Handig om te weten!

Home > Ict & zo > VPN die (bijna) altijd werkt

VPN die (bijna) altijd werkt

Posted by Hugo on april 29, 2014

logo_https_vpn.jpgHet is niet in ieder netwerk mogelijk om een VPN op te zetten. Vaak kunnen alleen alleen standaard http(s) poorten worden gebruikt.

Dit kan in veel gevallen worden opgelost door de VPN tunnel via de https tcp-poort 443 te laten communiceren.

Hier kun je bijvoorbeeld een openVPN client in combinatie met een Synology NAS voor gebruiken.

Het verschijnsel

Steeds vaker is het alleen nog maar mogelijk om vanuit een netwerk standaard websites te bekijken. Al het andere verkeer is dan geblokkeerd. Dit geldt ook voor vpn-verbindingen.

Dit is in veel gevallen op te lossen door de VPN tunnel via de zelfde tcp poort te laten communiceren als waarmee een webbrowser een website opvraagt. 

VPN Server

In dit voorbeeld wordt gebruik gemaakt van een Synology NAS. 

Om de configuratie file van de VPNserver te kunnen instellen moet terminal toegang op de NAS worden toegestaan. Dit kan worden ingesteld in het Configuratiescherm van het DSM. Ga naar Terminal en SNMP en open het tabblad Terminal. VInk SSH-service inschakelen aan.

dsm_terminal.png

Installeer in het DSM de VPN server package.

Van UDP naar TCP

Standaard communiceert OpenVPN via UDP. Dit willen we aanpassen naar TCP.

Maak met b.v. putty een terminalverbinding met de NAS.
Log in met gebruiker: root
Wachtwoord: van de administrator.

Open de configfile van de OpenVPNserver met b.v. de teksteditor vi: vi  /var/packages/VPNCenter/etc/openvpn/openvpn.conf

putty_openvpn_configfile.png

Ga met de cursor achter "max-clients 5" staan:

Type: i
Geef een enter en type: proto tcp
Geef een enter. En klik op esc.
Type: :w (inclusief de dubbelepunt)
Type: :q (inclusief de dubbelepunt)

config_opnevpnserver_tcp.png

Sluit de terminalsessie af door exit te typen.

VPN server starten

Ga in DSM naar het menu van de VPN-server en activeer de OpenVPN server.

dsm_vpn_config.png

Maak een nieuwe gebruiker aan of geef een van de bestaande gebruikers rechten om OpenVPN tunnels op te zetten.

Exporteer de instellingen die nodig zijn voor de VPN client.(ovpn file)

Poortforwarding

Stel in de netwerk router in dat externe poort 443 wordt geforward naar poort 1194 van het ipadres van de NAS.

VPN client

Download een OpenVPN client op www.openvpn.net bij: community -> downloads.

Plaats de geëxporteerde configuratiebestanden in /Program Files/OpenVPN/config map.

Bewerk de .ovpn file met de kladblok.

Geef bij "remote"  het internetadres of domein van de NAS op met daar achter het poortnummer 443.

Maak van proto udp -> proto tcp-client

Sla het bestand op.

openvpn_config.png

VPN opbouwen

Start het programma OpenVPN GUI

Bij de klok (sistray) verschijnt een icoontje met een PC met slot openvpn_sistray.png. Klik hier met de rechtermuisknop op. Er verschijnt een menu met daarin ook de titel van de configuratiefile. Door dit aan te klikken kan een vpntunnel worden opgezet. Deze verloopt nu via de zelfde poort als een website welke je via https op zou vragen.

openvpn_menu.png

Nu is het mogelijk een VPN verbinding op te zetten.

Deep package inspection

Het vpn verkeer lijkt aan de buitenzijde veel op https verkeer. Hierdoor zal de hier beschreven oplossing vaak werken. 

Op het moment dat binnen een netwerk deep package inspection wordt uitgevoerd wordt in de datastroom gekeken. Hierdoor wordt het duidelijk dat het niet om echt https berichten gaat en wordt de data alsnog geblokkeerd.

Ook hier zijn oplossingen voor, maar deze vallen buiten de scope van dit artikel.

Comments:

Laat een reactie achter



(Uw e-mailadres wordt niet publiekelijk weergegeven.)


Captcha Code

Klik op de afbeelding voor een andere captcha.