Gute Nachrichten für alle iOS und Android Nutzer, die OpenVPN nutzen wollen?

[honu]

Hi!

Ich habe gerade mal wieder an meiner OpenVPN Konfiguration geschraubt und da ist mir aufgefallen, dass es seit der Version 4.2 anscheinend für Android und iOS (und weitere mobile) nun spezielle, fertige ovpn-Client Konfigurationen von Synology gibt. Die Client-Konfigurationsdateien (.ovpn) enthalten die benötigten Schlüssel, Zertifikate usw. (inline).
Diese werden - warum auch immer - allerdings nichtexportiert, wenn man im VPN Server auf "Konfigurationsdateien exportieren" klickt. Man muss sich also per Kommandozeile (Telnet/SSH (z.B. mit Putty)) rauskopieren. Die Client-Dateien liegen im Verzeichnis
/var/packages/VPNCenter/target/etc/openvpn/keys/

und heißen
android.ovpn und
iOS.ovpn

Da ich eigene Zertifikate, Schlüssel etc. nutze, kann ich das Ganze nicht selbst einfach ausprobieren, aber vielleicht ist es das für den einen oder anderen einen Versuch wert.

Gruß

 

[Tebald]

Hi,

danke für den Tipp. Allerdings halten sich meine Kenntnisse im Bezug auf Navigier- und Kopiervorgänge im Terminal stark in Grenzen. Per SSH komme ich noch auf die DS, aber wie gehts dann weiter?

Würde das gerne probieren, habe auch schon in diesem Thread
http://www.synology-forum.de/showth...nt-aus-dem-iPhone-Appstore-zum-laufen-bringen
geschrieben.

Gruß Tebald

P.S. Mac OS X, kein Linux

 

[Tebald]

So,

das kopieren habe ich hinbekommen. Die Datei habe ich entsprechend den Vorschlägen für die Tunnelblick-Datei geändert. Dh ich habe meine DDNS mit TextEdit eingetragen und abgespeichert. Dann mit iTunes auf das iPhone gespielt. Jetzt bekomme ich folgende Fehler im Log



In in der OPENvpn App sieht das Ganze so aus



Jemand ne Ahnung was man da machen???

 

[cyorps]

Die dritte Zeile deines Openvpn-Logs verrät den Fehler. Dein Client möchte die Zertifizierung mittels PolarSSL durchführen. Synology nutzt aber OpenSSL. Du musst sich im Netz umschauen, wie man die Zertifikate umwandelt. Ich weiß, dass das geht, habe aber nicht mehr die Befehle dafür parat.

 

[Tebald]

Hallo zusammen,

heute bin ich über einen Artikel in der aktuellen CT wieder auf das Thema OpenVPN mit iOS und Diskstation aufmerksam geworden. Die letzten 2 Wochen ist es etwas aus meinem Blickfeld verschwunden, der Artikel hat es allerdings wieder auf den Plan gerufen. Aber der Reihe nach:

Vor ein paar Wochen hatte ich über die Support-Email-Adresse der CT einfach mal nachgefragt, ob das Problem mit OpenVPN und der Kombination iOS und DS bekannt ist. Daraufhin bekam ich Antwort von Dusan Zivadinovic, der auch den aktuellen Artikel geschrieben hat. Nachdem er mir einige Dateien zum ausprobieren geschickt hat, die allerdings keinen Erfolg brachten, wollte er wissen ob man die OpenVPN-Serverkonfiguration der DS auslesen kann. Meine Antwort war, dass ich nicht wüßte ob und wenn ja wie man die Konfiguration auslesen kann. Dabei blieb es dann und das Thema verschwand aus meinem Blickfeld.

Jetzt ist es wieder da und ich würde das Thema gerne zu einem erfolgreichen Ende bringen^^

Vielleicht ist folgender Hinweis aus dem aktuellen Artikel hilfreich? "OpenVPN Connect (also die OpenVPN iOS-App) setzt die SSL-gestützte Authentifizierung voraus. Er braucht als ein CA- und Client-Zertifikat, den zugehörigen Client-Schlüssel (alle im PEM-Format) sowie die Konfigurationsdatei (client.ovpn)."

Jetzt die Frage: Kann man die OpenVPN-Serverkonfig der DS irgendwie auslesen? Wenn ja würde ich den Kontakt zu Herrn Zivadinovic wieder aufnehmen. Vielleicht ergibt sich dadurch ja ein Lösung.

Viele Grüße

Tebald

 

[fpo4711]

Hallo Tebald,

das Config-File für den OpenVPN-Server findest Du unter.

/var/packages/VPNCenter/etc/openvpn/openvpn.conf

Gruß Frank

 

[fpo4711]

Möchte Dir aber auch eine Information nicht vorenthalten. Es scheint ein Problem des Clienten zu sein, der aber mit der in Kürze erscheinenden Version 1.01 behoben werden soll.

Hier ein Link dazu.

Gruß Frank

 

[Tebald]

Hallo Frank,

danke für deine Antwort.

Zwischenzeitlich hat sich auch an der c't-Front wieder etwas getan. Hier die Antwort, die ich von Herrn Zivadinovic erhalten habe:

"ch habe mir vor meiner Abreise eine DiskStation besorgt und die OpenVPN-Einrichtung
für iOS durchgespielt. Demnach muss ich leider sagen, dass die OpenVPN-Auslegung,
die Synlology verwendet, zunächst nicht für iOS geeignet ist. Das hatte ich dann auch
der Server-Config entnommen; insofern deckt sich das mit der OpenVPN-Serverconfiguration,
die Sie mir gesendet haben.

Kurz und gut: Man müsste nach Lage der Dinge wie schon von einem Foren-Teilnehmer
beschrieben, tatsächlich den OpenVPN-Server per Hand mit neuen Zertifikaten und neuer
Konfiguration einrichten.

Ich kann mir allerdings vorstellen, dass Synology sein OpenVPN-Konzept erweitern wird,
sodass es sich vielleicht lohnt, noch ein wenig zu warten."

Also bleibt erst mal nur abwarten...

Gruß
Tebald

 

[rumknapser]

Einen wundervollen guten Abend, werte Diskutierende, wünsche ich,

"Ich kann mir allerdings vorstellen, dass Synology sein OpenVPN-Konzept erweitern wird,
sodass es sich vielleicht lohnt, noch ein wenig zu warten."

Also warten....Ok.... aaaber, im oben verlinkten Post lese ich, das es angeblich jemand geschafft haben soll, sein iPhone mit einem DS-OpenVPN-Server erfolgreich zu verbinden, obwohl meine ca. 3stündigen gescheiterten Versuche mich das nicht so richtig glauben lassen.

Es wird hier geschrieben, das der OpenVPN-Client auf dem iPhone versucht, mittels "PolarSSL" zu zertifizieren und der OpenVPN-Server das nicht mag.
Ok, verstehe ich.

Gesetz dem Fall, ich hätte alle Verbindungseinstellungen ausser dieser korrekt eingestellt, WO würde ich dann einstellen müssen/können/dürfen, das sich *nicht* mit "PolarSSL" zu zertifizieren versucht wird?

Inspirationen Willkommen,

 

[rumknapser]

Inspirationen Willkommen,

Ganz nach dem Motto, was interessiert mich meine Fehlersuche von gestern, möchte ich Euch mitteilen, das ich es gerade geschafft habe, ein iPad und ein iPhone mit dem OpenVPN-Server 1.1-2267 auf einer DS412+ mit DSM 4.2-3211 zu verbinden.

Was war dafür nötig?

Viel im englischsprachigen Forum forschen, doch letztendlich ist es genau dieser Link und die beiden dahinterstehenden Howtos, die mich zum Erfolg gebracht haben.

Der Kollege beschreibt, das auf jeden Fall neue Zertifikate auf die DS müssen, ergo verweist er auf ein englischsprachiges Howto, das Schritt-für-Schritt (sehr ausdauernd) erklärt, wie diese unter Windows anzulegen sind.
Wenn man sich bei SourceForge genau die Programmversion herunterläd und installiert, die im HowTo verwendet wurde, dann sieht man auch einigermaßen dasselbe, was auf den Screenshots zu sehen ist ... Ich habe die Zertifikate und Schlüssel mit der neusten Version (0.9.3) erledigt und es hat reibungslos funktioniert.
Allein der Diffie-Hellman Part zu guter letzt ist mit der neuen 0.9.3 nicht möglich, doch wird gesagt, das die Erstellung einer "dh2048.pem" sowieso nicht benötigt ist. Ich habe es der Vollständigkeit des Zertifikat-HowTos dennoch gemacht, da ich mir a) nicht sicher war, und b) eine solche Datei in der OpenVPN-Server Konfiguration auf der DS auch erwähnt wird. Also könnte es sein, das diese Datei nicht benötigt wird.

Ihr müsst den OpenVPN Server später neu starten, vergesst das nicht!

Nach dem Anlegen der ganzen Zertifikate (Das Zertifikats-HowTo beschreibt, das man sich die angelegten Schlüssel-/Zertifikats-Dateien umbenennen darf, das sollte der Verwirrungsminimierung halber aber nicht gemacht werden) bin ich lt. dem Kollegen aus dem engl.sprachigen Forum folgendermaßen vorgegangen:

In einem Verz. meiner Wahl befinden sich nun die frischen Dateien:

dh2048.pem
openvpnclient.crt
openvpnclient.key
openvpnsrv.crt
openvpnsrv.key
openvpn_ca.crt

Allesamt benamst, wie aus dem HowTo und nachträglich die Erweiterung von *.PEM nach *.KEY umbenannt. (Nur fürs Auge, damit man weiss: Ah, das sind eine sind Schlüsseldateien, das andere die Zertifikatsdateien...)

Die Dateien müssen nun an zwei verschiedene Stellen auf die DS gebracht werden.
Ein Blick in das Verzeichnis /var/packages/VPNCenter/target/etc/openvpn/keys/ zeigt, das dort die Client-Schlüssel verlangt werden,

DS> cd /var/packages/VPNCenter/target/etc/openvpn/keys
DS> ll
README.txt
android.ovpn
ca.crt -> /usr/syno/etc/packages/VPNCenter/openvpn/keys/ca.crt
client.crt
client.crt.org
client.key
client.key.org
dh1024.pem.org
dh2048.pem
iOS.ovpn
mobile.ovpn
openvpn.ovpn
openvpn.zip
server.crt -> /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.crt
server.key -> /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.key

und das sich dort auch Symlinks befinden, die auf die Server-Dateien hinweisen.

Ergo habe ich die vorhandenen Dateien um des Backups Willen nach *.ORG kopiert und munter die hier farblich markierten Dateien überschrieben.
(Ihr könnt sie auch nach Eurem Wunsch umbenennen, müsst dann aber in der OpenVPN-Serverkonfig auf die entsprechende Benamsung achten)

Nachdem die Client-Dateien kopiert sind, wechseln wir ins /usr/syno/etc/packages/VPNCenter/openvpn/keys/ Verz. um dort die Server-Dateien unterzubringen.
Selbiges Verfahren wie oben, die farblich passenden Dateien überschreiben, bzw. umbenennen nachdem kurz ein Backup erstellt wurde:

DS> cd /usr/syno/etc/packages/VPNCenter/openvpn/keys
DS> ll
ca.crt
ca.crt.org
server.crt
server.crt.org
server.key
server.key.org

Wir haben nun zusammenfassend quasi folgendes gemacht:

Im Verzeichnis /var/packages/VPNCenter/target/etc/openvpn/keys/:
cp openvpnclient.crt client.crt
cp openvpnclient.key client.key
(Die Datei dh2048.pem existierte vorher noch nicht, sie löst die Datei dh1024.pem ab.)

Und im Verz. /usr/syno/etc/packages/VPNCenter/openvpn/keys/:
cp openvpnsrv.crt server.crt
cp openvpnsrv.key server.key
cp openvpn_ca.crt ca.crt

Das war eigentlich der komplizierte Part, wie ich finde, weil bei mir einfach sehr viel Unklarheit ob der ganzen angelegten Dateien und deren Verwendungszweck herrschte.

Nun müssen noch die Konfigdateien angepasst werden.
Einmal für den Server und für den Client, das Endgerät, welches sich mit dem Server verbinden soll.

Zuerst der Server:

DS> cd /usr/syno/etc/packages/VPNCenter/openvpn
keys
openvpn.conf
openvpn.conf.org
openvpn.conf.user.sample

Zuerst wieder ein kleines Backup anlegen mit cp openvpn.conf openvpn.conf.org
Und dann die Datei openvpn.conf mit einem Editor Deiner Wahl öffnen und editieren.

push "route 192.168.168.0 255.255.255.0"
push "route 192.168.167.0 255.255.255.0"
dev tun

management 127.0.0.1 1195

server 192.168.167.0 255.255.255.0

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh2048.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 10

comp-lzo

persist-tun
persist-key
verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 3600

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

Die hellen Stellen hab ich nicht geändert, die waren schon so vorhanden, einzig die (evtl. nicht benötigte) dh2048.pem hab ich angepasst, sowie den Wert für "reneg-sec", da ich dies an mehreren Stellen gelesen habe. Die farblich markierten Dateinamen verweisen ja auf die von mir in den Schritten davor überschriebenen Dateien und müssen deswegen nicht angefasst werden. Hier setzt Ihr ein, wenn Ihr gerne eigene (sprechende?) Namen verwenden möchtet.

Wenn Ihr gespeichet hab, bleibt Euch eigentlich nur noch, dem Server die neue Konfiguration bekannt zu geben und das geschieht mit einem Neustart des Servers. Ich habe mich bequemerweise dazu entschieden, das über die DS GUI zu machen. Im Paket-Zentrum den OpenVPN-Server einfach stoppen und wieder starten.

Das wars auf der Server Seite.

(Ich muss hier aufhören, man darf in diesem Forum nicht mehr als 10000 Zeichen quasseln...)

 

[rumknapser]

Jetzt kümmern wir uns noch schnell um die Client Seite.

Der OpenVPN-Client auf dem iPhone (Ich denke auch auf anderen Geräten...) kann die Schlüssel und Zertifikate zwar auch einzeln, d.h. je eine Datei für das Zertifikat und die CA (Certificate Authority) übergeben bekommen, aber in meinem Fall hatte das einige Tage zuvor nicht funktioniert.
Ergo kopieren wir nun den Inhalt zweier Dateien in die OpenVPN-Konfigurationsdatei hinein und übergeben dem OpenVPN-Client auf dem Handy dann nur diese eine Konfigurationsdatei. Das macht die Sache jetzt zwar etwas komplizierter, aber in einigen Wochen könnt Ihr Euren Usern einfach diese eine Datei in die Hand drücken und das wars dann....

Also, wir brauchen den Inhalt der
openvpn_ca.crt oder ca.crt
und der
openvpnsrv.crt oder server.crt

Diesen kopieren wir in eine für unser Endgerät passende *.OVPN Datei, die auch unter /var/packages/VPNCenter/target/etc/openvpn/keys/ liegen.

Ich habe hier die iOS.ovpn benutzt und auch nach den Angaben aus dem engl.sprachigen Forum angepasst.

Sie sieht so aus:

remote mein.server.de 1194
client
dev tun
script-security 3
proto udp
resolv-retry infinite
nobind
auth-user-pass
cipher AES-128-CBC
comp-lzo
pkcs12 client_iphone.p12
reneg-sec 3600
pull

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

<ca>  (Innerhalb dieses Tags wird der Inhalt der Datei openvpn_ca.crt oder ca.crt eingetragen)
-----BEGIN CERTIFICATE-----   
VlBOIENBMB4XDTEzMDUxMDAxNDUyNVoXDTIzMDUwODAxNDUyNVowFTETMBEGA1UE
AxMKT3BlblZQTiBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMR2
[...]
1PGYsr0Ezg33IO0RWOl057xbCjSK83NlO4nH0kHxmljk4phKy3OxRB2plWALY+bF
1Hl0BGVtvYwzqzB3lLpRxWd3yyMLCRF9HQbhOnGIoxgVcMPE2AjcLTZJpiGWYCsG
-----END CERTIFICATE----- 
</ca>

<cert>    (Innerhalb dieses Tags wird der Inhalt der Datei openvpnsrv.crt oder server.crt eingetragen)
-----BEGIN CERTIFICATE-----
XBpNzh98/zpPTo31me3YW9G7R7ZraDdCKIJl/y1hRJ5LgdHb/QnIfL21VolJyexG
FlWnAyqx97D5f774bYM+oX0xI2l4tG/msLaBjDkBVl/qSHUEQRvBakUZTjy9xEzQ
[...]
zGuKXfSwObV+MjyHomHX4pKDtoowCwYDVR0PBAQDAgWgMBMGA1UdJQQMMAoGCCsG
AQUFBwMBMA0GCSqGSIb3DQEBBQUAA4IBAQB9gHpQc7XquGm9C5P6Cl8rhjZ7t9fs
-----END CERTIFICATE----- 
</cert>

<key>   (Innerhalb dieses Tags wird der Inhalt der Datei openvpnsrv.key server.key eingetragen)
-----BEGIN RSA PRIVATE KEY-----
RRHn24XAJps3KiBLicPAosLOo3s+LVSOOMDRsoHg4yANXIZSZbZlaNJmgf9td0bz
TTMwlzOFsEGGg0Um0hs2LfMO5sGNIe76kQuZkw2yzdLbzQFnfkx0SEmIZPPRhn0O
[...]
gOhRMT99cckhJ6HsJh75s1RE3ed0EYWafwmjV0DzZ5RDQAEW4aOfZ/2yhLtSg/VQ
kkBL00f7RSYC2cc35JouXMECgYEAwzQXLOqTT57jTA2mwMMKZLC5SLwPi3Z2Zwkd
-----END RSA PRIVATE KEY----- 
</key>

Sofern das erledigt ist und gespeichert wurde, könnt Ihr Euch darum kümmern, diese Datei auf Euer Endgerät zu bekommen ;-)

Dann muss man nur noch Usernamen nebst Passwort eintragen und kann sich verbinden und bekommt dann hoffentlich ein Ergebnis, wie hier:


Sollte ich aufgrund der Uhrzeit und meiner schon nervösen Zuckungen etwas unklar ausgedrückt haben, so seht es mir nach und bemüht das eingangs erwähnte HowTo, denn das habe ich Schritt-für-Schritt einfach nachgespielt und es hat tatsächlich funktioniert.

Nun aber ab ins Bett.... Gehabt Euch wohl,

 

[Harrykl]

Hallo,
Ich bin genau nach der Anleitung vorgegangen und bekomme auch eine Verbindung zum VPN-Server. Allerdings kann ich keine IP-Adresse im lokalen Netzwerk erreichen. Der Tunnel scheint immer wieder abzubrechen und wird dann neu aufgebaut.

Hat jemand das gleiche Problem?

Ich habe gelesen, dass es scheinbar mit dem neuen VPN-Server auf der DS ein paar Probleme gibt. So muss der Server des Öfteren neu gestartet werden, damit er eine Verbindung akzeptiert.

Vg
Harrykl

 

[rumknapser]

Hi,
"Der Tunnel scheint immer wieder abzubrechen" ?
Scheint?
Guck mal im VPN-Log (des Serves *und* des Clients), was da scheinbar drin steht

 

[Harrykl]

Verbindung bricht ab

Hallo,

die Verbindung wird mit der Meldung:
Session invalidated
Cleint terminated, restarting in 2...

abgebrochen und neu aufgebaut.

VG
Harrykl

 

[jahlives]

OpenVPN ist recht heikel was Zeitstempel angeht. Alle beteiligten Systeme sollten unbedingt dieselbe Zeit haben. Die Zeit muss dabei nicht unbedingt korrekt sein, nur gleich auf allen beteiligten Systemen. Sonst ist es ein recht häufiges Symptom, dass Verbindungen abreissen resp immer wieder neu aufgebaut werden müssen. Da die Schlüssel nicht mehr gültig sind. Das kann soweit gehen, dass die Verbindung vom Server bereits beim ersten Paket des Clients sofort als ungültig abgebrochen wird

 

[Harrykl]

Die Zeit habe ich überprüft und angepasst, aber leider gleiches Verhalten. Solange ich nichts mache, also keine interne IP versuche anzusprechen ist der Tunnel stabil. Sobald ich eine IP aus dem Servernetz anspreche bricht der Tunnel ab.

Übrigens bei einem Windows Client funktioniert es bisher ohne Probleme.

 

[fpo4711]

Hallo Harryil,

ich gehe mal davon aus, das Du den Rat von jahlives beherzigt hast! Ansonsten fiele mir noch ein (aber nur zum Test) den Parameter

reneg-sec 0

hoch zu setzen. Falls 0 nicht genommen wird, dann einen entsprechend hohen Wert nehmen. Auch kann ich mich irgendwie daran erninnern, das es Mal Schwierigkeiten in Bezug auf MTU gab die sich in ähnlichen Fehlern bemerkbar machten. Hast Du Jumbo-Frames aktiviert?

Gruß Frank

 

[Harrykl]

Ja Zeit habe ich berücksichtig.

Anbei meine ClientConfig vom iPad:
client
dev tun
script-security 3
proto udp
resolv-retry infinite
nobind
auth-user-pass
cipher AES-128-CBC
comp-lzo
pkcs12 client_iphone.p12
reneg-sec 10000
pull
redirect-gateway
und dann <ca> usw.

MTU ist nichts spezifiziert Reneg-sec habe ich hochgesetzt ohne Erfolg.

 

[Harrykl]

Mit Ping-restart 3600 ist der Tunnel jetzt stabil, es werden aber keine Daten übertragen. Was mir aufgefallen ist, im openvpn connect wird keine Client-IP-Adresse angezeigt.

Vielleicht ist ja dies die Ursache

 

[belfour]

Hi.

Ich habe alles so befolgt wie du es beschrieben hast. Klappt auch super, im eigenen Netzwerk. Allerdings sobald ich dien iOS.ovpn so ändere das entweder meine DDNS oder die mir zugeteilte ip meine Providers eingetragen ist, kommt er mit "Authentication failed". Ich habe beide profile drin LAN und WAN, beides der gleiche Nutzer. Aber nur mit der LAN Config klappt es.

Weiss einer von euch Rat?

thx

ps: Port foward im Router ist natürlich gesetzt.