Freigabe von Openvpn-port mit Fritzbox

JogibaerNr1 · 08. Jul 2013

Also die DiskStation benutzt den privatenSchlüssel, Zertifikat und Zwischenzertifikat von StarCom welches 2014 abläuft.
OpenVPN hatte ich zurvor mit dem vom Synology VPN Server Paket erstelltem ca.crt Zertifikat gefüttert/wie beschrieben in den config Ordner kopiert. Dieses ist ungefähr 2 mal länger (Zeilenzahl) als das von StarCOM. Also ist das doch richtig so wie ich es anfangs gemacht hatte?

joku · 08. Jul 2013

JogibaerNr1 schrieb:
Also ist das doch richtig so wie ich es gemacht habe?

Ja, so sehe ich es auch, nur warum meckert er das Zertifikat an ?
Der Client findet es nicht oder es gefällt dem Client nicht.
bei
ca /hier/das/Verzeichniss/ca.crt
mal angeben und in den Log sehen.

Gruß Jo

JogibaerNr1 · 08. Jul 2013

Ne das geht nicht, da macht er erst nichts, und sagt dann "Verbindung zu Openvpn ist fehlgeschlagen".

goetz · 08. Jul 2013

Hallo,
mach mal einen Doppelkick auf ca.crt im Explorer, dann siehst Du auf wen das Zertifikat ausgestellt ist, Synology oder StarCom.

Gruß Götz

joku · 08. Jul 2013

JogibaerNr1 schrieb:
Ne das geht nicht, da macht er erst nichts, und sagt dann "Verbindung zu Openvpn ist fehlgeschlagen".

Ok, ohne Tethering, nur WLAN, hast Du das mal versucht ?
Damit wir sehen ob der VPN Server funktioniert.

Gruß Jo

JogibaerNr1 · 10. Jul 2013

goetz schrieb:
Hallo,
mach mal einen Doppelkick auf ca.crt im Explorer, dann siehst Du auf wen das Zertifikat ausgestellt ist, Synology oder StarCom.

Gruß Götz

StarCom, ist doch richtig oder?

@joku: Ne noch nicht, dann nehme ich die interne IP welche der Router dem NAS zugeordnet hat, richtig? Also 192.168.178.25

joku · 10. Jul 2013

JogibaerNr1 schrieb:
dann nehme ich die interne IP welche der Router dem NAS zugeordnet hat, richtig? Also 192.168.178.25

Ja und im VPN Server siehst Du dann die Verbindung, wenn das alles ok ist,
eine Fehler mehr im Log stehen, geht es mit dem Rest weiter.

Gruß Jo

JogibaerNr1 · 10. Jul 2013

Geht nicht: "Verbindung zu openvpn fehlgeschlagen" kommt da als Meldung.
Ich habe port 1194 sowieso, und port 5000 ausprobiert.

joku · 10. Jul 2013

JogibaerNr1 schrieb:
Geht nicht: "Verbindung zu openvpn fehlgeschlagen" kommt da als Meldung.
Ich habe port 1194 sowieso, und port 5000 ausprobiert.

Wenn Du in Deinem Netz, mit der 192.168.178.25 als VPN Server testest, ist die Portangabe im Client.
Diese steht auf 1194, weil der OpenVPN Dienst auf diesem Port läuft.
Bei mir funktioniert es, was steht dem im Log des Clients ?

Gruß Jo

JogibaerNr1 · 10. Jul 2013

Ach mist da war ja jetzt noch der Pfad für das Zertifikat angegeben. Habs wieder rückgängig gemacht, also ca ca.crt aber schlägt immernoch fehl. Von meinem Desktop PC kann ich ebenfalls keine Verbindung aufbauen. Mag openvpn vielleicht keine Sonderzeichen wie "$&$/()*'=/$ im Passwort? Ich verstehe es nicht....
Hier der Log:

Wed Jul 10 21:29:32 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jun 3 2013
Enter Management Password:
Wed Jul 10 21:30:49 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jul 10 21:30:49 2013 UDPv4 link local (bound): [undef]
Wed Jul 10 21:30:49 2013 UDPv4 link remote: [AF_INET]192.168.178.25:1194
Wed Jul 10 21:30:49 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jul 10 21:30:49 2013 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Wed Jul 10 21:30:49 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Jul 10 21:30:49 2013 TLS Error: TLS object -> incoming plaintext read error
Wed Jul 10 21:30:49 2013 TLS Error: TLS handshake failed
Wed Jul 10 21:30:49 2013 SIGUSR1[soft,tls-error] received, process restarting
Wed Jul 10 21:30:51 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jul 10 21:30:51 2013 UDPv4 link local (bound): [undef]
Wed Jul 10 21:30:51 2013 UDPv4 link remote: [AF_INET]192.168.178.25:1194
Wed Jul 10 21:30:51 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:51 2013 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Wed Jul 10 21:30:51 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Jul 10 21:30:51 2013 TLS Error: TLS object -> incoming plaintext read error
Wed Jul 10 21:30:51 2013 TLS Error: TLS handshake failed
Wed Jul 10 21:30:51 2013 SIGUSR1[soft,tls-error] received, process restarting
Wed Jul 10 21:30:53 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jul 10 21:30:53 2013 UDPv4 link local (bound): [undef]
Wed Jul 10 21:30:53 2013 UDPv4 link remote: [AF_INET]192.168.178.25:1194
Wed Jul 10 21:30:53 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:53 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:55 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:55 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:56 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:56 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:56 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:56 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:57 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:57 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:58 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:58 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_CONTROL_V1)
Wed Jul 10 21:30:59 2013 TLS Error: Unroutable control packet received from [AF_INET]192.168.178.25:1194 (si=3 op=P_ACK_V1)
Wed Jul 10 21:31:00 2013 SIGTERM[hard,] received, process exiting

Und so sieht meine Config aus:

dev tun
tls-client

remote 192.168.178.25 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp
script-security 2

ca ca.crt

reneg-sec 0

auth-user-pass

joku · 10. Jul 2013

JogibaerNr1 schrieb:
Mag openvpn vielleicht keine Sonderzeichen wie "$&$/()*'=/$ im Passwort? Ich verstehe es nicht....

Wie ich da sehe, ist es das Zertifikat erstmal

Wed Jul 10 21:30:49 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Den Link mal ansehen

JogibaerNr1 schrieb:
Und so sieht meine Config aus

Mein Config ist auch so, bis auf
comp-lzo
da scheint bei Deiner Version was zu fehlen, certificate verification method ....
siehe Howto.

Gruß Jo

JogibaerNr1 · 10. Jul 2013

Ja weil ich keine Komprimierung auf der VPN Verknüpfung verwende....aber was hat das mit der Verbindungsfähigkeit zu tun? Naja habe es mal aktiviert->erneut exportiert->IP angegeben->redirect gateway # entfernt->Verbindung aufgebaut->schlägt fehl, also siehe log.....keine Verbesserung.

joku · 10. Jul 2013

JogibaerNr1 schrieb:
Ja weil ich keine Komprimierung auf der VPN Verknüpfung verwende....aber was hat das mit der Verbindungsfähigkeit zu tun?

Ich wollte damit nur sagen, das usere Config gleich sind bis auf die Komprimierung

Ich benutze eine 32bit Version, was mir noch aufgefallen ist, in der Config für Deine Version

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client.crt
key client.key

Leider habe ich kein Windows 64bit System.

Gruß Jo

JogibaerNr1 · 10. Jul 2013

Ja bin dir auch sehr dankbar dass du mir hilfst.

Aso, meinst du ich sollte die anderen Zeilen auch noch ergänzen ja? Also dass er auch den Key und das Zwischenzertifikat abgleicht, das wäre noch eine gute Idee, werde ich gleich mal testen.

joku · 10. Jul 2013

JogibaerNr1 schrieb:
Also dass er auch den Key und das Zwischenzertifikat abgleicht, das wäre noch eine gute Idee, werde ich gleich mal testen.

Ja, wenn Du diese Dateien auch hast, rein damit

Gruß Jo

JogibaerNr1 · 10. Jul 2013

Mhh ich habe gerade festgestellt die heißen ein bißchen anders.... ca.key; server.crt; server.key; server-ca.crt......einfach umbenennen wird wohl nicht so viel bringen....wobei ca.key in client.key könnte ich probieren.

joku · 10. Jul 2013

JogibaerNr1 schrieb:
einfach umbenennen wird wohl nicht so viel bringen....wobei ca.key in client.key könnte ich probieren.

Umbennen ist bestimmt nicht gut, erstellen wäre besser

das mit dem client.key muss die Anmeldung beinhalten oder so

Gruß Jo

joku · 10. Jul 2013

Zitat

Die Authentifizierung des OpenVPN-Servers ist für einen ersten Test nicht notwendig, für die spätere Benutzung aus Sicherheitsgründen aber empfohlen. Dazu wird eine der Methoden, die auf der Seite http://openvpn.net/howto.html#mitm {en} beschrieben ist, verwendet .

remote-cert-tls server

Andernfalls bekommt man bei jeder Verbindung eine Warnung ("WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.")

von Windows steht dort auch was

Gruß Jo

joku · 10. Jul 2013

Hallo, wenn der VPN Server die 192.168.178.25 hat, ist das locale Netz 192.168.178.0/24.
Was hat das Tunnel Netz ?

Gruß Jo

JogibaerNr1 · 10. Jul 2013

Das lokale Netz? Ist doch immer 192.168.178.0 aber wieso noch /24?

Mit Tunnel Netz meinst du die eingestellte Adresse im Synology VPN Server Paket? Da steht 10.8.0.0

Freigabe von Openvpn-port mit Fritzbox

Benutzer

Benutzer

Benutzer

Super-Moderator

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat