Toggle sidebar

DS als VPNClient konfigurieren (openvpn)

Status
Für weitere Antworten geschlossen.
galdak

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
Hallo Leute

Ich versuche gerade meine ältere DS210j als VPN Client mit meiner DS216+II zu verbinden. Gem GUI-Anzeige wird die VPN-Verbindung auch kurz aufgebaut. Allerdings wird die Verbindung nach jeweils ca 1 Minute wieder getrennt und eine Neuverbindung durchgeführt.

Im Log meines VPN Servers werden mir folgende Meldungen ausgegeben (/var/log/messages):
Rich (BBCode): 
openvpn[12923]: openvpn/::ffff:xx.xxx.xx.xxx(63193) Authenticate/Decrypt packet error: missing authentication info
openvpn/::ffff:xx.xxx.xx.xxx(63193) WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1602', remote='link-mtu 1542'
openvpn/::ffff:xx.xxx.xx.xxx(63193) WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher BF-CBC'
openvpn/::ffff:xx.xxx.xx.xxx(63193) WARNING: 'auth' is used inconsistently, local='auth SHA512', remote='auth SHA1'
openvpn/::ffff:xx.xxx.xx.xxx(63193) WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
openvpn/::ffff:xx.xxx.xx.xxx(63193) Authenticate/Decrypt packet error: packet HMAC authentication failed
openvpn/::ffff:xx.xxx.xx.xxx(63193) Authenticate/Decrypt packet error: packet HMAC authentication failed
openvpn/::ffff:xx.xxx.xx.xxx(63193) Authenticate/Decrypt packet error: packet HMAC authentication failed
openvpn: SYSTEM:   Last message 'openvpn/::ffff:xx.xx' repeated 5 times, suppressed by syslog-ng on openvpnserver

Gem den Warnungen sind die Einstellungen von Client und Server nicht einheitlich.
Wie kann ich auf dem Client (DS 5.2 Update 6) die Einstellungen der openvpn-Verbindung ändern? Auf dem GUI ist das nicht möglich. Wo finde ich z.B. die cipher-Einstellung?

Das zweite (evtl. grössere Problem) ist, dass die HMAC-Authentifizierung nicht klappt. Wer kann mir da einen Tipp geben?

Vom openVPN-Server habe ich die Config-Datei und Zertifikate exportiert. Das ovpn-File kann ich zwar nicht einlesen, aber das Zertifikate (ca-bundle.crt) kann ich auf die DS210j importieren.

Danke für eure Tipps.
 
galdak

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
Ich habe heute das ganze nochmals von vorne begonnen. Sowohl Serverseitig (auf DSM 6-NAS) sowie Clientseitig (DSM 5.2-NAS) habe ich alle VPN-Einstellungen gelöscht und nochmals von vorne begonnen.
Leider kann ich noch immer keine Verbindung vom Client-NAS zum Server-NAS herstellen.

Die Fehlermeldung: "Verbindung fehltgeschlagen oder Zertifikat abgelaufen. Verwendens ie bitte ein gültiges Zertifikat, das vom VPN-Server ausgegeben wurde, und versuchen Sie es erneut."

Meine Server-Config sieht wie folgt aus:
Rich (BBCode): 
push "route 192.168.xxx.xxx 255.255.255.0"
push "route 10.xxx.xxx.0 255.255.255.0"
dev tun

management 127.0.0.1 1195

server 10.xxx.xxx.0 255.255.255.0


dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

verb 4
log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194

cipher AES-256-CBC
auth SHA512


Client Config
Rich (BBCode): 
dev tun
tls-client
remote xxx.fff.zzz.de 1194
pull
proto udp
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
ca ca_o1522355155.crt
comp-lzo
redirect-gateway
script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down
auth-user-pass /tmp/ovpn_client_up
verb 5
log-append /var/log/openvpn.log
 
Zuletzt bearbeitet von einem Moderator:
galdak

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
Im Client-Log werden folgende Meldungen ausgegeben:
Rich (BBCode): 
client log

Thu Mar 29 23:15:31 2018 us=542958   ifconfig_pool_persist_filename = '[UNDEF]'
Thu Mar 29 23:15:31 2018 us=543057   ifconfig_pool_persist_refresh_freq = 600
Thu Mar 29 23:15:31 2018 us=543156   ifconfig_ipv6_pool_defined = DISABLED
Thu Mar 29 23:15:31 2018 us=543260   ifconfig_ipv6_pool_base = ::
Thu Mar 29 23:15:31 2018 us=543360   ifconfig_ipv6_pool_netbits = 0
Thu Mar 29 23:15:31 2018 us=543458   n_bcast_buf = 256
Thu Mar 29 23:15:31 2018 us=543555   tcp_queue_limit = 64
Thu Mar 29 23:15:31 2018 us=543652   real_hash_size = 256
Thu Mar 29 23:15:31 2018 us=543778   virtual_hash_size = 256
Thu Mar 29 23:15:31 2018 us=543876   client_connect_script = '[UNDEF]'
Thu Mar 29 23:15:31 2018 us=543973   learn_address_script = '[UNDEF]'
Thu Mar 29 23:15:31 2018 us=544070   client_disconnect_script = '[UNDEF]'
Thu Mar 29 23:15:31 2018 us=544167   client_config_dir = '[UNDEF]'
Thu Mar 29 23:15:31 2018 us=544263   ccd_exclusive = DISABLED
Thu Mar 29 23:15:31 2018 us=544360   tmp_dir = '/tmp'
Thu Mar 29 23:15:31 2018 us=544456   push_ifconfig_defined = DISABLED
Thu Mar 29 23:15:31 2018 us=544562   push_ifconfig_local = 0.0.0.0
Thu Mar 29 23:15:31 2018 us=544670   push_ifconfig_remote_netmask = 0.0.0.0
Thu Mar 29 23:15:31 2018 us=544767   push_ifconfig_ipv6_defined = DISABLED
Thu Mar 29 23:15:31 2018 us=544872   push_ifconfig_ipv6_local = ::/0
Thu Mar 29 23:15:31 2018 us=544975   push_ifconfig_ipv6_remote = ::
Thu Mar 29 23:15:31 2018 us=545073   enable_c2c = DISABLED
Thu Mar 29 23:15:31 2018 us=545170   duplicate_cn = DISABLED
Thu Mar 29 23:15:31 2018 us=545268   cf_max = 0
Thu Mar 29 23:15:31 2018 us=545364   cf_per = 0
Thu Mar 29 23:15:31 2018 us=545459   max_clients = 1024
Thu Mar 29 23:15:31 2018 us=545556   max_routes_per_client = 256
Thu Mar 29 23:15:31 2018 us=545652   auth_user_pass_verify_script = '[UNDEF]'
Thu Mar 29 23:15:31 2018 us=545749   auth_user_pass_verify_script_via_file = DISABLED
Thu Mar 29 23:15:31 2018 us=545845   port_share_host = '[UNDEF]'
Thu Mar 29 23:15:31 2018 us=545942   port_share_port = 0
Thu Mar 29 23:15:31 2018 us=546037   client = DISABLED
Thu Mar 29 23:15:31 2018 us=546132   pull = ENABLED
Thu Mar 29 23:15:31 2018 us=546229   auth_user_pass_file = '/tmp/ovpn_client_up'
Thu Mar 29 23:15:31 2018 us=546334 OpenVPN 2.3.6 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Mar  4 2016
Thu Mar 29 23:15:31 2018 us=546494 library versions: OpenSSL 1.0.1u-fips  22 Sep 2016, LZO 2.08
Thu Mar 29 23:15:31 2018 us=546969 WARNING: file '/tmp/ovpn_client_up' is group or others accessible
Thu Mar 29 23:15:31 2018 us=547272 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 29 23:15:31 2018 us=547385 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Mar 29 23:15:31 2018 us=547557 PLUGIN_INIT: POST /lib/openvpn/openvpn-down-root.so '[/lib/openvpn/openvpn-down-root.so] [/usr/syno/etc.defaults/synovpnclient/scripts/ip-down]' intercepted=PLUGIN_UP|PLUGIN_DOWN
Thu Mar 29 23:15:31 2018 us=550395 LZO compression initialized
Thu Mar 29 23:15:31 2018 us=551191 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 29 23:15:31 2018 us=551495 Socket Buffers: R=[114688->131072] S=[114688->131072]
Thu Mar 29 23:15:31 2018 us=555326 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Mar 29 23:15:31 2018 us=555624 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Mar 29 23:15:31 2018 us=555730 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Mar 29 23:15:31 2018 us=555973 Local Options hash (VER=V4): '41690919'
Thu Mar 29 23:15:31 2018 us=556142 Expected Remote Options hash (VER=V4): '530fdded'
Thu Mar 29 23:15:31 2018 us=558842 UDPv4 link local (bound): [undef]
Thu Mar 29 23:15:31 2018 us=559324 UDPv4 link remote: [AF_INET]10.xxx.xx.xxx:1194
WRThu Mar 29 23:15:31 2018 us=562961 TLS: Initial packet from [AF_INET]10.xx.xxx.xxx:1194, sid=d9524452 95222ebc
WThu Mar 29 23:15:31 2018 us=563606 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
WWRRWRWRThu Mar 29 23:15:31 2018 us=641367 VERIFY ERROR: depth=1, error=unable to get issuer certificate: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
Thu Mar 29 23:15:31 2018 us=642272 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
Thu Mar 29 23:15:31 2018 us=642437 TLS Error: TLS object -> incoming plaintext read error
Thu Mar 29 23:15:31 2018 us=673280 SYNO_ERR_CERT
Thu Mar 29 23:15:31 2018 us=673444 TLS Error: TLS handshake failed
Thu Mar 29 23:15:31 2018 us=674809 TCP/UDP: Closing socket
Thu Mar 29 23:15:31 2018 us=674994 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 29 23:15:31 2018 us=675145 Restart pause, 2 second(s)
Thu Mar 29 23:15:33 2018 us=682984 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 29 23:15:33 2018 us=683136 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Mar 29 23:15:33 2018 us=685149 LZO compression initialized
Thu Mar 29 23:15:33 2018 us=685659 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 29 23:15:33 2018 us=685861 Socket Buffers: R=[114688->131072] S=[114688->131072]
Thu Mar 29 23:15:33 2018 us=687760 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Mar 29 23:15:33 2018 us=688052 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Mar 29 23:15:33 2018 us=688159 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Mar 29 23:15:33 2018 us=688339 Local Options hash (VER=V4): '41690919'
Thu Mar 29 23:15:33 2018 us=688510 Expected Remote Options hash (VER=V4): '530fdded'
Thu Mar 29 23:15:33 2018 us=688629 UDPv4 link local (bound): [undef]
Thu Mar 29 23:15:33 2018 us=688755 UDPv4 link remote: [AF_INET]10.xx.xxx.xxx:1194
WRThu Mar 29 23:15:33 2018 us=689829 TLS: Initial packet from [AF_INET]10.xx.xxx.xxx:1194, sid=d942f347 c66bbfa0
WWWRRWRWRThu Mar 29 23:15:33 2018 us=754577 VERIFY ERROR: depth=1, error=unable to get issuer certificate: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
Thu Mar 29 23:15:33 2018 us=755106 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
Thu Mar 29 23:15:33 2018 us=755231 TLS Error: TLS object -> incoming plaintext read error
Thu Mar 29 23:15:33 2018 us=766851 SYNO_ERR_CERT
Thu Mar 29 23:15:33 2018 us=767013 TLS Error: TLS handshake failed
Thu Mar 29 23:15:33 2018 us=767826 TCP/UDP: Closing socket
Thu Mar 29 23:15:33 2018 us=768010 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 29 23:15:33 2018 us=768137 Restart pause, 2 second(s)
Thu Mar 29 23:15:35 2018 us=777472 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 29 23:15:35 2018 us=777626 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Mar 29 23:15:35 2018 us=779342 LZO compression initialized
Thu Mar 29 23:15:35 2018 us=779799 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 29 23:15:35 2018 us=779980 Socket Buffers: R=[114688->131072] S=[114688->131072]
Thu Mar 29 23:15:35 2018 us=781224 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Mar 29 23:15:35 2018 us=781448 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Mar 29 23:15:35 2018 us=781552 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Mar 29 23:15:35 2018 us=781733 Local Options hash (VER=V4): '41690919'
Thu Mar 29 23:15:35 2018 us=781902 Expected Remote Options hash (VER=V4): '530fdded'
Thu Mar 29 23:15:35 2018 us=782019 UDPv4 link local (bound): [undef]
Thu Mar 29 23:15:35 2018 us=782136 UDPv4 link remote: [AF_INET]10.xx.xxx.xxx:1194
WRThu Mar 29 23:15:35 2018 us=783295 TLS Error: Unroutable control packet received from [AF_INET]10.xx.xxx.xxx:1194 (si=3 op=P_CONTROL_V1)
RThu Mar 29 23:15:35 2018 us=783593 TLS Error: Unroutable control packet received from [AF_INET]10.xx.xxx.xxx:1194 (si=3 op=P_ACK_V1)
RThu Mar 29 23:15:37 2018 us=29753 TLS Error: Unroutable control packet received from [AF_INET]10.xx.xxx.xxx:1194 (si=3 op=P_CONTROL_V1)
WRThu Mar 29 23:15:37 2018 us=30590 TLS Error: Unroutable control packet received from [AF_INET]10.xx.xxx.xxx:1194 (si=3 op=P_ACK_V1)
RThu Mar 29 23:15:38 2018 us=227274 TLS Error: Unroutable control packet received from [AF_INET]10.xx.xxx.xxx:1194 (si=3 op=P_CONTROL_V1)
RThu Mar 29 23:15:38 2018 us=228378 TLS Error: Unroutable control packet received from [AF_INET]10.xx.xxx.xxx:1194 (si=3 op=P_CONTROL_V1)
RThu Mar 29 23:15:39 2018 us=424650 TLS Error: Unroutable control packet received from [AF_INET]10.xx.xxx.xxx:1194 (si=3 op=P_CONTROL_V1)


Die VPN-Verbindung vom Server funktioniert grundsätzlich, denn via Mobiltelefon kann ich einwandfrei auf den VPN-Server verbinden.
Hat jemand einen Input für mich?
 
tschortsch

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.644
Punkte für Reaktionen
34
Punkte
74
Gleich vorweg ich hab auch keine Lösung.
Wollte das gleiche sogar zwischen zwei dsm6 machen und habe exakt das gleiche Fehlverhalten. Verbindung wird erstellt und nach ca 1 Minute auch der Zertifikatfehler und Trennung.
Hab's dann Umgang in dem ein owrt Router mit ovpn den Clienten macht.
 
Fusion

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.137
Punkte für Reaktionen
898
Punkte
424
Mal
Code: 
cipher AES-256-CBC
auth SHA512
in die client config einfügen und nochmal probieren.

Was ist "ca_o1522355155.crt"?
 
galdak

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
Fusion schrieb:
Mal
Code: 
cipher AES-256-CBC
auth SHA512
in die client config einfügen und nochmal probieren.
Zum Vergrößern anklicken....

Dachte, das hatte ich schon mal. Werde es aber gerne nochmals versuchen.

Was ist "ca_o1522355155.crt"?
Zum Vergrößern anklicken....

Das ist das Zertifikat, wenn ich bei der Netzwerkverbindung auf der 5.2 DSM das CA-Zertifikat vom Server einlese.
Braucht's das nicht? Ich werde diese Referenz sonst mal aus der Config entfernen und schauen, was dann abgeht.
 
galdak

galdak

Benutzer
Mitglied seit
06. Okt 2010
Beiträge
107
Punkte für Reaktionen
0
Punkte
22
Ich hab's heute nochmals mit den erhaltenen Inputs ausgetestet...
Leider war's keiner davon:
- Die Zeile "ca ca_o.....crt" wird zwingend benötigt, ansonsten funktioniert gar nichts.
- Die Angaben von cipher und auth haben selbst auch nichts bewirkt.

Aber im Log habe ich dann den benötigten Input gefunden:
Rich (BBCode): 
WWRRWRWRFri  Apr  6 21:10:52 2018 us=125886 VERIFY ERROR: depth=1, error=unable to  get issuer certificate: C=US, O=Let's Encrypt, CN=Let's Encrypt  Authority X3

Mit Hilfe von Tante Google habe ich dann gemerkt, dass das Zertifikat nicht korrekt war. https://forum.synology.com/enu/viewtopic.php?t=126413
Ich hatte nur einen Teil des Zertifikats auf der Client-Synology.
Als ich dann das komplette Certificate reinkopiert hatte, konnte ich die VPN-Verbindung problemlos aufbauen. Die Verbindung läuft nun bereits längere Zeit. Ich hoffe, das bleibt so.

Fazit: Es funktioniert, --> klassischer Innen-Ski Fehler ;)


Das führt mich nun aber zur nächsten Frage:
Ich habe ein Let's Encrypt Cert. Muss ich dieses Zertifikat nun nach jeder Erneuerung wieder auf den Client kopieren? Wenn ja: wie schaffe ich das automatisiert? v.a. wenn der Client remote angesprochen werden soll, aber nach der Erneuerung gar keine Verbindung mehr aufgebaut werden könnte.
Oder braucht's gar kein Update des Certs?
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
 
 
Oben Unten
Zurück