OpenVPN auf DS918+ richtig absichern

[F0x123]

Hallo,

ich betreibe auf meinem 918+ einen OpenVPN Server und dieser ist von extern über die entsprechenden Ports erreichbar.
Die DDNS Domain nutzt ein eigenes Let's Crypt Zertifikat.

Seit ein paar Tagen habe ich erstmalig mehrere geblockte IP Adressen aus den USA, welche mehrfach versucht haben, sich am VPN einzuloggen.

Nun meine Fragen:
1. Wie kann ich den VPN Server noch besser absichern, um hier die Hürde für den Angreifer noch höher zu legen? Die Ports muss ich ja offen lassen, da ich von außen auf den VPN muss.
2. Wird das Zertifikat im Default nur für die Verschlüsselung des Traffics genutzt? Wie kann ich prüfen, ob es auch für die Authentifizierung genutzt wird?

Das Thema VPN härten habe ich gefunden, ist aber eher für die Verbindungsverschlüsselung https://www.synology-forum.de/wiki/OpenVPN_härten

Danke und Grüße

 

[Hagen2000]

Man könnte eine vom Standard (1194) abweichende Portnummer verwenden, muss das aber dann auf allen Clients entsprechend nachziehen. Ob und wie lange das gegen das "Anklopfen" hilft, ist fraglich. Allerdings schreibts Du hier von Ports im Plural - welche hast Du denn noch geöffnet?

Ohne Zertifikat sollte sich niemand einloggen können, siehe https://community.openvpn.net/Pages/Concepts-Authentication

 

[F0x123]

Ich hatte noch die Ports für L2TP offen. Jetzt ist nur noch 1194 offen.
Die Config für die Clients kann ich ja exportieren und damit sehen. Aber welche Settings sind im Server hinterlegt? z.B. kann man ja das Zertifikat optional setzen und auch im Client mit setenv CLIENT_CERT 0 arbeiten.

 

[plang.pl]

Ich werfe mal noch das Thema Geoblocking in den Raum. Wenn das der Router nicht kann, ist es auch mit der DS Firewall umsetzbar. Dazu könnte man noch ein Block-Script verwenden und damit bekannte "böse" IPs blocken

 

[F0x123]

Das wäre eine Option.

Kann man alternativ nur VPN Verbindungen von bestimmten MAC Adressen zulassen?

Sonst wären Blacklist denkbar, die in der DS Firewall hinterlegen?

 

[Hagen2000]

Aber welche Settings sind im Server hinterlegt?

Wenn Du es ganz genau wissen willst, müsstest Du dich auf deinem NAS per SSH einloggen und die OpenVPN-Server Konfiguration anschauen:
sudo vim /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

Ich habe hier mal als Referenz meine DS214+ mit DSM 7.1.1 genommen.
Synology arbeitet bei OpenVPN offensichtlich ohne Client-Zertifikate, die Authentifizierung der Clients erfolgt über Benutzername und Passwort.
Der von Dir angesprochene Eintrag setenv CLIENT_CERT 0 dient dazu, dem Client das nochmals zu verdeutlichen, damit er nicht versucht, im Zertifikatsspeicher des Betriebssystems nach einem Client-Zertifikat zu suchen und dann möglicherweise mit einem Fehler abbricht.
Das ist hier erläutert: https://openvpn.net/connect-docs/troubleshooting-faqs.html im Abschnitt "How can I use the app with profiles that lack a client certificate/key?"

Für die Verschlüsselung wird jedoch TLS verwendet, dazu enthält die Client-Konfigurationsdatei eine Kopie des für den VPN Server konfigurierten Stammzertifikats.
Das solltest Du sehen, indem Du die Datei VPNConfig.ovpn mit einem Texteditor öffnest:

...
<ca>
-----BEGIN CERTIFICATE-----
MIIDWDCCAsGgAwIBAgIUcbT03aWPMogMaCvYccCNE4mMG00wDQYJKoZIhvcNAQEL
...
-----END CERTIFICATE-----

</ca>

Du kannst das Stammzertifikat lesbar machen, indem Du die Zeilen zwischen den <ca>-Knoten in eine Datei kopierst und diese beispielsweise ca.crt nennst.
Diese Datei kann dann mit geeigneten Tools lesbar gemacht werden.

Kann man alternativ nur VPN Verbindungen von bestimmten MAC Adressen zulassen?

Macht ja keinen Sinn, die einzige MAC-Adresse, die dein NAS bei externen Zugriffen sieht, wäre ja die deines Routers. Außerdem siehe folgende Antwort.

Sonst wären Blacklist denkbar, die in der DS Firewall hinterlegen?

Die Firewall arbeitet mit IP-Adressen und natürlich kannst Du da White- und/oder Blacklists anlegen.