Keine OpenVPN-Verbindung zwischen zwei DS (6.1 <-> 5.2)

Status
Für weitere Antworten geschlossen.

mn26826

Benutzer
Mitglied seit
12. Sep 2010
Beiträge
33
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

ich habe Probleme bei der Herstellung einer OpenVPN-Verbindung in folgender Konstellation:

OpenVPN-Server: DS713+ mit DSM 6.1.3-15152 Update 4
OpenVPN-Client: DS110j mit DSM 5.2-5967 Update 4

Beim Versuch, von der DS110j eine Verbindung aufzubauen kommt es nach 60 Sekunden zu folgender Fehlermeldung:

Verbindung fehlgeschlagen oder Zertifikat abgelaufen. Verwenden Sie bitte ein gültiges Zertifikat, das vom VPN-Server ausgegeben wurde, und versuchen Sie es erneut.

In /var/log/messages der DS110j findet man folgende Zeilen:

Rich (BBCode):
Sep 18 11:20:29 NAS-BACKUP openvpn[22468]: WARNING: file '/tmp/ovpn_client_up' is group or others accessible
Sep 18 11:20:29 NAS-BACKUP openvpn[22468]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sep 18 11:20:29 NAS-BACKUP openvpn[22468]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sep 18 11:21:29 NAS-BACKUP openvpn[22471]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 18 11:21:29 NAS-BACKUP openvpn[22471]: TLS Error: TLS handshake failed
Sep 18 11:21:30 NAS-BACKUP synovpnc: connection.c:1247 CreateOVPNConnection(o1505476743) failed
Sep 18 11:21:30 NAS-BACKUP synovpnc: synovpnc.c:376 VPN id 'o1505476743' is failed to create
Sep 18 11:21:31 NAS-BACKUP openvpn[22471]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sep 18 11:21:31 NAS-BACKUP openvpn[22471]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

Auf der DS713+ finde ich gar keine Logeinträge hierzu. In /var/log/openvpn.log wird zum Verbindungsversuch nichts protokolliert.

Als Server-Zertifkat habe ich sonst ein Letsencrypt-Zertifikat benutzt, habe es mal testweise wieder selbst signiert. Das hat aber keinen Unterschied gebracht.

Eine Verbindung von einem entfernten Windows-System zur DS713+ funktioniert tadellos.

Ich denke mal, dass es aufgrund der unterschiedlichen DSM-Versionen auch unterschiedliche OpenVPN-Versionen sind, die da miteinander reden wollen. Ich finde aber keinen Ansatz, wie man das lösen kann...

Hat jemand eine Idee?

Vielen Dank.

Michael
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Die Warnings zwecks Zertifikat aus dem Log sind nicht gut, aber kann man hier mMn vernachlässigen (falls du das ändern willst, eine Anleitung wie man das einrichtet findest du in hier im Forum/Anleitungen).
Die Anzeige bei DSM selber: "Verbindung fehlgeschlagen oder Zertifikat abgelaufen" -> ja toll, also entweder das oder das... :)

Ich tippe auf "Verbindung fehlgeschlagen".
Wenn du am Server Log gar keinen Eintrag siehst, dann passt was zwischen den zwei Netzwerken noch nicht.
Das kann entweder eine Firewall sein, ein fehlender Port-Forward etc. Falsche IP, etc. Das Timeout von 60 Sekunden ist dann normal.

Kontrolliere sonst einfach mal die Firewall der Client-Syno. Vielleicht hast du hier entsprechende Ports noch nicht freigegeben.

Wenn es zu einem Handshake-Fehler kommt oder Zertifikatsfehler, sieht man sowohl beim Client als auch am Server was im Log!
 

mn26826

Benutzer
Mitglied seit
12. Sep 2010
Beiträge
33
Punkte für Reaktionen
0
Punkte
6
Danke für deine Antwort. Es lag tatsächlich an der davorstehenden Firewall. Ich war davon ausgegangen, dass ausgehend alles erlaubt war. Das war nicht der Fall. Problem gelöst.
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.644
Punkte für Reaktionen
34
Punkte
74
Ich möchte mich hier kurz Anhängen.
Mein Problem ist ähnlich:
Ich kann mich mit einer DS mit DSM 5.2 (Client) im NETZ B an eine entfernte DS mit 6.1.4 (415+, OVPNServer, Port 1194) im Netz A erfolgreich verbinden.
Auch kann ich mit sämtlichen Clienten (Android, Windows) mit der selben Config+CRT vn Netz B nach Netz A verbinden.

Auf meiner neuen DS218+ im Netz B mit der exakt gleichen Konfiguration wie dei DS mit DSM 5.2 klappt die Verbindung jedoch nicht.
Aus dem LOG werd ich auch nicht wirklich schlau:
Rich (BBCode):
2017-12-18T10:08:43+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[30268]: synovpn_util.c:106 idx = 0, sz = /usr/bin/openssl
2017-12-18T10:08:43+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[30268]: synovpn_util.c:106 idx = 1, sz = x509
2017-12-18T10:08:43+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[30268]: synovpn_util.c:106 idx = 2, sz = -noout
2017-12-18T10:08:43+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[30268]: synovpn_util.c:106 idx = 3, sz = -hash
2017-12-18T10:08:43+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[30268]: synovpn_util.c:106 idx = 4, sz = -in
2017-12-18T10:08:43+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[30268]: synovpn_util.c:106 idx = 5, sz = /volume1/@tmp/upload_tmp.302681
2017-12-18T10:08:50+01:00 ds openvpn[30442]: WARNING: file '/tmp/ovpn_client_up' is group or others accessible
2017-12-18T10:08:50+01:00 ds openvpn[30443]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2017-12-18T10:08:50+01:00 ds openvpn[30443]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2017-12-18T10:08:50+01:00 ds gateway_change hook event: NEW 10.0.100.138 on eth0
2017-12-18T10:09:50+01:00 ds openvpn[30443]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2017-12-18T10:09:50+01:00 ds openvpn[30443]: TLS Error: TLS handshake failed
2017-12-18T10:09:52+01:00 ds openvpn[30443]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2017-12-18T10:09:52+01:00 ds openvpn[30443]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2017-12-18T10:09:53+01:00 ds synovpnc: connection.c:1303 CreateOVPNConnection(o1513588123) failed
2017-12-18T10:09:53+01:00 ds synovpnc: synovpnc.c:376 VPN id 'o1513588123' is failed to create
2017-12-18T10:09:54+01:00 ds gateway_change hook event: DEL 10.0.100.138 on eth0
2017-12-18T10:11:38+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPN_1_create[31121]: synovpn_util.c:106 idx = 0, sz = /usr/bin/openssl
2017-12-18T10:11:38+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPN_1_create[31121]: synovpn_util.c:106 idx = 1, sz = x509
2017-12-18T10:11:38+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPN_1_create[31121]: synovpn_util.c:106 idx = 2, sz = -noout
2017-12-18T10:11:38+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPN_1_create[31121]: synovpn_util.c:106 idx = 3, sz = -hash
2017-12-18T10:11:38+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPN_1_create[31121]: synovpn_util.c:106 idx = 4, sz = -in
2017-12-18T10:11:38+01:00 ds synoscgi_SYNO.Core.Network.VPN.OpenVPN_1_create[31121]: synovpn_util.c:106 idx = 5, sz = /volume1/@tmp/upload_tmp.311210
2017-12-18T10:11:43+01:00 ds openvpn[31279]: WARNING: file '/tmp/ovpn_client_up' is group or others accessible
2017-12-18T10:11:43+01:00 ds openvpn[31280]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2017-12-18T10:11:43+01:00 ds openvpn[31280]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2017-12-18T10:11:44+01:00 ds gateway_change hook event: NEW 10.0.100.138 on eth0
2017-12-18T10:12:43+01:00 ds openvpn[31280]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2017-12-18T10:12:43+01:00 ds openvpn[31280]: TLS Error: TLS handshake failed
2017-12-18T10:12:44+01:00 ds synovpnc: connection.c:1303 CreateOVPNConnection(o1513588298) failed
2017-12-18T10:12:44+01:00 ds synovpnc: synovpnc.c:376 VPN id 'o1513588298' is failed to create
2017-12-18T10:12:44+01:00 ds gateway_change hook event: DEL 10.0.100.138 on eth0
2017-12-18T10:12:45+01:00 ds openvpn[31280]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2017-12-18T10:12:45+01:00 ds openvpn[31280]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2017-12-18T10:59:33+01:00 ds openvpn[4125]: WARNING: file '/tmp/ovpn_client_up' is group or others accessible
2017-12-18T10:59:33+01:00 ds openvpn[4128]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2017-12-18T10:59:33+01:00 ds openvpn[4128]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2017-12-18T10:59:34+01:00 ds gateway_change hook event: NEW 10.0.100.138 on eth0
2017-12-18T11:00:34+01:00 ds openvpn[4128]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2017-12-18T11:00:34+01:00 ds openvpn[4128]: TLS Error: TLS handshake failed
2017-12-18T11:00:36+01:00 ds openvpn[4128]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2017-12-18T11:00:36+01:00 ds openvpn[4128]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2017-12-18T11:00:36+01:00 ds synovpnc: connection.c:1303 CreateOVPNConnection(o1513588298) failed
2017-12-18T11:00:36+01:00 ds synovpnc: synovpnc.c:376 VPN id 'o1513588298' is failed to create
2017-12-18T11:00:37+01:00 ds gateway_change hook event: DEL 10.0.100.138 on eth0

Der Router im NETZ B läuft mit OpenWRT/LEDE und stellt selbst auch noch einen OpenVPN Server (Port 1195) breit.
Dies sollte aber kein Porblem darstellen da dei DS mit DSM 5.2 sich ja erfolgreich verbindet.

UPDATE:
verwende ich den Hostname xxxx.diskstation.org (bei TwoDNS.de) gibts keine verbindung, verwende ich die öfftenlcihe IP die mir im Dashboard bei TwoDNS.de angezigt wird klappt die Verbindung.

Weiß jemand Rat?
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
DNS Cache Problem?

Kannst auf die DS218 auf die SSH Konsole und dort mal ein dig oder nslookup für die dynDNS ausführen, welche IP dort ausgespuckt wird.
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.644
Punkte für Reaktionen
34
Punkte
74
nslookup gibt die aktuelle korrekte IP aus.

Meinst du damit das der Router ein DNS Cache Problem hat oder die DS selbst?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wenn die Quell-DS schon die richtige IP "sieht", dann ist das kein Problem.

Sehe gerade auch nicht klar, welche Komponente jetzt noch die Verbindung per Domain verhindert, aber per IP erlaubt.
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.644
Punkte für Reaktionen
34
Punkte
74
könnten irgendwelch (nicht von mir bewusst sonder duch die Honfiguration des vpn server am router) gesetzen firewall regeln am openwrt router einen nslookup erlauben aber einen verbindung durch den vpn client behindern? Zumal das auch sehr komisch wäre da es mit einer andern DS klappt. Eventuell mach ich eine 1x Reset der DS in der Hoffnung das dort der Hund begraben ist.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Sicherlich geht sowas, wenn Du aktiv etwas verbietest und bestimmte Dienste nur für bestimmte Geräte zulässt, wird dem sogar mit Sicherheit so sein. Standard-Regel-Set wäre halt, alles darf raus, nichts darf rein. Dann kommen die Portweiterleitungen eben oben drauf für ein paar Regeln...

Was natürlich sehr gut sein kann (und nun wird's lustig) : "Auf meiner neuen DS218+ " ... Hast Du denn "überall" (wo vorhanden) die Regeln entsprechend angepasst (wenn konfiguriert)? Nicht, dass da noch was auf das "alte" Gerät weitergeleitet wird, weil dann kann es auch nicht hinhauen.

Alternativ kann natürlich bei Standort B auch am Internetanschluss etwas anders sein... Müsste man schon ein wenig mehr Infos bekommen. (Bsp: A = alte IPv4-Adresse, B = zwar IPv4 aber mit CGN, somit B nach A möglich, aber umgekehrt nicht)
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.644
Punkte für Reaktionen
34
Punkte
74
Die 218 wurde am Standort A zwar eingerichtet aber am Standort B wurde die Netzwerkkonfigurartion gemacht (IP der DS mit DSM5.2 übernommen, im Router entsprechend die MAC aktualisert) sowie die VPN verbindung. Das komische ist das die alt DS mit DSM5.2 (mit anderer IP) nach wie vor die Verbindung richtig aufbaut.
Ich werd nochmal ein wenig testen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
In so Fällen kann es förderlich sein, IP-Zuordnungen, MAC und Portweiterleitungen etc. zu löschen und neu anzulegen, oder gleich andere zu nehmen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat