Freigabe von Openvpn-port mit Fritzbox

[fpo4711]

I"failed to register DDNS synology.me (

An dieser Stelle solltest Du erst einmal ansetzen. Wenn das nicht klappt, kannst Du alle anderen Versuche einstellen. Du brauchst erst einmal eine funktionierende DDNS-Adresse.

Gruß Frank

 

[laserdesign]

DDNS und forwarding auf der Fritte wird nicht reichen, es muss auch noch eine Route auf der Fritte eingerichtet werden.

 

[JogibaerNr1]

Ja das mit DDNS funktioniert jetzt wieder, status "normal" sagt auch die DS und es hat keine Hinweismeldung im Menü oben wie letztes mal ausgespuckt.

bzgl. Route:
VPN Adresse im DS VPN Server Menü ist 10.8.0.0
Ist das so korrekt?



Edit: Nur mal so aus Neugier, dass der DDNS Service von Synology nicht funktioniert, wie kommt das? Liegt das an irgendwelchen fehlerhaften Einstellungen oder an dem Synology Server?

 

[joku]

VPN Adresse im DS VPN Server Menü ist 10.8.0.0
Ist das so korrekt?

Hallo, ich habe nur die Ports
1194 udp OpenVPN
1723 tco PPTP
in der FritzBox zu der DiskStation geleitet, keine Route extra.

Nur mal so aus Neugier, dass der DDNS Service von Synology nicht funktioniert, wie kommt das?

Ja das kann mal vorkommen, darum benutzen viele noch einen Eintrag
in der Fritzbox von einen anderen Anbieter

Liegt das an irgendwelchen fehlerhaften Einstellungen oder an dem Synology Server?

Das soltest Du mal den Support fragen

Gruß Jo

 

[joku]

Ich versuche das derzeit über mein Android Handy/WLAN Tethering wo das Notebook drin hängt. OpenVPN ist die aktuellste Version installiert und wird immer als Admin ausgeführt (unter Eigenschaften->Kompatibilität so konfiguriert).

Hallo, Du könntest es erst mal mit Wlan testen.
die IP Adresse der Diskstation angeben und alles andere wie gebraucht
Benutzer mit Passwort und Berechtigung für VPN !
Und den OpenVPN mal mit admin ausführen,
rechte Maustatse und Ausführen als Administrator.

Wenn das funktioniert, die IPAdresse gegen einen DDNS austauschen und
mit dem Tethering testen oder mal von einem externen Client.

Gruß Jo

 

[fpo4711]

Diese Route ist auf jeden Fall Quatsch.

Hast Du weitere Router vor deiner Fritzbox. Falls Nein wird überhaupt keine Route benötigt.

Wie sieht denn die Fehlermeldung deines openVPN Clienten aus?

Gruß Frank

 

[JogibaerNr1]

*confused* ok also die Route ist wieder gelöscht. Nein ich habe nur die eine FritzBox 7390 bei mir.
Der Log sah gestern so aus, bei XX stand natürlich die öffentliche IP. unter remote war wie bereits geschrieben diskstationname.ddnsanbieter.org und "redirect" war aktiviert. Mit "float" habe ich es auch probiert weil ich ja eigentlich auch ddns verwende, das hat aber auch nicht geholfen.

Sun Jul 07 23:05:02 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jun 3 2013
Enter Management Password:
Sun Jul 07 23:05:09 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Jul 07 23:05:09 2013 UDPv4 link local (bound): [undef]
Sun Jul 07 23:05:09 2013 UDPv4 link remote: [AF_INET]XX.XX.XX.X:1194
Sun Jul 07 23:05:09 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Jul 07 23:05:10 2013 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Sun Jul 07 23:05:10 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Jul 07 23:05:10 2013 TLS Error: TLS object -> incoming plaintext read error
Sun Jul 07 23:05:10 2013 TLS Error: TLS handshake failed
Sun Jul 07 23:05:10 2013 SIGUSR1[soft,tls-error] received, process restarting
Sun Jul 07 23:05:12 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Jul 07 23:05:12 2013 UDPv4 link local (bound): [undef]
Sun Jul 07 23:05:12 2013 UDPv4 link remote: [AF_INET]XX.XX.XX.X:1194
Sun Jul 07 23:05:12 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.X:1194 (si=3 op=P_CONTROL_V1)
Sun Jul 07 23:05:12 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.X:1194 (si=3 op=P_CONTROL_V1)
Sun Jul 07 23:05:13 2013 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Sun Jul 07 23:05:13 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sun Jul 07 23:05:13 2013 TLS Error: TLS object -> incoming plaintext read error
Sun Jul 07 23:05:13 2013 TLS Error: TLS handshake failed
Sun Jul 07 23:05:13 2013 SIGUSR1[soft,tls-error] received, process restarting
Sun Jul 07 23:05:15 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Jul 07 23:05:15 2013 UDPv4 link local (bound): [undef]
Sun Jul 07 23:05:15 2013 UDPv4 link remote: [AF_INET]XX.XX.XX.X:1194

 

[fpo4711]

Bin gerade ein bischen kurz angebunden, deshalb nur überflogen. Die Verbindung scheint ja zu funktionieren. Sieht für mich wie ein Zertifikatfehler aus.

Zertifikat kannst Du auch falls Du eines selbst erstellen willst auch bequem über Systemsteuerung / DSM Einstellungen machen.

Gruß Frank

 

[joku]

Hallo, es ist auch möglich die Einstellungen aus der DiskStation zu beziehen und anzupassen

DSM / Programme / VPN Server
Einstellungen
OpenVPN > [ Konfigurationsdateien exportieren ]

Gruß Jo

 

[JogibaerNr1]

Genau so hatte ich das gemacht joku, und alles in das config verzeichnis von openvpn extrahiert....

 

[joku]

alles in das config verzeichnis von openvpn extrahiert....

Ok und das Certificat wird auch benutzt ?

Gruß Jo

 

[JogibaerNr1]

Ob das benutzt wird weiß ich nicht, jedenfalls liegt das ca Zertifikat ebenfalls im config Ordner von OpenVPN welches auch immer mit Admin Rechten gestartet wird.

Ich habe die Dateien nochmal exportiert und das ganze Prozedere erneut durchgeführt, ohne Erfolg. Das "WARNING: No server certificate verification method has been enabled" wundert mich etwas, weiß aber auch nicht wie ich damit umgehen soll.


Hier nochmal die Log Datei:

Mon Jul 08 13:10:01 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jun 3 2013
Enter Management Password:
Mon Jul 08 13:10:09 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Jul 08 13:10:09 2013 UDPv4 link local (bound): [undef]
Mon Jul 08 13:10:09 2013 UDPv4 link remote: [AF_INET]XX.XX.XX.XXX:1194
Mon Jul 08 13:10:10 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Jul 08 13:10:11 2013 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Mon Jul 08 13:10:11 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Jul 08 13:10:11 2013 TLS Error: TLS object -> incoming plaintext read error
Mon Jul 08 13:10:11 2013 TLS Error: TLS handshake failed
Mon Jul 08 13:10:11 2013 SIGUSR1[soft,tls-error] received, process restarting
Mon Jul 08 13:10:13 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Jul 08 13:10:13 2013 UDPv4 link local (bound): [undef]
Mon Jul 08 13:10:13 2013 UDPv4 link remote: [AF_INET]XX.XX.XX.XXX:1194
Mon Jul 08 13:10:13 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:13 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:14 2013 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Mon Jul 08 13:10:14 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Jul 08 13:10:14 2013 TLS Error: TLS object -> incoming plaintext read error
Mon Jul 08 13:10:14 2013 TLS Error: TLS handshake failed
Mon Jul 08 13:10:14 2013 SIGUSR1[soft,tls-error] received, process restarting
Mon Jul 08 13:10:16 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Jul 08 13:10:16 2013 UDPv4 link local (bound): [undef]
Mon Jul 08 13:10:16 2013 UDPv4 link remote: [AF_INET]XX.XX.XX.XXX:1194
Mon Jul 08 13:10:16 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:16 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:17 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:17 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:18 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:18 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:18 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_ACK_V1)
Mon Jul 08 13:10:19 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:19 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:20 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:20 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:22 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:22 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:22 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_ACK_V1)
Mon Jul 08 13:10:23 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:25 2013 TLS Error: Unroutable control packet received from [AF_INET]XX.XX.XX.XXX:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 08 13:10:26 2013 SIGTERM[hard,] received, process exiting

Oder habe ich beim Router etwas bei den Freigaben vergessen?

 

[joku]

Ob das benutzt wird weiß ich nicht, jedenfalls liegt das ca Zertifikat ebenfalls im config Ordner von OpenVPN welches auch immer mit Admin Rechten gestartet wird.

Das sollte schon benutzt werden
Ich habe es schnell mal getestet, intern !
nach dem
Mon Jul 08 13:12:45 2013 [Snake_Oil_CA] Peer Connection Initiated with IP Adresse
wird die LAN Verbindung und Route angelegt
Mon Jul 08 13:12:47 2013 TAP-WIN32 device [LAN-Verbindung 4] opened:

Ich habe das originale openvpn.ovpn benutzt und nur den
remote 192.168.178.12 1194
mal auf intern gestellt

Gruß Jo

 

[joku]

Oder habe ich beim Router etwas bei den Freigaben vergessen?

Das sieht alles passend aus
Kanst Du es erst mal aus Deinem WLAN/LAN testen,
damit wir dann das Tethering erstmal nicht mit in der Runde haben

Gruß Jo

 

[JogibaerNr1]

Achsoo, du meinst ich muss das unter DSM-Einstellungen ->Zertifikat installieren? Da habe ich bereits ein Fremdzertifikat von StarCom Class1 für https Verkehr, das wird doch damit gelöscht oder?

 

[joku]

Achsoo, du meinst ich muss das unter DSM-Einstellungen ->Zertifikat installieren? Da habe ich bereits ein Fremdzertifikat von StarCom Class1 für https Verkehr, das wird doch damit gelöscht oder?

Du solltest das Zerifikat im OpenVPN Client !!! benutzen was Du auf der DiskStation hast.
Welches Zertifikat ist jetzt bei der Openvpn in Verwendung ?
Die sollten schon zusammen passen

Gruß Jo

 

[JogibaerNr1]

Auweia, also damit ich das hoffentlich richtig verstehe:

Ein Zertifikat heißt ja mit anderen Worten: Ich bin der für den ich mich ausgebe in Form einer digitalen Signatur. Also kann ich mich in Zukunft sowohl mit https als auch mit VPN verbinden oder funktioniert dann nur noch die VPN Verbindung was den Zugriff auf die DS über das Internet angeht?

Vielen Dank nochmal für den erstklassigen Support hier.

 

[joku]

Hallo,
ein Zertifikat ist eine Bescheinigung und dient auch der Verschlüssellung
Ob HTTPS und VPN ein und das gleiche Zertifikat verwenden, das weiß ich noch nicht.
Und wie sieht es denn nun aus ?
Funktioniert alles ?

Gruß Jo

 

[JogibaerNr1]

Mhhh ne, also ich habe jetzt das Class 1 ca Zertifikat von StarCom welches auf meiner DS installiert ist, exportiert und in den OpenVPN Config Ordner kopiert/auf dem Notebook danach installiert. Allerdings ist dieses für "namemeinerDS.subdomain_von_domainfactory.de" ausgestellt und nicht für "namemeinerDS.ddnsabieter.org" oder ist das egal?

 

[joku]

ist das egal?

egal ist 88
Nein, es sollten die Zertifikate zusammen passen !
Die Frage ist wer benutzt welches ?
in der openvpn.ovpn ist ein Etrag
ca ca.crt
ca bedeutet ein Zertifikat benutzen, genau das ca.crt
nun soltest Du sicherstellen wer welches Zertifikat benutzt.
Kannst Du das exportierte ca.crt von OpenVPN Server ansehen ?
Das muss zu dem Client und dieser solte es benutzen.

Gruß Jo