ESXi brute force beveiligen evt. openvpn?

Vraag

vrijdag 6 januari 2017 20:24

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Hallo allemaal

Ik ben er vandaag achter gekomen dat mijn ESXi server (stond in DMZ) werd aangevallen dmv brute force en daardoor werd het root account telkens voor 2 minuten geblokkeerd (ik weet dat root account beter had moeten uitzetten en een ander account aan moeten maken maar dat terzijde.)

Ik moet er vanaf school en vanaf stage bij kunnen (en eventueel als ik ergens anders ben).
Het probleem is dat ik niet weet welke IP ranges ik dan moet toestaan hiervoor en ik niet van te voren kan zeggen wanneer ik vanaf een andere plek erbij moet kunnen.

Ik heb hier nog een Raspberry Pi 2 Model B liggen die op dit moment niks doet die ik eventueel kan gebruiken om een VPN mee op te zetten, zelf zat ik te denken aan openVPN in combinatie met fail2ban.

Wat kan ik eraan doen om mijn ESXi server (beter) te beveiligen? En wat voor tips of verbeteringen hebben jullie voor mij?

Alvast bedankt

IT Guru :)

Alle reacties

vrijdag 6 januari 2017 20:34

Acties:

0 Henk 'm!

Toon-VA

Gewoon een IPSEC VPN tunnel opzetten naar je router en een aparte netwerkrange voor creëren en die toegang verlenen tot de DMZ zone. Hierdoor heb je een veilige verbinding naar "thuis" en kan je met je ESX server verbinden en nog andere zaken zoals bv. een NAS als je deze hebt staan.

Verder je DMZ dan zo toemaken in de Firewall dat enkel die VPN range er toegang tot heeft.

vrijdag 6 januari 2017 20:48

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Toon-VA schreef op vrijdag 6 januari 2017 @ 20:34:
Gewoon een IPSEC VPN tunnel opzetten naar je router en een aparte netwerkrange voor creëren en die toegang verlenen tot de DMZ zone. Hierdoor heb je een veilige verbinding naar "thuis" en kan je met je ESX server verbinden en nog andere zaken zoals bv. een NAS als je deze hebt staan.

Verder je DMZ dan zo toemaken in de Firewall dat enkel die VPN range er toegang tot heeft.

Ik heb niet zoveel ervaring met een VPN opzetten en ik heb hier alleen een Ziggo connect box modem/router wil dat hiermee of heb ik iets anders (erbij) nodig?

IT Guru :)

vrijdag 6 januari 2017 21:15

Acties:

0 Henk 'm!

RobinF

BJD1997 schreef op vrijdag 6 januari 2017 @ 20:48:
[...]

Ik heb niet zoveel ervaring met een VPN opzetten en ik heb hier alleen een Ziggo connect box modem/router wil dat hiermee of heb ik iets anders (erbij) nodig?

Die VPN kan je gewoon op die server draaien.

vrijdag 6 januari 2017 21:21

Acties:

0 Henk 'm!

BJD1997

Topicstarter

RobinF schreef op vrijdag 6 januari 2017 @ 21:15:
[...]

Die VPN kan je gewoon op die server draaien.

Ben even wat aan het zoeken geweest maar als ik het goed begrijp even een (Windows) server aanmaken op ESXi met 2 netwerk kaarten 1 (bijvoorbeeld in de DMZ) en de andere naar het LAN toe?

IT Guru :)

vrijdag 6 januari 2017 21:37

Acties:

+1 Henk 'm!

Paul

Wat bedoel je met "ESXi server stond in DMZ"? Heb je het IP-adres van je server ingevuld in he "DMZ"-veld van je Ziggo modem, of heb je echt afzonderlijke netwerken gecreëerd (al dan niet met behulp van VLANs) en heb je de management vmKernel in het DMZ-netwerk gehangen?

Gezien je overige vragen verwacht ik die 1e

Stap één: Haal dat IP weg uit het veld DMZ. Vergeet dat dit veld bestaat. Wil je op afstand bij je server zet dan ALLEEN de poorten die je daadwerkelijk naar de wereld open wil zetten in de lijst met port forwards. Zoals je al hebt gemerkt is het open zetten van de management interface van ESXi een slecht idee, met je idee voor een VPN ben je een stuk beter op weg.

Hoewel een Raspberry Pi een leuk en zuinig apparaatje hebt is het nog zuiniger om je VPN als VM op je ESXi-server te draaien

OpenVPN heeft een virtual appliance, die zou je kunnen gebruiken, of je maakt zelf een VM en installeert daar OpenVPN op.

Bij OpenVPN kun je kiezen uit Routed of Bridged, ik vind routed mooier maar aangezien je in het Ziggo modem afaik geen static route in kunt vullen moet je dat ofwel op je ESXi-host doen ofwel bridged gebruiken.

In plaats van je server vervolgens als "DMZ" in te stellen in je Ziggo router (en deze dus effectief zonder firewall (anders dan de firewall die ESXi zelf heeft) aan het internet te knopen) forward je vervolgens op je router alleen poort UDP/1194 (en/of TCP/443 als die eerste geblokkeerd is op school / stage) en stel je OpenVPN in dat er helemaal niet met wachtwoorden ingelogd kan worden en alleen met certificaten. Dat certificaat installeer je op je laptop (of net waar je de OpenVPN client op installeert) en jij bent de enige die er in kan

[ Voor 17% gewijzigd door Paul op 06-01-2017 21:39 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 6 januari 2017 21:42

Acties:

0 Henk 'm!

EnnaN

Toys in the attic

BJD1997 schreef op vrijdag 6 januari 2017 @ 20:24:
Ik ben er vandaag achter gekomen dat mijn ESXi server (stond in DMZ) werd aangevallen dmv brute force en daardoor werd het root account telkens voor 2 minuten geblokkeerd (ik weet dat root account beter had moeten uitzetten en een ander account aan moeten maken maar dat terzijde.)

* zet root login uit. dat is nergens voor nodig, en kun je met sudo oplossen.
* zet password login uit. Log alleen in met een key (MET KEYPHRASE). Zo heb je een bestand (private key) nodig, EN het wachtwoord.

Er is geen reden om dat niet te doen. Daarnaast kan een goeie firewall natuurlijk ook veel helpen. Om er bij te kunnen moet je idd de juiste ip's weten, maar als dat gedeelde ips (school, stage) of wisselende (ergens anders) kan dat lastig zijn.

Thuis een VPN draaien, en alleen vanaf lokale ips inloggen toestaan is natuurlijk het beste. Maar ook dan, fix die logins!

sig

vrijdag 6 januari 2017 21:46

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Paul schreef op vrijdag 6 januari 2017 @ 21:37:
Wat bedoel je met "ESXi server stond in DMZ"? Heb je het IP-adres van je server ingevuld in he "DMZ"-veld van je Ziggo modem, of heb je echt afzonderlijke netwerken gecreëerd (al dan niet met behulp van VLANs) en heb je de management vmKernel in het DMZ-netwerk gehangen?

Ik heb dit inderdaad in het Ziggo modem gedaan en daar het "DMZ"-veld gebruikt

Gezien je overige vragen verwacht ik die 1e Stap één: Haal dat IP weg uit het veld DMZ. Vergeet dat dit veld bestaat. Wil je op afstand bij je server zet dan ALLEEN de poorten die je daadwerkelijk naar de wereld open wil zetten in de lijst met port forwards. Zoals je al hebt gemerkt is het open zetten van de management interface van ESXi een slecht idee, met je idee voor een VPN ben je een stuk beter op weg.

Helaas heb ik dat wel gemerkt ja dat dat geen goed idee was

Hoewel een Raspberry Pi een leuk en zuinig apparaatje hebt is het nog zuiniger om je VPN als VM op je ESXi-server te draaien OpenVPN heeft een virtual appliance, die zou je kunnen gebruiken, of je maakt zelf een VM en installeert daar OpenVPN op.

Hoe moet ik de VM dan instellen qua netwerk? moet de VM 2 netwerk kaarten hebben of is 1 voldoende?
En als er 2 netwerk kaarten op de VM moeten moet er dan ook weer 1 in de Ziggo "DMZ" of is dat niet nodig?

Bij OpenVPN kun je kiezen uit Routed of Bridged, ik vind routed mooier maar aangezien je in het Ziggo modem afaik geen static route in kunt vullen moet je dat ofwel op je ESXi-host doen ofwel bridged gebruiken.

Geen idee wat routed of bridged precies inhoud bij OpenVPN heb nog nooit een VPN opgezet dus mijn excuses voor mijn onwetendheid over dit onderwerp. (Ben wel geïnteresseerd en leer snel bij

)

IT Guru :)

vrijdag 6 januari 2017 21:49

Acties:

0 Henk 'm!

BJD1997

Topicstarter

EnnaN schreef op vrijdag 6 januari 2017 @ 21:42:
[...]

* zet root login uit. dat is nergens voor nodig, en kun je met sudo oplossen.
* zet password login uit. Log alleen in met een key (MET KEYPHRASE). Zo heb je een bestand (private key) nodig, EN het wachtwoord.

Er is geen reden om dat niet te doen. Daarnaast kan een goeie firewall natuurlijk ook veel helpen. Om er bij te kunnen moet je idd de juiste ip's weten, maar als dat gedeelde ips (school, stage) of wisselende (ergens anders) kan dat lastig zijn.

Thuis een VPN draaien, en alleen vanaf lokale ips inloggen toestaan is natuurlijk het beste. Maar ook dan, fix die logins!

Logins zijn inmiddels gefixt. Private key ben ik ondertussen aan het uitzoeken hoe dat werkt met ESXi (wel ooit gedaan met een raspberry pi)

IT Guru :)

vrijdag 6 januari 2017 22:05

Acties:

+2 Henk 'm!

Paul

BJD1997 schreef op vrijdag 6 januari 2017 @ 21:46:
En als er 2 netwerk kaarten op de VM moeten moet er dan ook weer 1 in de Ziggo "DMZ" of is dat niet nodig?

De Ziggo "DMZ" is een heel erg slecht gekozen naam. Je modem doet NAT, verkeer dat van binnen naar buiten gaat wordt herschreven zodat het net is alsof al je verkeer vanaf één IP-adres komt, het externe ip-adres dat je van Ziggo krijgt en wat zichtbaar is als je naar iets als www.watismijnip.nl gaat. Dit adres ken je al want die gebruik je nu op school en stage om met je server te verbinden

Om dit te kunnen doen houdt je router een NAT-tabel bij, je gaat naar Google, het antwoord van Google wordt aan je router gericht en die heeft onthouden naar welke PC aan de binnenkant het toe moet.
Hij weet dus alleen van verkeer dat je eerst zelf van binnen naar buiten hebt gestuurd waar het retourverkeer heen moet. Als er een pakketje van buiten komt dat niet bij een bestaande verbinding hoort weet de router niet wat hij er mee moet doen.

Hier komen port forwards en die DMZ-setting op de hoek kijken. Een port forward is zoveel als: "Als er een verzoek binnenkomt zonder bestaande connectie, naar poort X, dan hoort het bij interne computer Y", en de DMZ-setting zegt: "Alles waarvan je niet weet waar het naartoe moet, moet naar computer Y".

In sommige gevallen erg handig, maar meestal VEEL te open

Een 'echt' DMZ is (kort door de bocht) een netwerk tussen twee firewalls is waar machines in staan die vanaf het internet benaderd worden (en daarmee dus niet 100% vertrouwd kunnen worden) en die (mogelijk; niet altijd) resources nodig hebben van het interne netwerk. Door deze servers in het DMZ te zetten zorg je dat een aanvaller die er in slaagt zo'n server over te nemen alsnog niet zomaar op je interne netwerk kan. Voordat je aan dat soort dingen begint in je home lab zou ik me eerst (veel) meer verdiepen in netwerken en firewalls en routering etc

Hoe moet ik de VM dan instellen qua netwerk?

Hoeveel netwerken heb je thuis? Volgens mij maar één: je LAN

De VM heeft dus ook maar één netwerkkaart nodig. Technisch gezien maakt hij er intern nog een paar aan maar die zijn niet zo belangrijk voor dit verhaal.

Geen idee wat routed of bridged precies inhoud

Bij bridged doe je alsof de PC waar je OpenVPN client op staat onderdeel uitmaakt van het netwerk van de server, alsof je niet op school zit maar letterlijk thuis. Voor een verbinding zoals jij maakt is dat prima, maar als je aan beide kanten een netwerk hebt en alles op site 1 (school) moet kunnen praten met alles op site 2 (thuis) dan is dat niet handig, en dan komt routed om de hoek kijken. Bij routed vertel je (bij voorkeur, kunt ook overal een static route maken) de hoofdrouter op iedere site op welk IP-adres ze de andere site kunnen vinden, namelijk via de OpenVPN-server.

Zelf ben ik goed bekend met netwerken (is mijn werk

) en gebruik ik liever routed (maar goed, ik heb thuis dan ook een paar VLANs, de router-functie van het Ziggo modem uit staan en er zelf een betere neergezet etc

) maar in jouw geval gaat bridged uitsteken werken

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 6 januari 2017 23:07

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Paul schreef op vrijdag 6 januari 2017 @ 22:05:
[...]
De Ziggo "DMZ" is een heel erg slecht gekozen naam. Je modem doet NAT, verkeer dat van binnen naar buiten gaat wordt herschreven zodat het net is alsof al je verkeer vanaf één IP-adres komt, het externe ip-adres dat je van Ziggo krijgt en wat zichtbaar is als je naar iets als www.watismijnip.nl gaat. Dit adres ken je al want die gebruik je nu op school en stage om met je server te verbinden

Om dit te kunnen doen houdt je router een NAT-tabel bij, je gaat naar Google, het antwoord van Google wordt aan je router gericht en die heeft onthouden naar welke PC aan de binnenkant het toe moet.
Hij weet dus alleen van verkeer dat je eerst zelf van binnen naar buiten hebt gestuurd waar het retourverkeer heen moet. Als er een pakketje van buiten komt dat niet bij een bestaande verbinding hoort weet de router niet wat hij er mee moet doen.

Hier komen port forwards en die DMZ-setting op de hoek kijken. Een port forward is zoveel als: "Als er een verzoek binnenkomt zonder bestaande connectie, naar poort X, dan hoort het bij interne computer Y", en de DMZ-setting zegt: "Alles waarvan je niet weet waar het naartoe moet, moet naar computer Y".

In sommige gevallen erg handig, maar meestal VEEL te open

Een 'echt' DMZ is (kort door de bocht) een netwerk tussen twee firewalls is waar machines in staan die vanaf het internet benaderd worden (en daarmee dus niet 100% vertrouwd kunnen worden) en die (mogelijk; niet altijd) resources nodig hebben van het interne netwerk. Door deze servers in het DMZ te zetten zorg je dat een aanvaller die er in slaagt zo'n server over te nemen alsnog niet zomaar op je interne netwerk kan. Voordat je aan dat soort dingen begint in je home lab zou ik me eerst (veel) meer verdiepen in netwerken en firewalls en routering etc

Dank voor de uitleg ik wist wel het een en ander maar wist niet dat een echt DMZ er zo uit zag.

Bij bridged doe je alsof de PC waar je OpenVPN client op staat onderdeel uitmaakt van het netwerk van de server, alsof je niet op school zit maar letterlijk thuis. Voor een verbinding zoals jij maakt is dat prima, maar als je aan beide kanten een netwerk hebt en alles op site 1 (school) moet kunnen praten met alles op site 2 (thuis) dan is dat niet handig, en dan komt routed om de hoek kijken. Bij routed vertel je (bij voorkeur, kunt ook overal een static route maken) de hoofdrouter op iedere site op welk IP-adres ze de andere site kunnen vinden, namelijk via de OpenVPN-server.

Helemaal duidelijk nogmaals bedankt voor de uitleg

Zelf ben ik goed bekend met netwerken (is mijn werk ) en gebruik ik liever routed (maar goed, ik heb thuis dan ook een paar VLANs, de router-functie van het Ziggo modem uit staan en er zelf een betere neergezet etc ) maar in jouw geval gaat bridged uitsteken werken

Zit zelf in het laatste jaar van mijn opleiding als netwerkbeheerder maar merk dat ik op school helaas nog lang niet alles heb geleerd (bijvoorbeeld nog nooit een VPN opgezet om maar wat te noemen)

Ik heb inmiddels de virtual appliance van OpenVPN gedownload en de VM aangezet maar bij een aantal settings kom ik niet helemaal uit namelijk deze:

> Should client traffic be routed by default through the VPN?

Explanation: If you only have a small network you would like your remote users to connect over the VPN, select no. Otherwise, if you would like everything to go through the VPN while the user is connected (especially useful if you want to secure data communications over an insecure link), select yes for this option.

en deze

> Should client DNS traffic be routed by default through the VPN?

Explanation: If you would like your VPN clients to able to resolve local domain names using an on-site DNS server, select yesfor this option. Otherwise, select no. Do note that if you selected yes for the previous option, all traffic will be routed over the VPN regardless what you set for this setting here.

IT Guru :)

vrijdag 6 januari 2017 23:28

Acties:

0 Henk 'm!

Paul

BJD1997 schreef op vrijdag 6 januari 2017 @ 23:07:
Ik heb inmiddels de virtual appliance van OpenVPN gedownload en de VM aangezet maar bij een aantal settings kom ik niet helemaal uit namelijk deze:

> Should client traffic be routed by default through the VPN?

Wil je dat AL je verkeer van je laptop over de VPN naar huis gaat en daar verder gaat? Dit is erg veilig, een man-in-the-middle-attack op locatie wordt omzeild, maar het is natuurlijk ook langzaam. Kun je goed gebruiken op publieke wifi-netwerken en/of als je lokale internetverbinding te beperkt is.

Aangezien je op school en op stage nog steeds bij de systemen van school en je werk wilt kunnen (anders kun je niet bij je bestanden, bij je mail etc) doe je dat nu dus niet

en deze

> Should client DNS traffic be routed by default through the VPN?

Hier geldt een beetje hetzelfde voor, welke DNS-servers moeten er gebruikt worden door je laptop? Die van school / werk of die van thuis?
Voor iemand die thuiswerkt en over de VPN naar allemaal servers op het werk moet is dit een hele goede optie, in jouw geval is het vooral lastig omdat je dan namen van school / werk niet meer kunt resolven. Die gaat dus ook uit

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 7 januari 2017 00:22

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Paul schreef op vrijdag 6 januari 2017 @ 23:28:
[...]
Wil je dat AL je verkeer van je laptop over de VPN naar huis gaat en daar verder gaat? Dit is erg veilig, een man-in-the-middle-attack op locatie wordt omzeild, maar het is natuurlijk ook langzaam. Kun je goed gebruiken op publieke wifi-netwerken en/of als je lokale internetverbinding te beperkt is.

Aangezien je op school en op stage nog steeds bij de systemen van school en je werk wilt kunnen (anders kun je niet bij je bestanden, bij je mail etc) doe je dat nu dus niet

[...]
Hier geldt een beetje hetzelfde voor, welke DNS-servers moeten er gebruikt worden door je laptop? Die van school / werk of die van thuis?
Voor iemand die thuiswerkt en over de VPN naar allemaal servers op het werk moet is dit een hele goede optie, in jouw geval is het vooral lastig omdat je dan namen van school / werk niet meer kunt resolven. Die gaat dus ook uit

staat ingesteld maar moet ik nu nog poort 443 of 943 forwarden? en klopt het dat OSI layer 2 (ethernet bridging) aan moet staan ipv OSI layer 3 (routing/NAT) ?

IT Guru :)

zaterdag 7 januari 2017 00:38

Acties:

0 Henk 'm!

Paul

Welke poort je forward hangt af van de mogelijkheden die je hebt. De default is dacht ik (maar mogelijk is dat anders in de versie die jij hebt) UDP/1194, maar als dat geblokkeerd wordt op je stageplek of op school dan moet je TCP/443 hebben.

Had je al gevonden dat OpenVPN een hele goede documentatie heeft? Zie bijvoorbeeld https://community.openvpn...n/wiki/BridgingAndRouting voor het verschil tussen L2 / L3, TAP en TUN, bridging en routing

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 7 januari 2017 00:59

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Paul schreef op zaterdag 7 januari 2017 @ 00:38:
Welke poort je forward hangt af van de mogelijkheden die je hebt. De default is dacht ik (maar mogelijk is dat anders in de versie die jij hebt) UDP/1194, maar als dat geblokkeerd wordt op je stageplek of op school dan moet je TCP/443 hebben.

Had je al gevonden dat OpenVPN een hele goede documentatie heeft? Zie bijvoorbeeld https://community.openvpn...n/wiki/BridgingAndRouting voor het verschil tussen L2 / L3, TAP en TUN, bridging en routing

Hmm net even via hotspot op mijn telefoon proberen te verbinden via mijn laptop maar krijg geen verbinding met de VPN

. De server word wel gevonden maar na het inloggen lijkt er iets fout te lopen OpenVPN heeft ook een connectivity test die ik even heb gedraaid maar die geeft aan dat zowel poort 1194 als 443 niet bereikt kunnen worden van buitenaf (allebei in portforwarding gezet in Ziggo modem)

Edit: foutmelding die ik zie via de webinterface:

Warning: Your configured Hostname or IP Address is '192.168.178.xxx' which is not a public IP address that VPN clients on the Internet can reach.

[ Voor 9% gewijzigd door BJD1997 op 07-01-2017 01:01 ]

IT Guru :)

zaterdag 7 januari 2017 10:33

Acties:

0 Henk 'm!

Paul

Dat klopt toch? Je zit in je laatste jaar in de opleiding tot netwerkbeheerder, je hebt ongetwijfeld uitleg gehad over IPv4 en het verschil tussen RFC1918-adressen / private adressen en publieke adressen

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 7 januari 2017 10:39

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Paul schreef op zaterdag 7 januari 2017 @ 10:33:
Dat klopt toch? Je zit in je laatste jaar in de opleiding tot netwerkbeheerder, je hebt ongetwijfeld uitleg gehad over IPv4 en het verschil tussen RFC1918-adressen / private adressen en publieke adressen

Ja ik weet inderdaad het verschil tussen public en private adressen maar ik vraag me af waarom het niet werkt als ik het IP adres ga aanpassen naar het publieke ipv4 adres van Ziggo dat gaat ook niet goedkomen lijkt mij en de juiste poorten staan wel open in het modem of mis ik iets?

IT Guru :)

zaterdag 7 januari 2017 12:13

Acties:

0 Henk 'm!

Paul

Ligt er aan welk IP-adres je aanpast? Je moet niet je OpenVPN-VM het Ziggo-adres geven, maar kun je aan die connectivity test niet vertellen wat je externe IP is?

Aan https://openvpn.net/image...dmin-ui-networkserver.jpg te zien moet je op die plek dus je externe IP invullen...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 7 januari 2017 13:41

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Paul schreef op zaterdag 7 januari 2017 @ 12:13:
Ligt er aan welk IP-adres je aanpast? Je moet niet je OpenVPN-VM het Ziggo-adres geven, maar kun je aan die connectivity test niet vertellen wat je externe IP is?

Aan https://openvpn.net/image...dmin-ui-networkserver.jpg te zien moet je op die plek dus je externe IP invullen...

Mijn fout ik dacht dat in dat veld het lokale IP moest staan in dhcp range van het Ziggo modem maar dat is nu dus aangepast. Maar loop nu tegen het probleem aan dat de virtuele netwerk kaart op de cliënt geen IP adres krijgt, wel zie ik terug in de openvpn webinterface dat er 1 actieve sessie is maar in Windows word er aangegeven dat er een authenticatie probleem is (bij de status van de netwerk kaart) authenticatie loopt via lokale database van de openvpn server. Ik heb een account aangemaakt en bijbehorend wachtwoord en toestemming gegeven voor autologin maar of deze aan of uit staat maakt geen verschil merk ik zelf.

Sorry dat ik zoveel vraag maar word er een beetje gefrustreerd van dat ik het zelf niet voor elkaar kan krijgen

IT Guru :)

zaterdag 7 januari 2017 16:04

Acties:

0 Henk 'm!

Thralas

Wat staat er in de logs (client, eventueel server)?

En wat heb je nu opgezet, een routed (tun) of bridged (tap) VPN? Welke wijzigingen heb je doorgevoerd in OpenVPN AS? Standaard staat hij in routed mode (niet wat jij wil, als ik Paul mag geloven ivm. gebrekkige routing op je Ziggorouter)...

zaterdag 7 januari 2017 16:10

Acties:

0 Henk 'm!

BJD1997

Topicstarter

Thralas schreef op zaterdag 7 januari 2017 @ 16:04:
Wat staat er in de logs (client, eventueel server)?

En wat heb je nu opgezet, een routed (tun) of bridged (tap) VPN? Welke wijzigingen heb je doorgevoerd in OpenVPN AS? Standaard staat hij in routed mode (niet wat jij wil, als ik Paul mag geloven ivm. gebrekkige routing op je Ziggorouter)...

Ik heb de server ingesteld op bridged en routed was inderdaad standaard. De logs zou ik even moeten nakijken als ik weer thuis ben. Laat het weten als ik iets ben tegengekomen.

Wat ik wel merkte gisteravond is dat de Android cliënt niet overweg kan met bridged mode dus ik had de hotspot aangezet op mijn telefoon en via Windows verbinding geprobeerd te maken met de VPN zo test ik het telkens.

IT Guru :)

zaterdag 7 januari 2017 16:28

Acties:

0 Henk 'm!

Thralas

Pff, even een long shot dan: loop ook de vSwitch/port group settings op ESXi goed na. Ik kan me voorstellen dat je 'forged transmissions' en eventueel promiscious mod moet aanzetten (hoop dat er wat mooiers is voor dat laatse)...

Standaard accepteert ESXi volgens mij enkel verkeer van VMs met het MAC-adres van de virtuele NIC. Jouw bridging OpenVPN AS stuurt ook frames van je VPN client door..

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties