OpenVPN keine Verbindung nach Update "VPN Server" Paket

[pmcl77]

Hi,

Ich habe heute im DSM Paketzentrum das Paket VPN Server aktualisiert (1.3.14-2782). Nun kann ich von den Clients keine openVPN Verbindung mehr aufbauen.

Ich habe in /usr/syno/etc/packages/VPNCenter/openvpn
openvpn.conf (welche durch das update offensichtlich überschrieben wurde)
openvpn.conf.user (welche immer noch meine bisherige Konfiguration enthält).

Ich habe das Gefühl, dass seit dem update die openvpn.conf.user nicht mehr geladen wird, da der openVPN Server mit einer anderen IP Range gestartet wird, als ich dies in openvpn.conf.user konfiguriert habe. Ich habe auch versucht, die gesicherte openvpn.conf wieder herzustellen.

Ich habe ebenfalls alle gesichterten keys wieder in das Verzeichnis /usr/syno/etc/packages/VPNCenter/openvpn/keys kopiert. (bzw /var/packages/VPNCenter/etc/openvpn/keys/ aber das ist ja das gleiche).



Ich bin gerade etwas ratlos.


Anbei die Konfiguration:

Ich habe die vom update erstellte openvpn.conf wieder durch folgende ersetzt (habe ich eigenltich alles in der openvpn.conf.user aber die wird ja nicht mehr benutzt):

# openvpn.conf

push "route 192.168.219.0 255.255.255.0"
push "route 10.11.12.0 255.255.255.0"
comp-lzo adaptive
dev tun
management 127.0.0.1 1195

#additions for site-to-site vpn
route 192.168.128.0 255.255.255.0 #server, please route all 192.168.128.0 traffic into the vpn
#push "route 192.168.219.0 255.255.255.0" #experimental, all clients route this traffic into vpn (on 192.168.2. client iroute will avoid routing own traffic into vpn)
client-to-client
client-config-dir ccd

#insteaad of using "server" directive for dynamic ip allocation use "ifconfig-pool" to define dynamic range
server 10.11.12.0 255.255.255.0
#ifconfig-pool 10.11.12.21 10.11.12.199 255.255.255.0

dh   /usr/syno/etc/packages/VPNCenter/openvpn/keys/dh.pem
ca   /usr/syno/etc/packages/VPNCenter/openvpn/keys/ca.crt
cert /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.crt
key  /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.key # This file should be kept secret
#tls-auth /var/packages/VPNCenter/target/etc/openvpn/keys/ta.key 0 # This file is secret

max-clients 5

persist-tun
persist-key

verb 3

log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
#client-cert-not-required
username-as-common-name
# duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194

#perf tweak test
#with those no windows file copy was possible
#tun-mtu 6000
#fragment 0
#mssfix 0

cipher AES-256-CBC
auth SHA256
#auth SHA512

## openvpn.conf.user

## this file must be chmod 644 openvpn.conf.user
management 127.0.0.1 1195
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
#client-cert-not-required
username-as-common-name


# Which local IP address should OpenVPN
# listen on? (optional)
# ;local a.b.c.d

port 1194
proto udp
dev tun

dh   /usr/syno/etc/packages/VPNCenter/openvpn/keys/dh.pem
ca   /usr/syno/etc/packages/VPNCenter/openvpn/keys/ca.crt
cert /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.crt
key  /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.key # This file should be kept secret
#tls-auth /var/packages/VPNCenter/target/etc/openvpn/keys/ta.key 0 # This file is secret

# Diffie hellman parameters.
# Generate your own with:
#   openssl dhparam -out dh2048.pem 2048
# dh dh2048.pem

# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
# ;tls-auth ta.key 0 # This file is secret
#tls-auth /var/packages/VPNCenter/target/etc/openvpn/keys/ta.key 0 # This file is secret

server 10.11.12.0 255.255.255.0

push "route 192.168.219.0 255.255.255.0"
push "route 10.11.12.0 255.255.255.0"
client-config-dir ccd
route 192.168.128.0 255.255.255.0 #server, please route all 192.168.128.0 traffic into the vpn
client-to-client

keepalive 10 120

cipher AES-256-CBC
## auth SHA512
auth SHA256

comp-lzo adaptive

max-clients 5

persist-key
persist-tun

status openvpn-status.log
status-version 2
log-append /var/log/openvpn.log
verb 3

und auf dem client (server und key aus sicherheitsgründen entfernt)

client
dev tun
proto udp

remote <myserver> 1194

#redirect-gateway def1
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo adaptive
auth-user-pass
key-direction 1
tls-version-min 1.2
cipher AES-256-CBC
auth SHA256
#auth SHA512

ca ca.crt
cert phil-macbook.crt
key phil-macbook.key

<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

Desweiteren wird in DSM im VPN Server bei den Verbindungen auch kein username mehr angezeigt, sondern nur UNDEF (siehe screenshot). Evtl. liegt das daran, dass die clients gar keine Verbindung mehr aufbauen können?




EDIT: Ich habe die Pfade in den Configs angepasst auf /usr/syno/etc/packages/VPNCenter/openvpn.

Was ist eigentlich der Unterschied zwischen:
/var/packages/VPNCenter/etc/openvpn/
und
/var/packages/VPNCenter/target/etc/openvpn/ ?


Logs, es scheint ein TLS problem zu geben. tls-auth hatte ich vorher auf dem Server auskommentiert, da ich ein Router als client hatte, bei dem ich das Zertifikat nicht installieren konnte. Funktioniert hat es dennoch bei allen clients.

Sat Nov 27 14:15:56 2021 ::ffff:<client-ip>(30835) TLS Error: reading acknowledgement record from packet
Sat Nov 27 14:16:26 2021 ::ffff:<client-ip>(30835) TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Nov 27 14:16:26 2021 ::ffff:<client-ip>(30835) SYNO_ERR_CERT
Sat Nov 27 14:16:26 2021 ::ffff:<client-ip>(30835) TLS Error: TLS handshake failed

Danke für jegliche Tips,

 

[Joe Patroni]

Wenn ich mich recht erinnere, gab es bei dem Update den Hinweis, dass Konfigurations-Dateien erneuert werden müssen, falls Du das noch nicht getan hast... ...Alte funktionieren demnach nicht mehr.

 

[pmcl77]

Danke für die Antwort...

Ich muss mir mal die release notes nochmals durchsehen falls ich die noch finde, evtl hatte ich noch optionen drin, welche nicht mehr gültig sind.

Aber auf jeden Fall habe ich es nun doch noch geschafft, habe tls-auth auf dem Server wieder aktiviert und vor allem den korrekten Pfad dazu angegeben. Alle Pfade in den conf sind nun auf /usr/syno/etc/packages/VPNCenter/openvpn/keys/ konfiguriert.

 

[degi]

Hallo!

Ich hatte das gleiche Problem und konnte es nach langer Suche lösen.
Bin noch nicht sicher, ob das Update des VPN-Server Pakets es auslöst, oder ein DSM Update.

Jedenfalls liegst du richtig mit deiner Vermutung, dass seit neustem die openvpn.conf.user ignoriert wird, und stattdessen die openvpn.conf geladen wird. Trotzdem erkennt das GUI das Vorhandensein der openvpn.conf.user und zeigt den entsprechenden Hinweis zur benutzerdefinierten Konfiguration an.

Die Ursache ist eine Änderung im Startverhalten der Dienste. Konkret wird in /etc/init/pkg-VPNCenter-openvpn-server.conf der Server immer hardcoded mit der openvpn.conf gestartet, auch wenn eine .user vorhanden ist.
Ich hab den script-Abschnitt ab Zeile 17 folgendermaßen erweitert, dann funktionierts wieder:

script
    PKG_USERCONF_DIR="/usr/syno/etc/packages/VPNCenter"
    CONF_DIR="${PKG_USERCONF_DIR}/openvpn"
    USER_CONF="openvpn.conf.user"
    OPENVPN_CONF="openvpn.conf"
    if [ -e ${CONF_DIR}/${USER_CONF} ]; then
        OPENVPN_CONF=${USER_CONF}
    fi
    echo "using config file ${OPENVPN_CONF}"
    exec /var/packages/VPNCenter/target/sbin/openvpn --cd /usr/syno/etc/packages/VPNCenter/openvpn --config ${OPENVPN_CONF} --writepid /var/run/ovpn_server.pid
end script

PS: Ein Support-Ticket dazu gibts jetzt auch schon.

Viele Grüße,
Martin

 

[Joe Patroni]

Meine DS war letztlich auch plötzlich nicht mehr zu erreichen. Alle über den Explorer eingebunden Laufwerke der DS waren "ausge-ixt" obwohl die OpenVPN-Verbindung ordentlich hergestellt war. Ich habe dann den Tip eines guten Freundes befolgt und die Laufwerke bzw. Freigaben erneut eingebunden über den "net use"-Command in der DOS-Box. So kam ich zum Erfolg...

Gruß
Joe

 

[xanderle]

Ich habe auch das Problem, dass ich keine Verbindung zum VPN Server bekomme. Ich versuche es aber über L2TP.
DS413
DSM 6.2.3-25426 Update 2
VPN Server 1.3.14-2782

Allerdings habe ich im VPN Server - L2TP/IPSec nicht die Option "SHA2-256... aktivieren/deaktivieren". Daran denke ich liegt mein Problem. Die Frage ist, warum habe ich diese Option nicht, weiß das jemand?