OpenVPN mit Mac OS X-Client

[Tebald]

Hallo zusammen,

nachdem ich meine ersten Erfahrungen mit VPN (PPTP) gemacht habe, möchte ich nun gerne auf OpenVPN umsteigen.

Dabei bin ich nach der Anleitung von Matthieu vorgegangen, stecke aber gerade in der Konfiguration von Tunnelblick fest.

Nachdem ich die Konfigurationsdateien der DS exportiert habe, soll die Datei openvpn.opvn ja bearbeitet werden und mit der IP der DS ergänzt werden. So weit so gut, nur wie bearbeitete ich die Datei?

Hoffe Ihr könnt mir helfen.

Gruß
Tebald

 

[gobbli]

Hi,

auf dem MAC einfach die Datei in Textedit reinziehen und bearbeiten!

Gruß,

-Gobbli-

 

[Tebald]

OK danke, hätte man auch selber drauf kommen können...

Also ich habe jetzt bei YOUE_SERVER_IP meine synology.me Adresse eingetragen, bekomme aber keine Verbindung. Beim Verbindungsversuch wird Passwort und Benutzername abgefragt. Gehe ich richtig in der Annahme, dass damit die Login-Daten der DS gemeint sind? Wenn ich da Benutzername und Passwort eingebe bekomme ich diese Fehlermeldung:



Geb ich hier was anderes ein als beim Login auf der DS?

Tebald

 

[Rabe01]

Guten Morgen,

zwei Dinge die mir spontan einfallen, die Privilegien unter VPN Server hast du denke ich gesetzt?
Wenn ja, versuche mal das Passwort deines Benutzers neu zu setzen.
Das Problem hatte ich hier auch schon mal, bin aber noch nicht auf eine Regelmäßigkeit gestoßen um meine eigenen Blödheit auszuschließen
Das Passwort sollte für die ersten Tests möglichst simpel sein, also keine Sonderzeichen und Zahlen.

Gruß Rabe

 

[Tebald]

Hm,

also die Privilegien sind gesetzt:



Passwort hab ich auch noch mal neu vergeben, bekomme aber trotzdem immer noch den Fehler. Das Log in Tunnelblick gibt folgendes aus:



Hier noch mal zur Kontrolle meine openvpn.opvn-Datei. Habe bei bei YOUR_SERVER_IP meinediskstation.synology.me eingegeben.



Was mache ich nur falsch??

 

[fpo4711]

Hallo,

auf jeden Fall bis Du nicht der Anleitung der DS gefolgt. Hier einmal eine Kopie

To set up an OpenVPN client on Mac:

1. Install OpenVPN client on MAC
*An OpenVPN client on Mac OS X is called Tunnelblick.
*Download it from http://code.google.com/p/tunnelblick/ and install the client.

2. Launch Tunnelblick.

3. Click Create and open configuration folder button; a Finder window will appear with the configuration folder.

4. Edit openvpn.ovpn and replace YOUR_SERVER_IP with public IP of your DiskStation.
*If your DiskStation is behind a router, replace YOUR_SERVER_IP with the router's IP.
*Remove # before "redirect-gateway" to route all client traffic (including web-traffic) through this VPN Server.

5. Put the files of openvpn.ovpn and ca.crt into the configuration folder.

Und zu Letzt der sehr populäre Hinweis:

<Subnetz Client> ungleich <Subnetz Tunnel> ungleich <Subnetz Server>

Gruß Frank

 

[Tebald]

Bin dieser Anleitung gefolgt
http://www.synology.com/support/tutorials_show.php?q_id=459#t3

Entweder fehlt dort der unter 4. gegebene Hinweis zur IP wenn die DS hinter dem Router hängt, oder ich hab's überlesen.

Dazu noch ne Frage: Meine DS hängt hinter einem Router, daher würde bei 4. ja der Hinweis für mich gelten, dh meine Router IP eintragen, aber welche? Mein Router hat keine öffentlich IP (DDNS). Bei PPTP habe ich eine Portweiterleitung für 1723 in meiner Fritzbox eingerichtet. In den Clients (Handy) habe ich dann "beispiel.synology.me" als IP eingetragen und alles läuft bestens.

 

[fpo4711]

Hallo Tebald,

die externe Adresse unter IP einzutragen ist erstmal richtig. Denn ich gehe mal davon aus das Du auch von extern auf das gute Stück zugreifen willst. Hab mir dein Log nochmal angeschaut und hab wohl vorhin übersehen, das Du ja schon eine Verbindung aufbauen kannst, dann aber vom Server abgelehnt worden bist.

AUTH: Received AUTH_FAILED control message

kommt eigentlich vom Server wenn Benutzername und Passwort nicht stimmen. In den Privilegien hast Du ja die Benutzer freigegeben. Ich hoffe mal das auch in deiner openvpn.conf noch

auth-user-pass

steht. Das kann man auf der Grafik leider nicht mehr sehen. Also sollte alles richtig sein. So kann der Fehler eigentlich nur noch im Usernamen und Passwort liegen. Benutzername wäre 'admin' und das Passwort dein Adminpasswort der DS nicht von deinem Mac. Auf groß/KLEINschreibung achten.

Gruß Frank

p.s Das Doppelkreuz vor redirect-gateway entfernen erspart Dir gerade am Anfang Routing-Probleme

 

[Tebald]

Hallo Frank,

danke für Deine Tipps. auth-user-path ist in der Config-Datei vorhanden.

Leider wird auch nach Passwortwechsel immer noch



angezeigt. Keine Ahnung was ich da noch machen kann?? Als Port Portfreigabe hab ich 1194 (UDP) im Router eingerichtet.

Gruß
Christian

 

[fpo4711]

Hallo Christian,

ich weiß jetzt nicht wie Du das ganze testest, aber für einen Test kannst Du auch folgende Möglichkeit prüfen. Bitte nur zum testen des Verbindungsaufbaus verwenden! Das ist eigentlich eine Netzwerkvergewaltigung. Nehmen wir mal an dein Client und deine DS befinden sich im gleichen Subnetz (Ist ja meistens der Fall). Dann bitte die lokale IP der DS in der Konfiguration von openvpn angeben. Das Dopelkreuz vor dem redirect-gateway entfernen nicht vergessen.

Wenn Du jetzt von deinem Clienten auf 'Verbinden' klickst sollte Tunnelblick eine Verbindung zur DS aufmachen. Wenn alles gut geht fragt glaube ich Tunnelblick zuerst nach dem Passwort von deinem Adminbenutzer auf dem Mac um Einstellungen vorzunehmen und danach nach den Zugangsdaten der DS, also 'admin' und dein Passwort.

Wenn alles korrekt mit der Anmeldung läuft kannst Du dich am VPN-Server anmelden, hast dann aber einen Sack voll Fehlermeldungen in Tunnelblick da ja das Routing nicht stimmt. Für einen Test der Anmeldung (und nur für einen solchen) kann man das schon mal so machen. Jedenfalls hast Du dann die ganze Netzwerkmimik Router / DDNS / Routerfirewall / Portweiterleitung aussen vor gelassen und kannst dann einige Komponenten schon ausschliessen.

Gruß Frank

 

[Tebald]

Hallo Frank,

Dein Vorschlag hat geklappt, dh mit der lokalen IP der DS konnte ich eine Verbindung via Tunnelblick aufbauen. Nur was sagt mir das jetzt für den eigentlichen Gebrauch von Tunnelblick?

Gruß

 

[fpo4711]

Erstmal dein Server und dein Client läuft. Was ja schon mal die halbe Miete ist. Jetzt kommen wir zur Mimik über Extern. Hier kann es durchaus sein, das dein Router hier Schwierigkeiten hat (Stichwort loopback). Prüfen solltest Du auf jeden Fall ob in deinem Router auch UDP auf Port 1194 zur DS weitergeleitet wird und ob auch deine externe IP auch wirklich mit der IP deines DDNS-Anbieters übereinstimmt. Wenn der vieleicht die letzte Aktualisierung nicht sauber mitgemacht hat, dann versuchst Du vieleicht die ganze Zeit eine Verbindung zu jemand anders aufzubauen.

IP in der Konfig wieder auf DDNS-Adresse ändern.

Gruß Frank

 

[Tebald]

Die DDNS hab ich von Synology, also nach dem Muster "beispiel.synology.me". Die ist def. richtig eingegeben. In meinem PPTP-Clients funzt's auch damit.

Portfreigabe ist auch schon längst drin



Hm...

 

[fpo4711]

Wenn Du ein Ping auf beispiel.synology.me absetzt dann erhällst Du eine IP. Ist diese mit deiner externen IP (steht zum Beispiel in der Routeroberfläche) identisch.

 

[Tebald]

Wenn Du ein Ping auf beispiel.synology.me absetzt dann erhällst Du eine IP. Ist diese mit deiner externen IP (steht zum Beispiel in der Routeroberfläche) identisch.

Ja, ist identisch

 

[fpo4711]

Eigentlich bleibt dann nur noch der Umstand, das Du dich nicht von extern einwählst und dein Router hiermit Schwierigkeiten hat. OpenVPN läuft nicht nur anderen Ports sondern auch auf einer anderen Netzwerkebene ab. Hast Du vieleicht die Möglichkeit das mal von extern zu testen? Also nicht per WLAN, das wäre ja immer noch intern, sondern beispielsweise per GSM oder beim Nachbarn.

Gruß Frank

 

[Tebald]

Eigentlich bleibt dann nur noch der Umstand, das Du dich nicht von extern einwählst und dein Router hiermit Schwierigkeiten hat. OpenVPN läuft nicht nur anderen Ports sondern auch auf einer anderen Netzwerkebene ab. Hast Du vieleicht die Möglichkeit das mal von extern zu testen? Also nicht per WLAN, das wäre ja immer noch intern, sondern beispielsweise per GSM oder beim Nachbarn.

Gruß Frank

Ja glaub ich's denn, genau das war's. Per Hotspot über's Handy hat alles sofort funktioniert. Bleibt nur noch, den OpenVPN-Client auf dem iPhone zum laufen zu bringen.

Auf jeden Fall danke an alle, die geholfen haben.

 

[buexxxi]

Hello, wenn ich mich nochmal hier einhaken darf

Ich habe bisher alles was hier stand getestet und kriege leider immer noch keine open VPN Verbidnung hergetsellt. Weder mit Windows noch mit Mac.
Ich bin der Anleitung gefolgt, habe auch das mit dem direkten connecten auf die Syno Lan IP anstelle der Router IP versucht. Da sendet und empfängt der Tunnelblick Client daten, bricht dann aber ab und meckert über eine fehlerhafte Authentifizierung. Habe es im eigenen WLAN/Lan als auch im Wlan des Nachbarn und per Hoptspot am iphone versucht.
Will net so richtig hinhauen.... :/

Vllt. hat ja jemand noch ne Idee

Edit. Mit der DynDNS baut er schon irgendwie ne Verbindung von extern auf, meckert aber dann wieder "Authentifizierung gescheitert Die Zugangsdaten (Passphrase oder Benutzername/Passwort) wurden vom VPN Server nicht akzeptiert." hmmm

hier der Fehlercode (aus dem Windows Client):

Mon Feb 09 00:50:59 2015 [reaktor.xxxxxxx.de] Peer Connection Initiated with [AF_INET]5.61.150.32:1194
Mon Feb 09 00:51:02 2015 AUTH: Received control message: AUTH_FAILED
Mon Feb 09 00:51:02 2015 SIGUSR1[soft,auth-failure] received, process restarting
Mon Feb 09 00:51:04 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Feb 09 00:51:04 2015 UDPv4 link local (bound): [undef]
Mon Feb 09 00:51:04 2015 UDPv4 link remote: [AF_INET]5.61.150.32:1194
Mon Feb 09 00:51:04 2015 TLS Error: Unroutable control packet received from [AF_INET]5.61.150.32:1194 (si=3 op=P_CONTROL_V1

 

[buexxxi]

Ok soweit so gut. ich habe es jetzt doch irgendwie geschafft via open vpn zu connecten. er sendet und empfängt daten.
Jetzt hab ich nur noch das problem, dass ich weder beim windows noch beim mac Internetzugriff habe sobald ich via VPN connecte.
2. Problem besteht darin, dass das wofür ich VPN eig benutzen wollte leider nicht so klappt.- Ich dachte dass wenn ich via VPN connecte, ich dann im mac finder bzw. windows arbeitsplatz meine laufwerke irgendwie finden/einbinden kann. Ich dachte ich würde meine freigegeben Ordner der Syno dann so sehen, als wenn ich zu haus im Wlan/Lan bin?? ist das nich der eigentliche Grund wieso man eine openvpn verbidnung aufbaut?