Openvpn client poorten in gebruik - Netwerken

zondag 29 november 2020 11:24

Acties:

0 Henk 'm!

Topicstarter

Ik zet een openvpn connectie op naar een externe vpn provider (mullvad in dit geval).

Poort gebruikt is 1196 en werkt verder prima, echter wil ik mijn firewall voor 1 device zo dicht zetten dat alleen de VPN verbinding het internet op kan en verder niks.

Als ik de vpn al draaiende heb en dan alle poorten dicht zet op poort 1194 na op mijn Ubiquiti USG (onder LAN in want WAN out rules werken niet....) blijft vpn door draaien. Als ik de VPN dan disconnect is er geen internet verkeer mogelijk naar buiten.

So far so good, echter als ik nu weer de VPN wil verbinden kan ik op geen enkele manier meer een verbinding opzetten. Er zijn dus kennelijk meer poorten nodig die open moeten staan om dit toch toe te staan.

Iemand enig idee wat ik mis en of fout doe?

zondag 29 november 2020 11:37

Acties:

+1 Henk 'm!

jadjong

Begin eens met 53 voor DNS, al zou ik het eerder oplossen door de default gateway van de router op de VPN interface in te stellen.

[ Voor 65% gewijzigd door jadjong op 29-11-2020 11:38 ]

zondag 29 november 2020 12:31

Acties:

0 Henk 'm!

Dracula

Topicstarter

jadjong schreef op zondag 29 november 2020 @ 11:37:
Begin eens met 53 voor DNS, al zou ik het eerder oplossen door de default gateway van de router op de VPN interface in te stellen.

Ja DNS die had ik inderdaad net toegevoegd maar helaas nog geen witte rook.

En default gateway instellen, het device is een synology NAS daarbij heb ik op de LAN interface staan dat dat de default gateway is. Op de VPN interface kan ik niks instellen m.b.t. gateways

zondag 29 november 2020 12:38

Acties:

0 Henk 'm!

Dracula

Topicstarter

Nvm heb het al anders opgelost. Ik blok gewoon een paar specifieke poorten waar bepaald verkeer overheen gaat.

Als er geen VPN actief is blokt de firewall die poorten gewoon voor uitgaand verkeer en zodra de VPN weer actief is kan verkeer over de VPN tunnel gewoon weer naar buiten

zondag 29 november 2020 13:34

Acties:

0 Henk 'm!

jadjong

Dracula schreef op zondag 29 november 2020 @ 12:31:
[...]

En default gateway instellen, het device is een synology NAS daarbij heb ik op de LAN interface staan dat dat de default gateway is. Op de VPN interface kan ik niks instellen m.b.t. gateways

Ik ging er van uit dat je router de VPN op zet.

zondag 29 november 2020 13:43

Acties:

0 Henk 'm!

Dracula

Topicstarter

Nee de ubiquiti USG is niet super geschikt om VPN tunnels op te zetten.

zondag 29 november 2020 21:00

Acties:

0 Henk 'm!

Ben(V)

Je moet ook het verkeer doorlaten naar het Ip adres van de server van je VPN provider ander kan hij die VPN tunnel nooit opzetten.
Als je de firewall aanzet nadat die verbinding is opgezet dan is dat niet meer nodig, maar dan heb je een probleem met een reconnect.

Wat ik zelf gedaan heb is de firewall van mijn router gebruiken om al het verkeer van de Nas te blokkeren behalve het UDP(ik gebruik UDP en geenTCP) verkeer naar de server van de VPN provider.
Dan kan het verkeer vanaf bijvoorbeeld mijn PC gewoon het internet op, of als ik er voor kies de OpenVPN client op de PC te starten via de VPN te gaan.

Maar de firewall van de Nas gebruiken kan ook, maar dan heb je geen mogelijkheid meer om op je PC te kiezen en er zijn nu eenmaal zaken die niet werken via een VPN.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zondag 29 november 2020 21:46

Acties:

0 Henk 'm!

Dracula

Topicstarter

Ben(V) schreef op zondag 29 november 2020 @ 21:00:
Je moet ook het verkeer doorlaten naar het Ip adres van de server van je VPN provider ander kan hij die VPN tunnel nooit opzetten.
Als je de firewall aanzet nadat die verbinding is opgezet dan is dat niet meer nodig, maar dan heb je een probleem met een reconnect.

Wat ik zelf gedaan heb is de firewall van mijn router gebruiken om al het verkeer van de Nas te blokkeren behalve het UDP(ik gebruik UDP en geenTCP) verkeer naar de server van de VPN provider.
Dan kan het verkeer vanaf bijvoorbeeld mijn PC gewoon het internet op, of als ik er voor kies de OpenVPN client op de PC te starten via de VPN te gaan.

Maar de firewall van de Nas gebruiken kan ook, maar dan heb je geen mogelijkheid meer om op je PC te kiezen en er zijn nu eenmaal zaken die niet werken via een VPN.

Ehm dus jij allowed al het UDP verkeer van je NAS naar de VPN providers IP?

Ik heb / had alleen de specifieke poort die in gebruik is allowed naar de VPN provider.

En ik neem aan dat je verder ook DNS toestaat naar buiten om name resolution te doen van VPN provider?

[ Voor 4% gewijzigd door Dracula op 29-11-2020 21:48 ]

zondag 29 november 2020 23:44

Acties:

0 Henk 'm!

Ben(V)

Nee dat hoeft niet, OpenVpn werkt met een ipadres en niet met een naam die via DNS resolved moet worden.
En een poort hoeft ook niet dat is alleen nodig als je van buiten komt.

Je hebt een OpenVpn client op je Nas die de Vpn server van je Vpn provider connect en een tunnel opbouwt dus het udp verkeer naar die Vpn server moet door de Firewall kunnen, meer is niet nodig.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 30 november 2020 08:12

Acties:

0 Henk 'm!

Dracula

Topicstarter

Ben(V) schreef op zondag 29 november 2020 @ 23:44:
Nee dat hoeft niet, OpenVpn werkt met een ipadres en niet met een naam die via DNS resolved moet worden.
En een poort hoeft ook niet dat is alleen nodig als je van buiten komt.

Je hebt een OpenVpn client op je Nas die de Vpn server van je Vpn provider connect en een tunnel opbouwt dus het udp verkeer naar die Vpn server moet door de Firewall kunnen, meer is niet nodig.

Ehm hoezo ipadres, dat betelend dat ik alle vpn servers op ip toe moet voegen in de openvpn config file ipv op dns naam. Niet heel handig als hun ip veranderd.

En eigenlijk zeg je dus dat je van je NAS in de firewall alleen UDP verkeer toe laat naar de ips van de vpn provider en de rest dicht zet voor je NAS?

maandag 30 november 2020 09:58

Acties:

0 Henk 'm!

Ben(V)

Via een DNS entry kun je geen firewall configureren, dus als je een dns naam wilt gebruiken kan dat niet.
Als je geen fixed ip adres in je .ovp hebt dan krijg je een willekeurige VPN server toegewezen en dat kun je niet in je firewall configureren of je zult alle mogelijke VPN servers moeten opnemen.

Bij mijne VPN provider kan ik voor elke server een .ovp file downloaden met daarin een specifiek ip adres, die gebruik ik dan voor de VPN client van de Nas.
En voor dat ip adres laat ik het udp verkeer door in de firewall en blokkeer ik al het overige verkeer.

[ Voor 4% gewijzigd door Ben(V) op 30-11-2020 10:00 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 30 november 2020 11:53

Acties:

0 Henk 'm!

Dracula

Topicstarter

Ja ik snao dat je geen DNS namen in firewall kan stoppen, Enige waarom ik DNS noemde in de ovpn file omdat dat flexibel is maar inderdaad als je de IP's in je firewall hebt zitten maakt dat ook niet meer uit.

Heb het nu getest om al het UDP verkeer vanaf mijn NAS toe te staan naar VPN servers alleen nog steeds wil de vpn niet connecten als de rest dicht staat.

Verder testen maar weer. Voor nu block ik gewoon bepaalde poorten van bepaalde verkeersstromen en dat werkt ook wel maar heb liever de boel verder dicht staan.

maandag 30 november 2020 12:59

Acties:

0 Henk 'm!

Ben(V)

Heb het nooit getest met de firewall van de Nas, omdat ik de firewall in m'n router gebruik.

Maar gebruik jij de firewall in de Nas dan ook voor je overige verkeer of is het alleen bedoelt voor het verkeer vanuit je Nas?

In het laatste geval zou je misschien gewoon alles open kunnen zetten en alleen het verkeer naar je router blocken?

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 30 november 2020 13:22

Acties:

0 Henk 'm!

Dracula

Topicstarter

nee ik gebruik niet de firewall van de NAS ik gebruik de Ubiquiti USG.

Op de USG heb ik een rule aangemaakt die UDP verkeer toestaat naar VPN provider en een rule die verder verkeer blokt vanaf de NAS.

Zodra ik die rules actief heb kan ik de VPN tunnel niet actief maken. Als ze de tunnel er al is werkt alles wel.

Ik heb nu maar een rule aangemaakt die alleen specifieke poorten niet toestaat naar buiten toe vanaf ip van de NAS en dat werkt wel. Als de VPN uit valt stopt dat verkeer ook en als ik de VPN dan weer connect gaat dat verkeer weer door.

Maar het liefst zou ik dus alles blokken op het kunnen opzetten van een VPN tunnel na.

maandag 30 november 2020 14:13

Acties:

0 Henk 'm!

Ben(V)

Bij mij werkt het wel zo.
Ik sta al het UDP verkeer vanaf mijn Nas naar het ipadres van de VPN provider toe.
En daarna een regel waarbij al het verkeer van de Nas naar het WAN geblocked wordt.

Deze volgorde is wel belangrijk, want als je alles eerst blocked komt de tweede regel niet meer aan de beurt.
Maar dat is hoe mijn firewall werkt en ik weet niet hoe die usg dat doet.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 30 november 2020 14:18

Acties:

0 Henk 'm!

borft

Dracula schreef op maandag 30 november 2020 @ 13:22:
nee ik gebruik niet de firewall van de NAS ik gebruik de Ubiquiti USG.

Op de USG heb ik een rule aangemaakt die UDP verkeer toestaat naar VPN provider en een rule die verder verkeer blokt vanaf de NAS.

Zodra ik die rules actief heb kan ik de VPN tunnel niet actief maken. Als ze de tunnel er al is werkt alles wel.

Ik heb nu maar een rule aangemaakt die alleen specifieke poorten niet toestaat naar buiten toe vanaf ip van de NAS en dat werkt wel. Als de VPN uit valt stopt dat verkeer ook en als ik de VPN dan weer connect gaat dat verkeer weer door.

Maar het liefst zou ik dus alles blokken op het kunnen opzetten van een VPN tunnel na.

Sta je ook inkomend related verkeer toe? Anders gaat het natuurlijk niet werken. Anders even met tcpdump op je USG kijken of het verkeer er doorheen komt. Voor OpenVPN heb je in principe alleen UDP op port 1194 nodig (tenzij je een andere port gebruikt). TCP kan ook, maar zou ik sterk afraden

Normaliter gebruikt je NAS je router/gw als DNS, dus dat hoef je niet toe te staan lijkt me.

maandag 30 november 2020 18:52

Acties:

0 Henk 'm!

Dracula

Topicstarter

Ja related sta ik toe. Zie niet echt veel zinnigs voorbij komen met tcpdump maar ik ga nog even verder spitten.

Ergens gaat het nog niet helemaal tof

vrijdag 4 december 2020 17:44

Acties:

0 Henk 'm!

Dracula

Topicstarter

Ok problem solved....

Voel me nu wel beetje een n00b.....

Ik had zowel source port als destination port ingesteld op 1302 (dat is de UDP port van mijn provider) alleen de NAS gebruikt een random port om naar buiten te gaan.

Dus heb nu op mijn Ubiquiti USG 2 allow rules (1 voor DNS en 1 voor UDP naar port 1302) met bij de UDP 1302 port source port op any ipv 1302 en voila alles werkt.

Ben nu nog ff de firewall logs aan het tailen want het lijkt erop dat de source port niet random is maar steeds dezelfde ergens in de 30000

Pagina: 1

Reageer