Toggle sidebar

Open VPN | certificate has expired

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
F

FrAntje

Benutzer
Registriert
25. Mai 2016
Beiträge
359
Reaktionspunkte
17
Punkte
18
Hallo zusammen,

ich bekomme, ganz frisch :) folgende Meldung beim Verbinden mit OpenVPN:

Wed Nov 04 21:06:16 2020 VERIFY ERROR: depth=0, error=certificate has expired: CN=xxx.de
Wed Nov 04 21:06:16 2020 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Wed Nov 04 21:06:16 2020 TLS_ERROR: BIO read tls_read_plaintext error
Wed Nov 04 21:06:16 2020 TLS Error: TLS object -> incoming plaintext read error
Wed Nov 04 21:06:16 2020 TLS Error: TLS handshake failed

Zertifikat ist natürlich aktuell und bis 02.02.21 gültig, die Einstellungen habe ich auch nochmals exportiert und im Client genutzt, obwohl sie identisch waren.
Habe auch schon Leidensgenossen gefunden, aber keine Lösung parat. Könnt ihr helfen?

Viele Grüße
 
Moinsen,
Hmmm, strange...
Hatte ich bis eben noch nie von gehört und kann es auch nicht erklären. Hab allerdings hier auch vpn nicht auf dem NAS laufen. Ich meine aber, dass die synology openvpn Versionen meist sehr den eigentlich aktuellen hinterher hinkten...
Löst jetzt nicht direktdein Problem, aber nimm den doofen Anlass doch mal als Grund, um darüber nachzudenken, vpn jenseits des NAS zu machen...
Guter Router oder auch raspberry pi zum Beispiel. Damit hättest du eine aktuelle Version, abseits vom NAS auch sicherer und meist noch detaillierter zu konfigurieren.
Funktionieren die Zertifikate denn für alle anderen Dienste anstandslos?
 
OpenVPN hat ein eigenes Zertifikat, die anderen Zertifikat über die DSM Systemsteuerung -> Sicherheit -> Zertifikat kannst du hier vergessen, die werden nicht genutzt.

Hier mal eine Anleitung zum Erneuern des OpenVPN Zertifikats
https://buger.dread.cz/openvpn-expired-certificates.html
Oder einfach die Meldungen abnicken und egal ... ;)
 
Für was kann man dann dem VPN server in der Systemsteuerung einu Zertifikat zuweisen und den Client dieses auf common name überprüfen lassen?
 
Ich habe noch mal nachgeschaut, es basiert inzwischen auf dem Systemsteuerungs Zertifikat, aber wo steht in der OVPN Datei oder in ca.crt der 'common name' drin?
https://openvpn.net/community-resources/how-to/

Nach paar Forum Fragen lesen, gibt es wohl eine Whitelist für Client CNs, aber keine einbaute CN kontrolle, wie es aussieht... oder ich habe es noch nicht gefunden, ein eigenes Script kann es aber nachrüsten...OpenVPN ist einfach :rolleyes:

Also am Ende mal das Server Zertifikat erneuern und wieder exportieren, dann alle Client Zertifikate austauschen und erneuet probieren.
 
Client Zertifikate muss man ja selber nachrüsten und auch die CN Verifizierung und anderes Bsp mit verify-x509-name Option.
Beides nicht über die Gui möglich.
 
Ich bin etwas IT Faul geworden. Solange ich kein bestimmten Rahmen erreiche, nutze ich meine Zeit lieber mit meiner Tochter. Natürlich kann man hier nen Raspberry hin stellen, dort nen Pi Hole, hier ne Mikrotik und an der Ecke da vorne auch noch nen dediziertes Gerät. Alles am besten noch mit Redundanz usw. Für meine 2 Telefone am besten ne Asterisk und meine Backups am besten noch nen extra Server.
Bei mir steht ne 918+ und die soll schwitzen. Daher macht die VM, Docker, Surveillance, Fileserver, VPN, Kodi, DDNS, DHCP, ach halt alles was geht :)
Läuft seit Jahren zuverlässig.
Ich bin auch beim OpenVPN zuverlässig. und warte einfach mal ein paar Tage. Solange läuft das VPN über die Fritte.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten