OpenVPN Grundsatzfragen

[Computerdienst]

Guten Tag zusammen

Ich habe auf der Synology OpenVPN installiert. Soweit funktioniert das, allerdings scheinbar ohne Zertifikat. D.h. nur mit Username / Passwort, was ich nicht so sexy finde.

Im Profil ZIP welches ich runterladen kann ist zwar ein CA.CRT drin, aber das reicht ja scheinbar nicht. Einspielen in den Client lässt sich dies jedenfalls nicht.

Wie bekomme ich denn eine WIRKLICHE Sicherheit per Zertifikat hin? Bietet das die GUI von Synology überhaupt irgendwie an?

Anleitungen zu OpenVPN finden sich im Netz zuhauf, aber kaum was zu Synology.


Gruss
Christof

 

[mayo007]

Anmeldung via Zertifikat wird nicht unterstützt von Synology. Funktionswunsch.
https://www.synology.com/de-de/form/inquiry/feature

 

[tproko]

Das geht mit der Syno auch. Aber nur via command line Anpassungen.

Aber generell noch hier mein Hinweis, schau das es am Router laufen kann ?

Falls das nicht möglich ist, suche „syno openvpn client cert“ oder schau direkt da: https://community.synology.com/enu/forum/17/post/116504

Dort ist dann auch verlinkt, wie das Cert bei den Clients verwendet werden kann (linux, windows, ios, android). Viel Erfolg!

Lief bei mir 2 Jahre im DSM und hat Updates überlebt. Jetzt seit ca. 3 Jahren im SRM und überlebte auch die Updates bisher.

 

[Fusion]

Für einen zusätzlichen tls.key musst du weiterhin auf die Konsole wechseln und die config des servers bearbeiten.

Bsp (nicht kontrolliert) gelöscht, hat tproko schon gepostet.

Auch andere Dinge wie verify-x509-name muss man von Hand eintragen, wobei das nur in der Client config sein muss.

 

[Computerdienst]

Hi zusammen

Na gut. Dann habe ich das wenigstens richtig schlussgefolgert.

@tproko Ja das will ich eigentlich auch, ist auch das was ich sonst IMMER bei meinen Kunden mache. Das Problem ist, dass der Kunde momentan - Corona und so - auf ein Büro verzichten will. Es sollen alle via VPN arbeiten und der Server bei ihm at home stehen. Da kommen dann die üblichen Probleme mit einer nicht-Business-Leitung und den Routern. Ich konnte zwar den Router auf Bridging / Pass-Through umstellen, aber an der Firewall ging dann TV nicht - was zu Hause natürlich gebraucht wird. Also wird wohl die Notlösung sein Portforward OpenVPN auf Synology und den "Home"router stehen lassen.

Bin überhaupt nicht glücklich mit dem Ganzen aber - Kunde ist König....

​

 

[tproko]

Kunde / Büro / Mitarbeiter...

Ich befürchte die Syno und die Leitung wird sich hier bald als großes Bottleneck erweisen (und wohl auch als Security Issue). Wahrscheinlich dann auch ein nicht so starkes Modell, oder?

Aber da es gewerblich ist, kenne ich mich nicht damit aus - bin Privatanwender.

Kunde ist König als Argument hier scheint mir fahrlässig, aber jeder wie er meint (Fährst du sein Auto auch gegen die Wand, wenn der Kunde es wünscht?).

Du hast die Anleitung, mach das beste draus. Getestet hab ich das und läuft so bei mir.

Für sowas gibt es eigentlich eigene Hardware Firewalls wie zB. Barracuda oder manche hier setzen auch öfters draytek vigor Router ein.

 

[blurrrr]

Am Router des Kunden "Zuhause" hat man sowieso nichts zu fummeln (wenn man es "vernünftig" macht). "Computerdienst" hört sich jetzt aber auch nicht grade danach an, als wäre solche Dinge wie VPN und Co. Dein Kerngeschäft. Was genau ist denn die Zielsetzung und was setzt Du auf Deiner Seite ein bzw. auf Kunden-Seite (Büro)?

 

[Computerdienst]

Guten Morgen Blurrrr

Naja ob man sich jetzt hier gross über die Namen unterhalten sollte und darüber, was diese implizieren, sei mal dahingestellt. Sonst könnte ich ja auch sagen, ein blurrrrr verwischt eher als das er Probleme löst. Aber genug des Schabernacks.

Du irrst. Ich habe schon sehr viele VPN Installation realisiert. Seien es fixe Punkt zu Punkt VPN für - zum Beispiel - Kleiderläden (Kassen RDP) oder auch einfach Zugriff für Mitarbeiter von Firmen. Das ist auch überhaupt kein Problem.

Das Problem ist hier halt einfach, dass die "Home" Welt auf eine "Business" Welt trifft. Aber das kann ich nicht ändern. Das ist nun einfach temporär so und damit muss ich umgehen.

D.h. ich muss eine Lösung haben, damit der Server in diesem Haus stehen kann, die Mitarbeiter per VPN zugreifen, und "Home" Angelegenheiten wie Internet TV noch funktionieren. Dies war das letzte Mal als ich das schonmal getestet habe eben zum Beispiel nicht der Fall, da Internet TV von diesem Anbieter an der Firewall nicht funktioniert. Das ist so das alte Leid. Also wäre eben EINE Variante, dass ich einfach auf dem Homerouter das Forwarding zur Syno mache für das VPN. Natürlich ist das nicht optimal, aber es ist ja auch keine Dauerlösung.

Ich werde allerdings nochmal prüfen, ob allenfalls eine Kaskade möglich ist. Morgen erhalte ich vom bisher eingesetzten Router ein Leihgerät, den hänge ich dann bei mir zu Hause mal an meine Firewall und schaue ob ich ein VPN auf Router 2 hinbekomme. Das wäre so gesehen am elegantesten, weil Router 1 mit Home dann sogar noch von Router 2 getrennt wäre.

Und jetzt dürft ihr mich steinigen.

 

[blurrrr]

Sonst könnte ich ja auch sagen, ein blurrrrr verwischt eher als das er Probleme löst.

Das Problem ist hier halt einfach, dass die "Home" Welt auf eine "Business" Welt trifft. Aber das kann ich nicht ändern.

Geht so...

Dies war das letzte Mal als ich das schonmal getestet habe eben zum Beispiel nicht der Fall, da Internet TV von diesem Anbieter an der Firewall nicht funktioniert. Das ist so das alte Leid. Also wäre eben EINE Variante, dass ich einfach auf dem Homerouter das Forwarding zur Syno mache für das VPN. Natürlich ist das nicht optimal, aber es ist ja auch keine Dauerlösung.

Also ich beantworte mir die "eigentliche" Frage einfach mal selbst: Beim Kunden im "Büro" steht quasi "nix" an "brauchbarer" Hardware, sondern einfach nur die Syno(?). Kaskade ist halt auch eher... "geht so".

 

[Computerdienst]

Also ich beantworte mir die "eigentliche" Frage einfach mal selbst: Beim Kunden im "Büro" steht quasi "nix" an "brauchbarer" Hardware, sondern einfach nur die Syno(?). Kaskade ist halt auch eher... "geht so".

Doch doch, wir haben einen PrimeServer Pro sowie eine SonicWall. Das NAS dient als Backup (C2) und Archiv. Bloss wenn du die SonicWall - wie es sich gehört - installierst und den Router auf Passthrough setzt, geht das Telefon nicht mehr. Und nun bekomm mal einen Supporter vom Provider dazu dir zu helfen, wenn du ein VoIP Telefon an einer Firewall zum Laufen bringen willst.

Was ich testen kann ist ob die anderen Ports am Provider Router noch funktionieren wenn ich Port 1 als Passthrough nehme. Dann könnten die anderen Geräte am Provider Router bleiben und der Rest an die richtige Firewall.

Synology VPN ist wie gesagt ein Notnagel wenn eben alle "richtigen" Konfiguration so nicht möglich sind.

Es ist eben nicht immer alles Schwarz und Weiss und man kann nicht immer alles einfach so mal eben "schön" und "korrekt" lösen.

Edit: Anfänglich sprach ich vom TV, das stimmt aber nicht. Ich habe in Erinnerung, dass das Telefon das Problem war.

 

[blurrrr]

Ich würde mir den ganzen Stress einfach sparen, VPN-GW beim Kunden hinter den Router, SSL-VPN zur SonicWall und Kunde muss sein - zu benutzendes - Endgerät halt hinter das VPN-GW setzen. Das kannste vorkonfigurieren, dem Kunden in die Hand drücken und sagen: WAN in den Router, an LAN dann den Rechner/Laptop/was auch immer, fertig. Sowas wird es doch von SonicWall auch geben (ähnlich den Sophos-RED-Devices)? Alternativ wählt der Client sich einfach ein... oder versteh ich da irgendwas falsch? Dadurch wäre jedenfalls der Kundenrouter nicht beinträchtigt ??

 

[Computerdienst]

Das Problem ist eben, dass die Telefone nicht mehr funktionieren sobald sie nicht mehr am Router des Providers sind. Das ist das Kernproblem. Früher gab es ähnliche Probleme mit IP TV respektive dem Internet TV von den Providern. Da hattest du nach 10 Sekunden einfach Standbild. Das Problem ist aber von jedem Hersteller den ich kenne mittlerweile behoben und Internet TV Boxen laufen an Firewalls. Zumindest an denen, die ich installiere (SonicWall und WatchGuard).

Die SonicWall fungiert ja per se als VPN Gateway. Aber eben, diese vermaledeiten Telefone.

 

[blurrrr]

Sorry, aber ich versteh Dich irgendwie nicht...

Büro : SonicWall als VPN-Gateway
Privat: ISP-Router

Von Privat soll jetzt auf das Firmennetz zugegriffen werden... Wo genau soll jetzt das Problem liegen? Was die Telefonie angeht, so hilft es oft, wenn man einfach SIP ALG abschaltet. Ich habe div. Firewalls laufen, alle mit div. VPN-Strecken (S2S+Roadwarrior) und SIP-TK-Anlagen und nirgendwo Probleme mit der Telefonie. Allerdings ist auch überall SIP ALG abgeschaltet und die Ports sind entsprechend der TK-Hersteller-Doku firewalltechnisch angepasst.

Ich würde halt beim Kunden privat einfach nicht zuviel rumbasteln - extra Gerät hin was einfach autark läuft (oder direkt Clienteinwahl) und fertig. Irgendwas scheine ich an Deinem Konzept nicht so ganz verstanden zu haben... ??

 

[Computerdienst]

Okay wir reden gerade sehr aneinander vorbei. So können wir lange machen.

Der Kunde will den Server in seinem privaten Haus haben. Es soll quasi das "Büro" werden. Sonst hätte ich ja keine Probleme.

Aber das mit dem Telefon schaue ich an. Vermutlich ist die einfachste Lösung tatsächlich, dieses Ding irgendwie hinter der Firewall zum Laufen zu bringen. Danke schonmal für die Inputs dahingehend.

 

[blurrrr]

Achso... Jo, Business-Anschluss buchen mit statischer IP für Zuhause (dann ist das auch nix mit DynDNS-Gewiggel) und man kann das ganze auch "vernünftig" ins Monitoring packen. Mit dem VoIP-Thema - das "muss" auf jeden Fall auch so funktionieren und hängt sicherlich nicht vom VPN ab. Würde es aber schon so machen, dass beim Kunden dann weiterhin einfach der ISP-Router bestehen bleibt (nur, wenn dieser statische Routen anbietet, Fritzboxen z.B. bieten sowas an, so eine Unitymedia-Connectbox z.B. nicht), dahinter dann die Firewall. Dann kann der Kunde "privat" weitermachen wie bisher und zwecks Serverzugang dann halt in ein anderes WLAN buchen und/oder direkt einen "Arbeitsrechner" fix in das "Firmennetz" hängen. Aber - kenne die Situation nicht - denke, dass Du das besser beurteilen/umsetzen kannst ?? SSL-VPN dürfte da in diesem Konstrukt aber definitiv kein Problem sein, nur ist die Syno eben keine SonicWall und händisches rumgepopel an dem Ding würde ich mir persönlich eher sparen, da kann man (zur Not) besser einen Raspi aufsetzen oder so. Besser natürlich, wenn es direkt eine SonicWall wäre, schon allein aufgrund der Möglichkeiten