Logwarnungen nach VPN-Server Update

[Puppetmaster]

ne genau anders rum ;-) Mit einem key (private Key) erfolgt die auth und mit einem Cert (public Key) wird verschlüsselt

Ok, nochmal das Beispiel https. Ich melde mich von irgendwoher per https auf dem DSM meiner DS an. Es kommt eine Warnung des Browsers und ich füge eine Ausnahme hinzu (da ich keine weiteren Daten, keys oder was auch immer habe), damit ist die Verbindung doch verschlüsselt!?

Die Frage ist, wie ist das denn bei openVPN? Ich ginge davon aus, dass das dort ähnlich/genauso sei...

 

[jahlives]

Ok, nochmal das Beispiel https. Ich melde mich von irgendwoher per https auf dem DSM meiner DS an. Es kommt eine Warnung des Browsers und ich füge eine Ausnahme hinzu (da ich keine weiteren Daten, keys oder was auch immer habe), damit ist die Verbindung doch verschlüsselt!?

verschlüsselt ja, denn dafür braucht es nur Certs (den Public Teil eines Public/Private-Keypaares). SSL ist ein symetrisches Verfahren d.h. zum Ver-und Entschlüsseln kommen dieselben Schlüssel zum Einsatz d.h. Server und Client müssen sich auf ein gemeinsames Geheimnis einigen können, welches dann der Schlüssel ist.
Das kann z.B. dadurch passieren, dass der Client eine mit dem Zerifikat (öffentlicher Schlüssel) des Servers verschlüsselte Zufallszeichenfolge an den Server schickt. Wenn sie der Server enschlüsseln kann (anhand seines private Keys), dann wird diese Zeichenfolge als Schlüssel für die weitere Kommunikation verwendet. Eine andere Möglichkeit für den Client und den Server sich auf ein gemeinsames Geheimnis zu einigen wäre der Schlüsseltausch im sogenannten Diffie-Hellmann-Verfahren.

 

[Puppetmaster]

Danke für die ausführliche Antwort, jahlives!
Das deckt sich eigentlich auch mit dem mehr theoretischen Wissen, das ich dazu (inzwischen schon mehr vergessen als behalten) habe. In der Praxis habe ich damit aber noch nie wirklich "gearbeitet".
Also sollte auch OpenVPN 'by Synology' zumindest schonmal verschlüsselt sein. Wenn ich das ganze jetzt auch noch per Zertifikat betreiben möchte (damit spare ich mir ja dann u.a. die Eingabe Benutzer/PW), könnte ich dann einfach kostenlos ein Zertifikat generieren, ähnlich dieser Anleitung hier: How to generate custom SSL certificates

?​

 

[jahlives]

ovpn Certs/Keys sind etwas anders Zum Erstellen derselbigen gibt es die ovpn Key-Tools. Nennt sich glaub easy-rsa und wird im Wiki beschrieben wie man diese mit der ovpn ipkg Version nutzt

 

[Puppetmaster]

Ich merk schon: die IPKG-Variante ist am Ende die bessere Wahl solange das OpenVPN von Synology so wenig erklärend ist.
Ist zwar noch ein bißchen hin bis zum nächsten Wochenende, aber dann habe ich jetzt schonmal ein Projekt für meine Test-DS!

Wenn ich wieder ein bißchen schlauer geworden bin, dann komme ich sicher wieder...

 

[jahlives]

du hast mit der ipkg Version deutlich mehr Möglichkeiten. Vieles würde sicher auch mit der Syno Version gehen, aber du kennst es ja, sobald man manuell etwas an der Konfig angepasst hat ist es nur eine Frage der Zeit bis das wieder überschrieben wird Eines der besten Features (zumindest für mich) ist es den Zugang zum OVPN Port mit einem static Key abzusichern. Somit ist es z.B. nicht mehr möglich den offenen UDP Port 1194 mit einem Portscanner zu finden. Denn ohne den korrekten Static Key bekommst du nicht eine Antwort vom OVPN-Server. Aber auch mit dem korrekten Static Key bist du noch nicht drin. Wenn du den Key hast, wird dir nur erlaubt bis zur Authentifizierung zu kommen. Dort musst du immer noch ein Passwort oder einen Client-Key präsentieren, um dich zu authentifizieren

 

[Puppetmaster]

du hast mit der ipkg Version deutlich mehr Möglichkeiten.

Aber darin liegt dann sicher auch die Gefahr, dass jemand, der nicht ganz genau weiß was er da tut, evtl. ein offenes Scheunentor hinterläßt. Oder meinst du nicht?

Eines der besten Features (zumindest für mich) ist es den Zugang zum OVPN Port mit einem static Key abzusichern.

Das klingt in der Tat sehr gut!
Frage ist, ob der static key dann auch vom Smartphone aus funktioniert...

Muss mir die IPKG-Variante echt mal ansehen. Hoffe, das Wiki ist da auch noch halbwegs aktuell.