OPEN VPN mit Lets Encrypt Zertifikat

[pitamerica]

Hallo, momentan nutze ich den openvpn Server so wie er kommt. Und so wie ich das verstanden habe, ist das ein reiner Passwort check.

Ich würde jetzt gerne das gerade über letsencrypt erstellte Zertifikat nutzen, um die Verbindung noch sicherer zu machen. Zum Beispiel über die Android oder iOS App.

Kann mir jemand sagen, ob das geht ?

 

[Fusion]

Das Zertifikat kannst du dem openVPN Serverdienst unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren zuordnen.
Das macht die Verbindung allerdings nicht sicherer als sie zur Zeit ist.

Erst im Zusammenspiel mit tls-auth, guten Ciphers, auth, etc gibt es mehr Sicherheit
http://www.synology-wiki.de/index.php/OpenVPN_härten
Die Anleitung ist nicht auf dem aktuellsten Stand was die GUI-Fähigkeiten des aktuellen openVPN-Servers angeht.
Den Rest musst man auch weiterhin auf der Konsole machen.

 

[pitamerica]

Danke für deine schnelle Antwort. Aber bedeutet das nun, dass der Open VPN Server von Synology per Default unsicher ist oder eben nicht so mega sicher wie nach der Änderung die du oben geschrieben hast ? Ich habe jetzt schon oft von Open VPN Server Version 2.3. X gelesen. Auf meiner ist unter DSM 6.1.X der Open vpn Server 1.3.6 .x und er zeigt keine Updates an.

 

[Fusion]

Unsicher würde ich es nicht nennen. Nur war es bei DSM5.2 und 6 Zeiten nicht so sicher wie es mit einfachen Änderungen möglich gewesen wäre.
Irgendwann bei DSM 6.1 oder so waren die standardmäßig genutzen Ciphers nicht mehr empfohlen (sprich es gab mindestens theoretische Angriffs-Vektoren um die Verschlüsselung zu knacken).

In der aktuellen Version kann man diese endlich in der GUI einstellen.

Damit ist die Sicherheit so sicher wie das genutzte Passwort und eine normale SSL Verschlüsselung.

Die anderen Maßnahmen sind zur weiteren Steigerung des Sicherheits-Levels

Die VPN Server Version 1.3.6 ist die Synology Versionierung.
Der genutzte openVPN Server hat Version 2.3.11 aktuell.

 

[pitamerica]

Standardmäßig ist ja Blowfish eingestellt. Ist das nicht durch sweet32 kompromittiert ? Sollte man AES verwenden ? Was würdest du denn einstellen?

 

[Fusion]

Aes-256-cbc
sha256

 

[pitamerica]

Danke

 

[Frogman]

Ohne signifikante Sicherheitseinschränkung, doch mit erheblichen Performancevorteilen geht auch AES-128-CBC.
Und wenn schon dabei, dann noch
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256

sowie eigene neu erzeugte DH-Parameter mit 2048bit.

 

[tproko]

Bei mir läuft der OpenVPN Server mit Passwort und Client Certs.
Wenn du nur das Server Zertifikat änderst, gewinnst du - wie bereits hier erwähnt wurde - nichts. Du musst eine zweite "Sicherheitsstufe" einführen. Alternative wäre zB. 2-Faktor-Auth mit Google, was ja unter Linux theoretisch einfach einzurichten wäre, aber obs mit Syno möglich ist, habe ich noch nicht getestet.

Habe das ganze hier beschrieben, kannst du dir ja mal durchlesen und ausprobieren
(die restlichen Parameter sind in der Anleitung ähnlich gut gesetzt, wie im Wiki beschrieben - also längerer DH key, TLS Cipher, AES, ...)

 

[pitamerica]

Danke an alle ! Ich werde das checken.

 

[DrFlow]

Bei mir läuft der OpenVPN Server mit Passwort und Client Certs.

Das will ich auch!

Ich hab eine DS218+m mit dem DSM 6.1.5-15254. Die originale OpenVPN-Instanz funktioniert.
Also, rein in putty und los geht's:

Habe das ganze hier beschrieben, kannst du dir ja mal durchlesen und ausprobieren
(die restlichen Parameter sind in der Anleitung ähnlich gut gesetzt, wie im Wiki beschrieben - also längerer DH key, TLS Cipher, AES, ...)

tprokos Anleitung findet man mittels Google-Cache. Sie deckt sich mit diversen anderen Fundstellen im Netz.
Bei ein paar Dingen bin ich abgewichen.


Meine Zertifikate und Schlüssel hab ich mittels easyrsa lokal am Rechner erzeugt und dann rüber kopiert.

In der "alten" openvpn.conf zeigen die Pfade für DH, CA, Server-Zert und -Key zu

/var/packages/VPNCenter/target/etc/openvpn/keys/

Nachdem ein erster Versuch mit /usr/syno/.../keys nicht funktioniert hat, hab ich oben beschriebenen Pfad verwendet - leider auch ohne Erfolg.



Meine openvpn.conf sieht wie folgt aus:



push "route 192.168.10.0 255.255.255.0"
push "route 192.168.33.0 255.255.255.0"
dev tun

management 127.0.0.1 1195

server 192.168.33.0 255.255.255.0


dh /var/packages/VPNCenter/target/etc/openvpn/mykeys/dh4096.pem
ca /var/packages/VPNCenter/target/etc/openvpn/mykeys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/mykeys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/mykeys/server.key

tls-version-min 1.2
tls-auth /var/packages/VPNCenter/target/etc/openvpn/mykeys/ta.key 0

max-clients 5

comp-lzo

persist-tun
persist-key

verb 3

log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
;client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6

port 1194
cipher AES-256-CBC
auth SHA512



Wenn ich das VPN-Paket starte und den OpenVPN-Dienst aktiviere, bekomme ich als Fehlermeldung in der VPN-Übersicht: "Aktivierung fehlgeschlagen" und in den Details für OpenVPN: "VPN konnte nicht aktiviert werden. Prüfen Sie die Konfigurationsdatei."
tls-version-min zu dekativieren macht keinen Unterschied.

Hat irgendwer Ideen?


Edit: Ich bin schön blöd! Ich hab in der vor-vor-letzten Zeile eine Tippfehler gehabt - prt statt port. Es geht soweit. Danke tproko für die Anleitung.

 

[DrFlow]

Wieder ich.

Meine config überlebt keinen Neustart. Apparmor scheint rein zu pfuschen. Den Pfad zu meinen Keys einzutragen, hat nicht gewirkt. Ich bekomme immer einen Zugriffsfehler auf die PKI-Dateien.

Das gibt's ja nicht, dass das so eine Pfuscherei ist. Von Synology finde ich es äußerst schwach, so eine sicherheitstechnische Wackellösung einzubauen.

Ich denke, es wird doch wieder eine kleine Linux-Kiste werden, die Openvpn übernimmt. Doch wieder ein Gerät mehr

 

[laserdesign]

@tproko,

der Link in Beitrag #9 funktioniert leider nicht.

 

[tproko]

Ja leider dürfte der Bereich Anleitungen verschoben/versteckt oder gelöscht worden sein... da kann ich nichts dafür

DrFlow hast du noch eine funktionierenden Link auf den Google Cache? Würde das sonst nochmal rauskopieren und im VPN Server ablegen oder so.
Die Anleitung im Wiki bzw. die andere hier im Forum sind ja leider veraltet.

 

[tproko]

@Neustartproblem und Pfade... interessant. Bei mir haben die Pfade wie beschrieben gepasst und alles überlebt auch Server Neustart oder VpnServer bzw. DSM Updates.

Wo liegt deine Config und deine Certs jetzt nochmals genau?

 

[laserdesign]

Würde das sonst nochmal rauskopieren und im VPN Server ablegen oder so.

wäre cool wenn du es noch einmal zusammen schreiben könntest.

Würde ja vielen hier helfen. Danke schon einmal dafür.

 

[DrFlow]

Ja leider dürfte der Bereich Anleitungen verschoben/versteckt oder gelöscht worden sein... da kann ich nichts dafür

DrFlow hast du noch eine funktionierenden Link auf den Google Cache? Würde das sonst nochmal rauskopieren und im VPN Server ablegen oder so.
Die Anleitung im Wiki bzw. die andere hier im Forum sind ja leider veraltet.

Der Webcache wurde gelöscht. Shit, ich wollte den ganzen Inhalt noch kopieren. Synology hat da wohl eine Löschung beantragt, sehr sympathisch.

Meine Config liegt in /usr/syno/packages/VPNCenter/openvpn/ und auch in /var/packages/VPNCenter/target/etc/openvpn/
Die Pfade hab ich gestern noch zu /openvpn/keys geändert und dort meine erstellten PKI-Dateien reingeschoben. Jetzt scheint es zu funktionieren. Der Eintrag in die apparmor Konfiguration in pkg_VPNCenter hat scheinbar nicht gefruchtet. Weißt Du da den korrekten Pfad für die pkg_VPNCenter?

Andere Frage: hat jemand die Userrechtebeschneidung mittels user nobody und group nobody oder einem anderen beschränkten User zum Laufen bekommen? Hier gibts noch ein paar Infos dazu, aber alles DSM 5.2 betreffend.

 

[tproko]

Ich glaube/hoffe, dass synology damit nichts zu tun hat.
Wie gesagt wurde das Unterforum Anleitung entfernt, synology hat mit diesem Userforum nichts zu tun. Der google Cache leert sich vermutlich auch von so, wenn die Seite dahinter weg ist nach einer gewissen Zeit.

Habe die Anleitung von hier. Da ist das ganze leider über mehrere Seiten verteilt.

Werde es bei Gelegenheit wieder zusammenschreiben und nochmals die Pfade rein stellen.

 

[DrFlow]

Hmmm. Trotzdem eigenartig, dass es am Montag noch funktioniert und heute ist auf Google keine Spur mehr davon zu finden. Meinst Du, das hat sich genau überschnitten?

Naja, trotzdem noch mal Danke fürs Erstellen! Ich hab übrigens die PKI mit der OpenSSL 3.0.4 erstellt, geht auch, hab nur keine pkcd12-Dateien produziert, sondern key und cert getrennt. Müsste man sich die syntax anschauen, wahrscheinlich geht's genauso.

 

[goetz]

Hallo,
das Anleitungen Forum wurde aufgelöst und alle Themen sollten nach Sonstigen verschoben sein. Nur dort taucht das Thema leider nicht auf. Ich habe den Admin angeschrieben ob da noch was zu machen ist.

Gruß ötz