Open VPN | certificate has expired

FrAntje

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
293
Punkte für Reaktionen
5
Punkte
18
Hallo zusammen,

ich bekomme, ganz frisch :) folgende Meldung beim Verbinden mit OpenVPN:

Wed Nov 04 21:06:16 2020 VERIFY ERROR: depth=0, error=certificate has expired: CN=xxx.de
Wed Nov 04 21:06:16 2020 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Wed Nov 04 21:06:16 2020 TLS_ERROR: BIO read tls_read_plaintext error
Wed Nov 04 21:06:16 2020 TLS Error: TLS object -> incoming plaintext read error
Wed Nov 04 21:06:16 2020 TLS Error: TLS handshake failed

Zertifikat ist natürlich aktuell und bis 02.02.21 gültig, die Einstellungen habe ich auch nochmals exportiert und im Client genutzt, obwohl sie identisch waren.
Habe auch schon Leidensgenossen gefunden, aber keine Lösung parat. Könnt ihr helfen?

Viele Grüße
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.328
Punkte für Reaktionen
258
Punkte
109
Moinsen,
Hmmm, strange...
Hatte ich bis eben noch nie von gehört und kann es auch nicht erklären. Hab allerdings hier auch vpn nicht auf dem NAS laufen. Ich meine aber, dass die synology openvpn Versionen meist sehr den eigentlich aktuellen hinterher hinkten...
Löst jetzt nicht direktdein Problem, aber nimm den doofen Anlass doch mal als Grund, um darüber nachzudenken, vpn jenseits des NAS zu machen...
Guter Router oder auch raspberry pi zum Beispiel. Damit hättest du eine aktuelle Version, abseits vom NAS auch sicherer und meist noch detaillierter zu konfigurieren.
Funktionieren die Zertifikate denn für alle anderen Dienste anstandslos?
 

Syno-OS

Benutzer
Mitglied seit
23. Jun 2020
Beiträge
246
Punkte für Reaktionen
44
Punkte
28
OpenVPN hat ein eigenes Zertifikat, die anderen Zertifikat über die DSM Systemsteuerung -> Sicherheit -> Zertifikat kannst du hier vergessen, die werden nicht genutzt.

Hier mal eine Anleitung zum Erneuern des OpenVPN Zertifikats

Oder einfach die Meldungen abnicken und egal ... ;)
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.105
Punkte für Reaktionen
342
Punkte
359
Für was kann man dann dem VPN server in der Systemsteuerung einu Zertifikat zuweisen und den Client dieses auf common name überprüfen lassen?
 

Syno-OS

Benutzer
Mitglied seit
23. Jun 2020
Beiträge
246
Punkte für Reaktionen
44
Punkte
28
Ich habe noch mal nachgeschaut, es basiert inzwischen auf dem Systemsteuerungs Zertifikat, aber wo steht in der OVPN Datei oder in ca.crt der 'common name' drin?
https://openvpn.net/community-resources/how-to/

Nach paar Forum Fragen lesen, gibt es wohl eine Whitelist für Client CNs, aber keine einbaute CN kontrolle, wie es aussieht... oder ich habe es noch nicht gefunden, ein eigenes Script kann es aber nachrüsten...OpenVPN ist einfach :rolleyes:

Also am Ende mal das Server Zertifikat erneuern und wieder exportieren, dann alle Client Zertifikate austauschen und erneuet probieren.
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.105
Punkte für Reaktionen
342
Punkte
359
Client Zertifikate muss man ja selber nachrüsten und auch die CN Verifizierung und anderes Bsp mit verify-x509-name Option.
Beides nicht über die Gui möglich.
 

FrAntje

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
293
Punkte für Reaktionen
5
Punkte
18
Ich bin etwas IT Faul geworden. Solange ich kein bestimmten Rahmen erreiche, nutze ich meine Zeit lieber mit meiner Tochter. Natürlich kann man hier nen Raspberry hin stellen, dort nen Pi Hole, hier ne Mikrotik und an der Ecke da vorne auch noch nen dediziertes Gerät. Alles am besten noch mit Redundanz usw. Für meine 2 Telefone am besten ne Asterisk und meine Backups am besten noch nen extra Server.
Bei mir steht ne 918+ und die soll schwitzen. Daher macht die VM, Docker, Surveillance, Fileserver, VPN, Kodi, DDNS, DHCP, ach halt alles was geht :)
Läuft seit Jahren zuverlässig.
Ich bin auch beim OpenVPN zuverlässig. und warte einfach mal ein paar Tage. Solange läuft das VPN über die Fritte.
 
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.