OpenVPN auf DSM

[Novo]

Hallo Community,

habe eine DS211+ geschenkt bekommen mit DSM 6.2.4-25556 Update 3.
Habe dort nun VPN Server installiert und möchte per Android OpenVPN nutzen.
Port Freigabe auf der Fritzbox und DynDNS auf der NAS funktioniert, Port in der Firewall beachtet und
User "admin" darf Berechtigung für "OpenVPN" Verbindungen ...
Leider bekomme ich im OpenVPN Client immer die Fehlermeldung: "User authentification failed"
In der Verbindungsliste im DSM steht statt dem Benutzer "admin" nur: "UNDEF".

Die VPN Server config ist:

Port: 1194, Protokoll: UDP, Verschlüsselung: AES-256-CBC, Authentifizierung: SHA512

Android OpenVPN Client Log sieht so aus:

21:21:42.140 -- ----- OpenVPN Start -----
21:21:42.140 -- EVENT: CORE_THREAD_ACTIVE
21:21:42.142 -- OpenVPN core 3.git::662eae9a:Release android arm64 64-bit PT_PROXY
21:21:42.143 -- Frame=512/2048/512 mssfix-ctrl=1250
21:21:42.144 -- UNUSED OPTIONS
1 [tls-client]
4 [pull]
6 [script-security] [2]
21:21:42.145 -- EVENT: RESOLVE
21:21:42.452 -- Contacting 89.xxx.xxx.xxx:1194 via UDP
21:21:42.453 -- EVENT: WAIT
21:21:42.458 -- Connecting to [xxx.duckdns.org]:1194 (89.xxx.xxx.xxx) via UDPv4
21:21:42.556 -- EVENT: CONNECTING
21:21:42.559 -- Tunnel Options:V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-client
21:21:42.559 -- Creds: Username/Password
21:21:42.560 -- Peer Info:
IV_VER=3.git::662eae9a:Release
IV_PLAT=android
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_IPv6=0
IV_GUI_VER=net.openvpn.connect.android_3.2.5-7182
IV_SSO=openurl
21:21:43.363 -- VERIFY OK: depth=1, /C=TW/L=Taipei/O=Synology Inc./CN=Synology Inc. CA
21:21:43.363 -- VERIFY OK: depth=0, /C=TW/L=Taipei/O=Synology Inc./CN=synology
21:21:49.835 -- SSL Handshake: CN=synology, TLSv1.2, cipher SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
21:21:49.838 -- Session is ACTIVE
21:21:49.840 -- EVENT: GET_CONFIG
21:21:49.845 -- Sending PUSH_REQUEST to server...
21:21:49.891 -- AUTH_FAILED
21:21:49.919 -- EVENT: AUTH_FAILED
21:21:49.927 -- EVENT: DISCONNECTED
21:21:49.928 -- Tunnel bytes per CPU second: 0
21:21:49.929 -- ----- OpenVPN Stop -----

bzw. es macht keinen Unterschied, ob ich im Client: "AES-CBC Cipher Algorythm" aktiviere oder nicht, dann steht bei SSL Handshake stattdessen:

21:21:49.835 -- SSL Handshake: CN=synology, TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

Ich habe keine Ahnung, warum der Benutzer nicht richtig übermittelt wird, vielleicht weiß ja jemand, ob man bei Verschlüsselung nicht was anderes angeben muss als das default ...


Grüße noVo

 

[ottosykora]

und wenn du einen anderen Benutzer verwendets als 'admin'?
Dieser wird heute eigentlich default deaktiviert

 

[Synchrotron]

Weshalb nimmst du nicht den auf der FritzBox vorinstallierten VPN-Server, und schenkst dir das ganze Gefummel mit OpenVPN ?

 

[Novo]

und wenn du einen anderen Benutzer verwendets als 'admin'?
Dieser wird heute eigentlich default deaktiviert

Das muss ich mal ausprobieren, habe aktuell nur diesen User Account, da ich ja Admin bzw. Root Rechte möchte ...
Es steht ja auch dran, dass beim deaktivieren des "admin" Users viele Dienste nicht mehr richtig funktionieren und finde den deswegen ja eigentlich essenziell ...
Siehe: https://kb.synology.com/de-de/DSM/tutorial/services_affected_by_disable_admin

Weshalb nimmst du nicht den auf der FritzBox vorinstallierten VPN-Server, und schenkst dir das ganze Gefummel mit OpenVPN ?

Manuell in die Android VPN Settings eingetragen, verbindet der sich leider auch nicht.
Über die MyFRITZ! App kann ich VPN zwar nutzen, jedoch kann ich so nur auf das Interne Netz zugreifen, aber der Default Gateway
(sprich der gesamte Traffic von Android) geht so leider NICHT darüber und ist deswegen nicht das richtige für meine Zwecke ...
Deswegen wollte ich das ja über eine VPN App machen, wo ich auch eine Log sehe und "redirect-gateway" nutzen kann.


grüße,
noVo

 

[ottosykora]

habe aktuell nur diesen User Account, da ich ja Admin bzw. Root Rechte möchte ...
Es steht ja auch dran, dass beim deaktivieren des "admin" Users viele Dienste nicht mehr richtig funktionieren und finde den deswegen ja eigentlich essenziell

es gibt nur eine Anwendung für den admin, das ist bei DSM6 die Photo Station, um dort das Kontensystem zu ändern braucht man den echten admin, dazu kann man es kurz einschalten und dann wieder abschalten.
Ansonsten brauchst du einen Administrator, der soll aber nicht admin heissen.

Auch mit dem admin hast du auch keine RootRechte

also legt man einen oder mehrere andere Konten an, und einem oder mehreren gibt man Administrator Rechte. Mehr gibt es nicht und mehr kannst du eigentlich auch nicht bekommen.
Root kannst du auch mit diesen Administratoren bekommen, via Terminal / SSH auf Kommandozeile mit sudo -i und erneuter Password Eingabe.



die Angaben es 'könnte' Auswirkung haben wenn man den admin deaktiviert beziehen sich auf die Einleitung:
>das Standardkonto „admin“ zu deaktivieren. Dies hat keine großen Auswirkungen auf DSM, es sei denn, Sie haben zuvor Pakete und Einstellungen mit dem Admin -Konto konfiguriert. <

weil so lange der admin aktiv war, hat er auch wie jeder anderer User Ordner angelegt bekommen

 

[Synchrotron]

Da bin ich raus, keine Androiden im Haus. Unter iOS funktioniert das vorinstallierte VPN der FritzBox nach wie vor.