Open VPN | certificate has expired

[FrAntje]

Hallo zusammen,

ich bekomme, ganz frisch folgende Meldung beim Verbinden mit OpenVPN:

Wed Nov 04 21:06:16 2020 VERIFY ERROR: depth=0, error=certificate has expired: CN=xxx.de
Wed Nov 04 21:06:16 2020 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Wed Nov 04 21:06:16 2020 TLS_ERROR: BIO read tls_read_plaintext error
Wed Nov 04 21:06:16 2020 TLS Error: TLS object -> incoming plaintext read error
Wed Nov 04 21:06:16 2020 TLS Error: TLS handshake failed

Zertifikat ist natürlich aktuell und bis 02.02.21 gültig, die Einstellungen habe ich auch nochmals exportiert und im Client genutzt, obwohl sie identisch waren.
Habe auch schon Leidensgenossen gefunden, aber keine Lösung parat. Könnt ihr helfen?

Viele Grüße

 

[the other]

Moinsen,
Hmmm, strange...
Hatte ich bis eben noch nie von gehört und kann es auch nicht erklären. Hab allerdings hier auch vpn nicht auf dem NAS laufen. Ich meine aber, dass die synology openvpn Versionen meist sehr den eigentlich aktuellen hinterher hinkten...
Löst jetzt nicht direktdein Problem, aber nimm den doofen Anlass doch mal als Grund, um darüber nachzudenken, vpn jenseits des NAS zu machen...
Guter Router oder auch raspberry pi zum Beispiel. Damit hättest du eine aktuelle Version, abseits vom NAS auch sicherer und meist noch detaillierter zu konfigurieren.
Funktionieren die Zertifikate denn für alle anderen Dienste anstandslos?

 

[Syno-OS]

OpenVPN hat ein eigenes Zertifikat, die anderen Zertifikat über die DSM Systemsteuerung -> Sicherheit -> Zertifikat kannst du hier vergessen, die werden nicht genutzt.

Hier mal eine Anleitung zum Erneuern des OpenVPN Zertifikats
https://buger.dread.cz/openvpn-expired-certificates.html
Oder einfach die Meldungen abnicken und egal ...

 

[Fusion]

Für was kann man dann dem VPN server in der Systemsteuerung einu Zertifikat zuweisen und den Client dieses auf common name überprüfen lassen?

 

[Syno-OS]

Ich habe noch mal nachgeschaut, es basiert inzwischen auf dem Systemsteuerungs Zertifikat, aber wo steht in der OVPN Datei oder in ca.crt der 'common name' drin?
https://openvpn.net/community-resources/how-to/

Nach paar Forum Fragen lesen, gibt es wohl eine Whitelist für Client CNs, aber keine einbaute CN kontrolle, wie es aussieht... oder ich habe es noch nicht gefunden, ein eigenes Script kann es aber nachrüsten...OpenVPN ist einfach

Also am Ende mal das Server Zertifikat erneuern und wieder exportieren, dann alle Client Zertifikate austauschen und erneuet probieren.

 

[Fusion]

Client Zertifikate muss man ja selber nachrüsten und auch die CN Verifizierung und anderes Bsp mit verify-x509-name Option.
Beides nicht über die Gui möglich.

 

[FrAntje]

Ich bin etwas IT Faul geworden. Solange ich kein bestimmten Rahmen erreiche, nutze ich meine Zeit lieber mit meiner Tochter. Natürlich kann man hier nen Raspberry hin stellen, dort nen Pi Hole, hier ne Mikrotik und an der Ecke da vorne auch noch nen dediziertes Gerät. Alles am besten noch mit Redundanz usw. Für meine 2 Telefone am besten ne Asterisk und meine Backups am besten noch nen extra Server.
Bei mir steht ne 918+ und die soll schwitzen. Daher macht die VM, Docker, Surveillance, Fileserver, VPN, Kodi, DDNS, DHCP, ach halt alles was geht
Läuft seit Jahren zuverlässig.
Ich bin auch beim OpenVPN zuverlässig. und warte einfach mal ein paar Tage. Solange läuft das VPN über die Fritte.