VPNCenter 1.2-2413 - Vorgang fehlgeschlagen

[DRIV3R]

Ich häng mich da mal mit rein, weil genau da scheinbar im Moment ein Bug drin ist.
Denn meiner Meinung nach sollte nicht das intermediate beim Konfig-Export per VPN-Center raus kommen, sondern das eigene Zertifikat.
Ich habe aber auch festgestellt, dass in der aktuellen Config mit letztem DSM Update und VPNCenter Update bei export im VPNCenter das intermediate exportiert wird.
Mit VPNCenter 2412 war es, soweit ich mich erinnern kann, halt das eigene Zertifikat.

Gruß
Timo

 

[DKeppi]

Bei mir wird das eigene Zertifikat exportiert, jedoch erst seitdem ich die Syno mal neu gestartet habe.
Zuvor keine Änderung an dem ca.crt - war immer das alte vor der Heartbleed Geschichte!!!
Auch kam ich vor dem Neustart noch mit dem alten Zertifikat per VPN drauf, seitdem gehts aber nur mehr mit dem neuen

 

[mreasy2002]

Hi Frank!

Danke für die Antwort... Ich habe von der Fa. "PSW-Group" ein bestätigtes 1-Jahres-Zertifikat, das auf meine Domain ausgestellt ist und in der DS natürlich hinterlegt. In der VPN-Konfigurations-Export-Datei ist das Zwischenzertifikat, das ich erhalten habe drin. Mit diesem Zertifikat funktioniert bisher der Zugriff vom VPN-Client ohne Probleme, allerdings erhalte ich trotzdem die Warnung: "WARNING: No server certificate verification method has been enabled.". Ein selbstsigniertes Cert. nutze ich nicht.... daher wundert mich die Warnung selber...



Sollte das Zwischenzertifikat ja sein oder?

Gruß
Mike

Hab hier auch ein PSW Zert importiert inkl. Zwischenzert und eigenem . Also allso alle 3 Zertifikate die möglich sind importiert. Bei mir lässt sich der OPENVPN - Server gar nicht erst starten. Ist auch das aktuelle VPN Center drauf und auch das aktuelle Update von DSM. Ich weiß mir keinen Rat mehr und brauche den VPN auch beruflich.

Hat noch jemand einen Tip was ich machen kann?

Gruß
MrEasy2002

 

[DRIV3R]

Tja da scheint es wohl echt nen Bug zu geben.
Ich bin kurz davor mein System neu aufzusetzen, weil es ja scheinbar auch Leute gibt, die mit externen eigenen Zertifikaten VPN auf der DS zum laufen bekommen.
Egal ob ich nach dem Import von meinem StartSSL Cert, meinem key und dem intermediate von StartSSL einmal oder zehnmal neustarte. Ich bekomme immer das intermediate beim export.
Ätzend.

Du könntest in der Zwischenzeit mal ein selbstsigniertes Zertifikat per DSM erstellen. Nach nem Neustart mal schauen, ob das VPNCenter läuft bzw. ob du es starten kannst.
Dann mal im VPNCenter den Export machen und versuchen, per OpenVPN Client zu connecten. Das geht bei mir, auch wenn ich sehr unzufrieden bin, weil ich kein selbstsigniertes Zertifikat benutzen will. Aber gut. So komm ich wenigstens drauf.

Ich werde noch einmal versuchen, bei Synology zu fragen. Kein Plan warum ich keine Antwort bekomme, sonst geht das eigentlich immer fix, aber bei meine VPNCenter Anfrage dauert das schon was länger.

 

[marsiegem]

Tja da scheint es wohl echt nen Bug zu geben.
Ich bin kurz davor mein System neu aufzusetzen, weil es ja scheinbar auch Leute gibt, die mit externen eigenen Zertifikaten VPN auf der DS zum laufen bekommen.
Egal ob ich nach dem Import von meinem StartSSL Cert, meinem key und dem intermediate von StartSSL einmal oder zehnmal neustarte. Ich bekomme immer das intermediate beim export.
Ätzend.

Du könntest in der Zwischenzeit mal ein selbstsigniertes Zertifikat per DSM erstellen. Nach nem Neustart mal schauen, ob das VPNCenter läuft bzw. ob du es starten kannst.
Dann mal im VPNCenter den Export machen und versuchen, per OpenVPN Client zu connecten. Das geht bei mir, auch wenn ich sehr unzufrieden bin, weil ich kein selbstsigniertes Zertifikat benutzen will. Aber gut. So komm ich wenigstens drauf.

Ich werde noch einmal versuchen, bei Synology zu fragen. Kein Plan warum ich keine Antwort bekomme, sonst geht das eigentlich immer fix, aber bei meine VPNCenter Anfrage dauert das schon was länger.

Hallo
hat sich in deinem Fall schon etwas getan, sei es von Synology oder bist du selbst auf die Lösung gekommen? Mein Problem mit OpenVPN passt ebenfalls genau zu deinen Ausführungen.

Gruß Mark

 

[DRIV3R]

Hi Mark,

leider noch nicht viel. Ich stehe in häufigem Email Kontakt mit Synology. Mittlerweile hat sich auch ein Synology Mitarbeiter aus Übersee eingeschaltet.
Der letzte Stand ist von gestern. Synology hat mich gebeten, ihnen einen SSH Vollzugriff auf meine DS einzurichten mit Portfreigabe und Weitergabe des Admin Passworts.
Puuuh. Dabei sträuben sich jetzt noch meine Nackenhaare, wenn ich daran denke. Ich such nach einer Lösung für das SSL Problem unter 2414 und soll meine DS noch weiter öffnen?
Ne lieber nicht. Die Alternative ist den Fernzugriff über die Fernwartung per DSM freizugeben.
Ich habe Synology aber bereits gestern informiert, dass ich zu einer Fernwartung mit Vollzugriff usw. nicht bereit bin. Ich habe vertrauliche Kundendaten auf meiner DS und das ist mir echt zu heikel.
Trotzdem super nett von Synology. Ich hab den Mitarbeitern jetzt noch einmal den Sachverhalt geschildert, mit der bitte doch ein Testsystem aufzusetzen. Es ist ja mit der aktuellen DSM Version und VPNCenter 2414 in 5 Minuten reproduzierbar. Da braucht es meiner Meinung nach keine Zugriff auf alle meine Daten.

Ich hoffe aber das sich bald was tu. Da ich aber auch schon so lange auf eine Lösung warte, werd ich wohl gezwungen, 2413 bzw. bzw. ein selbst signiertes Zertifikat einzusetzen.
Hauptsache ich komm endlich wieder auf meine DS.

Gruß
Timo

 

[DRIV3R]

Hi Mark,

sag mal hast du die Möglichkeit eine Supportanfrage bei Synology zu stellen, und denen dein Problem zu schildern?
Habe gerade die Rückmeldung bekommen, dass bei Synology keine Probleme bzgl. des VPNCenters in Verbindung mit fremd signierten Zertifikaten bekannt sind.
Obwohl sich hier im Forum ja auch die Meldungen häufen.

Mir wurde als Lösungsansatz vorgeschlagen, in der Zwischenzeit selbst signierte Zertifikate zu verwenden und dann bei einem zukünftigen Update zu schauen, ob der Fehler behoben wurde.
Wirklich blöd.
Bei 2412 hat ja auch noch alles funktioniert.

Gruß
Timo

 

[marsiegem]

Hallo Timo,

ich habe bereits am 16. Mai eine Supportanfrage gestellt und das Problem dort geschildert. Habe ich bisher gar keine Antwort erhalten. Leider kommt für mich der Vorschlag, auf ein selbst erstelltes Zertifikat umzusteigen nicht in Frage, da die Synology betrieblich genutzt wird und Projektpartner über https per Filestation auf die Synology zugreifen müssen. Eine Zertifikatswarnung im Browser oder ähnliches ist hier ein No-Go. (Auf meiner privaten Synology mit selbst erstelltem Zertifikat funktioniert OpenVPN tadellos)
Am Dritt-Zertifikat scheint es auch nicht zu liegen. Hatte ursprünglich ein 123 SSL von Thawte installiert und bin nun zu einem von Startcom gewechselt. Dies brachte keinen Fortschritt.

Leider ganz schön unbefriedigend.

Besten Gruß
Mark

 

[DRIV3R]

Hi Mark,

gut zu wissen, mit der Supportanfrage. Bei mir hat es auch ewig gedauert.
Bei mir verhält sich das mit dem selbst signierten ähnlich. Zur Zeit hab ich es installiert, um überhaupt irgendwie per VPN auf meine DS zu kommen.
Alle externen Kunden habe ich abgekapselt. Leider schon ziemlich lange. Wenn das so weiter geht, muss ich mir eine alternative VPN Lösung überlegen, damit meine Kunden wieder auf die DS kommen.

Ich habe, nachdem ich das Fernwartungsangebot ausgeschlagen habe, noch ein paar Mal Emailverkehr mit dem Support gehabt.
Vor ein paar Tagen habe ich dem Support alle meine Zertifikate zur Verfügung gestellt, damit sie sehen können, dass das exportierte irgendwie das falsche ist.

Hab heute nun die Info bekommen, dass der Support gerade dabei ist, den Fehler mit meinen Angaben zu reproduzieren. Anhand der Zertifikate die ich geschickt habe kann man eigentlich gut erkennen, dass der Export bei selbst signierten in Ordnung ist, bei fremd signierten was nicht stimmt.

Mich wunderte es nur, dass der Synology Mitarbeiter nichts von Problemen mit dem VPNCenter 2414 wusste.
Hoffe das es dann schnell Abhilfe gibt.

Übrigens find ich es auch ziemlich blöd das nach dem Update 2414 nirgendwo etwas davon stand, dass ein Neustart nach Zertifikat Upload zwingend notwendig wird. Das wäre mal ne gute Info von Synology gewesen.
Das war vor 2414 nicht notwendig. Nur durch diese Forum hab ich erkannt, dass ohne Neustart die alten Zertifikate benutzt werden.

Irgendwie beschleicht mich der Verdacht, dass das 2414 Update ein Heartbleed Schnellschuss war.

Gruß
Timo

 

[anjoho]

Hi

so nun stehe ich auch vor dem Problem, dass mein VPN nicht funktioniert.
Ich habe eine komplett neue DS213j (Marvell Armada 370) eingerichtet mit der aktuellsten Firmware DSM 5.0-4493 Update 1.
Der VPN-Server lässt sich installieren jedoch beim starten kommt die "Vorgang fehlgeschlagen..." - Meldung.
Das passiert bei der aktuellsten "Version1.2-2414" sowie auch bei der Version "VPNCenter-armada370-1.2-2412.spk".
Bei einem anderen Prozessortyp (MARVELL Kirkwood) besteht dieses Problem nicht...

Sind mittlerweile Lösungen in Sicht ?

 

[DRIV3R]

Tja irgendwie schein Synology das mit dem VPN Center nicht hinzubekommen.
Meine letzte Info vom Support ist, dass die Kollegen von der Synology Zentrale die Probleme vor Ort nicht reproduzieren können und es ja auch schließlich große Firme gibt, die das VPNCenter erfolgreich einsetzen.
Komisch nur dass sich hier die Meldungen zu Problemen mit dem VPNCenter häufen.
Ich kann allen die Probleme mit dem VPNCenter nur dringend raten, ein Support Ticket zu öffnen in der Hoffnung, dass Synology merkt, dass das VPNCenter einfach total buggy ist.
Aber interessant zu hören, das es bei Marvell Armada 370 nicht geht, und bei Kirkwood schon.

Gruß
Timo

 

[Pidi87]

Auf meiner DS214 geht seit dem Update die VPN Verbindung auch nicht mehr (PPTP). Ich habe mal die aktuelle Version deinstalliert und manuell eine ältere installiert und bekomme trotzdem keine Verbindung. Weiß jemand Rat?
Ach die VPN Verbindung wird hauptsächlich vom Android Tablet als Client hergestellt. Vll liegt es auch an Android, was ich mir aber grad nicht vorstellen kann, da alles beim alten ist.

Grüßle Peter

 

[fpo4711]

Hallo,

in diesem Thread vermischen sich verschiedene Probleme weshalb ich mal versuche allgemeine Hilfestellung zu geben. Vorweg die Probleme hatte ich bis Dato nicht. Habe allerdings im Produktivbereich nach wie vor DSM 4.3 in der Anwendung und nur auf zwei Testmachinen DSM 5 zum Test laufen. Läuft aber einwandfrei allerdings DSM 5 mit selbstsignierten Zertifikaten.

Allgemein nach dem Update sollte immer ein Neustart der DS (auch wenn nicht darauf hingewiesen wird) durchgeführt werden. Sollte etwas nicht funktionieren erst einmal die üblichen Verdächtigen prüfen.

- Bei fester IP ist auch wirklich ein korrekter DNS und Gateway eingetragen.
- Befindet sich die feste IP auch wirklich ausserhalb des durch den DHCP des Routers bedienten Bereichs.
- Falls eine Fritzbox zum Einsatz kommt auch mal den Eintrag unter Heimnetz löschen (Wird im Regelfall wieder automatisch) angelegt.
- Und Zuletzt sind die Portweiterleitungen auch korrekt.

Dann wäre es sicherlich hilfreich mal einen Blick in die entsprechenden Log-Files zu werfen. /var/log/messages

Für OpenVPN kann zusätzlich ein separates Log-File in der Konfig aktiviert werden durch "log-append .... " Der Umfang der Ausgabe wird durch die Direktive "verb <nr>" in der config bestimmt.

Allgemein auch prüfen ob nach einer Deinstallation auch wirklich alles weg ist. Die beiden Verzeichnisse

/usr/syno/etc/packages/VPNCenter
/var/packages/VPNCenter

sollten nicht mehr vorhanden sein. Gegebenenfalls löschen. Erst dann eine Neuinstallation durchführen.

Das bringt uns jetzt zu den Zertifikaten von OpenVPN. Diese werden bei der Installation kopiert/generiert und teilweise auch als SymLink angelegt. Allerdings nur wenn das entsprechende Verzeichnis

/usr/syno/etc/packages/VPNCenter/openvpn/keys

nicht existent bzw. leer ist. Hat man in der Vergangenheit hier oder auch in den symlinks unter /var/packages/VPNCenter.... diese manuell überschrieben werden Änderungen über die GUI (Einspielen Zertifikat) nicht übernommen weil eben ein eventueller Symlink ja nicht mehr existent ist. Teilweise hat die DS auch in der Vergangenheit glaube ich symlinks nach /etc/ssl angelegt. Wie das jetzt unter DSM 5 aussieht kann ich im Augenblick nicht prüfen.

Auf jeden Fall werden die Zertifikate/key welche unter /usr/syno/etc/packages/VPNCenter/openvpn/keys liegt verwendet. Ist mir nicht bekannt das dies beim Start noch mal verändert wird. Kann man aber leicht prüfen. In der openvpn.conf steht der Pfad und unter /var/packages/VPNCenter/target/scripts/openvpn.sh das Startscript für OpenVPN.

Gruß Frank

Edit: Noch vergessen - Auch die Privilegien im VPNCenter prüfen.

 

[fpo4711]

Einen hab ich noch

Auch prüfen ob wirklich kein VPNClient (Systemsteuerung) aktiv ist, dann schlägt der Start des VPN-Servers auch fehl.

Gruß Frank

 

[mausbieber]

Hallo fpo4711,

Danke für Deine Anleitung, ich habe versucht diesen Empfehlungen zu folgen, leider ohne Erfolg.
Nach der Deinstallation bleibt /usr/syno/etc/packages/VPNCenter stehen, habe ich gelöscht.
Danach habe ich das VPNCenter neu installiert, konfiguriert. Diskstation neu gestartet.
Unter /usr/syno/etc/packages/VPNCenter/openvpn/keys liegen:
ca.crt - Zwischenzertifikat RapidSSL
server.crt - Serverzertifikat, das Zertifikat welches ich von RapidSSL ausgestellt bekommen habe
server.key - Key welchen ich bei der Zertifizierung an RapidSSL geschickz hatte.
diese Dateien werden beim Neustart in dieses Verzeichnis immer wieder hinein kopiert.
Nach dem Export und der Verwendung des eportierten ca.crt (ist das obere) lässt sich keine Verbindung aufbauen.
Ergo ich habe in /usr/syno/etc/packages/VPNCenter/openvpn/opnenvpn.conf wieder auf meine selbst erstellten Zertifikate umgelenkt.
Das selbst erstellte ca.crt händig exportiert und es läuft.

DSM 5.0 über DSM 4.3, DSM 4.2 auf DS213+ migriert von DS212+

 

[fpo4711]

Hallo,

ist schon sehr komisch. ich hab mir mal das Startscript von OpenVPN unter DSM 5 angesehen. Kann hier eigentlich keinen Fehler finden. Hier wird mit

        # create links : ca.crt, server.crt, and server.key of ssl
        if [ ! -e ${PKG_TARGET}/etc/openvpn/keys/ca.crt ]; then
                ln -sf ${PKG_USERCONF_DIR}/openvpn/keys/ca.crt ${PKG_TARGET}/etc/openvpn/keys/
                ln -sf ${PKG_USERCONF_DIR}/openvpn/keys/server.crt ${PKG_TARGET}/etc/openvpn/keys/
                ln -sf ${PKG_USERCONF_DIR}/openvpn/keys/server.key ${PKG_TARGET}/etc/openvpn/keys/
        fi

ja nur geprüft ob unter dem entsprechenden Pfad eine ca.crt vorhanden ist und wenn nicht dann entsprechende Symlinks angelegt. Somit sollte sich hier später überhaupt nichts mehr ändern.

diese Dateien werden beim Neustart in dieses Verzeichnis immer wieder hinein kopiert.

Was meinst Du mit Neustart? Neustart der DS, Neustart des VPN-Servers oder Neustart von OpenVPN.

Evt. irgendwelche Pakete per IPKG (openssl/openvpn) installiert?

Gruß Frank

 

[mausbieber]

Hallo Frank,
Danke für Deine Antwort.
Die Dateien werden beim Neustart der Diskstation überschrieben.
vor dem Neustart /usr/syno/etc/packages/VPNCenter/openvpn/keys eigene Zertifikate:
drwxr-xr-x 2 root root 4096 Jun 21 18:35 .
drwxr-xr-x 3 root root 4096 Jun 21 19:29 ..
-rwxr-xr-x 1 root root 1164 Jun 22 11:44 ca.crt
-r-------- 1 root root 1172 Jun 22 11:44 server.crt
-r-------- 1 root root 891 Jun 22 11:44 server.key
Nach dem Neustart wieder die von RapidSSL:
drwxr-xr-x 2 root root 4096 Jun 21 18:35 .
drwxr-xr-x 3 root root 4096 Jun 21 19:29 ..
-rwxr-xr-x 1 root root 2660 Jun 22 11:50 ca.crt
-r-------- 1 root root 1890 Jun 22 11:50 server.crt
-r-------- 1 root root 1675 Jun 22 11:50 server.key

ich habe kein IPKG und entsprechende Pakete installiert


Gruß Olaf

 

[mausbieber]

gelöst Problem mit RapidSSL

Hallo,
ich habe nun die Verbindung mittels RapidSSL hinbekommen. Das Zertifikat ist schon richtig, aber der Client kann den Chain nicht auflösen. Am Anfang des exportierten ca.crt müssen noch zwei Zertifikate rein (Root 1 - Equifax Secure Certificate Authority und Root 2 - GeoTrust Global CA) zu finden unter https://www.geotrust.com/resources/root-certificates/.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Im ca.crt für den Client müssen dann 4 -----BEGIN CERTIFICATE----- Sektionen stehen.
Für die anderen Zertifikataussteller wird es wohl ein ähnliches Problem sein

 

[DRIV3R]

Hi mausbieber,

ich muss da nochmal genau nachfragen. Ich bin auch schon länger auf der Suche nach einer Lösung für mein Cert Problem.
Ich habe ein Zertifikat von StartSSL, meinen key und das intermediate von StartSSL.
Kopiere ich diese drei auf die DS (per DSM - Zertifikat hochladen) Dann läuft die DS auch mit den StartSSL Zertifikaten.
Nur der Export des VPNCenters exportiert nicht den StartSSL Kram, sondern irgendwelche andere Zertifikate. Glaube alte eigene, die ich mal installiert hatte.
Auch eine Neuinstallation mit Ordner löschen bringt nichts. Egal wie ich das Cert importiere, exportiert wird immer ein anderes.

So bekomme ich natürlich keine Verbindung weil das OpenVPN GUI natürlich meckert, weil das Cert auf dem Client nicht mit dem Cert auf der DS übereinstimmt.
Synology meint ja, es gebe da kein Problem. Das VPNCenter würde so funktionieren, wie es soll.
Blöd nur das ich mein eigenes StartSSL Cert per VPNCenter nicht exportieren kann.

Jetzt hab ich nicht 100%ig gecheckt, wie du das Problem lösen konntest.
Vielleicht hilft das ja auch in meinem Fall.

Was muss ich genau machen, nachdem ich das Cert, das intermediate und den key hochgeladen habe?
Die Sachen per ftp/telnet/ auf den Client kopieren? Und dann die Dateien verändern?
Ich glaub ja das da bei export was krumm läuft.

Denn mein Cert von StartSSL ist ein Jahr gültig. Das Cert was mir das VPNCenter exportiert ist 10 Jahre gültig.
Schon komisch

 

[mausbieber]

Hallo,
Aus meiner Sicht, muss das ca.crt, welches zum Client transportiert wird, identisch sein mit dem auf die Datei openvpn.conf bzw. openvpn.conf.user im Verzeichnis /usr/syno/etc/packages/VPNCenter/openvpn verweist.
Falls wie bei mir noch das Rootzertifikat oder weitere Zwischenzertifikate fehlen wirst Du eventuell hier fündig http://www.startssl.com/certs/
Ich hoffe dies hilft Dir weiter.