Certificate για openVPN

[auteur]

Χαίρετε!

Θα ήθελα μια βοήθεια για το αν ειναι σημαντικό να ασχοληθώ με τα παρακάτω που μου εμφανίζει το Log του Tunnelblink.

WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
NOTE: No network configuration changes need to be made.
WARNING: Will NOT monitor for other network configuration changes.

το οτι δεν έχω περάσει certificate ειναι σημαντικό θέμα ασφάλειας;

ευχαριστώ

[deniSun]

OpenVPN χωρίς certificate;

[auteur]

OpenVPN χωρίς certificate;

δεν κατάφερα να το περάσω.
εχω το synology 1900 router και σου δίνει DDNS απο την synology.
και το openVPN το τρέχω με το VPN SERVER PLUS

set up openVPN

[rebeskes]

Δεν ξέρω πως το υλοποιεί το synology router όμως για να γίνει η σύνδεση μεταξύ του OPENPVN server και client θα πρέπει ήδη να έχεις φτιάξει τα certificates και να τα έχεις περάσει στον server και στον client τα αντίστοιχα αλλιώς δεν νομίζω ότι γίνεται

[auteur]

Δεν ξέρω πως το υλοποιεί το synology router όμως για να γίνει η σύνδεση μεταξύ του OPENPVN server και client θα πρέπει ήδη να έχεις φτιάξει τα certificates και να τα έχεις περάσει στον server και στον client τα αντίστοιχα αλλιώς δεν νομίζω ότι γίνεται

απλο ηταν.

κάνουμε enable OpenVPN Server οπως φαίνεται παραπάνω
και μετά Export configuration οπου μας δίνει ενα zip με το VPNConfig.ovpn αρχείο

έκανα edit το VPNConfig.ovpn αρχείο με το δικό μου DDNS και μετά το έκανα import στο tunnelblink (mac client)
λειτουργεί κανονικά και μπορώ να δω ολες τις συσκευές του τοπικου LAN μέσω ιντερνετ, απλά στο log του tunnelblink μου εμφανιζει τα παρακάτω

WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
NOTE: No network configuration changes need to be made.
WARNING: Will NOT monitor for other network configuration changes.

αλλα δεν έβγαλα άκρη απο το λινκ που με παραπέμπει
https://openvpn.net/index.php/open-s...owto.html#mitm

ούτε και απο εδώ https://openvpn.net/index.php/open-s...anagement.html

[rebeskes]

εγώ το έχω κάπως έτσι

Spoiler:

client
dev tun
proto tcp-client
remote XX.XX.XX.XXX PORTNUMBER
#remote 10.0.1.2 1194
nobind
persist-tun
cipher AES-256-CBC
verb 2
mute 3

auth-user-pass ONOMA.auth
ca 5cert_export_ONOMACERT.crt
cert 5cert_export_xxxxxx@xxxxxx.crt
key 5cert_export_xxxxx@xxxxxxx.key

τα certifications εννοείται πως έιναι στον ίδιο φάκελο με το .opvn
δεν κατάλαβα που ακριβώς έχεις το πρόβλημα αλλά ελπίζω να βοήθησα αν είναι τελείως άσχετο ζητώ συγγνώμη αλλά είμαι τρομερά ζαλισμένος
εννοείται πως αυτό είναι το δικό μου config του software opvn client που δίνει επίσημα από το site.

[jkoukos]

Οι οδηγίες λένε ότι όταν τελειώσεις με τις ρυθμίσεις του server, δημιουργείς το zip αρχείο για κάθε client, μέσα στο οποίο υπάρχουν 3 αρχεία ένα εκ των οποίων είναι το Certificate (ca.crt).
To ca αντιγράφεται από το Control Panel > Services > Certificate. Αν δεν υπάρχει εκεί λογικά δεν αντιγράφει κάτι.
Τώρα δεν γνωρίζω αν και πως μπορείς να δημιουργήσεις στο Synology Certificate, αλλά η σελίδα αναφέρει ότι μπορείς να εισάγεις και κάποια άλλα. Υπάρχουν δεκάδες οδηγοί στο διαδίκτυο πως μπορείς να το κάνεις σε Windoes.

[auteur]

εγώ το έχω κάπως έτσι

Spoiler:

client
dev tun
proto tcp-client
remote XX.XX.XX.XXX PORTNUMBER
#remote 10.0.1.2 1194
nobind
persist-tun
cipher AES-256-CBC
verb 2
mute 3

auth-user-pass ONOMA.auth
ca 5cert_export_ONOMACERT.crt
cert 5cert_export_xxxxxx@xxxxxx.crt
key 5cert_export_xxxxx@xxxxxxx.key

τα certifications εννοείται πως έιναι στον ίδιο φάκελο με το .opvn
δεν κατάλαβα που ακριβώς έχεις το πρόβλημα αλλά ελπίζω να βοήθησα αν είναι τελείως άσχετο ζητώ συγγνώμη αλλά είμαι τρομερά ζαλισμένος
εννοείται πως αυτό είναι το δικό μου config του software opvn client που δίνει επίσημα από το site.

ίσα ίσα και μόνο που προσφέρθηκες για βοήθεια, ευχαριστώ πολύ!

Οταν έκανα Export Configuration απο εδω


μου έδωσε δυο αρχεία
1) config.ovpn
2) README.txt το οποιο για mac αναφέρει.

Spoiler:

To set up an OpenVPN client on Mac:

1. Install OpenVPN client on MAC
*An OpenVPN client on Mac OS X is called Tunnelblick.
*Download it from http://code.google.com/p/tunnelblick/ and install the client.

2. Launch Tunnelblick.

3. Click Create and open configuration folder button; a Finder window will appear with the configuration folder.

4. Edit VPNConfig.ovpn and replace YOUR_SERVER_IP with public IP of your Router.
*Remove # before "redirect-gateway def1" to route all client traffic (including web-traffic) through this VPN Server.
(αυτό και μην το κάνω δουλεύει επίσης)

5. Put the files of VPNConfig.ovpn into the configuration folder.

Ενώ το config.ovpn

Spoiler:

dev tun
tls-client

remote DDNS SERVER NAME PORT NUMBER

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1 εδω έσβησα το # πριν το redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

comp-lzo

reneg-sec 0

auth SHA512

cipher AES-256-CBC

auth-user-pass
auth-nocache

key-direction 1

explicit-exit-notify
<ca>

-----BEGIN CERTIFICATE-----
εχει γραμματα και αριθμούς
-----END CERTIFICATE-----
</ca>

<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
εχει γραμματα και αριθμούς
-----END OpenVPN Static key V1-----
</tls-auth>

μόνο αυτά που ειναι σε bold άλλαξα.

- - - Updated - - -

Οι οδηγίες λένε ότι όταν τελειώσεις με τις ρυθμίσεις του server, δημιουργείς το zip αρχείο για κάθε client, μέσα στο οποίο υπάρχουν 3 αρχεία ένα εκ των οποίων είναι το Certificate (ca.crt).
To ca αντιγράφεται από το Control Panel > Services > Certificate. Αν δεν υπάρχει εκεί λογικά δεν αντιγράφει κάτι.
Τώρα δεν γνωρίζω αν και πως μπορείς να δημιουργήσεις στο Synology Certificate, αλλά η σελίδα αναφέρει ότι μπορείς να εισάγεις και κάποια άλλα. Υπάρχουν δεκάδες οδηγοί στο διαδίκτυο πως μπορείς να το κάνεις σε Windoes.

ευχαριστώ!

ειμαι σε περιβάλλον mac (laptop), το openVPN το έχω στήσει σε ένα synology router.
το synology router έχει ενα δικό του Certificate οπως φαίνεται και παρακάτω.

Συνημμένο Αρχείο 195050

Μήπως θα πρέπει να το κάνω export και να το βάλω στον φάκελο του tunnelblink (mac openvpn client);

[rebeskes]

Αυτό που σου λέει για να κάνεις route όλο το traffic λογικά δεν το χρειάζεσαι είναι στον client όταν θες να συνδέεσαι από έξω το μόνο που θές είναι να βλέπεις το δίκτυο που έχεις στημμένο το υπόλοιπο internet θέλεις να το βλέπεις από την υποδομή που έχεις εκεί που έισαι φαντάζομαι. Για παράδειγμα αν ακούς webradio εκείνη την στιγμή που θα συνδεθείς θα διακοπεί και θα περνάει το webradio από το δίκτυο που συνδέθηκες
δεν έχω δουλέψει καθόλου το περιβάλλον του mac αλλά δοκίμασε αυτό που λες να βάλεις το cert μέσα στον φάκελο του tunnelblink αυτά όμως θα πρέπει να τα δηλώσεις στον config για να συνδεθεί

[minas]

Το OpenVPN δουλεύει και χωρίς πιστοποιητικό, απλά δεν είναι τόσο ασφαλές. Η χρήση πιστοποιητικού εξασφαλίζει ότι αυτός που συνδέεσαι είναι πράγματι ο δικός σου VPN server και όχι κάποιος τρίτος.
Επίσης, η προειδοποίηση που βλέπεις στον client, δεν σημαίνει απαραίτητα ότι δεν έχεις πιστοποιητικό (αν και όπως το περιφράφεις, δεν έχεις) αλλά ότι δεν εξακριβώνει την ορθότητα του πιστοποιητικού, ακόμη κι αν είχες.

[auteur]

Αυτό που σου λέει για να κάνεις route όλο το traffic λογικά δεν το χρειάζεσαι είναι στον client όταν θες να συνδέεσαι από έξω το μόνο που θές είναι να βλέπεις το δίκτυο που έχεις στημμένο το υπόλοιπο internet θέλεις να το βλέπεις από την υποδομή που έχεις εκεί που έισαι φαντάζομαι. Για παράδειγμα αν ακούς webradio εκείνη την στιγμή που θα συνδεθείς θα διακοπεί και θα περνάει το webradio από το δίκτυο που συνδέθηκες
δεν έχω δουλέψει καθόλου το περιβάλλον του mac αλλά δοκίμασε αυτό που λες να βάλεις το cert μέσα στον φάκελο του tunnelblink αυτά όμως θα πρέπει να τα δηλώσεις στον config για να συνδεθεί

ναι δεν με ενδιαφέρει να βγαίνω στο ιντερνετ, μέσω του vpn server που εχω στήσει σπίτι.

το μόνο που με ενδιαφέρει ειναι να συνδέομαι στον vpn server του σπιτιού και να βλέπω όλες τις συσκευές LAN απομακρυσμένα, με όσο το δυνατόν γίνεται, ασφαλή τρόπο.
Γιαυτό επέλεξα το openVPN.
Δυστυχώς ακόμα δεν μπόρεσα να βρω τρόπο για να γίνεται εξακρίβωση του certificate.

- - - Updated - - -

Το OpenVPN δουλεύει και χωρίς πιστοποιητικό, απλά δεν είναι τόσο ασφαλές. Η χρήση πιστοποιητικού εξασφαλίζει ότι αυτός που συνδέεσαι είναι πράγματι ο δικός σου VPN server και όχι κάποιος τρίτος.
Επίσης, η προειδοποίηση που βλέπεις στον client, δεν σημαίνει απαραίτητα ότι δεν έχεις πιστοποιητικό (αν και όπως το περιφράφεις, δεν έχεις) αλλά ότι δεν εξακριβώνει την ορθότητα του πιστοποιητικού, ακόμη κι αν είχες.

Ναι μάλλον κάτι δεν κάνω σωστά με το certificate.
ενω στο synology router μου δείχνει οτι έχω certificate, δεν έχω κάνει export certificate και μετά κάτι πχ. σαν import certificate στο tunnelblink, για να εξακριβώνετε το certificate απο το tunnelblink

[auteur]

προσπαθώ να κάνω validation το certificate με αυτον τον οδηγό για το synology router
https://www.geekzone.co.nz/forums.as...topicid=208215

Εχω ήδη CSR, οποτε στο τέλος θα επιλέξω I Have My Own CSR





Με τον πρώτο τρόπο Manually Verify Domain (HTTP Server) έχω κολλήσει στο στάδιο.

Create a folder in your domain named ".well-known" if it does not already exist. If you use Windows you may have to add a dot at the end of the folder name in order to create a folder with a dot at the beginning.
Create another folder in your domain under ".well-known" named "acme-challenge" if it does not already exist
Upload the downloaded files to the "acme-challenge" folder

δεν γνωρίζω που πρεπει να κάνω τους παραπάνω φάκελους..

------------------------------------------



ενω με τον δευτερο τρόπο Manually Verify Domain (DNS)

κολλάω στο οτι δεν γνωρίζω που μπορώ να βρώ το DNS management page

Go into the DNS management page that your domains use (This link may help with setting up your TXT records [ignoring Google specific parts]).
Add the following TXT records below to the DNS server for each domain (In the Time to Live (TTL) field, enter 1):
Add TXT record with the name/host _