DSM 6.x und darunter VPN: Synology als Client zu OpenVPN 2.4.4

[berserktori]

Hallo Forengemeinde!

Ich möchte mein Synology-Gerät per VPN mit einem VPN-Server (OpenVPN 2.4.4) verbinden.
Dazu habe ich CA, Client-Zertifikat und Client-Schlüssel erstellt, die auf einem anderen Rechner auch einwandfrei funktionieren.

Leider erscheint beim Erstellen der Konfiguration beim letzten Schritt immer die Meldung, das Zertifikat sei ungültig.

Testweise habe ich mich auf der DiskStation auch mal per SSH eingeloggt und OpenVPN von da aus zu starten versucht – ohne Erfolg:

openvpn toolserver_vpn.conf 
Fri Nov  9 19:25:06 2018 OpenVPN 2.3.11 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct 26 2018
Fri Nov  9 19:25:06 2018 library versions: OpenSSL 1.0.2o-fips  27 Mar 2018, LZO 2.09
Fri Nov  9 19:25:06 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Nov  9 19:25:06 2018 UDPv4 link local: [undef]
Fri Nov  9 19:25:06 2018 UDPv4 link remote: [AF_INET]192.168.30.1:1194
Fri Nov  9 19:25:06 2018 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1602'
Fri Nov  9 19:25:06 2018 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC'
Fri Nov  9 19:25:06 2018 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth SHA512'
Fri Nov  9 19:25:06 2018 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Fri Nov  9 19:25:06 2018 [toolserver] Peer Connection Initiated with [AF_INET]192.168.30.1:1194
Fri Nov  9 19:25:09 2018 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Fri Nov  9 19:25:09 2018 Exiting due to fatal error

Meine Fragen:

Welches Zertifikat ist hier gemeint?
Liegt es an einer Inkompatibilität von Client und Server?
Wo finde ich Log-Dateien auf der DiskStation, um weiter debuggen zu können?

Danke für eure Hilfe!

Beste Grüße

 

[Fusion]

Wie sieht denn die toolserver_vpn.conf von innen aus?

 

[berserktori]

Danke für die schnelle Reaktion.

Die toolserver_vpn.conf sieht wie folgt aus:

client
dev tun
proto udp
comp-lzo adaptive
nobind
persist-key
persist-tun
remote 192.168.30.1 1194
auth SHA512
cipher AES-256-CBC
ca nsa/ca.crt
cert nsa/nsa.crt
key nsa/nsa.key

 

[Fusion]

Kann dir leider gerade auch nicht sagen wieso er hier kein tun/tap öffnen kann. Als root hast es aber schon ausgeführt?

 

[alexs1988]

Guten Morgen,

hast du die Verbindung mit der ovpn Datei angelegt oder manuell alles eingetragen?
Hatte letzt die selben Meldungen Verbindung war manuell alles eingetragen nachdem ich die Verbindung neu mit der ovpn Datei angelegt hatte ging alles.

Gruß
Alex

 

[berserktori]

@Fusion: ja, ich hatte es als root ausgeführt.

@alexs1988: Da sich nur über den Import einer OVPN-Datei eine Anmeldung mit Zertifikaten einstellen lässt, habe ich es so gemacht. Nach hin- und herprobieren mit verschiedenen Optionen wurde die Datei schließlich angenommen, allerdings kommt eben immer noch die Meldung, das Zertifikat sei ungültig.

Ich habe dann eine Verbindung über den "klassischen" Weg, ohne OVPN-Datei, nur mit CA-Zertifikat angelegt, was auch funktioniert hat – nur die Verbindung ist erwartungsgemäß gescheitert.

Die in /usr/syno/etc/synovpnclient/openvpn angelegte Konfigurationsdatei habe ich mir dann geholt und angepasst, danach klappt zumindest die Verbindung von der Konsole aus per openvpn <KONFIGURATIONSDATEI>.

Die Einstellung über die Oberfläche klappt allerdings immer noch nicht.

 

[berserktori]

Jelöst

Die Verbindung steht – ich habe die durch das Frontend angelegte Config-Datei in /usr/syno/etc/synovpnclient/openvpn/ (client_oXXXXXXXXXX) einfach so bearbeitet, dass meine Zertifikate, die ich per SSH rübergeschoben habe, verwendet werden – und siehe da

In diesem Artikel bin ich auf die sehr nützliche `log`-Anweisung in der OpenVPN-Config gestoßen:

Einfach log <LOGDATEINAME> angeben.


Danke für eure Mithilfe!

 

[Fusion]

ok, danke für die Rückmeldung.

Hattest du eigentlich auch mal probiert die Zertifikate direkt als ASCII in die conf.ovpn zu packen vor dem Import?
Weiß jetzt grad nicht mehr wie der Import Dialog ausgesehen hatte, oder ob das dann sinnfrei wäre, weil man dort eh extra Zertifikate angeben musste.

 

[berserktori]

Hattest du eigentlich auch mal probiert die Zertifikate direkt als ASCII in die conf.ovpn zu packen vor dem Import?

Ja, so habe ich es zuletzt gemacht. Ein Script zum Erstellen einer OpenVPN-Client-Konfiguration (namens ovpngen, auf das im ArchLinux Wiki verwiesen wird, packt Zertifikate und Schlüssel mit in die Konfigurationsdatei.
So funktioniert der Import auch auf Anhieb über die Maske.