VPNCenter 1.2-2413 - Vorgang fehlgeschlagen

[DKeppi]

@hwh-systemtechnik

Deinstallier mal die 2413 und dann:

@DesiWeb

Nachdem das Update nicht mehr verfügbar ist, solltest du per Paketzentrum jetzt die alte 1.2-2412 angeboten bekommen.
Abgesehen davon kann man eh nur spk's installieren die zum Gerät passen
Du kannst also gar nichts falsch machen - im schlimmsten Fall kommt eine Fehlermeldung beim Installieren.

P.S.: Diese ist für Intel Atom Prozessoren -> http://download.synology.com/download/spk/VPNCenter/1.2-2412/VPNCenter-x64-1.2-2412.spk

Wir haben in unseren 712+ auch einen Intel Prozessor!




EDIT:

e Guete & e schöne Nami

Danke, ebenfalls

 

[hwh-systemtechnik]

@hwh-systemtechnik
Deinstallier mal die 2413 und dann:
...
Wir haben in unseren 712+ auch einen Intel Prozessor!

Hab deinstalliert, unhd dann als Paket wieder neu installiert, wie gesagt, bietet es dann wieder automatisch die 2412 an...

Danke, läuft wieder. Die alte Version 2412 läuft übrigends auch mit dem neuen OpenVPN GUI 2.3.3 ... nur so zur info

Daaaannnkkkeee ans Forum... und an dich...

 

[DKeppi]

Version 1.2-2414 ist verfügbar und läuft!
Das komische...ich kann mich trotzdem mit dem alten Zertifikat verbinden

EDIT:
Habe jetzt unter Systemsteuerung - Sicherheit - Zertifikate ein selbst unterzeichnetes Zertifikat erstellt.
Bringt aber auch keine Änderung!

 

[DesiWeb]

Version 1.2-2414 ist verfügbar und läuft!
Das komische...ich kann mich trotzdem mit dem alten Zertifikat verbinden

Ja, bei mir das gleiche Ergebnis... Immerhin läuft die 1.2-2414 - Da hat Synology schon einen grossen Wurf gemacht

 

[hwh-systemtechnik]

Version 1.2-2414 ist verfügbar und läuft!
Das komische...ich kann mich trotzdem mit dem alten Zertifikat verbinden

Nur, damit ich es richtig verstehe: Du hattest wie ich eine 1.2-2412 mit selbst unterzeichneten Zertifikat laufen, und hast auch OpenVPN GUI Clients mit 2.3.2 die damit verbinden können. Dann hast du auf der DS auf Paket 1.2.2414 aktualisiert, sonst nix geändert, und der unveränderte Client OpenVPN GUI Clients mit 2.3.2 konnte wieder eine VPN Verbindung herstellen ?

Ich will nur sicher gehen, dass ich in keine Falle tappe wie gestern, der Schock sitzt noch tief...
Mich wundert halt, dass bei einer neuen VPN Version, die den heartbleed vulnerability bug adressiert, kein neuer Client zum login nötig ist...

 

[DesiWeb]

Nur, damit ich es richtig verstehe: Du hattest wie ich eine 1.2-2412 mit selbst unterzeichneten Zertifikat laufen, ...

stimmt genau...

und hast auch OpenVPN GUI Clients mit 2.3.2 die damit verbinden können. Dann hast du auf der DS auf Paket 1.2.2414 aktualisiert, sonst nix geändert, und der unveränderte Client OpenVPN GUI Clients mit 2.3.2 konnte wieder eine VPN Verbindung herstellen ?

Ich will nur sicher gehen, dass ich in keine Falle tappe wie gestern, der Schock sitzt noch tief...
Mich wundert halt, dass bei einer neuen VPN Version, die den heartbleed vulnerability bug adressiert, kein neuer Client zum login nötig ist...

auch hier genau so habe ich es gemacht - nur mit dem Unterschied, dass ich für meine VPN Verbindung auf dem iOS Gerät OpenVPN 1.0.4 und für den MBA Viscosity im Einsatz habe.

 

[DKeppi]

Ja genau so hatte/habe ich das am Laufen!
Ich kann zwar ein neues Zertifikat für meine https Verbindungen erstellen, dieses hat aber keinen Einfluss auf OpenVPN.
Die liegen wo anders...

 

[hwh-systemtechnik]

Vermelde auch ein problemloses Update von 1.2-2412 auf 1.2-2414.

Paket aktualisiert, alle Einstellungen auf der DS bleiben erhalten, die Clients können ohne Änderungen wieder wie vorher auf die 2412 nun auf die 2414 zugreifen.

 

[hwh-systemtechnik]

Komisch, siehe unten das ChangeLog, da steht ja klar: "After the package update is completed, you must update the SSL certificate exporting from DSM on your OpenVPN PC clients."

Hab ich definitiv nicht gemacht, ich hab an meinen clients nix geändert, kein neues SSL certifikat exportiert, und es geht trotzdem !


Version: 1.2-2414
(2014/04/17)

Change log
Read First

It is required to first update DSM to the latest version then renew the SSL certificate.
For detail instructions, please visit http://www.synology.com/support/security


Fixed Issues

A vulnerability to allow remote attackers to obtain sensitive information from process memory. (CVE-2014-0160) After the package update is completed, you must update the SSL certificate exporting from DSM on your OpenVPN PC clients.

 

[Klanda]

Also das verstehe ich jetzt aber auch nicht. Das selbe bei mir. 2414 installiert (auch neu gestartet) und ich kann mich von Android aus noch immer verbinden. Hab dann auch, wie hier irgendwo im Forum empfohlen, den VPNServer deinstalliert und neu installieren und ebenfalls das Verzeichnis /usr/syno/etc/packages/VPNCenter gelöscht (dort sollten die Zertifikate drinnen stehen). Wieder das selbe, kann mich noch immer mit dem eigentlich "alten" Zertifikat auf den Server verbinden.

Oder meint Synology das so:
1. Neues SSL Zertifikat bei DSM
2. Dann Update von VPNServer
3. OpenVPN Zertifikat exportieren --> aber falls man bereits bei eine VPNServer-Vorgängerversion ein neues DSM-Zertikifat erstellt hat und schon das OpenVPN-Zertifikat exportiert (und beim Client importiert hat), entfällt der Schritt

 

[DKeppi]

Heute konnte ich mich plötzlich nicht mehr verbinden!!!
Habe das Zertifikat exportiert und siehe da, es ist anders als am Freitag (sieht jetzt meinem selbst erstellten Zertifikat sehr ähnlich - mit meinen Angaben drinnen)
Ich glaube der OpenVPN Server holt sich die neuen Zertifikate, welche man selbst unter Systemsteuerung - Sicherheit - Zertifikate erstellen kann, erst nach einem Neustart der Syno
Kann das jemand bestätigen?!

 

[Klanda]

Kann das jemand bestätigen?!

Ja, kann ich bestätigen. Hab gestern auch experimentiert und ein neues DSM-Zertifikat erstellt. Danach funktionierte mein Client noch immer mit dem alten Zertifikat. Hab dann den VPNServer neu installiert, das Verzeichnis /usr/syno/etc/packages/VPNCenter gelöscht und neu gestartet --> danach konnte ich mich nicht mehr einloggen - erst wieder mit dem neuen Zertifikat. Also wenn du die ersten beiden Schritte nicht gemacht hast (Inst+Löschen), sondern nur neu gestartet hast, ist somit erwiesen, dass ein Neustart unbedingt notwendig ist, um das neue Zertifikat zu "aktivieren" (hätte Synology auch irgendwo mal erwähnen können - bei der ganzen Zertifikat-Sache hat Synology sowieso recht rudimentäre Infos rausgegeben - zumindest für User, die sich vorher nicht damit beschäftigt haben)

 

[DKeppi]

Danke Klanda! Gelöscht habe ich seit Freitags nichts mehr, auch nicht deinstalliert.
Nur der Neustart am Samstag...und heute beim Verbinden aus der Firma der Fehler "TLS Error: Unroutable control packet received from..."

Ja du hast Recht, spärliche Infos seitens Synology...leider!

 

[DRIV3R]

Hi zusammen,

also ich habe, wohl blöderweise, auch das aktuelle Update des VPNCenters eingespielt.
Jetzt geht nichts mehr. Bekomme auch nur Zertifikat Fehler mit dem Ergebnis "TLS Error: Unroutable control packet....."
Habe extra ein neues SSL Zertifikat mit Zwischenzertifikat und key per WebIF eingespielt.
Auch das löschen des VPN Centers und löschen des Ordners /usr/syno/etc/packages/VPNCenter hat leider nichts gebracht.

Habt ihr vielleicht noch eine Idee oder einen Tipp für mich?
Brauch VPN dringend für meinen Job.
Und zurück auf das "alte" VPNCenter Package ist für mich keine Option.
Hat es schon jemand zum laufen bekommen, mit dem aktuellen VPNCenter Update?

Vielen Dank
Timo

UPDATE:
Mittlerweile habe ich gefühlte 1345294 Konfigurationen getestet.
Was ich zum laufen bekomme ist ein auf der DS selbst erstelltes Zertifikat und als Client die OpenVPN Version 2.3.3
Mit meinen StartSSL Zertifikaten geht es nicht. Unter VPNCenter 2412 liefen diese aber.
Mit meinen Zertifikaten bekomme ich ein "unroutable control packet" bzw. ein:
VERIFY ERROR: depth=1, error=unable to get local issuer certificate: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Das Intermediate habe ich eingespielt.

Hat jemand ähnliche Erfahrungen mit dem aktuellen VPNCenter?

 

[Mike0185]

Hi Leute,

ich habe den VPN-Server aktualisiert und den neuen OpenVPN GUI Client für Windows installiert (2.3.3). Die Konfig exportiert und diese und das ca.cert in den config-Ordner gelegt. Die Verbindung und alles funktioniert wunderbar. Habe allerdings im Statusfenster den Hinweis:

WARNING: No server certificate verification method has been enabled.

Auf dem Webserverbereich habe ich ein Fremdzertifikat über DSM importiert. Beim OpenVPN-Zertifikat nutze ich das vom Konfigurationsexport.


Die Client-Config sieht so aus:

dev tun

tls-client

remote MEINEIP 1194

#float

#redirect-gateway

#dhcp-option DNS DNS_IP_ADDRESS

pull

auth-nocache

#ns-cert-type server

proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

Vorher hatte ich den Schalter "ns-cert-type server" aktiv. Mit dieser Option erhalte ich aber ein TLS-Handshake-Error...

Kann mir jemand weiterhelfen?


Gruß und Danke!
Mike

 

[DRIV3R]

Hi Mike,

mal ne Frage. Kannst du mal genau beschreiben, welche Schritte du genau hast?
Seit der Version 2414 bekomme ich das mit ne Fremdzertifikat nicht hin.
Folgende Schritte habe ich gemacht:

Per DSM unter Sicherheit mein StartSSL Zertifikat, mein private key und das StartSSL ZwischenZertifikat eingespielt. !Also alle drei die man dort wählen kann!
Dann Neustadt
Dann im VPNCenter auf "Exportieren" geklickt.
Dort bekomme ich ja drei Dateien. Die Readme, die config und das Zertifikat.
Das Zertifikat und die config habe ich in meinen VPN Client eingespielt (Tunnelblick OpenVPN Version 2.3.3)
Wenn ich connecte, kommt ein VERIFY ERROR: depth=1, error=unable to get local issuer certificate
Wenn ich das mit dem per DSM selbst signierten Zertifikat mache, also nicht von StartSSL dann gehts.

Hast du das so gemacht? Oder etwas anders gemacht??

Danke
Gruß Timo

 

[Mike0185]

Bei mir ist das genau so...
Wenn ich mein Fremdzertifikat unter dem config ordner des openvpn clients ablege, kann ich nicht connecten.
Mit dem synology-zertifikat aus dem einstellungs-export funktioniert alles... allerdings erhalte ich die Warnung:

WARNING: No server certificate verification method has been enabled.

weshalb ich mich ja hier gemeldet habe...

 

[DRIV3R]

Also diese Warning habe ich schon immer gehabt. Unter jedem VPN Client. Hab mir aber bis jetzt nichts draus gemacht, weil der Export der Files für den VPN Client ja von Synology so gemacht sind und dort ja das ca.crt angegeben ist. Da ich connecten konnte, und diese Warnung ja nur im Protokoll einmal auftaucht, hab ich mir wie gesagt nichts draus gemacht.

Aber wenn ich soweit wär wie du, dann würd ich mich freuen. Ich kann nur mit nem selbst erstellten Zertifikat connecten.
Da hast du mich wohl falsch verstanden.
Ich spiel meine eigenen drei Dateien im DSM WebIF ein unter "Sicherheit" (Zertifikat, Zwischen und Key)
Dann exportier ich die config im Paket "VPNCenter"
Wenn ich diese exportierten Dateien für meinen Client nehme, kann ich nicht verbinden.
Wenn ich ein Synology Zertifikat auf der Diskstation erstelle und dieses dann im VPNCenter wieder exportiere, komm ich drauf.

Dann allerdings auch mit deiner beschrieben Warning

 

[fpo4711]

Hallo,

WARNING: No server certificate verification method has been enabled.

Diese Meldung erhällt man, wenn man ein selbstsigniertes Zertifikat verwendet, da hier nicht von einer vertrauenswürdigen Stelle gegengeprprüft werden kann. Das ist der normale Zustand bei einer DS. Läßt sich nur durch den Erwerb eines entsprenchenden Zertifikats von einer CA beseitigen. Falls das schon geschehen und installiert ist, mal überprüfen ob in der Konfig auch das richtige ausgeliefert wird.

Gruß Frank

 

[Mike0185]

Hi Frank!

Danke für die Antwort... Ich habe von der Fa. "PSW-Group" ein bestätigtes 1-Jahres-Zertifikat, das auf meine Domain ausgestellt ist und in der DS natürlich hinterlegt. In der VPN-Konfigurations-Export-Datei ist das Zwischenzertifikat, das ich erhalten habe drin. Mit diesem Zertifikat funktioniert bisher der Zugriff vom VPN-Client ohne Probleme, allerdings erhalte ich trotzdem die Warnung: "WARNING: No server certificate verification method has been enabled.". Ein selbstsigniertes Cert. nutze ich nicht.... daher wundert mich die Warnung selber...

Falls das schon geschehen und installiert ist, mal überprüfen ob in der Konfig auch das richtige ausgeliefert wird.

Sollte das Zwischenzertifikat ja sein oder?

Gruß
Mike