Kunsten å låse seg selv ute

RT2600ac
Test av IDS ble vanlig drift (Synology RT2600ac)
05/03/2017
Show all

Kunsten å låse seg selv ute

Jeg har konfigurert en VPN server på min ruter fordi jeg da kan få adgang til data som ligger i mitt nettverk hjemme. Og jeg kan sikre min kommunikasjon om jeg må bruke enheter på usikre nettverk. Det er ikke hver dag jeg bruker VPN forbindelsen, så det er ikke hver dag jeg får testet om den fungerer. OpenVPN er rimelig stabilt, men det er ofte med god grunn at folk er kritiske til kommersielle implementeringer av OpenVPN. Jeg opplevede her den annen dag at VPN forbindelsen ikke virket eller rettere forbindelsen koblet opp, men det kom ikke noen data igjennom.

Jeg hadde installert et SSL sertifikat på ruteren og tenkte at det kanskje kunne ha endret noe. Jeg lastet ned profilen igjen men det var ingen forskjell.

Kan min OpenVPN plutselig ha endret konfigurasjon? Lete lete lete. Først i menyene, så igjennom SSH og lese config filene igjennom kommandolinjen. Ingen fejl. Men prøver å endre litt. Og Ups, nå mistet den også oppkoplingen. Endre det tilbake igjen.

Har ruteren mistet rutingen av pakker fra VPN nettverket til LAN? Nei, for den har jo den regel som ser korrekt ut. Prøver å endre litt og ser hva som skjer. Ups, det må jeg heller endre tilbake. Kunne jo teste med Synology’s egen VPN klien? Ingen forskjell nei, da var det kanskje ikke OpenVPN konfig som var problemet.

Etter tre timer…

Plutselig oppdaget jeg en liten, men viktig, detalj Inne i brannmur konfigurasjonen. På ruteren kan man endre default regler for pakker. Da jeg hadde jobbet med oppsett av IPS (Intrusion Prevention System) var jeg kanskje i en litt for sikkerhet fokusert modus. Jeg satte defaulten til å ignorere alle pakke uten regler på alle grensesnitt. Ikke nødvendigvis noen dum ide, men man bør jo huske å opprette regler for alt den trafikk man vil ha igjennom.

Så jeg opprettede en regel som aksepterte trafikk fra VPN IP subsettet for UDP og TCP. Det er en liten og en egentlig ganske basal detalj. Men man kan fort gå seg bort i konfigurasjonsmuligheter. Spesiell fordi noe av konfigurasjonen som finnes allerede godt kunne likne på den regel jeg la til. Inne i «nabo» menyen Service finnes en sjekkboks for VPN Plus Server med avkryss i Enabled og «Allow Internet Access throug the Firewall». Sjekker man av for SSH i den åpner ruteren for adgang til SSH fra internettet (det vil du ikke den skal gjøre).

English summary:

If you have a Synology RT2600ac router and have difficulty getting packets through the VPN. Even if it connects correctly, receive IP routing, DHCP and IP information through the config and seems to have the correct exceptions set up automatically in Static Routing and Services. Then you might check if you’ve set the following rules to Deny:

If you have, you should create an exception for the VPN IP Subnet to LAN and WAN traffic. I know it’s a small and pretty basic detail. But even though the Synology router is userfriendly, this is the kind of detail which might take hours to clear out. Mostly because there is configuration which are very similar and would seem to be the same.