OpenVPN naar ASUS AC87U via OSX werkt nu nog via SSH 22

maandag 16 mei 2016 13:53

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Via OpenVPN maak ik verbinding (UDP, 443) vanaf mijn Macbook Pro m.b.v. Tunnelblick verbinding naar mijn thuis netwerk. De OpenVPN server draait op mijn Asus AC87U router. Nu wil ik graag de OpenVPN verbinding via een SSH tunnel tot stand brengen.

Dit omdat ik vanaf een ander netwerk verbinding wil maken maar de daar lokale firewall draait deep packet inspection en blokkeert zo het OpenVPN protocol, waarbij dan de verbinding wordt verbroken.

(Ik weet dat met VPN Provider AirVPN het mogelijk is om m.b.v. de AirVPN client te verbinden over SSH met poort 80, verander ik het in UDP, 443 dan werkt het niet. Dus proof of concept: m.b.v. SSH werkt het wel).

Waarom wil ik dit? Ik wil graag mijn eigen Freenas server kunnen benaderen die thuis draait. (o.a. om TimeMachine backups te kunnen benaderen, en applicaties die draaien op de achtergrond). Ook denk ik dat 't veiliger is om met OpenVPN naar huis een verbinding te maken i.p.v. poorten open te zetten op de router.

Ik denk dat ik een SSH server nodig heb ipv een OpenVPN server vanaf de router?

Relevante software en hardware die ik gebruik
Macbook Pro (OSX El Capitan 11.04), Tunnelblick OpenVPN software, Asus AC87U (Merlin firmware 380.59) als OpenVPN server.a

Wat ik al gevonden of geprobeerd heb:
Ik zat hier te neuzen: http://www.htpcguides.com...routers-without-ssh-keys/

Maar zo kan ik in de GUI komen van de router, alleen die specifieke pagina? Of?

Wie kan me vertellen wat ik nodig heb om te doen wat ik wil? SSH server op de Asus AC87u? of wellicht op de server?

maandag 16 mei 2016 14:46

Acties:

0 Henk 'm!

Thralas

WTM schreef op maandag 16 mei 2016 @ 13:53:
(Ik weet dat met VPN Provider AirVPN het mogelijk is om m.b.v. de AirVPN client te verbinden over SSH met poort 80, verander ik het in UDP, 443 dan werkt het niet. Dus proof of concept: m.b.v. SSH werkt het wel).

Heb je ook OpenVPN over TCP geprobeerd? Lijkt me eigenlijk sterk dat dat niet werkt als SSH op een willekeurige poort wel mag.

Ook denk ik dat 't veiliger is om met OpenVPN naar huis een verbinding te maken i.p.v. poorten open te zetten op de router.

Wat ik al gevonden of geprobeerd heb:
Ik zat hier te neuzen: http://www.htpcguides.com...routers-without-ssh-keys/

Maar zo kan ik in de GUI komen van de router, alleen die specifieke pagina? Of?

Ik snap je vraag niet helemaal. Je linkt naar een guide om SSH-access te enablen op je router, dat kun je toch proberen?

Wie kan me vertellen wat ik nodig heb om te doen wat ik wil? SSH server op de Asus AC87u?

Probeer vooral eerst OpenVPN over TCP, tunnelen over SSH maakt het allemaal net wat complexer. Integreert mogelijk ook lastiger met je VPN client..

Kies wel voor optie 2 bij het instellen van SSH (maw. disable password logins en gebruik een sleutel).

of wellicht op de server?

Dat maakt weinig uit lijkt me, tenzij je tegen limitaties van je router loopt.

maandag 16 mei 2016 14:51

Acties:

0 Henk 'm!

WTM

Topicstarter

Thralas schreef op maandag 16 mei 2016 @ 14:46:
[...]

Heb je ook OpenVPN over TCP geprobeerd? Lijkt me eigenlijk sterk dat dat niet werkt als SSH op een willekeurige poort wel mag.

[...]

Ja, zowel TCP/UDP geprobeerd, over allerlei poorten (80/443 en nog wat).

[...]

Ik snap je vraag niet helemaal. Je linkt naar een guide om SSH-access te enablen op je router, dat kun je toch proberen?

Ja, ik kan die SSH service wel aanzetten, maar dan moet ik ook een poortje openzetten toch zo?

[...]

Probeer vooral eerst OpenVPN over TCP, tunnelen over SSH maakt het allemaal net wat complexer. Integreert mogelijk ook lastiger met je VPN client..

Kies wel voor optie 2 bij het instellen van SSH (maw. disable password logins en gebruik een sleutel).

TCP lukt dus niet

.

[...]

dinsdag 17 mei 2016 10:13

Acties:

0 Henk 'm!

WTM

Topicstarter

Nog een toevoeging. Ik heb ontdekt (via AirVPN's eigen programma) dat ik via SSL (443 poort) of SSH (poort 22, 53, 80) een VPN verbinding tot stand kan brengen.

Nu zou ik graag nog een manier hebben om mijn eigen OpenVPN verbinding naar huis toe kan verpakken in een SSL / SSH tunnel. Als dat kan via Tunnelblick op OSX zou dat geweldig zijn, liefst niet teveel in terminal rommelen maar als 't moet doen we dat natuurlijk. Ik heb geen duidelijke tutorials gezien die daarbij helpen.

dinsdag 17 mei 2016 10:37

Acties:

0 Henk 'm!

daxy

Volgens mij haal je 2 dingen door elkaar hier.

Het OpenVPN verkeer is al ge-encrypt door het gebruik van zijn eigen certificaat en public/private keys. OpenVPN over SSH laten draaien heeft technisch gezien geen nut, want encryptie over encryptie.

Weet je zeker dat je VPN tunnel afgebroken wordt? Betekend dit dat de verbinding er wel was en verbroken wordt, of komt hij helemaal niet op? Dat is nogal een verschil. Ik heb het vermoeden dat je OpenVPN configuratie gewoon niet goed is en dat het daarom niet werkt eigenlijk. Zet je Tunnelblick logfile hier eens neer zodat we weten wat de echte reden tot het verbreken van je verbinding is

Do not argue with a fool. He will drag you down to his level and beat you with experience.

dinsdag 17 mei 2016 10:54

Acties:

0 Henk 'm!

WTM

Topicstarter

daxy schreef op dinsdag 17 mei 2016 @ 10:37:
Volgens mij haal je 2 dingen door elkaar hier.

Het OpenVPN verkeer is al ge-encrypt door het gebruik van zijn eigen certificaat en public/private keys. OpenVPN over SSH laten draaien heeft technisch gezien geen nut, want encryptie over encryptie.

Weet je zeker dat je VPN tunnel afgebroken wordt? Betekend dit dat de verbinding er wel was en verbroken wordt, of komt hij helemaal niet op? Dat is nogal een verschil. Ik heb het vermoeden dat je OpenVPN configuratie gewoon niet goed is en dat het daarom niet werkt eigenlijk. Zet je Tunnelblick logfile hier eens neer zodat we weten wat de echte reden tot het verbreken van je verbinding is

Dank voor je reply.

Connecten met Tunnelblick naar m'n thuis OpenVPN configuratie werkt prima, op diverse netwerken. Alleen vanuit een netwerk waar ik vaker verbind komt er geen verbinding tot stand (blijft hangen in authenticeren).

OpenVPN is inderdaad encrypted, dat is waar. Alleen is de firewall waar deze doorheen moet voorzien van DPI (deep packet inspection). Ik heb 't getest met AirVPN. Die client heeft de optie om een SSH / SSL verbinding op te zetten. Daarmee lukt het wel. De firewall hier ziet dus wel dat het een OpenVPN verbinding is en die blokkeert hij. Maar als de betreffende OpenVPN verbinding via een SSH / SSL verbinding opgezet wordt dan werkt het opeens wel.

Console log komt dus niet verder dan:
*Tunnelblick: OS X 10.11.5; Tunnelblick 3.6.3 (build 4560); prior version 3.6.2 (build 4558); Admin user

Ik heb 't geprobeerd met andere poorten (80, 443, etc.), op zowel TCP als UDP. Verder zijn alle websites te bezoeken volgens mij, incl. bijvoorbeeld internetbankieren (dat loopt toch ook over die verbindingen / poorten). Dus encryptie is geen probleem, maar zodra het OpenVPN protocol gedetecteerd wordt is 't einde oefening.

Wat ik ook geprobeerd heb: via AirVPN verbinden over SSH. En dan vervolgens met Tunnelblick naar mijn huis toe. Dan komt er wel een verbinding. Alleen kan ik dan nog niet m'n interne netwerk zien van thuis.

donderdag 19 mei 2016 01:02

Acties:

0 Henk 'm!

WTM

Topicstarter

Subtiel kickje. Iemand nog een suggestie of is mijn vraag niet duidelijk ? (Of jullie weten het ook niet 😳

donderdag 19 mei 2016 09:40

Acties:

0 Henk 'm!

daxy

Sorry, verder geen ervaring mee. Maar als ik zoek dan vind je genoeg informatie. Heb je dit al geprobeerd:
https://redfern.me/tunneling-openvpn-through-ssh/

1e hit op google als ik zoek op: openvpn over ssh

Do not argue with a fool. He will drag you down to his level and beat you with experience.

zondag 22 mei 2016 18:55

Acties:

0 Henk 'm!

WTM

Topicstarter

daxy schreef op donderdag 19 mei 2016 @ 09:40:
Sorry, verder geen ervaring mee. Maar als ik zoek dan vind je genoeg informatie. Heb je dit al geprobeerd:
https://redfern.me/tunneling-openvpn-through-ssh/

1e hit op google als ik zoek op: openvpn over ssh

Nee, helaas, hier kom ik niet verder mee. Heb echt wel flink gegoogeld. Wellicht snap ik bepaalde termen niet goed.

Als ik 't goed heb. Mijn Asus AC87U router is toch al de SERVER van OpenVPN in mijn geval? Dat stel ik allemaal in via de GUI van de router.

Ik heb wel een server draaien (FreeNas) (waar ik backups op maak, file server is, plex serveert en download bak is) daar kan ik vast wel iets op installeren maar ik zou 't het mooiste vinden als 't kan via de router.? En als 't moet op freenas, dan zou ik graag iets in een jail willen installeren maar blijft toch lastig op deze manier.

zondag 22 mei 2016 19:01

Acties:

0 Henk 'm!

johnkeates

Het is niet zo ingewikkeld hoor..

ssh user@asus-home-ding.com -L1195:localhost:12345

Dan zorgen dat er op je asus op poort 1195 in TCP mode een OpenVPN server luistert.
In je Tunnelblick config (of een kopie daar van) zeggen dat ie in TCP mode op poort 12345 met localhost moet verbinden. Done!

Zal wel traag zijn, zo draag als stront door een trechter, maar het kan dus wel. Optioneel kan je met SSH de encryptie lager zetten, bijv. arcfour, dan heb je iets minder crypto overhead wat aan de Asus kant wel nodig gaat zijn gezien het een brakke embedded CPU betreft.

zondag 22 mei 2016 20:13

Acties:

0 Henk 'm!

WTM

Topicstarter

johnkeates schreef op zondag 22 mei 2016 @ 19:01:
Het is niet zo ingewikkeld hoor..
ssh user@asus-home-ding.com -L1195:localhost:12345
Dan zorgen dat er op je asus op poort 1195 in TCP mode een OpenVPN server luistert.
In je Tunnelblick config (of een kopie daar van) zeggen dat ie in TCP mode op poort 12345 met localhost moet verbinden. Done!

Zal wel traag zijn, zo draag als stront door een trechter, maar het kan dus wel. Optioneel kan je met SSH de encryptie lager zetten, bijv. arcfour, dan heb je iets minder crypto overhead wat aan de Asus kant wel nodig gaat zijn gezien het een brakke embedded CPU betreft.

Als ik je zo hoor is dat een pad wat je niet zou aanraden?

Ik begrijp dat er dus standaard een SSH server draait op de Asus AC87U ?

Ik kan nergens een user aanmaken ofzo.

zondag 22 mei 2016 20:24

Acties:

0 Henk 'm!

johnkeates

WTM schreef op zondag 22 mei 2016 @ 20:13:
[...]

Als ik je zo hoor is dat een pad wat je niet zou aanraden?

Ik begrijp dat er dus standaard een SSH server draait op de Asus AC87U ?

Ik kan nergens een user aanmaken ofzo.

Ik zou het niet aanraden nee. Ik zou eerder op zoek gaan naar een manier om toch door de firewall te komen. Ik doe dat meestal over TCP/993.

Wat er op de Asus qua software draait weet ik zo niet, ik zou het wissen en er OpenWRT of DD-WRT op zetten, of eigenlijk het hele ding in de prullenbak gooien en een x86 pfSense doosje neerzetten.

zondag 22 mei 2016 21:01

Acties:

0 Henk 'm!

WTM

Topicstarter

johnkeates schreef op zondag 22 mei 2016 @ 20:24:
[...]

Ik zou het niet aanraden nee. Ik zou eerder op zoek gaan naar een manier om toch door de firewall te komen. Ik doe dat meestal over TCP/993.

Wat er op de Asus qua software draait weet ik zo niet, ik zou het wissen en er OpenWRT of DD-WRT op zetten, of eigenlijk het hele ding in de prullenbak gooien en een x86 pfSense doosje neerzetten.

Alles via TCP zit pot dicht OpenVPN werkt dan niet. SSH / SSL wil wel.

Het probleem is dat de firewall aan DPI (deep packet inspection) doet, dus alles van OpenVPN werkt niet.
Ik heb best een stevige server draaien met Freenas als OS, ik kan daar wat op installeren (doch zie ik niet ergens een praktische tutorial om dat voor elkaar te krijgen).

zondag 22 mei 2016 21:28

Acties:

0 Henk 'm!

johnkeates

WTM schreef op zondag 22 mei 2016 @ 21:01:
[...]

Alles via TCP zit pot dicht OpenVPN werkt dan niet. SSH / SSL wil wel.

Het probleem is dat de firewall aan DPI (deep packet inspection) doet, dus alles van OpenVPN werkt niet.
Ik heb best een stevige server draaien met Freenas als OS, ik kan daar wat op installeren (doch zie ik niet ergens een praktische tutorial om dat voor elkaar te krijgen).

Ik denk dat je bedoelt dat UDP dicht zit. DPI doet niet zo veel op TCP OpenVPN verkeer zolang het over een known TLS poort loopt. Je gebruikt wel OpenVPN met TLS static keys, user certificates en username+password auth neem ik aan?

zondag 22 mei 2016 21:46

Acties:

0 Henk 'm!

WTM

Topicstarter

johnkeates schreef op zondag 22 mei 2016 @ 21:28:
[...]

Ik denk dat je bedoelt dat UDP dicht zit. DPI doet niet zo veel op TCP OpenVPN verkeer zolang het over een known TLS poort loopt. Je gebruikt wel OpenVPN met TLS static keys, user certificates en username+password auth neem ik aan?

Ik kan je alleen vertellen dat ik met AirVPN op diverse TCP/UDP poorten geprobeerd heb (poorten 80, 53, 443, 2018).

Als ik met tunnelblick naar mijn eigen OpenVPN zelf connect gaat 't mis. (op andere netwerken gaat de verbinding prima).

In de GUI van de router (Merlin firmware zoals te lezen was) daar kun je een OpenVPN server instellen en die maakt dan een .ovpn bestand aan die kan ik dan in tunnelblick laden en verbinden. (heb een ww gegenereerd in die gebruikt voor 't genereren van dat bestand dus ik neem aan dat 't voldoet aan de eisen zoals jij beschrijft?)

Ik zal nog eens proberen morgen over TCP poort 993. Wie weet lukt dat wel.

dinsdag 24 mei 2016 14:13

Acties:

0 Henk 'm!

WTM

Topicstarter

johnkeates schreef op zondag 22 mei 2016 @ 21:28:
[...]

Ik denk dat je bedoelt dat UDP dicht zit. DPI doet niet zo veel op TCP OpenVPN verkeer zolang het over een known TLS poort loopt. Je gebruikt wel OpenVPN met TLS static keys, user certificates en username+password auth neem ik aan?

helaas, ook met tcp op poort 993 ziet de firewall dmv dpi dit en weigert verbinding te maken.

Hoe kan ik TLS static keys, user certificates en username+password auth controleren of dat via de Asus (Merlin) GUI goed is aangemaakt en dat niet het probleem is? Ik denk echt dat SSH/SSL nodig is, want zoals gezegd kan ik via de AirVPN client in de GUI wel over SSH/SSL verbinden maar niet zonder die extra laag eroverheen.

dinsdag 24 mei 2016 18:18

Acties:

0 Henk 'm!

johnkeates

Ik denk dat dat op de standaard Asus firmware niet kan.

dinsdag 24 mei 2016 18:56

Acties:

0 Henk 'm!

WTM

Topicstarter

johnkeates schreef op dinsdag 24 mei 2016 @ 18:18:
Ik denk dat dat op de standaard Asus firmware niet kan.

Dank voor je reactie en het meedenken!
Ik gebruik de Asus-wrt Merlin firmware. (http://asuswrt.lostrealm.ca) versie 3.59. Volgens mij redelijk uitgebreid.

Kan je me vertellen waar ik naar moet zoeken?

Vandaag had ik even via m'n iPad die met VPN verbonden was via Vodafone in m'n router de settings aangepast zodat er ingelogd kon worden m.b.v. SSH via de WAN. (Met een wachtwoord. Niet erg veilig dus maar 't was me even om te testen)

Ik kon dus inloggen via de terminal door: ssh gebruikersnaam@ip-adresthuis
vervolgens kwam ik in de root van de router. Vanaf daar kon ik pingen (in de terminal) naar dingen in m'n thuisnetwerk. Vervolgens heb ik geprobeerd om (toen ik in de terminal reeds verbonden was met m'n server) in OSX m'n server te benaderen (afp://user@ip-adresvanserver). Dat lukte niet. Terwijl ik via de SSH verbinden in de terminal wel bij m'n server terecht kon en bestanden op de server kon zien.

Iemand suggesties nu ik eenmaal deze stap gezet heb om 't dan verder voor elkaar te krijgen?

dinsdag 24 mei 2016 20:56

Acties:

0 Henk 'm!

johnkeates

Je moet met SSH wel de -L optie gebruiken voor een lokale tunnel naar de remote locatie. SSH tunnels doen alleen TCP, geen UDP dacht ik. Dus je moet VPN in TCP mode gebruiken. SSH tunnels zijn over het algemeen voor 1 setje poorten. De syntax is:

-L<lokale poort><host><remote poort> waarna je op localhost je lokale poort kan gebruiken om met de remote host op de remote poort te verbinden.

Zo kan je dus remote poort 12345 hebben staan en hem lokaal op 8080 gebruiken d.m.v. -L8080:localhost:12345

Je kan ook stel dat je enkel een tunnel naar 1 ander apparaat wil maken localhost vervangen met het IP adres van de host in het remote netwerk. Stel dat je een NAS hebt met het IP 192.168.123.234 en je wil die met AFP over TCP benaderen (poort 548) zodat je op je computer waar je SSH vanaf start op localhost:5678 met AFP kan verbinden:

ssh user@ip.van.router.wan.com -L5678:192.168.123.234:548

Daarna kan je op je Mac waar je terminal nog open hebt staan met je SSH sessie verbinding maken met je NAS:

Cmd+K in Finder (Connect to... of in NL Verbind Met...) en dan via afp verbinding maken: afp://localhost:5678 en dat verkeer gaat van over SSH via je router daar naar je NAS.

Voor je VPN moet je dus instellen dat het een TCP mode VPN is, en daarna kan je je VPN poort met een SSH tunnel combineren om lokaal over je SSH tunnel met de VPN poort op je router verbinding te maken. Voorbeeld:

ssh user@ip.van.router.wan.com -L2345:localhost:2999

Hierbij gaan we er van uit dat je VPN op je Router in TCP mode op poort 2999 zit. Daarna kan je lokaal op je Mac in Tunnelblick of AirVPN ofzo na dat je SSH tunnel tot stand gekomen is met de VPN server verbinding maken op localhost:2345.

[ Voor 58% gewijzigd door johnkeates op 24-05-2016 21:05 ]

Onderwerpen

Vraag

Alle reacties