Synology OpenVPN TLS Error

[Nommu]

Hallo!
Ich habe folgendes Problem:
Ich nutze Tunnelblick um über einen DDNS mit der OpenVPN Lösung auf der Diskstation zu verbinden.
Allerdings kommen mir immer wieder irgendwelche Fehler unter.
Soweit glaube ich allerdings, dass die neueste Variante s.u. lösbar ist, allerdings fehlt mir dabei das Wissen wie.
Kann mir da jemand helfen? DS, Pakete und Tunnelblick sind auf dem neuesten Stand.
Port 53 eingetragen beim Router sowie OpenVPN und Tunnelblick. DDNS aktuell. Ca.cert liegt im Verzeichnis der opvpn Datei.
Das Problem unten erzeugt einen Loop.

2015-06-18 13:39:05 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2015-06-18 13:39:05 Attempting to establish TCP connection with [AF_INET]xx.xx.xx.xx:53 [nonblock]
2015-06-18 13:39:06 TCP connection established with [AF_INET]xx.xx.xx.xx:53
2015-06-18 13:39:06 TCPv4_CLIENT link local: [undef]
2015-06-18 13:39:06 TCPv4_CLIENT link remote: [AF_INET]xx.xx.xx.xx:53
2015-06-18 13:39:06 TLS Error: client->client or server->server connection attempted from [AF_INET]xx.xx.xx.xx:53
2015-06-18 13:39:06 Fatal TLS error (check_tls_errors_co), restarting
2015-06-18 13:39:06 SIGUSR1[soft,tls-error] received, process restarting
2015-06-18 13:39:06 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

 

[g202e]

Zeig mal bitte die *.ovpn-Datei.
OpenVPN braucht außerdem UDP 1194; wofür du den Port 53 durchlässt erschließt sich nicht wirklich.

 

[Nommu]

Ich wollte die ganze Konfiguration über diesen Port laufen lassen. Da je nach Standort wo ich bin, auch mal nur ganz wenige Ports nach aussen gehen.
Weswegen ich auch grade mal ausprobiert hab im Synology 1194 (UDP und TCP getestet) als OpenVPN Port zu nutzen und in der Fritzbox darauf weiter
zuleiten mit dem Port 443 TCP. Aber irgendwie geht das alles nicht. Konnte nicht mal auf die DSM zugreifen, als ich 443 auf 5001 forwarded hab.(Service temporarly unavailable). Unten mal die client opvpn noch mit dem alten Port. Wohlgemerkt hab ich den auch immer geändert bei Anpassungen.

dev tun
tls-client

remote xx.xx.xx 53

# The "float" tells OpenVPN to accept authenticated packets 
# from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

 

[g202e]

Die einzigen Unterschiede zu meiner FUNKTIONIERENDEN Konfiguration sind:

remote xx.xx.xx 1194

xx.xx.xx=DDNS

redirect-gateway

also OHNE das führende Kommentarzeichen #

Port 53 ist übrigens der Standardport für DNS; also gerade den sollte man NICHT für was Anderes nehmen!!!

 

[zoolone]

Ich hatte ein sehr ähnliches problem bei mir ist OpenVPN gar nicht richtig gestartet, leider sieht man das ja bei DSM nicht. Versuch mal: in der "/var/packages/VPNCenter/etc/openvpn/openvpn.conf" den log zu aktivieren( das # vor dem log-append /var/log/openvpn.log entfernen). Danach einmal "/var/packages/VPNCenter/target/scripts/openvpn.sh restart" eingeben. Dann kannst du im log schauen wo es probleme gibt.

Bei mir war es "ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)" und dann wurde OpenVPN einfach beendet.

 

[fpo4711]

Hallo Nommu,

den Port 53 zu nutzen ist sogar eine gute Idee wenn man partout durch irgenwelche Firewalls kommen muß! Die wenigsten Admins sperren das. Hab das für Sonderfälle selbst in der Anwendung und sogar per UDP (obwohl das über die Paketgröße leicht zu sperren wäre) niemals Schwierigkeiten gehabt durch irgenwelche Firewalls zu kommen. Vorausgesetzt für solche Aktionen ist natürlich immer das kein Konflikt mit einem DNS unter deiner IP auftritt. Wenn Du aber egal über welchen Port gar nicht auf die DS kommst, dann sollte es wohl andere Ursachen haben. Beispielsweise diesen tollen DS Lite von Unity Media. Vielleicht hast Du ja eine IPv4 die gar nicht geroutet wird. Leider hast Du weder geschrieben welchen Router du betreibst noch was für einen ISP. Kurioserweise kannst Du ja eine TCP-Verbindung laut Log herstellen. Kann dann auch ein DNS sein der sich unter deiner IP meldet. (z.Bsp. von deinem ISP)

Und ich hoffe Du testest das von extern (und WLAN im heimischen Netz ist nicht extern) denn dann würdest Du auch TLS-Fehler erhalten weil das durch das Loopbackinterface einen Konflikt geben kann mit dem dnsmasq beispielsweise auf einer Fritzbox.

Also generell würde ich zum Test erst einmal Port 5000/5001 auf die DS weiterleiten und schauen ob das überhaupt funktioniert. Danach natürlich wieder deaktivieren. Geht das nicht, brauchst Du dir über VPN per IPv4 erst mal keine Gedanken machen das wird dann erst recht nicht funktionieren.

Gruß Frank

 

[Nommu]

Hallo,
vielen lieben dank erstmal!
Ich konnte das Problem lokalisieren.
Zum Einen war es ein Portfreigabefehler in der FB zum Anderen hatten wir bisweilen keine öffentliche IP.
Nun läuft alles, bis auf dass ich (Mac) die anderen Netzwerkgeräte im VPN nicht sehe, welche eine andere IP haben. Zugreifen kamm ich allerdings durch den Browser und
RDP schon. Ist da noch irgendwas falsch?

 

[MMD*]

# entfernen
#redirect-gateway --> redirect-gateway