Fragen zu OpenVPN

[HijoDelSol]

Hallo zusammen,

ich habe mich, aufgrund einer nicht funktionierenden L2TP VPN-Verbindung, entschieden auf OpenVPN zu setzen.
Dazu hab ich mich etwas in die Thematik eingelesen und vergeblich versucht den Tunnel so gut wie es geht abzusichern.
Eine Verbindung ohne besondere Änderungen der .ovpn Datei klappt problemlos. Nach setzen einiger Optionen leider nicht.
Bevor ich aber beginne über Einzelheiten Fragen zu stellen wollt ich ein paar Grundsätzliche Fragen geklärt haben.

1. Bleiben Veränderungen der Serverkonfiguration über SSH nach einem Packetupdate oder gar einem Neustart der DS erhalten?
2. Mir ist aufgefallen das es verschiedene Pfade zu den Keys und der Serverconfig gibt. Welche ist die richtige?

Sollte Punkt 1 so sein, dass die Konfigurationsdatei zurückgesetzt wird brauche ich hier garnicht mehr weiter zu fragen.

Vielen Dank vorab und schönen Tag euch.

 

[Fusion]

Je nachdem wo du was änderst dürfte der Neustart kein Problem sein. Paketupdate mal so mal so.
Will man ganz sicher gehen, bastelt man sich das ganze in ein Script und führt es halt Zeit- oder Event-getriggert immer wieder aus.

Wenn du verätst welche DS und DSM du hast bzw einfach gleich die fraglichen Pfade listest kann man dir auch zu Punkt 2 was sagen.

 

[Frogman]

1. Bleiben Veränderungen der Serverkonfiguration über SSH nach einem Packetupdate oder gar einem Neustart der DS erhalten?

Das kannst Du doch problemlos innerhalb von 5 Minuten selbst testen.

 

[HijoDelSol]

Danke für die Rückmeldungen.

@Fusion
Das mit dem Script muss ich mir mal genauer anschauen. Änderungen sollen an der Serverkonfiguration durchgeführt werden.
Ich nutze eine DS215j mit aktuellem DSM 6.0.
Folgende Pfade hab ich bisher recherchiert:
/var/packages/VPNCenter/etc/openvpn
/var/packages/VPNCenter/target/etc/openvpn
/usr/syno/etc/packages/VPNCenter...

@Frogman
Das hab ich. Geändert hat sich nichts, nur weiss ich nicht welcher Pfad der richtige ist, um die Serverkonfiguration zu ändern.

 

[Fusion]

/var/packages enthält nur Links nach
/usr/syno/etc/packages/VPNCenter/openvpn/
und
/volume1/@appstore/VPNCenter/etc/openvpn/

/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf würde ich als aktuelle config annehmen
Die könnte beim Paketstart aus /volume1/@appstore/VPNCenter/etc/openvpn/ openvpn.conf und server.conf zusammengeschustert werden.

Müsste man mal testen, oder jemand weiß es definitiv.

 

[HijoDelSol]

OK. Änderungen an der Serverkonfiguration in /usr/syno/etc/packages/VPNCenter/openvpn/ werden wohl angewendet.
Ein Neustart der DS verändert nichts, ebenso das aus- und einschalten des openVPN-Protokolls. Wie es mit Packetupdates aussieht
wird sich herausstellen, wenn ein update durchgeführt wird. Ich werde dazu hier berichten. Automatische Updates sind ausgeschaltet.

Jetzt möchte ich gerne den VPN-Tunnel so gut es geht absichern. Es gibt da einige Methoden. Habt ihr einen Vorschlag?

 

[HijoDelSol]

So nach einiger Recherche bin ich auf einige Optionen in der Server- und Clientkonfiguration gekommen, welche die Sicherheit stark erhöhen.
Dazu gehört die die Wahl einer höheren "cipher" sowie "tls-cipher" und einer Serververifizierung durch den Client (ns-cert-type server).

Letzteres führ allerdings dazu, dass der TLS handshake jedes mal fehlschlägt.
Beim ersten versuch fiel mir auf, dass das Lets Encrypt Zertifikat nicht den flag für "ns-cert-type" gesetzt hatte und daher keine Verbindung zustande kam.
Daher entschied ich mich ein eigenes Zertifikat zu generieren und stattdessen einzusetzen. Leider mit besagtem TLS handshake error.

Ich hab das Gefühl, dass irgendwas mit dem Zertifikat also nicht in Ordnung sein muss. Vlt irgendwas mit der Serveradresse.
Habe mal gelesen, dass unter Comon Name die Serveradresse stehen soll aber weiss nicht genau.

Weiss da jemand was genaueres?

 

[MMD*]

Mein deutsch ist nicht so gut und von google auch nicht aber vielleicht hilft es:
https://translate.google.de/transla...pn-server/beter-beveiligde-openvpn/&edit-text=