VPN-Server - keine Verbindung nach Update 2200 -> 2267

[cki61]

Hallo zusammen,

die VPN-Server Version 1.1-2200 ist seit ca. 2 Jahren im Einsatz. Nach Update der DS auf DSM 4.2-3211 habe ich auch den VPN-Server auf 1.1-2267 upgedated und ... keine Verbindung
mehr von meinem OpenSUSE 12.3 Client über Open-VPN möglich.
Zurück zu Version 1.1-2200 ... alles (Open-VPN) wieder in Ordnung.
Ich habe die von der DS unter beiden Versionen generierten, exportierten Konfigurationsdateien (openvpn.zip resp. openvpn.ovpn) verglichen: keine Differenzen.
Was mir bleibt, ist eine Vermutung, ablesbar aus dem Verbindungsprotokoll: AUTH: Received AUTH_FAILED control message
Was hat sich denn bei der Authentifizierung geändert? (ich benutze Sonderzeichen und Groß/Klein Schreibung im Passwort)

Hier das Client-Protokoll der Server-Version 1.1-2200 (Verbindung OK)
Fri May 3 12:27:41 2013 OpenVPN 2.2.2 x86_64-suse-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] built on Dec 14 2011
Enter Auth Username: ***
Enter Auth Password: *********
Fri May 3 12:27:48 2013 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri May 3 12:27:48 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri May 3 12:27:48 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri May 3 12:27:48 2013 LZO compression initialized
Fri May 3 12:27:48 2013 UDPv4 link local (bound): [undef]:1194
Fri May 3 12:27:48 2013 UDPv4 link remote: xx.yyy.zzz.aaa:1194
Fri May 3 12:27:48 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri May 3 12:27:48 2013 [Snake_Oil_CA] Peer Connection Initiated with xx.yyy.zzz.aaa:1194
Fri May 3 12:27:50 2013 TUN/TAP device tun0 opened
Fri May 3 12:27:50 2013 /bin/ip link set dev tun0 up mtu 1500
Fri May 3 12:27:50 2013 /bin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Fri May 3 12:27:50 2013 WARNING: potential route subnet conflict between local LAN and remote VPN
RTNETLINK answers: File exists
Fri May 3 12:27:50 2013 ERROR: Linux route add command failed: external program exited with error status: 2
Fri May 3 12:27:50 2013 Initialization Sequence Completed
^CFri May 3 12:28:06 2013 event_wait : Interrupted system call (code=4)
Fri May 3 12:28:06 2013 /bin/ip addr del dev tun0 local 10.8.0.6 peer 10.8.0.5
Beendet mit Ctl-C: Fri May 3 12:28:06 2013 SIGINT[hard,] received, process exiting

Hier das Client-Protokoll der Server-Version 1.1-2267 (Verbindung NICHT OK)
Fri May 3 12:31:25 2013 OpenVPN 2.2.2 x86_64-suse-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] built on Dec 14 2011
Enter Auth Username: ***
Enter Auth Password: *********
Fri May 3 12:31:34 2013 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri May 3 12:31:34 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri May 3 12:31:34 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri May 3 12:31:34 2013 LZO compression initialized
Fri May 3 12:31:34 2013 UDPv4 link local (bound): [undef]:1194
Fri May 3 12:31:34 2013 UDPv4 link remote: xx.yyy.zzz.aaa:1194
Fri May 3 12:31:34 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri May 3 12:31:36 2013 [Snake_Oil_CA] Peer Connection Initiated with xx.yyy.zzz.aaa:1194
Fri May 3 12:31:38 2013 AUTH: Received AUTH_FAILED control message
Fri May 3 12:31:38 2013 SIGTERM[soft,auth-failure] received, process exiting
von selbst beendet

Kennt noch jemand dieses Problem? In den Foren habe ich dazu bisher nichts gefunden.

Grüße,
cki61

 

[Matthieu]

Hi,
die Fehlermeldung ist ja recht eindeutig: Authentication failed. Also ist die erste Annahme, dass etwas mit Username und Passwort nicht stimmt. Hat der User im VPN Server auch die passende Berechtigung (innerhalb der VPN Server Anwendung)? Hast du es desweiteren schon mit der vom Client empfohlenen Option "auth-nocache" versucht?

MfG Matthieu

 

[honu]

Ich habe seit neustem auch Probleme mit Authentication failed. Bei mir ist es ganz seltsam. Server und Client funktionierten seit ein paar Monaten mit OpenVPN problemlos. Seit einiger Zeit bekomme ich auf den Clients (Smartphone UND Notebook) häufig die Meldung AUTH_FAILED. Dann geht es mit keinem Gerät. Überall AUTH_FAILED; login und PW sind 100% richtig. Gehe ich dann per https://...:5001 auf die Weboberfläche und stoppe das Paket VPN-Server um es gleich danach wieder neuzustarten, geht es danach auf allen Clients wieder problemlos... für eine (kurze) Zeit. Dann geht der Zirkus von vorne los. Da vorher alles bestens geklappt hat und ich über stoppen/starten des OpenVPN-Servers das Problem (temporär) beheben kann, sehe ich das Problem klar bei der DS. Wenn ich mal wieder mehr Zeit habe, werde ich mal ausführlich in die Logs schauen, aber so ist das sehr unschön gerade.

Ich werde definitiv mal wieder das alte Paket installieren und schauen, ob es sich damit erstmal lösen lässt.

 

[cki61]

Hallo Matthieu,
danke für Deine Antwort. Werde bei nächster Gelegenheit die Option antesten.
Da ich nur die VPN-Server Version geändert habe, ansonsten immer die gleichen Einstellungen verwende (auch name/passwort nicht geändert), nach der Installation der Version 2200 wieder alles OK ist, sehe ich den Fehler auf der DS-Seite.
Werde erstmal bei 2200 bleiben. Vielleicht beschweren sich ja mal ein paar Leute (wie honu, s.u.) und bewegen Synology, einen Entwickler auf das Problem loszulassen.

Grüße,
cki61