Pomoc Zdalny dostęp przez VPN

[Skoczo]

Witam wszystkich, przybywam z wieloma pytaniami i od razu zaznaczam że jestem totalnym laikiem jeśli chodzi o konfiguracje sieci.
Posiadam NAS Qnap TS-231K

Co chce osiągnąć?
Chciałbym go skonfigurować tak, aby na drugim laptopie podłączonym do innej sieci był dostęp do plików w prosty sposób (aby dysk był zmapowany a nie trzeba latać po stronach). Przede wszystkim chce aby to było bezpieczne rozwiązanie.

Co już zrobiłem?
Zaszyfrowałem dyski i skonfigurowałem NAS. Zmieniłem domyślne porty (systemowy i ten z zakładki https). Mam już aktywny publiczny adres IP. Próbowałem przez OpenVPN uzyskać dostęp do plików ale nie mogę się połączyć. W załączniku dodam log z OpenVPN.
Na routerze (Asus RT-AX53U) przydzieliłem Qnapowi stały adres poza DHCP. W zakładce przekierowanie portów próbowałem na różne sposoby zmieniać ale wciąż bez skutku. Config tej zakładki:
Protokół UDP, port zewnętrzny 1194, Port wewnętrzny - Nic, wewnętrzny adres ip próbowałem adres Qnapa i ten z configu OpenVPN, Adres IP Źródła - Nic)

Może ktoś mi doradzi jak najlepiej i najbezpieczniej to zrobić?

 

[3Qn]

Do pliku .ovpn dodaj linijkę.

verb 3

Logi wyglądają identycznie jak moje poza tym że mam ustawiony cipher oraz mój klijent używa troszkę przestażałej biblioteki OpenSSL 1.1.

client
dev tun
script-security 3
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
auth-nocache
auth-user-pass
remote-cert-tls server
reneg-sec 0
##cipher AES-128-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA
comp-lzo
proto udp
explicit-exit-notify 1
verb 5

 

[Usunięty użytkownik pigers]

jeśli Twój qnap jest w tej samej sieci co komp z którego pisałeś posta, to adresy IP się nie zgadzają.
zamiast adresu IP wpisz swoją nazwę myqnapcloud (zakładajac że ją włączyłeś).

 

[Skoczo]

jeśli Twój qnap jest w tej samej sieci co komp z którego pisałeś posta, to adresy IP się nie zgadzają.
zamiast adresu IP wpisz swoją nazwę myqnapcloud (zakładajac że ją włączyłeś).

Laptop z którego pisze jest w innej sieci ale w configu .ovpn jest inny adres niż wszędzie indziej (inny niż routera/qnapa/laptopa) i wciąż nie wiem czy go zmienić. A do adresu IP dopisać port?

Do pliku .ovpn dodaj linijkę.

verb 3

Logi wyglądają identycznie jak moje poza tym że mam ustawiony cipher oraz mój klijent używa troszkę przestażałej biblioteki OpenSSL 1.1.

client
dev tun
script-security 3
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
auth-nocache
auth-user-pass
remote-cert-tls server
reneg-sec 0
##cipher AES-128-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA
comp-lzo
proto udp
explicit-exit-notify 1
verb 5

Dzięki temu poszło dalej ale teraz mam tak jak w załączniku

 

[Usunięty użytkownik pigers]

jeśli jesteś pewien że adres 185.234.X.X jest poprawny - to dopisz na początku pliku ovpn tls-cipher "DEFAULT:@SECLEVEL=0"


jeśli to pójdzie, tzn że masz za słabą metodę szyfrowania - MD5 nie jest uznawane za bezpieczne -> Ics-openvpn

 

[Skoczo]

jeśli jesteś pewien że adres 185.234.X.X jest poprawny - to dopisz na początku pliku ovpn tls-cipher "DEFAULT:@SECLEVEL=0"


jeśli to pójdzie, tzn że masz za słabą metodę szyfrowania - MD5 nie jest uznawane za bezpieczne -> Ics-openvpn

Próbowałem, ale nie pomogło :/ dodatkowao przez strone myqnapcloud bez problemu uzyskuje dostęp do plików więc na pewno serwer ma dostęp do sieci

 

[Usunięty użytkownik pigers]

no to @3QN może pomoże ?

 

[Artproject-2004]

Cześć, parę miesięcy temu też walczyłem z OpenVPN i chyba miałem podobny problem. Link do wątku, może się przyda, prześledź konfigurację: Pomoc - OpenVPN - konfiguracja na Androidzie

 

[3Qn]

@Skoczo Nasuwa mi się kilka uwag odnośnie Twojej konfiguracji

2023-04-17 21:18:20 MANAGEMENT: CMD 'username "Auth" "admin"'

Konto "admin" -> How to disable the ''admin'' user account?
W ustawieniach QVPNService dodaj użytkowników którzy mają prawo logować, plus zobaczysz adres IP serwera OpneVPN który tez będzie Twoim adresem dostepowym przez VPN.
Z tego co czytam to wersja której używasz 2.6.2 i tak ma babola xD No DNS Suffix with DCO if connection initiated by OpenVPNService · Issue #306 · OpenVPN/openvpn

Prosto z nasa

$openvpn --version
OpenVPN 2.4.11 x86_64-QNAP-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Aug  4 2022
library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
Originally developed by James Yonan
Copyright (C) 2002-2018 OpenVPN Inc <sales@openvpn.net>
Compile time defines: enable_async_push=no enable_comp_stub=no enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_multihome=yes enable_pam_dlopen=no enable_password_save=yes enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_werror=no enable_win32_dll=yes enable_x509_alt_username=no with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_sysroot=no
$ openssl version
OpenSSL 1.1.1t  7 Feb 2023

Biblioteka OpenSSL w wersji 1.1.1t jest uznawaną za przestarzałą ja osobiście na windowsie korzystam z OpenVPN GUI w wersji 2.5.9 od wersji 2.6 (zrywa z kompatybilnością z OpenSSL 1.1.1) i czekam aż QNAP zaktualizuje bibliotekę natomiast nie korzystam z @Artproject-2004 z OpenVPN Connect mam problem mobilny interfejs na desktopie w tym przypadku to porażka i zajmuje prawie 300MB jedno okno na krzyż gdzie OpenVPN GUI to coś ponad 6 MB

 

[Artproject-2004]

@3QN O ile dobrze pamiętam swoją sytuację, a było to już kawałek temu początkowo na OpenVPN połączenie za cholerę nie chciało ruszyć, stąd próby innych opcji w tym connect. Ostatecznie poszło i tu i tu, a problem chyba tkwił w odznaczeniu weryfikacji TLS.

Tak czy siak w moim przypadku były mizerne transfery na OpenVPN. Qbelt i Wireguard wypadały znacznie lepiej

 

[3Qn]

No generalnie to jest ze sto przełączników które wpływają na to czy uda się nawiązać połączenie czy nie ogromna część jeżeli nie jest ustawiona/zdefiniowana w pliku .ovpn powinna być wybrana według stanardu/dokumentacji openvpn i tu pojawiają się różnice bo różne implementacje klientów OpenVPN róznie ustawiają te domyślne ustawiania. Generalnie gui tu ma najmniejsze raczej estetyka i użyteczność bo najwazniejsze są dwa komponenty OpenVPN (wersja) + OpenSSL (wersja) .

 

[Skoczo]

@Skoczo Nasuwa mi się kilka uwag odnośnie Twojej konfiguracji

2023-04-17 21:18:20 MANAGEMENT: CMD 'username "Auth" "admin"'

Konto "admin" -> How to disable the ''admin'' user account?
W ustawieniach QVPNService dodaj użytkowników którzy mają prawo logować, plus zobaczysz adres IP serwera OpneVPN który tez będzie Twoim adresem dostepowym przez VPN.
Z tego co czytam to wersja której używasz 2.6.2 i tak ma babola xD No DNS Suffix with DCO if connection initiated by OpenVPNService · Issue #306 · OpenVPN/openvpn

Prosto z nasa

$openvpn --version
OpenVPN 2.4.11 x86_64-QNAP-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Aug  4 2022
library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
Originally developed by James Yonan
Copyright (C) 2002-2018 OpenVPN Inc <sales@openvpn.net>
Compile time defines: enable_async_push=no enable_comp_stub=no enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_multihome=yes enable_pam_dlopen=no enable_password_save=yes enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_werror=no enable_win32_dll=yes enable_x509_alt_username=no with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_sysroot=no
$ openssl version
OpenSSL 1.1.1t  7 Feb 2023

Biblioteka OpenSSL w wersji 1.1.1t jest uznawaną za przestarzałą ja osobiście na windowsie korzystam z OpenVPN GUI w wersji 2.5.9 od wersji 2.6 (zrywa z kompatybilnością z OpenSSL 1.1.1) i czekam aż QNAP zaktualizuje bibliotekę natomiast nie korzystam z @Artproject-2004 z OpenVPN Connect mam problem mobilny interfejs na desktopie w tym przypadku to porażka i zajmuje prawie 300MB jedno okno na krzyż gdzie OpenVPN GUI to coś ponad 6 MB

Usunąłem admina i aktywowałem inne konto, niestety nie pomogło. Wciąż nie mogę się połączyć. W załączniku przesyłam log. Dopisałem również (już po tym logu) "data-ciphers AES-256-CBC" ale wciąż to samo. Próbowałem również wrzucić w config dane logowania ale nie pomogło. W załączniku dodaje również config. Może da się to zrobić w jakiś prostszy sposób?

 

[3Qn]

QVPNService logi + QuLogi Event/Access sprawdzić QFirewall reguły czy Twoje w pliku .opnvpn jest takie samo jak tu -> Moje IP
Jeżeli Twój procesor wspiera dane szyfrowanie sprzętowe lepie cliper za komentować generalnie.
- aby ustalić gdzie jest problem proponuję w pliku ovpn ustawić adres nas'a z sieci lokalnej.'

Tam była mowa o wyłączeniu konta admin nie usunięciu

Ale pisałem o wersji 2.5.9 a Ty zrobiłeś upgrade do 2.6.3?

2023-04-18 14:45:05 OpenVPN 2.6.3 [git:v2.6.3/94aad8c51043a805] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Apr 13 2023
2023-04-18 14:45:05 Windows version 10.0 (Windows 10 or greater), amd64 executable
2023-04-18 14:45:05 library versions: OpenSSL 3.1.0 14 Mar 2023, LZO 2.10

Generalnie jak chcesz używać wersji 2.6.3 to musisz liczyć na siebie bo droga jest długa i kręta i polega na dodaniu kolejnych parametrów które pozwolą ignorować błędy związane z przestarzałą biblioteką i na pewno nie ma prostszej drogi jak instalacja wersji 2.5.9.

 

[Skoczo]

QVPNService logi + QuLogi Event/Access sprawdzić QFirewall reguły czy Twoje w pliku .opnvpn jest takie samo jak tu -> Moje IP
Jeżeli Twój procesor wspiera dane szyfrowanie sprzętowe lepie cliper za komentować generalnie.
- aby ustalić gdzie jest problem proponuję w pliku ovpn ustawić adres nas'a z sieci lokalnej.'

Tam była mowa o wyłączeniu konta admin nie usunięciu

Ale pisałem o wersji 2.5.9 a Ty zrobiłeś upgrade do 2.6.3?

2023-04-18 14:45:05 OpenVPN 2.6.3 [git:v2.6.3/94aad8c51043a805] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Apr 13 2023
2023-04-18 14:45:05 Windows version 10.0 (Windows 10 or greater), amd64 executable
2023-04-18 14:45:05 library versions: OpenSSL 3.1.0 14 Mar 2023, LZO 2.10

Generalnie jak chcesz używać wersji 2.6.3 to musisz liczyć na siebie bo droga jest długa i kręta i polega na dodaniu kolejnych parametrów które pozwolą ignorować błędy związane z przestarzałą biblioteką i napewno nie ma prostej drogi.

W sensie wyłączyłem, usunąć się nie da kurde zainstalowałem OpenVPN Gui na innym laptopie i pobrałem najnowszą wersje ale już robię downgrade i prześle logi

Połączono posty: 18 Kwiecień 2023

QVPNService logi + QuLogi Event/Access sprawdzić QFirewall reguły czy Twoje w pliku .opnvpn jest takie samo jak tu -> Moje IP
Jeżeli Twój procesor wspiera dane szyfrowanie sprzętowe lepie cliper za komentować generalnie.
- aby ustalić gdzie jest problem proponuję w pliku ovpn ustawić adres nas'a z sieci lokalnej.'

Tam była mowa o wyłączeniu konta admin nie usunięciu

Ale pisałem o wersji 2.5.9 a Ty zrobiłeś upgrade do 2.6.3?

2023-04-18 14:45:05 OpenVPN 2.6.3 [git:v2.6.3/94aad8c51043a805] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Apr 13 2023
2023-04-18 14:45:05 Windows version 10.0 (Windows 10 or greater), amd64 executable
2023-04-18 14:45:05 library versions: OpenSSL 3.1.0 14 Mar 2023, LZO 2.10

Generalnie jak chcesz używać wersji 2.6.3 to musisz liczyć na siebie bo droga jest długa i kręta i polega na dodaniu kolejnych parametrów które pozwolą ignorować błędy związane z przestarzałą biblioteką i na pewno nie ma prostszej drogi jak instalacja wersji 2.5.9.

Zrobiłem downgrade do 2.5.9 i połączyło od strzała. Jest Pan wielki teraz walczę dalej z mapowaniem i na pewno zdam relacje

 

[3Qn]

Nie ustawiaj tych cipher data-cipher (https://community.openvpn.net/openv...on#Serverversion2.5Configuring:--data-ciphers) a jeżeli już ustawiasz to powinny wskazywać tą samą metodę. Dodając kolejne parametry tylko utrudniasz sprawę ustaw minimum jakie musisz albo takie które nie wypływają na parametry połączenia chyba że wiesz co chcesz osiągnąć.

Połączono posty: 18 Kwiecień 2023

@Skoczo Jak działa nie ma sensu logować ustaw verb na 0 lub 1.

 

[Skoczo]

Nie ustawiaj tych cipher data-cipher (https://community.openvpn.net/openv...on#Serverversion2.5Configuring:--data-ciphers) a jeżeli już ustawiasz to powinny wskazywać tą samą metodę. Dodając kolejne parametry tylko utrudniasz sprawę ustaw minimum jakie musisz albo takie które nie wypływają na parametry połączenia chyba że wiesz co chcesz osiągnąć.

Połączono posty: 18 Kwiecień 2023

@Skoczo Jak działa nie ma sensu logować ustaw verb na 0 lub 1.

Wywaliłem data-ciphers, zmieniłem verb na 0 i VPN się łaczy ale nie mogę go zmapować. Robię to tak: \\10.8.0.X\home i tak wisi na informacji "Trwa próba dołączenia do xxx". Dodatkowo w innych tematach widziałem że po wpisaniu w cmd "ipconfig" przy vpn mają adres bramy domyślnej, natomiast u mnie jest pusta

 

[3Qn]

\\10.8.0.1\home <- chyba że zmieniłeś w ustawieniach OpenVPN servera
\\192.168.*.*\home <- lokalny adres serwera nas też powinno działać jeżeli obca sieć Ci nie koliduje

 

[Skoczo]

\\10.8.0.1\home chyba że zmieniłeś w ustawieniach OpenVPN servera

Dzięki, nie dość że zadziałało to jeszcze uświadomiłeś mi jaki jestem głupi w tym temacie Możemy zamknąć temat, wszystko działa. Dziękuje wszystkim za pomoc! Zabieram się dalej za zabezpieczanie