VPN-Verbindung mit DS211j

[gnoovy]

hallo zusammen,

habe auf meiner DS211j das VPN Center installiert, Open VPN Server aktiviert und mittels Portforwarding und dyndns die DS211j öffentlich verfügbar gemacht. Ebenso konnte ich mittels OPEN VPN Client erfolgreich eine Verbindung aufbauen, indem ich die Konfigurationsdateien der DiskStation exportiert und auf dem Open VPN Client eingespielt habe. Nun meine Fragen noch hierzu:

1)
Läuft die Verbindung nun wirklich verschlüsselt ab?

2)
Ist das ausgestellte Zertifikat des VPN Centers sicherheit genug?

3)
Während der VPN-Verbindung erschien die Meldung: "WARNING: No server certificate verification method has been enabled." und "NOTE: the current --script-security setting may allow to his configuration to call user defined scripts"
Muss man hier noch etwas beachten?
Es gab zusätzlich noch eine Meldung, welche ich jedoch mit der Option "auth-nocache" wegbekommen habe. Ist diese Option sinnvoll?

4)
habe in der Open VPN Server Konfiguration ebenfalls ein Subnetz eingerichtet. Die eigentliche IP-Adresse der DS211j befindet sich in einem anderen Subnetz. Nach einer erfolgreichen VPN-Verbindung bekommt der Client daraus ja eine IP-Adresse. Ist es korrekt bei UNC-Verbindungen auch die eigentliche IP-Adresse der DS211j anzugeben?

 

[jahlives]

1) ja
2) was verstehst du unter "genügender" Sicherheit? Mit dem Zert kannst du feststellen ob du mit dem korrekten Server redest. Mehr nicht...
3) Ja die Version von Synology verwendet afaik keine Serverzert-Verifizierung.
4) die "andere" IP kannst du nur angeben, wenn der Client weiss wohin er diese Pakete schicken muss. Das kann man mit Routen in den Clients erreichen. Sollte aber für den OpenVPN Client nicht nötig sein, weil der eigentlich wissen sollte welches das interne Subnetz des VPN ist

Die Version von Synology ist (imho) nicht das gelbe vom Ei. In unserem Wiki steht wie du dir OpenVPN als ipkg Paket installieren kannst. Dann hast du auch die Möglichkeit Serverzerts resp Clientszerts zu verwenden. Gerade die Passwort Auth bei der Syno Lösung finde ich persönlich nicht ideal. Da wäre es wesentlich sicherer ein Cert für die Client-Auth zu verwenden. Passworte kann man brute forcen, Zertifikate (eigentlich) nicht. Ausser man landet einen riesen Zufallstreffer ;-)

 

[gnoovy]

hi jahlives,

zu Punkt 2)
Naja bezüglich Sicherheit habe ich mir halt gedacht, dass dieses Zertifikat bestimmt bei jeder Synology das gleiche ist oder? Wenn ja ist das diesbezüglich kein Sicherheitsrisiko? Klar man benötigt noch für die Verbindung Benutzername und Kennwort.... Nur so ein lauter Gedanke...

zu Punkt 4)
ah okay. Dies würde aber vorqaussetzen, dass ich mir von einer Zertifizierungsstelle ein Zertifikat besorgen müsste oder? Die Lösung sollte halt keine Kosten verursachen.
Zudem ist also die jetzige Abfrage des Benutzernamens und Kennworts von Open VPN nicht so sicher? OK man müsste sozusagen ein Brut Force auf meine Synology mittels der eingerichteten Port-Weiterleitung im Router durchführen oder?

 

[ubuntulinux]

Zertifikate für OpenVPN kannst Du natürlich gratis selber generieren (Anleitung im Wiki). Ich geh stark davon aus, dass das Zertifikat bei allen DS' generiert wird, dH jede ein anderes hat, kann das aber nicht mit Sicherheit sagen, bin überzeugter OpenVPN-IPKG Nutzer

 

[jahlives]

4) nein du kannst solche Zertifikate mit den Tools von OpenVPN auch ohne externe Stelle erstellen (http://www.synology-wiki.de/index.php/OpenVPN_auf_der_Diskstation#Client-Keys_generieren)

 

[ubuntulinux]

Erst musst Du aber noch das OpenVPN-Tar mit easy-rsa runterladen.

http://www.synology-wiki.de/index.p...ca_und_server-key_f.C3.BCr_OpenVPN_generieren

 

[goetz]

Hallo,
mit Installation des VPN-Centers wird das Zertifikat auf der DS generiert, jede hat ihr eigenes.
postinst

# prepare certificates for OpenVPN
if [ ! -e ${PKG_USERCONF_DIR}/openvpn/keys/ca.crt ]; then
    mkdir -p ${PKG_USERCONF_DIR}/openvpn/keys
    ${PRIVATE_LOCATION}/scripts/mkcert.sh ${PKG_USERCONF_DIR}/openvpn/keys
fi

Gruß Götz

 

[gnoovy]

ah okay, wenn jede ihr eigenes hat ist es ja ok
Habe ich das richtig verstanden, dass bei oben beschriebenen Einsatz eine Eingabe allá Benutzername und Kennwort durch die Computerzertifikate wegfällt?
OK vlt. sicherer gegenüber brut force attacken, aber halt auch wieder unser, da ja eine Verbindung möglich ist, wenn ein unberechtigter User dieses Zertifikat in die Hände bekommt ( Klau der Festplatte des Clients, etc.)

Werde mir aber trotzdem mal die Links von euch anschauen

 

[ubuntulinux]

Du kannst Zertifikate mit einem Passwort schützen

 

[gnoovy]

he... okay auch wieder wahr Gut dann werde ich mir mal eure Links anschauen und mich dort einarbeiten. Ihr würdet also die standardmäßige Verbindung von dem VPN Center mit Benutzername und Kennwort nicht empfehlen?

 

[ubuntulinux]

Ich jedenfalls nicht Hab' mit meinem IPKG viel mehr Möglichkeiten und kein unnötiges Verbindungslimit.

 

[goetz]

Hallo,
für Otto-Normal-User ist das VPN-Center ausreichend, behandle ca.crt vertraulich und benutze starke Kennwörter, öffter auch mal wechseln.

Gruß Götz

 

[gnoovy]

okay also so wie ich das verstanden habe müsste ich das VPN Center durch das IPKG auf der Diskstation ersetzten wenn ich es nutzen wollen würde?

 

[ubuntulinux]

Kommt ganz auf das Einsatzgebiet an. Würde mal sagen, für den normalen Gebrauch ohne eigene Konfigurationen ist es sicherlich zu gebrauchen

 

[gnoovy]

gut eigene Konfigurationen habe ich nicht. Dann lasse ich mal das VPN Center drauf Ist schließlich auch Standard Was mich jetzt noch interessieren würde ob beim VPN Center das PPTP oder Open VPN sicherer ist?

 

[ubuntulinux]

OpenVPN, soweit ich weiss. Würde es auf jeden Fall bevorzugen.

 

[gnoovy]

Ok vielen Dank für eure Antworten. Dann werde ich das VPN Center nehmen und die Open VPN Option dort aktivieren. Dann ist ja die Verbindung verschlüsselt und das Cert auf dem Client werde ich mittels NTFS-Rechte schützen.

 

[jahlives]

Hallo,
für Otto-Normal-User ist das VPN-Center ausreichend, behandle ca.crt vertraulich und benutze starke Kennwörter, öffter auch mal wechseln.

Gruß Götz

@goetz
.crt Files kannst du in die Welt hinaushusten wie du lustig bist. Nur die .key Files musst du schützen. crt ist ja der Public Key und damit für die Öffentlichkeit gedacht

 

[goetz]

aber wenn man das nicht macht, gibt es sonst eine Möglichkeit den Public Key abzugreifen? Auf der DS ist er 400 gespeichert, die einzige Kopie liegt auf meinem PC.

Gruß Götz

 

[jahlives]

@goetz
.crt oder .key?
crt's werden normalerweise niemals für die Auth verwendet. Die crts sind zum Verifizieren der Gegenstelle gedacht: Sprich der Server verschlüsselt eine bestimmte bekannte Zeichenfolge mit dem key (privater Schlüssel) und sendet sie dem Client. Wenn dann der Client diese Zeichenfolge mit dem öffentlichen Schlüssel (crt) entschlüsseln kann, weiss er dass der Sender über den passenden privaten Schlüssel verfügen muss und der Sender gilt als verifiziert.
Ich kenne jetzt das OpenVPN Paket von Syno ned wirklich, aber ich geh davon aus, dass nur ein ca.crt an den Client gegeben wird. Und ca.crt sind ja öffentlich, die bekommst du jeweils ja auch von den SSL Anbietern und in den Browsern sind sie auch hinterlegt. Schützen musst du wirklich nur das key File, denn dieses wird für die Auth verwendet. Im Falle vom ca.key musst du diesen unbedingt schützen, weil damit für deinen Server passende Zerts erstellt werden können, mit dem crt kann ich keinen Schlüssel signieren