MULLVAD - VPN konfigurieren

[MENT0R]

Guten Abend,

hat jemand Erfahrung mit der Konfiguration des Mullvad VPN auf der DS414? Versuchte bereits über die Option Profil erstellen die Daten einzugeben und das Zertifikat zu laden, aber bekomme die Meldung: ungültiges Zertifikat. Kann dann nicht weitermachen.

Für Ideen wäre ich dankbar,

mfg

 

[fpo4711]

Hallo,

vorerst ich kenne Mullvad überhaupt nicht, aber ich vermute mal das die Clientzertifikate verwenden und das kannst Du über die GUI nicht lösen. Zur Sicherheit kannst Du ja mal die openvpn.conf posten, dann kann man das ergründen.

Gruß Frank

 

[MENT0R]

Guten Morgen,

ja die verwenden Clientzertifikate. Nun es ist www.mullvad.net

Ich gehe davon aus, dass die gleich wie anderen anbieter VPN anbieter zu konfigurieren sind, allerdings finde ich sehr wenig über VPN Konfiguartion, bzw. kein Tutorial wie ich das aufsetzen kann. Alles was ich im netz finde, ist nur wie ich den Synology Station über das Paketzentrum selbst zum VPN Server mache, was mir aber nichts nützt, da ich ja will das die Station eine VPN Verbindung aufbaut bzw. nutzt!

Hat irgendjemand ein veständliches Tutorial, was auch für Linux Anfänger geeignet ist ?

mfg

 

[fpo4711]

Also um mit Clientzertifikaten auf der DS zu arbeiten gibt es ausser gänzlicher Handarbeit nur eine Möglichkeit.

1.) Eine VPN Verbindung anlegen über die GUI.

2.) Im Ordner /usr/syno/etc/synovpnclient/openvpn die jetzt vorhandene Konfigurationsdatei durch den Inhalt deiner vorhandenen ersetzen. Den Dateinamen beibehalten, bei nur einer Verbindung sollte das mit der Nummer im Dateinamen ja kein Problem sein. Ansonsten bei mehreren Verbindungen auf den Zeitstempel achten.

3.) In diesen Ordner alle deine Zertifikate kopieren.

Jetzt über die GUI keine Werte mehr ändern sondern nur noch die Verbindung Auf-/Abbauen.

Sicherlich gibt es für dein Problem kein Pauschaltutorial. Die besten Informationen kannst Du aber über die Seite von OpenVPN erhalten. Ansonsten ist das Thema OpenVPN mit Clientzertifikaten hier im Forum schon mehrmals zur Sprache gekommen.

Gruß Frank

 

[MENT0R]

Hallo Frank,

danke erstmal für deine Beschreibung! Momentan scheitere ich daran dass ich im GUI das Zeritifikat nicht bestätigt bekomme, er schreibt mir Zertifikat ungültig, somit erstellt er mir auch keine Datein in dem von dir angeführten Ordner, folglich kann ich diese Datein nicht ersetzen.

Gibts da noch einen Trick ?

mfg

 

[fpo4711]

Eine entsprechende ca.crt importieren. Im schlimmste des Falles beliebige, notfalls die eigene nehmen.

Gruß Frank

 

[MENT0R]

Hallo Frank,

soweit hab ich es jetzt geschafft das über die GUI Plattform anhand irgendeiner CRT datei in dem genannten Verzeichnis Datein erstellt wurden. Nun möchte ich die Dateien von Mullvad in den von dir genannten Ordner kopieren. Ich scheitere aber an der Berechtigung. ich bin als Admin im SSH eingeloggt, aber wie kann ich mir selbst die Berechtigung geben dass ich in diesen Ordner kopieren darf? In der GUI habe ich mit diesem Benutzer ja bereit alle Berechtigungen ein gestellt.

Danke lg

 

[MENT0R]

Hallo Frank,

soweit hab ich es jetzt geschafft das über die GUI Plattform anhand irgendeiner CRT datei in dem genannten Verzeichnis Datein erstellt wurden. Nun möchte ich die Dateien von Mullvad in den von dir genannten Ordner kopieren. Ich scheitere aber an der Berechtigung. ich bin als Admin im SSH eingeloggt, aber wie kann ich mir selbst die Berechtigung geben dass ich in diesen Ordner kopieren darf? In der GUI habe ich mit diesem Benutzer ja bereit alle Berechtigungen ein gestellt.

Danke lg

 

[MMD*]

Hallo,

Als root mit password vom admin einloggen.

 

[MENT0R]

Nabend,

ich schaffe es ums verrecken nicht eine Verbindung über den VPN aufzubauen! Wird dieses GUI Problem eventuell in der DSM 6.0 Beta gelöst? Das man dass alles dann über den GUI konfigurieren kann?

in der mullvad_linux.conf steht noch folgendes:
# Notice to Mullvad customers:
#
# Apart from openvpn, you also need to install the
# package "resolvconf", available via apt, e.g.
#
# For those of you behind very restrictive firewalls,
# you can use our tunnels on tcp port 443, as well as
# on udp port 53.

man soll das resolve package installieren. Nun hab ich ein bisserl gegoogelt und das sollte ja normalerweise auf der Synlogy under /etc bereits sein. Kann diese Datei aber dort nicht finden. Nun meine Frage, kann es damit zusammen hängen? Wenn ja, wie installier ich das jetz auf der Synology, das der Befehl via-apt get ja nicht funktioniert.

Vielleicht hat noch jemand einen Tipp?

mfg

 

[fpo4711]

Wenn Du wie bereits in #2 vorgeschlagen mal die openvpn.conf posten würdest, dann kann man das vielleicht auch beurteilen oder erwartest Du das jeder der dir helfen will sich jetzt dort anmeldet um einmal einen Blick in die Konfiguration zu werfen?

Gruß Frank

 

[MENT0R]

Hallo fpo, ja stimmt, sorry

das steht in der von der Syno erstellten:

Dateiname: ovpnclient.conf
--------------------------------------

[o1444751350]
nat=no
protocol=udp
redirect-gateway=no
comp-lzo=yes
pass=
port=1194
reconnect=no
conf_name=Mullvad
user=
remote=openvpn.mullvad.net



Das hier ist die mullvad_linux.conf (welche unbenannt wurde nach opvnclient.conf bzw. der Inhalt mit der obigen ersetzt)

[o1444751350]
# Notice to Mullvad customers:
#
# Apart from openvpn, you also need to install the
# package "resolvconf", available via apt, e.g.
#
# For those of you behind very restrictive firewalls,
# you can use our tunnels on tcp port 443, as well as
# on udp port 53.
[o1444751350]
client

dev tun

proto udp
#proto udp
#proto tcp

remote ca.mullvad.net 1300
cipher AES-256-CBC

#remote openvpn.mullvad.net 443
#cipher BF-CBC

#remote openvpn.mullvad.net 53
#cipher BF-CBC

#remote se.mullvad.net 1300 # Servers in Sweden
#cipher AES-256-CBC

#remote nl.mullvad.net 1300 # Servers in the Netherlands
#cipher AES-256-CBC

#remote de.mullvad.net 1300 # Servers in Germany
#cipher AES-256-CBC

#remote us.mullvad.net 1300 # Servers in the USA
#cipher AES-256-CBC

#remote openvpn.mullvad.net 1194
#remote openvpn.mullvad.net 443
#remote openvpn.mullvad.net 53
#remote se.mullvad.net # Servers in Sweden
#remote nl.mullvad.net # Servers in the Netherlands
#remote de.mullvad.net # Servers in Germany
#remote us.mullvad.net # Servers in the USA

# Tunnel IPv6 traffic as well as IPv4
tun-ipv6

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Try to preserve some state across restarts.
persist-key
persist-tun

# Enable compression on the VPN link.
comp-lzo

# Set log file verbosity.
verb 3

remote-cert-tls server

ping-restart 60

# Allow calling of built-in executables and user-defined scripts.
script-security 2

# Parses DHCP options from openvpn to update resolv.conf
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

ping 10

ca ca.crt
cert mullvad.crt
key mullvad.key

crl-verify crl.pem

# Limit range of possible TLS cipher-suites
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-SEED-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA





Das wars, danke für deine Hilfe.

mfg

 

[fpo4711]

Na das bringt doch mal Klarheit in die Sache.

Auf der DS ist die openclient.conf so eine Art Template die verwendet und modifiziert wird wenn Änderungen in der GUI vorgenommen werden. Also der falsche Ort für Anpassungen (Jedenfalls nicht für jede) Die Konfiguration die bei Start der Verbindung verwendet wird ist die mit der Nummer ohne .conf In deinem Fall sollte dies die "o1444751350" sein. Hier sollte dann auch deine Konfiguration drin stehen. Mal auf die schnelle ohne größere Prüfungen (und Gehirnschmalz) hingehunzt könnte dich beispielsweise folgende eventuell zum Erfolg bringen:

dev tun
tls-client
remote openvpn.mullvad.net 1194
cipher AES-256-CBC
pull
proto udp
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
comp-lzo
script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down
remote-cert-tls server
ping-restart 60

ca ca.crt
cert mullvad.crt
key mullvad.key
crl-verify crl.pem
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-SEED-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA

Nicht vergessen auch die ca.cert mullvad.crt etc. in dieses Verzeichnis zu kopieren.

Gruß Frank

 

[MENT0R]

Hallo Frank,

dank deiner Hilfe sind wir jetz soweit das die syno mal verbindet und kurz verbunden ist, circa ne Minute dann bricht die Verbindung ab. Was komisch ist, im Gui zeigt er dann an das er die folgende IP bekommet:

IP-Adresse: 10.8.0.8
Gateway: --

Bar bytes werden gesendet

Hm noch Ideen? Vielleicht kriegen wirs ja irgendwie hin

Die files hab ich alle kopiert, dass die natürlich gefunden werden.
PS: Ich weiß zwar nicht warum mir die File o1XXXX heissen, aber ich nehm an diese Nr. hat mal die Syno vergeben.
Die echte Accountnr. von Mullvad hab ich nat. nicht gepostet, diese sollte aber in der keys sein nehm ich an

Grüße

 

[fpo4711]

IP-Adresse: 10.8.0.8

Soweit O.K. Ist schlieslich nur die Tunnel-IP

PS: Ich weiß zwar nicht warum mir die File o1XXXX heissen, aber ich nehm an diese Nr. hat mal die Syno vergeben.

Und völlig richtig vermutet. Das verwaltet die DS

Um genau zu sehen was bei OpenVPN passiert, kann man ein log aktivieren. Die Zahl hinter verb in der Config bestimmt wie detailiert das sein soll. Folgende Zeile in der Config gibt das log-file an.

log-append /var/log/openvpn.log

Gruß Frank

 

[MENT0R]

Hallo Frank

also habe nun in der client_o1444751350 unten den code welchen du gepostet hast geaddet. Habe dann wieder Verbinden probiert und nach ca 60 sekunden bricht er wieder die Verbindung ab. Habe nun die Logdatei geöffnet und poste dir den Inhalt. Ich kann nur erkennen das irgendwas mit der crl.pem nicht passen soll? Bei mullvad kann ich mich mit meinen Kundendaten einloggen dann die konfiguartionsfiles downloaded, hab ich nochmals gemacht und die crl.pem ausgetauscht, hat aber das gleche Ergebnis gebracht.

Kannst du noch einen Fehler erkenne?

mfg





Fri Oct 16 18:09:16 2015 OpenVPN 2.3.6 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jun 13 2015
Fri Oct 16 18:09:16 2015 library versions: OpenSSL 1.0.1p-fips 9 Jul 2015, LZO 2.08
Fri Oct 16 18:09:16 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Oct 16 18:09:16 2015 UDPv4 link local (bound): [undef]
Fri Oct 16 18:09:16 2015 UDPv4 link remote: [AF_INET]37.48.74.16:1194
Fri Oct 16 18:09:16 2015 CRL: CRL crl.pem is from a different issuer than the issuer of certificate C=NA, ST=None, L=None, O=Mullvad, CN=Mullvad CA, emailAddress=info@mullvad.net
Fri Oct 16 18:09:16 2015 CRL: CRL crl.pem is from a different issuer than the issuer of certificate C=NA, ST=None, L=None, O=Mullvad, CN=master.mullvad.net, emailAddress=info@mullvad.net
Fri Oct 16 18:09:17 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1542'
Fri Oct 16 18:09:17 2015 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher BF-CBC'
Fri Oct 16 18:09:17 2015 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Fri Oct 16 18:09:17 2015 [nl13.mullvad.net] Peer Connection Initiated with [AF_INET]37.48.74.16:1194
Fri Oct 16 18:09:20 2015 TUN/TAP device tun0 opened
Fri Oct 16 18:09:20 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=1
Fri Oct 16 18:09:20 2015 /sbin/ifconfig tun0 10.8.0.2 netmask 255.255.0.0 mtu 1500 broadcast 10.8.255.255
Fri Oct 16 18:09:20 2015 /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up tun0 1500 1558 10.8.0.2 255.255.0.0 init
Fri Oct 16 18:09:24 2015 add_route_ipv6(): not adding ::/2, no IPv6 on if tun0
Fri Oct 16 18:09:24 2015 add_route_ipv6(): not adding 4000::/2, no IPv6 on if tun0
Fri Oct 16 18:09:24 2015 add_route_ipv6(): not adding 8000::/2, no IPv6 on if tun0
Fri Oct 16 18:09:24 2015 add_route_ipv6(): not adding c000::/2, no IPv6 on if tun0
Fri Oct 16 18:09:24 2015 Initialization Sequence Completed
Fri Oct 16 18:09:31 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:09:41 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:09:51 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:10:01 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:10:11 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:10:21 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:10:24 2015 [nl13.mullvad.net] Inactivity timeout (--ping-restart), restarting
Fri Oct 16 18:10:24 2015 delete_route_ipv6(): not deleting c000::/2, no IPv6 on if tun0
Fri Oct 16 18:10:24 2015 delete_route_ipv6(): not deleting 8000::/2, no IPv6 on if tun0
Fri Oct 16 18:10:24 2015 delete_route_ipv6(): not deleting 4000::/2, no IPv6 on if tun0
Fri Oct 16 18:10:24 2015 delete_route_ipv6(): not deleting ::/2, no IPv6 on if tun0
Fri Oct 16 18:10:24 2015 /sbin/ifconfig tun0 0.0.0.0
Fri Oct 16 18:10:26 2015 SIGUSR1[soft,ping-restart] received, process restarting
Fri Oct 16 18:10:28 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Oct 16 18:10:28 2015 UDPv4 link local (bound): [undef]
Fri Oct 16 18:10:28 2015 UDPv4 link remote: [AF_INET]37.48.74.16:1194
Fri Oct 16 18:10:28 2015 CRL: CRL crl.pem is from a different issuer than the issuer of certificate C=NA, ST=None, L=None, O=Mullvad, CN=Mullvad CA, emailAddress=info@mullvad.net
Fri Oct 16 18:10:28 2015 CRL: CRL crl.pem is from a different issuer than the issuer of certificate C=NA, ST=None, L=None, O=Mullvad, CN=master.mullvad.net, emailAddress=info@mullvad.net
Fri Oct 16 18:17:50 2015 OpenVPN 2.3.6 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jun 13 2015
Fri Oct 16 18:17:50 2015 library versions: OpenSSL 1.0.1p-fips 9 Jul 2015, LZO 2.08
Fri Oct 16 18:17:50 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Oct 16 18:17:50 2015 UDPv4 link local (bound): [undef]
Fri Oct 16 18:17:50 2015 UDPv4 link remote: [AF_INET]95.211.136.21:1194
Fri Oct 16 18:17:50 2015 CRL: CRL crl.pem is from a different issuer than the issuer of certificate C=NA, ST=None, L=None, O=Mullvad, CN=Mullvad CA, emailAddress=info@mullvad.net
Fri Oct 16 18:17:50 2015 CRL: CRL crl.pem is from a different issuer than the issuer of certificate C=NA, ST=None, L=None, O=Mullvad, CN=master.mullvad.net, emailAddress=info@mullvad.net
Fri Oct 16 18:17:51 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1542'
Fri Oct 16 18:17:51 2015 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher BF-CBC'
Fri Oct 16 18:17:51 2015 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Fri Oct 16 18:17:51 2015 [nl6.mullvad.net] Peer Connection Initiated with [AF_INET]95.211.136.21:1194
Fri Oct 16 18:17:54 2015 TUN/TAP device tun0 opened
Fri Oct 16 18:17:54 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=1
Fri Oct 16 18:17:54 2015 /sbin/ifconfig tun0 10.8.0.10 netmask 255.255.0.0 mtu 1500 broadcast 10.8.255.255
Fri Oct 16 18:17:54 2015 /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up tun0 1500 1558 10.8.0.10 255.255.0.0 init
Fri Oct 16 18:17:57 2015 add_route_ipv6(): not adding ::/2, no IPv6 on if tun0
Fri Oct 16 18:17:57 2015 add_route_ipv6(): not adding 4000::/2, no IPv6 on if tun0
Fri Oct 16 18:17:57 2015 add_route_ipv6(): not adding 8000::/2, no IPv6 on if tun0
Fri Oct 16 18:17:57 2015 add_route_ipv6(): not adding c000::/2, no IPv6 on if tun0
Fri Oct 16 18:17:57 2015 Initialization Sequence Completed
Fri Oct 16 18:18:03 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:18:14 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:18:24 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:18:35 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:18:45 2015 Authenticate/Decrypt packet error: cipher final failed
Fri Oct 16 18:18:54 2015 [nl6.mullvad.net] Inactivity timeout (--ping-restart), restarting
Fri Oct 16 18:18:54 2015 delete_route_ipv6(): not deleting c000::/2, no IPv6 on if tun0
Fri Oct 16 18:18:54 2015 delete_route_ipv6(): not deleting 8000::/2, no IPv6 on if tun0
Fri Oct 16 18:18:54 2015 delete_route_ipv6(): not deleting 4000::/2, no IPv6 on if tun0
Fri Oct 16 18:18:54 2015 delete_route_ipv6(): not deleting ::/2, no IPv6 on if tun0
Fri Oct 16 18:18:54 2015 /sbin/ifconfig tun0 0.0.0.0