Toggle sidebar

Logwarnungen nach VPN-Server Update

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Puppetmaster

Puppetmaster

Benutzer
Sehr erfahren
Registriert
03. Feb. 2012
Beiträge
18.991
Reaktionspunkte
630
Punkte
484
Hi zusammen!

Nachdem ich eben dann auch meine 4.2 Beta mal auf die letzte VPN-Server Version geupdatet habe, hatte ich folgende Meldungen im Log:

Rich (BBCode): 
Apr 11 18:51:53 openvpn[13884]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Apr 11 18:51:53 openvpn[13884]: WARNING: file '/var/packages/VPNCenter/target/etc/openvpn/keys/server.key' is group or others accessible
Apr 11 18:51:53 openvpn[13884]: WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate

Soll mich das jetzt beunruhigen? Bzw. ist das normal?
 
die NOTE kenn ich von meinen Servern ist recht normal :-) Die ersten WARNING darf nicht sein. Der key ist der pirvate Teil des public Key und sollte nie Leserechte für irgenjemanden ausser dem Eigentümer haben. Die letzte WARNING sollte nicht sein wenn du für jeden Client auch ein Zeritfikat hast. Hast du denn auf deinem Client ein client.crt und einen client.key, welche für die OVPN Verbindung zum Server verwendet werden?
 
jahlives schrieb:
Die ersten WARNING darf nicht sein. Der key ist der pirvate Teil des public Key und sollte nie Leserechte für irgenjemanden ausser dem Eigentümer haben.
Zum Vergrößern anklicken....

So in etwa hatte ich mir das auch schon gedacht. Aber wie kann das sein? Die Rechte habe ich nie selbst angefasst?!

Die letzte WARNING sollte nicht sein wenn du für jeden Client auch ein Zeritfikat hast. Hast du denn auf deinem Client ein client.crt und einen client.key, welche für die OVPN Verbindung zum Server verwendet werden?
Zum Vergrößern anklicken....

Habe mich erst gestern einmal an das Thema Open-VPN herangetastet. Vorher hatte ich ausschließlich PPTP genutzt.
Meine Versuche gestern beschränkten sich auch auf Open-VPN vom Android Smartphone aus. Zertifikate habe ich (noch) keine, da mir noch absolut nicht klar ist, ob das notwendig und wenn ja, wie man das anstellt eines in die Smartphone App zu bringen (bzw. wie ich das generiere).

Was ich nicht verstehe: wieso meckert die DS jetzt ein Client-Zertifikat an? Bei Installation des Serverupdates? Verbunden habe ich mich doch gar nicht per VPN...
 
Hallo, ich hatte mal was gelesen, nur wo ?
Schau mal nach den Rechten
/usr/syno/etc/packages/VPNCenter/openvpn/keys
-rw------- 1 root root 1204 Oct 10 2012 ca.crt
-rw------- 1 root root 891 Oct 10 2012 ca.key
-rw------- 1 root root 17 Oct 10 2012 ca.srl
-rw------- 1 root root 1184 Oct 10 2012 server.crt
-rw------- 1 root root 741 Oct 10 2012 server.csr
-rw------- 1 root root 916 Oct 10 2012 server.key

Gruß Jo
 
joku schrieb:
Schau mal nach den Rechten
/usr/syno/etc/packages/VPNCenter/openvpn/keys
Zum Vergrößern anklicken....

Hm, sieht bei mir so aus:

-r-------- 1 root root 1204 Jan 26 22:40 ca.crt
-r-------- 1 root root 891 Jan 26 22:40 ca.key
-rw-rw-rw- 1 root root 17 Jan 26 22:40 ca.srl
-rw-rw-rw- 1 root root 1184 Jan 26 22:40 server.crt
-rw-rw-rw- 1 root root 741 Jan 26 22:40 server.csr
-rw-rw-rw- 1 root root 916 Jan 26 22:40 server.key

Wie kann das sein?? :confused:
 
joku schrieb:
Das wird an dem SPK Packer liegen.
Zum Vergrößern anklicken....
Synology??

Dann müßte es bei dir doch auch so aussehen...
Na, werde die Rechte morgen mal ändern. Danke euch beiden erstmal! Für heute ist bei mir Schluss...
 
So, die Rechte der Dateien habe ich jetzt mit einem chmod 600 entsprechend korrigiert. Trotzdem seltsam, dass Synology ein Paket mit derartigen "Lücken" schnürt.
Aber immerhin bleibt die Warnung im Log jetzt aus.

Diese ganze Zertifikatsgeschichte bei openvpn ist mir allerdings auch noch nicht klar. Bei Aktivieren von openvpn im DSM wird ja eine Konfig-Datei erzeugt, die man speichern kann. In dem .zip-File ist auch eine Datei 'ca.crt', mit der ich aber unter Android nicht wirklich etwas anzufangen weiß. Wozu benötige ich die?
OpenVPN funktioniert vom Smartphone aus, sobald ich die config-Datei importiert habe. Darin steht aber nichts wirklich interessantes ausser IP etc. Also läuft OpenVPN so bei mir erstmal ohne Zertifikat.

Frage: ist das sinnvoll? Bzw. macht das dann überhaupt Sinn? Oder kann ich dann auch PPTP verwenden...?
 
also ich betreibe meine VPNs nur mit Key/Certs pro Client. Allerdings weiss ich ned ob das mit der Syno-Version von OVPN überhaupt auch geht. Mit derjenigen von ipkg (so wie im Wiki beschrieben) geht's aber problemlos mit Zertifikaten/Keys pro Client
 
jahlives schrieb:
Allerdings weiss ich ned ob das mit der Syno-Version von OVPN überhaupt auch geht.
Zum Vergrößern anklicken....

Ja, ok. Das bzgl. der IPKG-Variante hatte ich auch mal gelesen. Ich war jetzt davon ausgegangen, dass die im DSM implementierte OpenVPN Lösung ähnlich (genauso) funktioniert wie die IPKG Variante.
Im DSM selbst kann ich da auch weiter gar nichts einstellen/konfigurieren bzgl. Sicherheit und Authentifizierung.
Da stellt sich mir dann die Frage, was bringt mir 'diese' OpenVPN Variante in Bezug auf PPTP? Offenbar gar nichts...
 
Hallo,
Darin steht aber nichts wirklich interessantes ausser IP etc.
Zum Vergrößern anklicken....
oh doch,
ca ca.crt
das ist der Verweis auf das Zertifikat.

Gruß Götz
 
goetz schrieb:
oh doch,
ca ca.crt
das ist der Verweis auf das Zertifikat.
Zum Vergrößern anklicken....

Ja, ok. Aber was bringt das jetzt genau bei OpenVPN vom Smartphone aus? Da konnte ich mit ca.crt bisher nichts reissen. Ich weiß nicht wirklich, was ich damit tun soll.
 
das ca.crt bringt dir in Bezug auf Client Zertifikate überhaupt nichts :-) Das dient dem Client nur dazu dass er kontrollieren kann von wem das Cert des Servers signiert wurde. Das ist aber kein Certifikatslogin :-)
 
Dann verstehe ich das ganze Prozedere nicht. Das Handbuch und die Hilfe schweigt sich dazu ja auch mal wieder aus.
Es wird nicht wirklich erklärt, was ich da genau exportiere, wenn ich die DSM-Variante des openVPN aktiviere. Ja, ok, eine config-Datei, die die Einstellungen für den Client enthält. Aber die ca.crt?
Das ist verwirrend. Ich habe zwar hinterher genauso Zugriff auf meine DS wie es auch mit PPTP geht, aber habe ich dadurch was gewonnen? Hm... :confused:

Ich guck mir wohl nochmal die IPKG Variante im Wiki an. Vielleicht bringt das ja ein bißchen Licht ins Dunkel.

Danke!
 
joku schrieb:
Ich dachte immer, das die Zertifikate der Verschlüsselung dienen :)
Zum Vergrößern anklicken....

Ist die Verschlüsselung nicht erstmal unabhängig bereits durch SSL/SSH sichergestellt?
Das Zertifikat dient doch letztlich 'nur' der Legitimation.
https ist ja auch verschlüsselt, selbst wenn du kein Zertifikat hast.
 
joku schrieb:
Mit dem Zertifikat erfogt eine Authentisierung, mit der Du berechtigt bist Dich am Server anzumelden.
Ok falsch Ausgedrückt :)

Gruß Jo
Zum Vergrößern anklicken....
ne genau anders rum ;-) Mit einem key (private Key) erfolgt die auth und mit einem Cert (public Key) wird verschlüsselt :-)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten