Problem mit VPN Zugang via Andoid Smartphone und der Meldung „Select Certificate“

[Kreativrocker]

Ich habe schon viel Informationen aus diesem Forum ziehen können, um meine Synology einzurichten. Jedoch bin ich jetzt an einem Punkt angekommen, wo ich nicht mehr weiter komme.
Ich habe einen OpenVPN Zugang eingerichtet. Dafür habe ich in meiner Fritzbox den Port 1194 weitergeleitet und nur diesen, da ich von außen nur über VPN zugreifen will. Die Verbindung zu meinem Android Smartphone und meinem Windows Tablet funktionieren.

Jetzt zu meinen Fragen:

1. Jedes Mal wenn ich mit dem Smartphone über die OpenVPN App eine Verbindung herstelle, erhalte ich die Mitteilung „Select Certificate“. Wenn ich dann auf Installieren klicke und die Datei ca.crt (die ich von Synology zum Einrichten des VPN Zugangs bekommen habe) auswähle und danach einen Namen vergebe und speichere passiert gar nichts mehr. Die Mitteilung kommt bei der nächsten VPN-Einwahl wieder. Wie schaffe ich es, dass die Zertifikats-Meldung nicht mehr erscheint und die Verbindung sicher aufgebaut wird? Ich habe unten ein paar Screenshots angehängt.

2. Wenn nun die VPN Verbindung erfolgreich aufgebaut ist, was muss ich tun, um intern die Apps DS Photo, DS Video, DS File nutzen zu können? Ich habe das so verstanden, dass ich in der Fritzbox lediglich die Portfreigabe 1194 erteilen muss, richtig? Was muss ich dann aber jeweils in die Apps zur Anmeldung eintragen? Die interne IP Adresse der Synology mit Benutzername und Passwort allein funktioniert nicht. Muss ich hinter die IP noch mit Doppelpunkt einen Port angeben?

Wäre toll, wenn mir hier jemand mal Schritt für Schritt weiterhelfen könnte.

 

[Kreativrocker]

weiß wirklich keiner wie das geht?

 

[Puppetmaster]

Ist das Android odr iOS?

Ich kenne nur die openVPN App auf Android. Hier musst du die aus der DS exportierten Schlüssel händisch in die Konfig Datei für openVPN eintragen (kopieren) und danach diese Datei in die openVPN App importieren. Hierzu gibt es auch ein paar Anleitungen im Netz.

In den Synology Apps auf dem Phone genügt bei bestehender VPN Verbindung dann die Eingabe der (lokalen) IP der DS. Kein vorangestelltes htttp(s) oder nachgestellter Port, nur die IP.

 

[Kreativrocker]

Danke erst mal für die Antwort. Das ist die Android-Version.

Zu Fall 1: Welche Schlüssel meinst Du? Die Anleitungen im Netz habe ich befolgt. Ich habe da aber keine Schlüssel gefunden. Ich fasse mal zusammen, wie ich vorgegangen bin:
Von der Synology erhalte ich 4 Dateien in einem Zipp-Ordner:

ca.crt, openvpn.ovpn, readme.txt und ca_bundle.crt

Die openvpn.ovpn öffne ich und führe 2 Änderungen durch.

1. Ich trage meine DynDNS in der Zeile „remote your_server_ip 1194“ ein
2. Ich nehme das Zeichen # vor der Zeile „#redirect-gateway defi“ raus

Danach kopiere ich alle Dateien in mein Smartphone und starte VPN. Leider kommt bei jeder VPN-Verbindung diese dämliche Meldung wegen dem Zertifikat. Muss ich mit den Dateien ca.crt und ca_bundle.crt noch etwas machen?

Zu Fall 2: Wenn ich die interne IP eingebe, kommt bei mir die Meldung „unbekannter Fehler“. HTTPS muss ich ja nicht aktivieren, da ich ja über VPN bereits intern bin.

 

[Puppetmaster]

Du musst die Schlüssel aus dem Zertifikat aber auch in die openVPN.ovpn Datei kopieren.

Siehe z.B. hier.

 

[Kreativrocker]

aha, jetzt kommen wir der Sache schon näher. Das steht aber in keiner Anleitung drin, auch nicht in der README. Ich muss mir das am Wochenende mal in Ruhe anschauen und melde mich dann wieder.

Vorerst mal vielen Dank.

 

[Kreativrocker]

Ich habe mir das jetzt mal angeschaut, aber irgendwie blicke ich das nicht. Unter dem Link sind 3 Schlüssel und 3 Dateien (ca.rt, ca.key, server.crt) erwähnt. Ich habe aber nur 2 (ca.crt, ca_bundle.crt). Außerdem sind in meiner openvpn.vpn Datei anscheinend 2 Schlüssel hintereinander aufgeführt. Das sieht dann so aus.

<ca>
-----BEGIN CERTIFICATE-----
Schlüsselzeichen
-----END CERTIFICATE-----


-----BEGIN CERTIFICATE-----
Schlüsselzeichen
-----END CERTIFICATE-----
</ca>

Wenn ich die ca.crt mit dem Texteditor öffne, ist da nur ein Schlüssel. In der ca_bundle.crt finde ich 2 Schlüssel. Welchen Schlüssel muss ich verwenden? Ich habe jeweils den einfachen als auch den zweifachen Schlüssel in die openvpn.vpn kopiert, aber die dumme Meldung kommt immer noch.

Was mache ich falsch? Ich sitze schon zig Stunden und google nach einer Anleitung, finde aber nix.

 

[Puppetmaster]

Hast du denn aus der DS auch den Export des Zertifikats gemacht? Darin sollten alle benötigten Schlüssel zu finden sein.

 

[Kreativrocker]

ach Du meinst mein Let´s Encrypt-Zertifikat in der Systemsteuerung unter Sicherheit->Zertifikate? Wenn ich das exportiere bekomme ich 3 Dateien (cert.pem, chain.pem und privkey.pem). Und den Inhalt muss ich dann einfügen, wie in Deinem Link beschrieben? In welcher Reihenfolge oder ist das egal?

 

[Puppetmaster]

Ich weiß es nicht auswendig. Es steht aber alles sehr genau in der verlinkten Anleitung.

 

[Kreativrocker]

Ich muss mich jetzt noch mal melden, da mir das einfach nicht gelingen will.
In der openvpn.vpn Datei, die ich über die Synology erhalten habe sind anscheinend 2 Schlüssel hintereinander aufgeführt. Das sieht dann so aus.

<ca>
-----BEGIN CERTIFICATE-----
Schlüsselzeichen
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
Schlüsselzeichen
-----END CERTIFICATE-----
</ca>

In der Anleitung im Link https://community.synology.com/enu/forum/17/post/66288?reply=237940 (vom User tarpanet am 08.05.2017 aktualisiert) ist beschrieben, dass wenn man das Zertifikat in der Synology exportiert die Dateien cert.pem und privkey.pem erhält.

Das ist bei mir nicht so. Ich erhalte zusätzlich noch die Datei chain.pem von meinem Let´s Encrypt Zertifikat. Was mache ich mit der?
Unabhängig davon, ich habe den Schlüssel aus dieser mal reinkopiert, mal nicht reinkopiert, … es funktioniert aber nicht.

Gibt es denn keine vernünftige Anleitung (Schritt für Schritt) wie das funktioniert? Ich habe schon stundenlang nach einer Anleitung gesucht. In sämtlichen Beiträgen wird auf die Zertifikatsmeldung nicht eingegangen. Selbst Guru iDomix ignoriert völlig die Meldung. Können wir hier denn nicht mal gemeinsam eine vernünftige Anleitung ins Netz stellen? Ich bin jetzt kein Experte, aber das kann doch nicht sein, dass ich der Einzige bin, der mit der Zertifikats-Meldung ein Problem hat.

 

[Kreativrocker]

weiß denn wirklich keiner wie das funktioniert?

 

[the other]

Moinsen,
Nein, eine direkte Antwort habe ich nicht auf dein Problem.
Die von dir gepostete Anleitung funktioniert, hatte ich früher selber hier ausprobiert. Ich vermute, dass dein Problem mehr mit der Besonderheit der lets encrypt Zertifikate zu tun hat. Diese weichen beim Export ab und führen zusätzlich scheinbar auch alle intermediate Certificates mit an, was ja in deren Größenordnung und profiliga auch gut ist.

Ich bin kein Nutzer von lets encrypt sondern nutze daheim nur eigene, selber ausgestellte Zertifikate, daher kann ich dir nicht weiterhelfen damit. Aber ein kurzes googeln sollte dir die Systematik hintere den Dateibenennungen von lets encrypt deutlicher machen und wenn du dann kombinierst, sollte es gehen.

https://awhan.wordpress.com/2018/02/09/letsencrypt-fullchain-pem-is-cert-pem-chain-pem/

Oder zu probierst es nochmal zum Testen mit dem ollen syno eigenen Zertifikat. Das sollte dann laufen wie in der Anleitung, falls nicht... Neues Problem bzw Problembereich eingeengt.
viel Erfolg!
Grüssle
the other
PS. Und weil ich nicht müde werde es zu sagen: nur weil dein nas es kann sollte trotzdem vom gleichzeitigen Einsatz als vpn Server abgesehen werden... Guckst du hier im Forum.

 

[goetz]

Hallo,
eigentlich funktioniert das ohne jegliche Zertifikats-Kopiererei. Ich nutze den VPN Server der DS nicht da performanter SSL-VPN-Server auf dem Router. Was habe ich gemacht:
- VPN Server auf der DS gestartet, openvpn eingeschaltet
- unter Systemsteuerung - Sicherheit - Zertifikat - Konfigurieren dem VPN Dienst das Let's Encrypt Zertifikat zugeordnet
- Konfigurationsdatei exportiert
- VPNConfig.ovpn editiert und DDNS Name eingefügt
- Datei auf Smartphone geschoben

!! vor den Tests WLAN abschalten!!

1. App OpenVPN für Android von Arne Schwabe
- Config importieren, verbinden, funktioniert

2. App OPENVPN Connect von OpenVPN
- config importieren und bei der Abfrage Select Certificate auf Continue gehen, funktioniert.

Gefühlt ist die Geschwindigkeit per OpenVPN für Android App wesentlich schneller.

Gruß GÖtz

 

[Puppetmaster]

Ja, es geht auch ohne ein Zertifikat, aber die Meldung kommt dann jedes Mal, dass ein Zertifikat gewählt werden muss.

 

[goetz]

Hallo,
es geht nur ohne Zertifikat da die Synology Konfiguration kein Client Zertifikat vorsieht, nur User/Pass. Wens nervt nimmt OpenVPN für Android von Arne Schwabe.

Gruß Götz

 

[Puppetmaster]

Ja, danke. Wir reden doch die ganze Zeit von openVPN und der entsprechenden App.
Ohne eingebundenes Zertifikat bekomme ich die Meldung mit (s. Anleitung oben) eben nicht mehr.

 

[goetz]

Hallo,
siehe #14, es gibt 2 OpenVPN Apps, die offizielle von OpenVPN und die von Arne Schwabe. Die von Arne Schwabe kommt mit der conf Datei ohne Fragerei klar.

Gruß Götz

 

[update-freak]

einfach setenv CLIENT_CERT 0 am Ende der ovpn-Datei ergänzen, dann kommt die Meldung nicht.
(https://openvpn.net/faq/how-to-make-the-app-work-with-profiles-that-lack-a-client-certificate-key/)
Damit lässt sich übrigens der Verbinden und Trennen mit Tasker automatisieren.