OpenVPN mit Synology

Status
Für weitere Antworten geschlossen.

vtobi

Benutzer
Mitglied seit
06. Aug 2012
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Nach der Einrichtung des VPN-Servers (OpenVPN) erhalten wir auf dem Windows Client mittels aktueller OpenVPN Anwendung die nachfolgende Fehlermeldung:

Warning: No Server certificate verification method has been enabled.

Die Warnung wird in der aktuellen OpenVPN Version Stand: 26.03.2018 / V2.4.5 in roter Schrift angezeigt.

Der Verbindungsaufbau funktioniert einwandfrei.

Kann die Warnung ignoriert werden oder gibt es eine einfache Lösung?

Für den VPN-Aufbau wurden die Export Dateien aus dem Synology Assistenten verwendet.

Leider konnte ich von offizieller Synology Quelle keine Informationen zu diesem Problem finden. Alle vorliegenden Anleitungen beschreiben diese Fehlermeldung leider nicht.
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.218
Punkte für Reaktionen
74
Punkte
114

vtobi

Benutzer
Mitglied seit
06. Aug 2012
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Der Beitrag aus dem englischen Forum ist bekannt. Leider kann die detaillierte Anleitung nicht umgesetzt werden. Also gehe ich davon aus, dass aktuell alle Anwender mit einer OpenVPN Verbindung diese Fehlermeldung mit einer Synology erhalten?

Ich habe gehofft, dass hier im deutschen Bereich eine saubere Fehlerbereinigung/Anleitung vorhanden ist.

Wie gehen Sie mit der Meldung um?
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24
Hallo,

An die client config
Code:
remote-cert-tls server
hinzufugen.
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.218
Punkte für Reaktionen
74
Punkte
114
Das produziert bei mir nur Fehler:

Certificate does not have key usage extension
OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
TLS Error: local/remote TLS keys are out of sync: [AF_INET]IP:1194 [0]
TLS Error: Unroutable control packet received from [AF_INET]IP:1194 (si=3 op=P_CONTROL_V1)
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
Warning: No Server certificate verification method has been enabled.

ist keine Fehlermeldung sondern eine Warnung.
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24
Versuch bitte mal aufs DS:
Code:
openssl verify -CAfile ca.crt -purpose sslserver /volume1/@appstore/VPNCenter/etc/openvpn/keys/server.crt
 

vtobi

Benutzer
Mitglied seit
06. Aug 2012
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
@laserdesign:
Solche roten Warnungen produzieren beim Kunden nur unnötige Rückfragen.

@MMD:
Was bewirkt der Eintrag und wo muss der Code in der Synology Konsole ausgeführt werden?

Schon merkwürdig, dass es mit den Synology Boardmitteln trotzdem diese Warnung gibt.

Vielen Dank für die schnellen Reaktionen!
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
@laserdesign:
Solche roten Warnungen produzieren beim Kunden nur unnötige Rückfragen.

ja ich kenne das, man muss immer wieder erklären, das alles im grünen Bereich ist. ;)
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24

vtobi

Benutzer
Mitglied seit
06. Aug 2012
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Kann die Einstellung auch über die Synology Konsole aktiviert werden? Die Kenntnisse über eine manuelle Bearbeitung der Konfiguration fehlen.

Ist die Meldung wirklich nur informell oder gibt es noch einen Sicherheitsgedanken der geschlossen werden kann.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Solche roten Warnungen produzieren beim Kunden nur unnötige Rückfragen.

Naja, in diesem Fall eine durchaus berechtigte Rückfrage! Nicht unnötig, sondern ich würde als gewerblicher Anbieter schauen (gewerblich? da du ja anscheinend Kunden hast), das sicher einzurichten.
MMn ist die Umsetzung von Synology total mies und sollte so State-of-the-Art nicht verwendet werden "Punkt". VPN soll ja eine gute Grundlage sein, um ins eigene (Firmen-)Netz einzusteigen, 2 Faktor-Auth oder Client Zertifikat sehe ich da für den Selbstschutz als absolut nötig (ja vielleicht etwas viel Paranoia, aber die wird wohl nicht mehr weniger werden :) ).


Der Beitrag aus dem englischen Forum ist bekannt. Leider kann die detaillierte Anleitung nicht umgesetzt werden.

Warum nicht? Wo hast du hier Probleme?
Ich habe vor gut einem Jahr genau die gleiche Anleitung von Seite 1 mit den Adaptierungen von Seite 2 (User pwatk) durchgeführt. Funktioniert alles super. Auf Seite 3 findet sich noch ein Post von mir, wie das dann bei den verschiedenen Clients verwendet werden kann.

(Es gab hier im deutschen Forum von mir auch mal eine Übersetzung, aber diese wurde leider beim Verschieben und Auflösen verschiedener Unterforen entfernt. Hatte leider noch keine Zeit, dass nochmals zu machen und soviel steht da im Endeffekt nicht in Englisch.)


==================

Aja, evt. bringt Post #11 hier von dir noch Aufklärung zu meiner Frage zum "Warum nicht?". Benötigst du hier noch Hilfe, wie man das ganze via Konsole und bash konfiguriert ?

Und wie gesagt: vom Sicherheitsgedanken her, ist die Umsetzung von Synology für mich ein No-Go. OpenVPN logged es nicht umsonst als "WARNING" raus.
 
Zuletzt bearbeitet:

vtobi

Benutzer
Mitglied seit
06. Aug 2012
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Bei mir kommt auch der Fehler bei dem Eintrag: remote-cert-tls server

Mon Mar 26 18:14:25 2018 Certificate does not have key usage extension
Mon Mar 26 18:14:25 2018 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Mon Mar 26 18:14:25 2018 TLS_ERROR: BIO read tls_read_plaintext error
Mon Mar 26 18:14:25 2018 TLS Error: TLS object -> incoming plaintext read error
Mon Mar 26 18:14:25 2018 TLS Error: TLS handshake failed
Mon Mar 26 18:14:25 2018 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 26 18:14:30 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxx:1194
Mon Mar 26 18:14:30 2018 UDP link local (bound): [AF_INET][undef]:1194
Mon Mar 26 18:14:30 2018 UDP link remote: [AF_INET]xxxxx:1194
Mon Mar 26 18:14:30 2018 TLS Error: Unroutable control packet received from [AF_INET]xxxx:1194 (si=3 op=P_ACK_V1)
 

vtobi

Benutzer
Mitglied seit
06. Aug 2012
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
@tproko
Ich verstehe nicht, warum Synology keine sauberen Exportdateien liefern kann. Der Verbindungsaufbau erfolgt bereits mit einem Zertifikat und der Authentifizierung über den Benutzer / Kennwort.

Warum muss man dann manuell mehrere Einträge im Backend produzieren?

Es kann doch für einen "normalen" Anwender einer Synology Festplatte keine Grundlage für die Konfiguration sein.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Benutzername und Passwort alleine ist bei VPN nicht mehr Stand der Technik. Daher auch die Warnung von OpenVPN.

"Synology Festplatte": wir reden aber schon von einem NAS - und mit Synology dann von einem NAS mit sehr vielen Zusatzfunktionalitäten - unter anderem auch VPN.


Bei VPN gehört für mich schon etwas Grundkenntnis vorausgesetzt. Es geht um den sicheren Zugriff ins eigene Netz, dass sollte man nicht auf die leichte Schulter nehmen und oft sind hier die 1-Button-Click-alles-wird-gut-Tools nicht die beste Wahl.
Beispiel? Nicht alles was Synology anbietet, ist auch 1:1 zu verwenden oder zu empfehlen. Siehe zB. Interneteinrichtung automatisch vom NAS zum Router mit dem Einrichtungswizard. Funktioniert ja theoretisch einwandfrei mit vielen Routern, aber dann ist auch gleich mal der Port 80 von außen offen, damit die "Festplatten" dann auch im Internet stehen - praktisch - vor allem ohne weitere Schutzmaßnahmen oder Firewall ... :)
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.218
Punkte für Reaktionen
74
Punkte
114
Versuch bitte mal aufs DS:
Code:
openssl verify -CAfile ca.crt -purpose sslserver /volume1/@appstore/VPNCenter/etc/openvpn/keys/server.crt

Bringt einen Fehler

Error loading file ca.crt
139848563779216:error:02001002:system library:fopen:No such file or directory:bs s_file.c:175:fopen('ca.crt','r')
139848563779216:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c :182:
139848563779216:error:0B084002:x509 certificate routines:X509_load_cert_crl_file :system lib:by_file.c:253:
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24
root rechte?

Und
Rich (BBCode):
openssl verify -CAfile /volume1/@appstore/VPNCenter/etc/openvpn/keys/ca.crt -purpose sslserver /volume1/@appstore/VPNCenter/etc/openvpn/keys/server.crt
?
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.218
Punkte für Reaktionen
74
Punkte
114
Root Rechte hab ich ja :)

Der neue Befehl bringt:
/volume1/@appstore/VPNCenter/etc/openvpn/keys/server.crt: OK
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.218
Punkte für Reaktionen
74
Punkte
114
Bringt uns das Ergebnis "OK" nun eigentlich weiter? ;)
 

Jrlohni

Benutzer
Mitglied seit
14. Jan 2020
Beiträge
39
Punkte für Reaktionen
0
Punkte
6
Moinsen,

der Beitrag ist ja schon etwas älter, aber ich hoffe es ist OK wenn ich es noch einmal aufleben lasse.

Bei mir geben beide Befehle in der Kommandozeile einen Error.

Die VPN Verbindung funktioniert seit gestern Abend nicht mehr. Vorgestern funktionierte sie noch einwandfrei. Die LOG von OpenVPN schreibt:

Mon Jul 20 11:13:06 2020 TLS Error: Unroutable control packet received from [AF_INET]IP_ADRESSE:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 20 11:13:08 2020 TLS Error: Unroutable control packet received from [AF_INET]IP-ADRESSE:1194 (si=3 op=P_ACK_V1)

Vorher steht dort auch noch mal
TLS Error: TLS pject -> incoming plaintext read error
TLS Error: TLS handshake failed

Aber wie ihr schon sagtet, Warnings und auch kleine Errors gab es immer...

Jemand eine Idee?

Grüße
Johannes
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat