OpenVPN und heartbleed: Zertifikate erneuern?

[till213]

Ich habe unter DSM 4.3 eine "out of the box" VPN Server Installation, d.h. einfach den OpenVPN Server aktiviert, die Konfiguration exportiert und auf den entsprechenden clients (iPhone, MacBookPro mit Tunnelblick) importiert. Dies ergibt eine "user/password"-basierte Authentifikation.

Insbesondere habe ich keine eigenen Server- (oder Klient-)Zertifikate selbst erstellt oder sonstwie an der Synology OpenVPN Server-Konfigurationsdatei rumgefummelt. Ich würde also sagen, ich habe eine "plain vanilla" OpenVPN Konfiguration.

Natürlich ist jetzt seit Bekanntwerden des heartbleed bugs alles stillgelegt (port-Weiterleitung im Router deaktiviert, OpenVPN Server abgestellt).

Mal angenommen, Ende diesen Monat kommt also der patch für die DSM 4.3 (auf Experimente mit der 5.0 habe ich im Moment keine Lust): bekannterweise muss man dann die Serverzertifikate neu erstellen. Nach Überflug des "herzblut" threads hier im Forum wird dies offenbar jedoch nicht durch die Installation des patch getriggert (zumindest für die 5.0 nicht).

Meine Frage: wie erneuere ich die Zertifikate auf möglichst "unkomplizierte Weise" (via DSM web frontend)?

Ich weiss, dass man irgendwo unter Einstellungen -> DSM (?) neue (selbstsignierte) Zertifikate erstellen lassen kann, meine aber auf einem blog gelesen zu haben, dass die nicht beim OpenVPN Server zum Einsatz kommen - stimmt das?

Muss ich mich also wirklich via ssh auf der DS einloggen und wie anderweitig im (englischen) Synology Forum beschrieben selbst Zertifikate erstellen und signieren und dann in der Server-Konfiguration referenzieren (oder nach einem backup die originalen Zertifikate überschreiben)? Was passiert dann nach einem update der DSM? Muss ich dann jedesmal fürchten, dass meine manuelle Konfiguration bzw. meine Zertifikate mit den Synology-Zertifikaten überschrieben werden?

Sorry für die noob Frage

 

[Frogman]

Schau mal hier auf die Release Notes des aktualisierten VPN-Servers. Die Seite mit den Sicherheitsanweisungen ist übrigens allgemein (seit kurzem) einer der empfohlenen Anlaufpunkte, wenn es um Sicherheitsaspekte geht

 

[till213]

Ah, also doch via Einstellungen -> DSM / Sicherheit -> Selbstsigniertes Zertifikat erzeugen.

Danke Dir!

 

[till213]

Das Entscheidende bei mir war das Neustarten der Diskstation! Erst danach hat der VPN Server (OpenVPN) das selbst generierze Zertifikat übernommen (via Einstellungen-> DSM -> Zertifikat...).

Deaktivieren und erneutes Aktivieren des OpenVPN Service hatte offenbar nicht ausgereicht.

Aber ich kann bestätigen, dass meine DS 413 mit aktuellem DSM 4.3 Update 2 (->inklusive heartbleed fix) nun mit meinem eigenen, selbstsignierten Zertifikat läuft und clients, die noch das alte haben, weigern sich "erfolgreich", sich mit meiner DS via OpenVPN zu verbinden.

 

[till213]

Einen Stolperstein (zum Glück keinen Ziegelstein - wenn ich da auf diverse missglückte Update-Versuche der DSM 5.x Serie blicke ) hatte ich allerdings doch noch!

Wie jeder vermutlich bereits längst weiss, schlummert in den Tiefen der DSM auch eine passende "iOS.opvn" Konfigurationsdatei für den iOS "OpenVPN" Klient, genau gesagt hier:

/var/packages/VPNCenter/target/etc/openvpn/keys/iOS.opvn

(Wie man sowas weiss? Z.B. durch Google Suche und blogs wie das hier: http://www.robdehoog.nl/technology/openvpn-ios-devices-synology-diskstation/ )

Es stellt sich jedoch heraus, dass nach einem Neustart zwar die Datei ca.crt in der ZIP Konfiguration openvpn.zip (zu erzeugen/runterzuladen via VPN Server -> OpenVPN -> Konfigurationsdatei exportieren) das neue, selbstsignierte Zertifikat enthält, nicht jedoch besagte iOS.opvn Datei (in welcher die Zertifikatsdaten gerade "eingebettet" sind)! Die enthielt bei mir noch immer die ursprünglichen Zertifikatsdaten.

Nun gut, man muss diese Datei ohnehin selbst editieren, um eine IP-Adresse (bzw. URL) dort einzutragen (in der Zeile "remote YOUR_SERVER_IP 1194" - genau so wie in der entsprechenden Datei im obigen exportierten ZIP Archiv). Was ich also getan habe: ich habe die Zertifikatsdaten im Abschnitt <ca>...</ca> einfach durch diejenigen der Datei ca.crt des ZIP Archives ersetzt (welches ja die aktualisierten Daten des eigenen, selbst-signierten Zertifikates enthält - aber wie gesagt, erst nach einem Neustart der DiskStation).

Und wo ich schon dabei war habe ich gerade die Abschnitte <cert> und <key> komplett aus der Datei iOS.ovpn gelöscht (wir sprechen hier natürlich immer vom Editieren einer Kopie besagter Datei auf dem lokalen PC/Mac, nicht von der Datei auf der Synology). Die brauche ich nicht, weil bei mir die Authentifikation via user/password geschieht, und nicht via Klient-Zertifikaten (so wie das der DSM auch "out of the box" so einstellt). Wenn man das mit Klient-Zertifikaten machen will, dann muss man auch die DSM Server-Konfigurationsdateien anpassen, so wie ich das verstanden habe - man konsultiere sein favorisiertes Wiki/blog hierfür )


Noch ein Tipp: da bei mir die Authentifizierung und somit auch die Authorisierung via DSM user-accounts geht: ich habe speziell für VPN Zugriff diverse Benutzer auf der DSM angelegt. Vor allem für iOS/iPhone Geräte habe ich eigentlich nur READ-ONLY Zugriff auf die entsprechenden Medien-Shares und für die Applikationen Video Station, Photo Station gewährt für den entsprechenden "VPN Media" Benutzer - sonst nichts! Dies deshalb, weil ich mir das Passwort (welches natürlich via 1Password generiert wurde und 30 "ASCII-Müll" Buchstaben enthält - so als zusätzlichen Tipp) auf der iPhone OpenVPN Applikation speichere. Sollte ich mein iPhone einmal in ungesperrten Zustand einmal liegen lassen, dann hätte der Finder eben nur sehr eingeschränkten Zugriff auf meine DiskStation: bloss READ-Zugriff auf Medien (Videos, Photos). Schlimm genug, aber weiterer Schaden kann damit verhindert werden. Und mehr als Medien anschauen (und natürlich auch "abgesichert surfen" in fremden WLANs) möchte ich mit einem iPhone ja auch nicht

Und nach dem Erneuern des Zertifikats auch gleich die Passwörter für die VPN User neu gesetzt (und wieder: Passwortmanager wie 1Password sind euer Freund hier).