OpenVPN auf Synology DS212j

[jahlives]

tls Handshake failed heisst imho dass ein Cert nicht passt. Welche Certs hast du denn alles auf dein Droid kopiert?

 

[Niemand2006]

Nur das ca.crt was ich bekomme wenn ich ich die Konfiguration von den VPN Server exportiere.
Da bekomme ich ca.crt und eine OpenVPN datei.

 

[cyorps]

Wenn du kein TLS hast (was man meiner dunklen Erinnerung nach über das Paket von Syno auch nicht konfigurieren konnte). Dann musst du diese Option in der App bei den Verbindungseinstelllungen über "Authentifizierung/Verschlüsselung" -> "TLS Authentifizierung" deaktivieren.

 

[Niemand2006]

@cyorps: Das komische ist ja das es deaktiviert ist er es aber trotzdem machen will.

 

[jahlives]

TLS ist nicht nur Authentifizierung sondern auch Verschlüsselung. Von dem her kann ich mir nicht vorstellen, dass die DS kein TLS/SSL Support hätte ;-)
Hast du denn auf deinem OVPN-Client das ca.crt von der DS drauf? Das braucht der Client um zu wissen welchen Serverzertifikaten er trauen darf

 

[Niemand2006]

Das Ca.crt habe ich ja von der DS bekommen und habe diese auf Handy übertragen. Irgendwie mache ich da etwas falsch.

 

[cyorps]

Ich war mir bezüglich der TLS-Auth auch unschlüssig, weshalb ich mal eben das Paket installiert habe. Es ist nicht aktivierbar und die ovpn, die generiert wird, sieht so aus:

dev tun
tls-client

remote YOUR_SERVER_IP 1194

[..]Kommentar-Bla-Sülz[..]

pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

Edit:
@Niemand2006
Stelle einfach mal die Openvpn-Config (NICHT! die ca.crt) ohne deine extern erreichbare Adresse hier ein. Funktioniert denn dieser Tunnel auf deinem Rechner?

 

[Niemand2006]

comp-lzo
dev tun
tls-client

remote xxxxx.dyndns.org 1194

Dann kommentare

pull

proto udp
script-security 2

ca ca.crt

reneg-sec 0
auth-user-pass

so sieht meine OpenVPN datei aus

Edit:

Von einen Windows Rechnet habe ich es nicht Versucht. Hatte gedacht es es einfach geht mit den OpenVPN Programm ist aber leider nicht der Fall.

 

[jahlives]

liegen das Configfile und das ca.crt im selben Verzeichnis (exakt gleiche Ebene) auf dem Droid? Falls nein, wirst du den Pfad anpassen müssen zum ca.crt

 

[Niemand2006]

liegen das Configfile und das ca.crt im selben Verzeichnis (exakt gleiche Ebene) auf dem Droid? Falls nein, wirst du den Pfad anpassen müssen zum ca.crt

Liegt zusammen im selben Verzeichnis. Deswegen wundert mich es ja das es nicht klappt

Edit:

Kann es sein das er TLS machen will weil das in der config steht?

tls-client

 

[cyorps]

Ein Vorabtest zur Fehlerüberprüfung auf einem Rechner ist -vor allem bei Unerfahrenheit- nie verkehrt.
Deiner Konfiguration würde manuell so aussehen:

Einstellung - Basic
- Server: xxxxx.dyndns.org
- Port: 1194
- LZO Komprimierung: Ja (Haken)
- Typ: Nutzer/PW + Zertifikate
- CA-Zertifikat: Pfad zur deiner ca.crt auf deinem Mobile -> Das wird vermutlich der Fehler sein und ist das wovon jahlives spricht
- eventuell bei Benutzername schon deinen Benutzernamen eingeben (dann wird bei Verbindungsaufbau nur noch nach dem Passwort gefragt)

Einstellung - IP and DNS
- Pull Settings = Aktiv
- der Rest deaktiviert

Einstellung Routing - Alles inaktiv

Einstellung - Authentifizierung/Verschlüsselung
- Erwarte TLS Server = aktiv
- TLS Auth = inaktiv
- Encryption cipher = leer

 

[Niemand2006]

Aber ich habe doch nur ein ca.crt und wenn ich die anderen nicht eingebe dann macht er garkeine Verbindung.

 

[cyorps]

Ups! Stimmt! Da war ich zu sehr in meiner Normalität verhaftet, dass alle Certs benötigt werden. Du musst natürlich NUR "Benutzername/Passwort" bei Typ auswählen und dann den Pfad zur ca.crt bestimmen.

 

[Niemand2006]

Habe ich gemacht. Bekomme ich wieder den Fehler mit dem TLS Handshake fehlgeschlagen.

Was kann ich denn noch machen das endlich mal eine Verbindung zu stande kommt?

Habe es auch schon gerootet und openvpn setting genommen. Da bekomme ich auch keine Verbindung. An was kann es sonst noch liegen?

Ports sind naturlich freigeschaltet an die DS

 

[cyorps]

Mein Vorschlag: Einfach mal am Rechner OpenVPN installieren und es dort probieren, um generelle Fehler auszuschließen sowie die ca.cert über das Interface der DSM noch einmal herunterladen.

 

[Niemand2006]

Ok da muss ich mal schauen wenn ich Zeit dazu habe. Hatte eigentlich gedacht das es schneller geht.

PPTP ist leider zu Unsicher um die Verbindung die ganze Zeit offen zu lassen oder?

 

[cyorps]

Ok da muss ich mal schauen wenn ich Zeit dazu habe. Hatte eigentlich gedacht das es schneller geht.

Geht es auch, wenn alles stimmt. Es stimmt aber mit deinem ca.cert etwas nicht. Entweder hast du in der App noch nicht den richtig Pfad drin oder es ist anderweitig fehlerhaft.

PPTP ist leider zu Unsicher um die Verbindung die ganze Zeit offen zu lassen oder?

Zu dem Thema hatte jahlives auf der ersten Seite dieses Thema schon alles gesagt.

 

[Niemand2006]

Aber das ca.crt findet er ja und nimmt es auch.

Kann es sein weil am Anfang da steht bebin und dann end Certifikat?

 

[cyorps]

Selbst wenn du eine leere Textdatei nimmst und sie in ca.cert umbenennst, wird dieses Zertifikat VOR der Einwahl nicht angemeckert. Der Zertifikatsinhalt sollte so aussehen:

-----BEGIN CERTIFICATE-----
verschlüsselter Zertifikatsinhalt = Zeichensalat
-----END CERTIFICATE-----

 

[HarryPotter]

Ich bekomme es auch nicht hin mit openvpn (mit pptp kein Problem)

Habe jetzt gemäss Tipp mal OpenVPN GUI auf dem PC installiert und die beiden Dateien (crt und ovpn) in den config Ordner kopiert.

Wenn ich die Zeile "script-security 2" in ovpn stehen habe, verbindet er schon mal gar nicht sondern meldet, dass er den Parameter nicht kenne oder so ähnlich.
Also Zeile raus und wieder verbinden. Verbindung klappt zwar, kann Benutzername und Passwort angeben, die DS sagt mir auch dass der PC jetzt verbunden sei, aber ich komme mit 10.8.0.0:5000 nicht auf die DS.

log file von OpenVPN GUI:

Tue Jun 26 18:17:52 2012 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Tue Jun 26 18:18:00 2012 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Jun 26 18:18:00 2012 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Jun 26 18:18:00 2012 LZO compression initialized
Tue Jun 26 18:18:00 2012 UDPv4 link local (bound): [undef]:1194
Tue Jun 26 18:18:00 2012 UDPv4 link remote: 192.168.1.11:1194
Tue Jun 26 18:18:00 2012 [Snake_Oil_CA] Peer Connection Initiated with 192.168.1.11:1194
Tue Jun 26 18:18:01 2012 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:4: topology (2.0.9)
Tue Jun 26 18:18:01 2012 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{D55B9068-F683-4426-A522-66337F943DCE}.tap
Tue Jun 26 18:18:01 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {D55B9068-F683-4426-A522-66337F943DCE} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Jun 26 18:18:01 2012 Successful ARP Flush on interface [28] {D55B9068-F683-4426-A522-66337F943DCE}
Tue Jun 26 18:18:03 2012 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig.   [if_index=28]
Tue Jun 26 18:18:03 2012 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig.   [if_index=28]
Tue Jun 26 18:18:03 2012 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig.   [if_index=28]
Tue Jun 26 18:18:03 2012 Initialization Sequence Completed

Wenn ich dasselbe mit Android Tel mache, wird die Verbindung zwar ebenfalls aufgebaut, aber ich kann weder surfen noch auf die DS und die Verbindung bricht alle paar Sekunden ab und wird wieder aufgebaut.

Mann, das kann doch nicht so schwer sein.....