OpenVPN auf Synology DS212j
- Ersteller Niemand2006
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
Nur das ca.crt was ich bekomme wenn ich ich die Konfiguration von den VPN Server exportiere.
Da bekomme ich ca.crt und eine OpenVPN datei.
Da bekomme ich ca.crt und eine OpenVPN datei.
Wenn du kein TLS hast (was man meiner dunklen Erinnerung nach über das Paket von Syno auch nicht konfigurieren konnte). Dann musst du diese Option in der App bei den Verbindungseinstelllungen über "Authentifizierung/Verschlüsselung" -> "TLS Authentifizierung" deaktivieren.
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
TLS ist nicht nur Authentifizierung sondern auch Verschlüsselung. Von dem her kann ich mir nicht vorstellen, dass die DS kein TLS/SSL Support hätte ;-)
Hast du denn auf deinem OVPN-Client das ca.crt von der DS drauf? Das braucht der Client um zu wissen welchen Serverzertifikaten er trauen darf
Hast du denn auf deinem OVPN-Client das ca.crt von der DS drauf? Das braucht der Client um zu wissen welchen Serverzertifikaten er trauen darf
Das Ca.crt habe ich ja von der DS bekommen und habe diese auf Handy übertragen. Irgendwie mache ich da etwas falsch.
Ich war mir bezüglich der TLS-Auth auch unschlüssig, weshalb ich mal eben das Paket installiert habe. Es ist nicht aktivierbar und die ovpn, die generiert wird, sieht so aus:
Edit:
@Niemand2006
Stelle einfach mal die Openvpn-Config (NICHT! die ca.crt) ohne deine extern erreichbare Adresse hier ein. Funktioniert denn dieser Tunnel auf deinem Rechner?
Rich (BBCode):
dev tun
tls-client
remote YOUR_SERVER_IP 1194
[..]Kommentar-Bla-Sülz[..]
pull
proto udp
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-passEdit:
@Niemand2006
Stelle einfach mal die Openvpn-Config (NICHT! die ca.crt) ohne deine extern erreichbare Adresse hier ein. Funktioniert denn dieser Tunnel auf deinem Rechner?
Zuletzt bearbeitet:
Rich (BBCode):
comp-lzo
dev tun
tls-client
remote xxxxx.dyndns.org 1194
Dann kommentare
pull
proto udp
script-security 2
ca ca.crt
reneg-sec 0
auth-user-passso sieht meine OpenVPN datei aus
Edit:
Von einen Windows Rechnet habe ich es nicht Versucht. Hatte gedacht es es einfach geht mit den OpenVPN Programm ist aber leider nicht der Fall.
Liegt zusammen im selben Verzeichnis. Deswegen wundert mich es ja das es nicht klappt
Edit:
Kann es sein das er TLS machen will weil das in der config steht?
tls-client
Zuletzt bearbeitet:
Ein Vorabtest zur Fehlerüberprüfung auf einem Rechner ist -vor allem bei Unerfahrenheit- nie verkehrt.
Deiner Konfiguration würde manuell so aussehen:
Einstellung - Basic
- Server: xxxxx.dyndns.org
- Port: 1194
- LZO Komprimierung: Ja (Haken)
- Typ: Nutzer/PW + Zertifikate
- CA-Zertifikat: Pfad zur deiner ca.crt auf deinem Mobile -> Das wird vermutlich der Fehler sein und ist das wovon jahlives spricht
- eventuell bei Benutzername schon deinen Benutzernamen eingeben (dann wird bei Verbindungsaufbau nur noch nach dem Passwort gefragt)
Einstellung - IP and DNS
- Pull Settings = Aktiv
- der Rest deaktiviert
Einstellung Routing - Alles inaktiv
Einstellung - Authentifizierung/Verschlüsselung
- Erwarte TLS Server = aktiv
- TLS Auth = inaktiv
- Encryption cipher = leer
Deiner Konfiguration würde manuell so aussehen:
Einstellung - Basic
- Server: xxxxx.dyndns.org
- Port: 1194
- LZO Komprimierung: Ja (Haken)
- Typ: Nutzer/PW + Zertifikate
- CA-Zertifikat: Pfad zur deiner ca.crt auf deinem Mobile -> Das wird vermutlich der Fehler sein und ist das wovon jahlives spricht
- eventuell bei Benutzername schon deinen Benutzernamen eingeben (dann wird bei Verbindungsaufbau nur noch nach dem Passwort gefragt)
Einstellung - IP and DNS
- Pull Settings = Aktiv
- der Rest deaktiviert
Einstellung Routing - Alles inaktiv
Einstellung - Authentifizierung/Verschlüsselung
- Erwarte TLS Server = aktiv
- TLS Auth = inaktiv
- Encryption cipher = leer
Aber ich habe doch nur ein ca.crt und wenn ich die anderen nicht eingebe dann macht er garkeine Verbindung.
Ups! Stimmt! Da war ich zu sehr in meiner Normalität verhaftet, dass alle Certs benötigt werden. Du musst natürlich NUR "Benutzername/Passwort" bei Typ auswählen und dann den Pfad zur ca.crt bestimmen.
Habe ich gemacht. Bekomme ich wieder den Fehler mit dem TLS Handshake fehlgeschlagen.
Was kann ich denn noch machen das endlich mal eine Verbindung zu stande kommt?
Habe es auch schon gerootet und openvpn setting genommen. Da bekomme ich auch keine Verbindung. An was kann es sonst noch liegen?
Ports sind naturlich freigeschaltet an die DS
Was kann ich denn noch machen das endlich mal eine Verbindung zu stande kommt?
Habe es auch schon gerootet und openvpn setting genommen. Da bekomme ich auch keine Verbindung. An was kann es sonst noch liegen?
Ports sind naturlich freigeschaltet an die DS
Mein Vorschlag: Einfach mal am Rechner OpenVPN installieren und es dort probieren, um generelle Fehler auszuschließen sowie die ca.cert über das Interface der DSM noch einmal herunterladen.
Ok da muss ich mal schauen wenn ich Zeit dazu habe. Hatte eigentlich gedacht das es schneller geht.
PPTP ist leider zu Unsicher um die Verbindung die ganze Zeit offen zu lassen oder?
PPTP ist leider zu Unsicher um die Verbindung die ganze Zeit offen zu lassen oder?
Geht es auch, wenn alles stimmt. Es stimmt aber mit deinem ca.cert etwas nicht. Entweder hast du in der App noch nicht den richtig Pfad drin oder es ist anderweitig fehlerhaft.Niemand2006 schrieb:
Zu dem Thema hatte jahlives auf der ersten Seite dieses Thema schon alles gesagt.Niemand2006 schrieb:
Aber das ca.crt findet er ja und nimmt es auch.
Kann es sein weil am Anfang da steht bebin und dann end Certifikat?
Kann es sein weil am Anfang da steht bebin und dann end Certifikat?
Selbst wenn du eine leere Textdatei nimmst und sie in ca.cert umbenennst, wird dieses Zertifikat VOR der Einwahl nicht angemeckert. Der Zertifikatsinhalt sollte so aussehen:
Rich (BBCode):
-----BEGIN CERTIFICATE-----
verschlüsselter Zertifikatsinhalt = Zeichensalat
-----END CERTIFICATE-----Ich bekomme es auch nicht hin mit openvpn (mit pptp kein Problem) 
Habe jetzt gemäss Tipp mal OpenVPN GUI auf dem PC installiert und die beiden Dateien (crt und ovpn) in den config Ordner kopiert.
Wenn ich die Zeile "script-security 2" in ovpn stehen habe, verbindet er schon mal gar nicht sondern meldet, dass er den Parameter nicht kenne oder so ähnlich.
Also Zeile raus und wieder verbinden. Verbindung klappt zwar, kann Benutzername und Passwort angeben, die DS sagt mir auch dass der PC jetzt verbunden sei, aber ich komme mit 10.8.0.0:5000 nicht auf die DS.
log file von OpenVPN GUI:
Wenn ich dasselbe mit Android Tel mache, wird die Verbindung zwar ebenfalls aufgebaut, aber ich kann weder surfen noch auf die DS und die Verbindung bricht alle paar Sekunden ab und wird wieder aufgebaut.
Mann, das kann doch nicht so schwer sein.....
Habe jetzt gemäss Tipp mal OpenVPN GUI auf dem PC installiert und die beiden Dateien (crt und ovpn) in den config Ordner kopiert.
Wenn ich die Zeile "script-security 2" in ovpn stehen habe, verbindet er schon mal gar nicht sondern meldet, dass er den Parameter nicht kenne oder so ähnlich.
Also Zeile raus und wieder verbinden. Verbindung klappt zwar, kann Benutzername und Passwort angeben, die DS sagt mir auch dass der PC jetzt verbunden sei, aber ich komme mit 10.8.0.0:5000 nicht auf die DS.
log file von OpenVPN GUI:
Code:
Tue Jun 26 18:17:52 2012 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 26 18:18:00 2012 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Jun 26 18:18:00 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Jun 26 18:18:00 2012 LZO compression initialized
Tue Jun 26 18:18:00 2012 UDPv4 link local (bound): [undef]:1194
Tue Jun 26 18:18:00 2012 UDPv4 link remote: 192.168.1.11:1194
Tue Jun 26 18:18:00 2012 [Snake_Oil_CA] Peer Connection Initiated with 192.168.1.11:1194
Tue Jun 26 18:18:01 2012 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:4: topology (2.0.9)
Tue Jun 26 18:18:01 2012 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{D55B9068-F683-4426-A522-66337F943DCE}.tap
Tue Jun 26 18:18:01 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {D55B9068-F683-4426-A522-66337F943DCE} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Jun 26 18:18:01 2012 Successful ARP Flush on interface [28] {D55B9068-F683-4426-A522-66337F943DCE}
Tue Jun 26 18:18:03 2012 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig. [if_index=28]
Tue Jun 26 18:18:03 2012 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig. [if_index=28]
Tue Jun 26 18:18:03 2012 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig. [if_index=28]
Tue Jun 26 18:18:03 2012 Initialization Sequence CompletedWenn ich dasselbe mit Android Tel mache, wird die Verbindung zwar ebenfalls aufgebaut, aber ich kann weder surfen noch auf die DS und die Verbindung bricht alle paar Sekunden ab und wird wieder aufgebaut.
Mann, das kann doch nicht so schwer sein.....
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
