Hallo zusammen,
privat habe ich eine Diskstation 213+ (DS) und in der Firma eine Rackstation 812+ (RS).
Auf beiden habe ich das VPNServer Package installiert und verwende eigene Zertifikate und Keys.
Das hat super funktioniert. Mit meinem Notebook konnte ich mich problemlos mit DS oder RS verbinden (hatte jeweils getrennte Zertifikate und Keys).
Nach dem Update von DS und RS auf DSM 5 kann ich mich nur noch mit der DS verbinden. Mit der RS nicht mehr.
Um das Problem einzugrenzen, verwende ich auf der RS die von der RS erzeugten Original ca.crt und habe auch die Konfigurationsfiles auf den Client exportiert.
Auch hier bekomme ich aber den gleichen Fehler, wie vorher mit meinen eigenen Zertifikaten:
Die openvpn.conf wurde von der RS erzeugt und so übernommen:
Die Konfiguration des Clients wurde bis auf die Server-IP ebenfalls übernommen:
Am Router wurde der Port 1194 UDP auf die IP der RS forwarded.
In der Log des Servers ist ja zu erkennen, dass Pakete ankommen. Mir ist nur nicht ganz klar, was [EHOSTUNREACH]: No route to host (code=113) bedeutet?
Ich interpretiere es so, dass er keinen Weg zurück zum Client findet und deshalb die Key negotiation nicht funktioniert.
Habe aber leider keine Ahnung, wo ich ansetzen soll, denn ich habe einen Client, mit dem ich auf RS und DS zugreifen konnte. An den Routern wurde nichts geändert, lediglich die Updates auf DSM 5 wurden durchgeführt.
Herzlichen Dank schon mal vorab für sachdienliche Hinweise.
Gruß
Andy
privat habe ich eine Diskstation 213+ (DS) und in der Firma eine Rackstation 812+ (RS).
Auf beiden habe ich das VPNServer Package installiert und verwende eigene Zertifikate und Keys.
Das hat super funktioniert. Mit meinem Notebook konnte ich mich problemlos mit DS oder RS verbinden (hatte jeweils getrennte Zertifikate und Keys).
Nach dem Update von DS und RS auf DSM 5 kann ich mich nur noch mit der DS verbinden. Mit der RS nicht mehr.
Um das Problem einzugrenzen, verwende ich auf der RS die von der RS erzeugten Original ca.crt und habe auch die Konfigurationsfiles auf den Client exportiert.
Auch hier bekomme ich aber den gleichen Fehler, wie vorher mit meinen eigenen Zertifikaten:
Rich (BBCode):
Sat Mar 22 11:23:45 2014 us=743912 MULTI: multi_create_instance called
Sat Mar 22 11:23:45 2014 us=744017 x.x.x.x:1194 Re-using SSL/TLS context
Sat Mar 22 11:23:45 2014 us=744060 x.x.x.x:1194 LZO compression initialized
Sat Mar 22 11:23:45 2014 us=744207 x.x.x.x:1194 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Mar 22 11:23:45 2014 us=744240 x.x.x.x:1194 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Mar 22 11:23:45 2014 us=744317 x.x.x.x:1194 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sat Mar 22 11:23:45 2014 us=744341 x.x.x.x:1194 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sat Mar 22 11:23:45 2014 us=744382 x.x.x.x:1194 Local Options hash (VER=V4): '530fdded'
Sat Mar 22 11:23:45 2014 us=744418 x.x.x.x:1194 Expected Remote Options hash (VER=V4): '41690919'
Sat Mar 22 11:23:45 2014 us=744484 x.x.x.x:1194 TLS: Initial packet from x.x.x.x:1194, sid=b8efa7bf ba2eac58
Sat Mar 22 11:23:45 2014 us=809753 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Sat Mar 22 11:23:47 2014 us=905682 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Sat Mar 22 11:23:48 2014 us=164509 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Sat Mar 22 11:23:51 2014 us=276694 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Sat Mar 22 11:23:52 2014 us=885179 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Sat Mar 22 11:23:59 2014 us=551638 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Sat Mar 22 11:24:00 2014 us=945531 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Sat Mar 22 11:24:15 2014 us=913246 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Sat Mar 22 11:24:45 2014 us=544197 x.x.x.x:1194 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Mar 22 11:24:45 2014 us=547029 x.x.x.x:1194 SYNO_ERR_CERT
Sat Mar 22 11:24:45 2014 us=547088 x.x.x.x:1194 TLS Error: TLS handshake failed
Sat Mar 22 11:24:45 2014 us=547275 x.x.x.x:1194 SIGUSR1[soft,tls-error] received, client-instance restarting
Die openvpn.conf wurde von der RS erzeugt und so übernommen:
Rich (BBCode):
push "route 192.168.110.0 255.255.255.0"
push "route 192.168.118.0 255.255.255.0"
dev tun
management 127.0.0.1 1195
server 192.168.118.0 255.255.255.0
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh1024.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
max-clients 5
comp-lzo
persist-tun
persist-key
verb 4
log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn
Die Konfiguration des Clients wurde bis auf die Server-IP ebenfalls übernommen:
Rich (BBCode):
dev tun
tls-client
remote RemoteIPdesRouters 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
proto udp
script-security 2
ca caRS.crt
comp-lzo
reneg-sec 0
auth-user-pass
Am Router wurde der Port 1194 UDP auf die IP der RS forwarded.
In der Log des Servers ist ja zu erkennen, dass Pakete ankommen. Mir ist nur nicht ganz klar, was [EHOSTUNREACH]: No route to host (code=113) bedeutet?
Ich interpretiere es so, dass er keinen Weg zurück zum Client findet und deshalb die Key negotiation nicht funktioniert.
Habe aber leider keine Ahnung, wo ich ansetzen soll, denn ich habe einen Client, mit dem ich auf RS und DS zugreifen konnte. An den Routern wurde nichts geändert, lediglich die Updates auf DSM 5 wurden durchgeführt.
Herzlichen Dank schon mal vorab für sachdienliche Hinweise.
Gruß
Andy