TP blijft hangen omdat het werkt... ;)
Gewoon met OpenVPN aan de slag gaan.
Vragen kunnen hier op het forum gesteld worden, antwoorden komen vanzelf.
-
Mijn ervaring is, dat OpenVPN veel makkelijker te implementeren is dan L2TP/IPSec PSK maar goed, dat is dan mijn mening.... ;D
En wat @MMD (OpenVPN specialist) aangeeft, OpenVPN ! ;D
De basis, vind je hier (https://www.synology.com/nl-nl/knowledgebase/DSM/help/VPNCenter/vpn_setup).
-
Die redenering kan ik niet goed volgen.
Ik wel. De meeste vragen m.b.t. VPN gaan over OpenVPN omdat mensen erop vast lopen en dat vanuit "geen ervaring met VPN" te hoog is gegrepen. Begin gewoon eenvoudiger. Dat geldt voor alles wat je doet. Juist de OpenVPN specialist als @MMD zou dat moeten snappen.
(Of is misschien juist door een OpenVPN "tunnelvisie" blind daarvoor 8) ).
-
Mijn ervaring is dat "L2TP/IPSec" juist simpeler is dan OpenVPN omdat het native al aanwezig is op al mijn apparatuur.
Op mijn mac's is dat geïntegreerd in het OS terwijl je OpenVPN apart moet installeren en OpenVPN is ook niet zichtbaar in netwerkbeheer. Ook op mijn Android telefoon zit "L2TP/IPSec" er standaard op. Dat maakt het gebruik simpeler en updates van het OS zullen er voor zorgen dat het compatibel met het OS blijft. Geen externe programma's die bij een update van het OS plots weer kuren gaan vertonen.
-
Blijf erbij dat het nergens voor nodig is een omweg te nemen naar het doel.
Een omweg die geen informatie verschaft m.b.t. het instellen van OpenVPN.
Men kan beter een "Networking 101" cursus volgen ;)
OpenVPN is prima in te stellen in VPN Server.
Om het met "verstandige" instellingen te doen, gewoon zoeken en/of vragen stellen.
Als men geen third party software wil installeren, prima, kies dan ergens anders voor.
-
Allen alvast hartelijk dank voor de antwoorden. Ik lees dat zodra ik een VPN verbinding tot stand heb gebracht, je direct bij alle devices in het LAN netwerk kunt komen. Ik snap alleen niet waarom ik dan de port moet forwarden naar de NAS terwijl vervolgens toch alles bereikbaar is. Is dat simpelweg om correct bij de VPN server van de NAS te komen die er vervolgens voor zorgt dat je toegang hebt tot heel je netwerk?
Zo ja, is er ook een manier om die toegang toch te beperken tot enkel je NAS?
Als je ook op je Router een VPN server kunt aanmaken (wat kan met mijn Asus RT-AC68U router), is dat dan aan te bevelen boven de Synology NAS VPN server of niet (en waarom?)?
Moet ik nog iets doen met firewall settings op NAS, of niet?
Nogmaals dank!
-
Die port forwarding is nodig om bij de VPN-server van de NAS te kunnen komen.
Van daaruit heb je een VPN-verbinding en zit je "in je thuis netwerk".
Om de toegang te beperken tot alleen de NAS zou ik dat zelf eerst even moeten uitproberen met aanpassen firewall regels.
(Ik heb ze standaard juist zodanig staan dat ik in het netwerk kan komen).
M.b.t. een VPN-server op de Asus RT-AC68U router zou ik dat ook eerst moeten bestuderen welke opties daar voorhanden zijn.
Maar als het de bedoeling is alleen bij je NAS te komen, lijkt me de keus om de VPN-server op de NAS in te stellen logischer.
-
Voor OpenVPN,
Als alleen de NAS bereikbaar moet zijn (en blijven) draai je daar de VPN.
Om enkel toegang tot de NAS te hebben vink je "Clients toegang geven de LAN-server" niet aan.
-
Het is mij zowaar gelukt om een OpenVPN verbinding tot stand te brengen en in te loggen op DS Cam enzo. Hiervoor heb ik OpenVPN Connect voor Android gebruikt. Ik had het VPNConfig bestand aangepast en geïmporteerd in de app. Toen vroeg hij nog om het CA bestandje, maar als ik dat gebruikte werkte het niet, maar toen ik het nog eens probeerde en die stap oversloeg, toen werkte het wel. Kan iemand mij dit uitleggen? Klopt het zoals ik het heb gedaan, of zou het CA bestandje toch correct geïmporteerd moeten worden en loop ik nu risico omdat ik dat niet heb gedaan?
Verder:"Om enkel toegang tot de NAS te hebben vink je "Clients toegang geven de LAN-server" niet aan." Ben ik heel blij mee en de zin zegt het inderdaad al :) Vind ik toch veiliger zo.
Ik las ergens dat je niet je admin account moet gebruiken voor VPN. Ik heb dat niet gedaan, maar waarom is dat?
Ik heb een nieuwe DSM account gemaakt speciaal voor VPN connectie. Geen rechten, enkel recht om op VPN in te loggen (en alle andere gebruikers dat recht weggenomen). Vervolgens als ik de verbinding tot stand heb gebracht, log ik in met mijn eigen account die wel adminrechten heeft. Is dat goed zo?
Als OpenVPN instellingen had ik trouwens niks veranderd aan Dynamisch IP, of max aantal verbindingen. Poort 1194 UDP, Codering AES-256-CBC, Verificatie SHA256, Compressie op de VPN koppeling ingeschakeld en Client toegang geven tot de LAN server uit en ook IP6 servermodus uit (wat is dat?). Zijn mijn instellingen zo ok?
Wederom dank!
Ps; ben nog steeds nieuw met deze materie, maar toch grappig als je ermee bezig bent en erover gaat nadenken. Geregeld valt er weer een kwartje en denk je; Ah ja, logisch eigenlijk :)
-
Verder:"Om enkel toegang tot de NAS te hebben vink je "Clients toegang geven de LAN-server" niet aan."
Het enige domme daaraan is dat er een i-tje achter staat die je naar de helpfile verwijst voor verdere uitleg. Maar als je dat doet, staat er in de help maar één regel die de naam van de functie herhaalt. "Tik op 'Clients toegang geven tot de LAN-server' om clients toegang te geven tot de LAN-server." Je wordt er dus niets wijzer van dan de wat de naam ook al aangeeft. Dat hele i-tje en doorverwijzing naar de helpfile hadden ze beter weg kunnen laten.
Ik las ergens dat je niet je admin account moet gebruiken voor VPN. Ik heb dat niet gedaan, maar waarom is dat?
Om een inlog te brute-forcen heb je naam en wachtwoord nodig. Een expert kan vaak op afstand al zien dat het een Synology is en dat daar het standaard account "Admin" is. Als je dat account niet actief is, moet de aanvaller én accountnaam én wachtwoord raden.
-
@Tom3k
Mooi dat je OpenVPN in één keer werkend hebt gekregen.
Veel gebruikers lukt dat niet (waaronder indertijd ikzelf toen ik ooit als beginneling met VPN begon).
@Briolet heeft al een uitleg gegeven waarom niet het specifieke "admin" gebruiksaccount (met de inlognaam "admin") te gebruiken, maar een ander gekozen inlognaam waaraan je dan adminrechten geeft. En dan geldt dat meer voor jezelf als jezelf inlogt als gebruiker met adminrechten.
Maar die instelling met een andere "hoofd" admingebruiker is als het goed is reeds bij de installatie van DSM gebeurd vanuit de installatie Wizard. (Tegenwoordige DSM versies doen dat namelijk reeds automatisch, en schakelen het basis "admin" account met die naam uit).
Maar ik denk dat je eerder doelde op andere gebruikers die je tevens ook toegang wilt laten verschaffen naar je NAS (bijv. gezinsleden, familie...). Die geef je natuurlijk geen adminrechten, want daarmee kunnen ze alle instellingen van de NAS veranderen, maar geef je slechts beperkte rechten om bepaalde mapjes in te kunnen zien, en alleen eigen persoonlijke mapjes de rechten om daarin naar eigen wens data te plaatsen.
-
Bij mijn eerste NAS DS212J had ik inderdaad nog een ADMIN log in, maar bij mijn nieuwe DS718+ was ADMIN al direct gedisabled en moest ik direct een admin account aanmaken bij installeren.
Klopt het dat ik bij instellen OpenVPN op mijn android toestel geen CA document hoefde te gebruiken?
Groeten!
Tom
-
Je importeert het OpenVPN profiel, die je geëxporteerd (VPN Server) en aangepast hebt, in de app. hier zit het Certificaat al in.
-
Hmm, ik downloadde een zip bestandje met daarin 3 files;
CA beveiligingscertificaat
README
VPNConfig
Bedoel je dat dat CA bestandje ook ingebakken zit in het VPNConfig gestand? ZO ja, waarom zit het CA bestandje er dan nog los bij?
-
In VPNConfig.ovpn zit het Certificaat (kijk zelf maar eens in die file):
<ca>
-----BEGIN CERTIFICATE-----
.
.
.
-----END CERTIFICATE-----
</ca>
Dus, als je in "OpenVPN Connect" kiest voor "OVPN Profile / Connect with .ovpn file" dan importeer je "VPNConfig.ovpn" (die je eerst op je telefoon hebt gezet) met de optie "IMPORT".
That's it. ;)
ZO ja, waarom zit het CA bestandje er dan nog los bij?
"ca.crt" is alleen nodig voor OpenVPN "systemen" die je handmatig moet configureren en dat zijn er niet veel (denk ik).
Daarom is het opzetten van OpenVPN zo handig en simpel, zoals eerder heb aangegeven. 8)
-
Bij mij staat er geen certificaat in "openvpn.ovpn". Dat was een configuratiebestand uit april 2016.
Ik heb net even een nieuwe export bij OpenVPN gedaan en zie dat het certificaat tegenwoordig inderdaad in het ".ovpn" bestand zelf opgenomen is. :P
Volgens mij heb ik hem vroeger ook niet expliciet hoeven te importeren en haalde de cliënt hem automatisch uit de folder waar ook het ".ovpn"" bestand in stond. De naam van het certificaatbestand stond wel in ".ovpn""
-
Meeste vragen zijn beantwoord :thumbup:
Ik heb een nieuwe DSM account gemaakt speciaal voor VPN connectie. Geen rechten, enkel recht om op VPN in te loggen (en alle andere gebruikers dat recht weggenomen). Vervolgens als ik de verbinding tot stand heb gebracht, log ik in met mijn eigen account die wel adminrechten heeft. Is dat goed zo?
Dat is prima zo, heeft zelfs de voorkeur (je hebt de forum zoekfunctie goed gebruikt ;) :thumbup: ) en dat heeft weer te maken met de wijze waarop Synology OpenVPN configureert.
Als OpenVPN instellingen had ik trouwens niks veranderd aan Dynamisch IP, of max aantal verbindingen. Poort 1194 UDP, Codering AES-256-CBC, Verificatie SHA256, Compressie op de VPN koppeling ingeschakeld en Client toegang geven tot de LAN server uit en ook IP6 servermodus uit (wat is dat?). Zijn mijn instellingen zo ok?
IPv6 (https://www.webopedia.com/DidYouKnow/Internet/ipv6_ipv4_difference.html)
Niets meer aan doen, succes.
-
Allen nog hartelijk dank voor alle input!