Cannot open dh2048.pem

IPNS · 15. Mai 2015

Hallo zusammen,

habe mir eigene Zertifikate/Keys für den VPNServer erstellt und in ein eigenes Verzeichnis IPNKeys gespeichert. Die Verbindung hat bislang immer problemlos funktioniert.
Gestern habe ich das Update auf DSM 5.2 durchgeführt, sowie das VPNServer-Paket upgedated.
Danach habe ich meine Keys und Zertifikate wieder eingestellt (so wie ich es bislang immer nach Updates getan hatte).

Jetzt startet der VPN Server aber nicht mehr.
In der openvpn.log steht:
Cannot open /var/packages/VPNCenter/target/etc/openvpn/IPNkeys/dh2048.pem for DH parameters: error:0200100D:lib(2):func(1):reason(13): error:20
Datei ist vorhanden und root hat Rechte 644
Die *.key und *.crt werden gefunden.

Woran könnte es noch liegen?

Danke und VG
Andy

Anzeige · 15. Mai 2015

Hallo IPNS,

Bücher und Hardware zum Thema gibt es bei Amazon: Cannot open dh2048.pem

luddi · 15. Mai 2015

Hast du den VPN Server, nachdem du die dh2048.pem wieder hinzugefügt hast und die config geändert hast einmal neu gestartet?

Gruß
luddi

IPNS · 15. Mai 2015

Ja, klar. Trotzdem danke für den Hinweis.

Um auszuschließen dass die dh2048.pem defekt ist habe ich testweise mal eine neue dh1024.pem erzeugt und das *.conf geändert.
Fehler kommt wie oben, nur halt für dh1024.pem.

luddi · 15. Mai 2015

Und das Verzeichnis IPNkeys/ hat nach wie vor die Rechte 755 ???

Gruß
luddi

IPNS · 15. Mai 2015

Ja, richtig.

IPNkeys liegt unter /var/packages/VPNCenter/target/etc/openvpn bzw. /volume1/@appstore/VPNCenter/etc/openvpn und hat 755

luddi · 15. Mai 2015

Mhhh das ist wohl für mich im Moment auch nicht nachvollziehbar...
Ich bin noch nicht bereit auf DSM 5.2 zu gehen, sonst hätte ich es selbst testen können.

Gruß
luddi

IPNS · 15. Mai 2015

Kluge Entscheidung. Hatte bisher nur Ärger. Bis 5.2 hat alles super funktioniert.

luddi · 15. Mai 2015

Das liegt daran, dass ich in der Vergangenheit auch immer einer der Ersten sein wollte die das Upgrade durchführen...
Wie man sieht hat sich in den Jahren bei einem neuen Release nichts geändert. Ständig gibt es Ärger mit Packages und custom settings. Aus diesem Grund bin ich sehr entspannt und bin mit meinem System zufrieden wenn es nach meinen Vorstellungen läuft. Da braucht es dann kein Upgrade, da es nichts an neuen Features gibt die vermisse

Gruß
luddi

onkelandy · 16. Mai 2015

Ich habe leider seit dem Upgrade auf 5.2 und Update der Pakete genau das gleiche Problem. Die Fehlerangabe ist leider nichtssagend. Laut diversen Googlerecherchen steht meist noch "Permission denied" oder sowas dabei. Bei mit leider nur Zahlen..

Rechte hab ich nochmals gecheckt und das File auch neu angelegt. Keine Verbesserung

Über ne Lösung würde ich mich freuen.

IPNS · 17. Mai 2015

onkelandy schrieb:
Ich habe leider seit dem Upgrade auf 5.2 und Update der Pakete genau das gleiche Problem. Die Fehlerangabe ist leider nichtssagend. Laut diversen Googlerecherchen steht meist noch "Permission denied" oder sowas dabei. Bei mit leider nur Zahlen.. Rechte hab ich nochmals gecheckt und das File auch neu angelegt. Keine Verbesserung

Richtig, ich konnte dazu auch nicht mehr finden. An den rechten kann es auch nicht liegen, da die Keys und Zertifikate gelesen werden können. Ich habe sogar mal die 1024.pem von /keys genommen (also die "DSM-eigene") und auch da kommt der Fehler.
Ich nutze eigene Keys seit DSM 4.2. Nach jedem Update des VPN-Servers bzw. DSM-Update musste ich einfach nur die Keys zurückspielen und es hat sofort wieder funktioniert. Seit 5.2 gibt es nun dieses Problem.

Seit 5.2 funktioniert auch meine Datensicherung auf einen rsync-Server nicht mehr. Er kann das Backupziel anlegen und ich sehe auch die Ordner. Ich kann auch einen restore machen, aber keine Aufgabe mehr anlegen, da die Fehlermeldung "Datensicherungsziel nicht erreichbar" kommt.

onkelandy · 17. Mai 2015

Schon ärgerlich mit diesen Updates. Im Grunde sollte man auf jeden Fall 1 Monat warten oder länger. Naja, ich habe das Problem jetzt dem Support geschildert. Wäre sicher nicht schlecht, wenn alle mit dem Problem dort hinschreiben, damit es klar ist, dass das kein Sonder/Einzelfall ist..

Schönen Sonntag!

IPNS · 17. Mai 2015

Hatte es ebenfalls bereits dem Support geschildert, aber leider noch keine Antwort erhalten. Werde selbstverständlich berichten.

onkelandy · 01. Jun 2015

Der Support war unfassbar: ich solle die Diskstation resetten, dann werde das schon wieder.

Haha, Gott sei Dank habe ich diesen Beitrag hier gefunden: http://59-124-41-244.hinet-ip.hinet...sid=3337981839b1b3420e5e71a32d1c6bb4&start=15

Jetzt funktioniert alles wieder!!!! Also auf gut Deutsch: Entweder das Verzeichnis in diese Armor Config schreiben oder alles in den Standardordner des VPN Packages legen. Viel Erfolg!

luddi · 02. Jun 2015

Kann jemand von euch sagen ob das nur das aktuelle VPN Server Paket betrifft (1.2-2437 bzw. 1.2-2438) oder in Kombination mit DSM 5.2 verursacht wird?

Die Information aus den release notes lassen daraus schließen, dass es durch das Paket kommt (AppArmor). Aber auch hier heißt es, dass es nicht alle Modelle Betrifft.

Release Notes for VPN Server:

Version: 1.2-2437
(2015/05/12)
Enhanced security with AppArmor (on selected models with DSM 5.1 or above).
Upgraded PPTPD to 1.4.0.
Minor bug fixes.

Welche sind nun die "selected models"? Leider geht diese Information nicht klar und deutlich hervor.

Welche Modelle sind bei euch im Einsatz bei denen es zu Problemen geführt hat?

Gruß
luddi

MMD* · 02. Jun 2015

DS414 hat dieses "problem" mit 5.2

Und auch DS415+

luddi · 02. Jun 2015

Danke für die Info, dann sollten meine Systeme (siehe Signatur) davon hoffentlich nicht betroffen sein.

Gruß
luddi

MMD* · 02. Jun 2015

Extra info:
user nobody
group nobody
im server config hinzufugen geht auch nicht wen man wert legt auf die ruhestand. Bin mir aber nicht 100% sicher ob das ab 5.2 gilt. Sonst konnte das veileicht ein zusammenhang haben mit apparmor.
Die 2 einstellungen hat zu volge das der server kein zugriff mehr hat auf Radius connection database um abgemeldette user zu loschen und darum ca. jeder 30 sec. ins messages log schreibt.

luddi · 05. Jul 2015

onkelandy schrieb:
[...] Entweder das Verzeichnis in diese Armor Config schreiben [...]

Hi, kannst du das hier einmal genau erläutern. Welches Verzeichnis muss an welcher Stelle in die Armor Config geschreiben werden???

Gruß
luddi

**EDIT: Hat sich erledigt!
Da in meiner Config Datei "/volume1/@appstore/VPNCenter/etc/openvpn/openvpn.conf"

Rich (BBCode):

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh2048.pem
ca /usr/syno/etc/ssl/ssl.crt/ca.crt
cert /usr/syno/etc/ssl/ssl.crt/server.crt
key /usr/syno/etc/ssl/ssl.key/server.key

der Verweis auf die Zertifikate an folgender Stelle liegen, musste die apparmor config "/volume1/@appstore/VPNCenter/apparmor/pkg_VPNCenter" wie folgt angepasst werden:

Rich (BBCode):

/volume*/@appstore/VPNCenter/sbin/openvpn {
        #include <abstractions/base>
        #include <abstractions/base-cgi>

        capability chown,
        capability net_bind_service,
        /dev/net/tun                                                                            rw,
        /usr/syno/etc/packages/VPNCenter/openvpn/**                                             rwk,
        /volume*/@appstore/VPNCenter/bin/synovpnnet                                             ix,
        /volume*/@appstore/VPNCenter/etc/openvpn/keys/**                                        r,
        /volume*/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnf                               r,
        /volume*/@appstore/VPNCenter/etc/synovpncon.sql                                         r,
        /volume*/@appstore/VPNCenter/etc/synovpnlog.sql                                         r,
        /volume*/@appstore/VPNCenter/lib/**                                                     mr,
        /volume*/@appstore/VPNCenter/sbin/openvpn                                               ix,
        /volume*/@appstore/VPNCenter/scripts/openvpn.sh                                         rix,
        /volume*/@appstore/VPNCenter/var/log/                                                   r,
        /volume*/@appstore/VPNCenter/var/log/*.db*                                              rwk,
        /var/packages/VPNCenter/target/etc/openvpn/keys/*                                       r,
        /usr/syno/etc/ssl/**                                                                    r,              
}

Anschließend das System neu gestartet und es kann wieder eine VPN Verbindung aufgebaut werden.

Suche

Cannot open dh2048.pem

IPNS

Benutzer

Anzeige

luddi

Benutzer

IPNS

Benutzer

luddi

Benutzer

IPNS

Benutzer

luddi

Benutzer

IPNS

Benutzer

luddi

Benutzer

onkelandy

Benutzer

IPNS

Benutzer

onkelandy

Benutzer

IPNS

Benutzer

onkelandy

Benutzer

luddi

Benutzer

MMD*

Gesperrt

luddi

Benutzer

MMD*

Gesperrt

luddi

Benutzer

Kaffeautomat