OpenVPN mit Synology

[vtobi]

Nach der Einrichtung des VPN-Servers (OpenVPN) erhalten wir auf dem Windows Client mittels aktueller OpenVPN Anwendung die nachfolgende Fehlermeldung:

Warning: No Server certificate verification method has been enabled.

Die Warnung wird in der aktuellen OpenVPN Version Stand: 26.03.2018 / V2.4.5 in roter Schrift angezeigt.

Der Verbindungsaufbau funktioniert einwandfrei.

Kann die Warnung ignoriert werden oder gibt es eine einfache Lösung?

Für den VPN-Aufbau wurden die Export Dateien aus dem Synology Assistenten verwendet.

Leider konnte ich von offizieller Synology Quelle keine Informationen zu diesem Problem finden. Alle vorliegenden Anleitungen beschreiben diese Fehlermeldung leider nicht.

 

[DKeppi]

Also die Fehlermeldung ist schon seit Jahren da, hat aber nie Probleme gemacht!
Hier ein Thread dazu im englischen Forum: https://forum.synology.com/enu/viewtopic.php?t=100066

 

[vtobi]

Der Beitrag aus dem englischen Forum ist bekannt. Leider kann die detaillierte Anleitung nicht umgesetzt werden. Also gehe ich davon aus, dass aktuell alle Anwender mit einer OpenVPN Verbindung diese Fehlermeldung mit einer Synology erhalten?

Ich habe gehofft, dass hier im deutschen Bereich eine saubere Fehlerbereinigung/Anleitung vorhanden ist.

Wie gehen Sie mit der Meldung um?

 

[MMD*]

Hallo,

An die client config

remote-cert-tls server

hinzufugen.

 

[DKeppi]

Das produziert bei mir nur Fehler:

Certificate does not have key usage extension
OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
TLS Error: local/remote TLS keys are out of sync: [AF_INET]IP:1194 [0]
TLS Error: Unroutable control packet received from [AF_INET]IP:1194 (si=3 op=P_CONTROL_V1)

 

[laserdesign]

Warning: No Server certificate verification method has been enabled.

ist keine Fehlermeldung sondern eine Warnung.

 

[MMD*]

Versuch bitte mal aufs DS:

openssl verify -CAfile ca.crt -purpose sslserver /volume1/@appstore/VPNCenter/etc/openvpn/keys/server.crt

 

[vtobi]

@laserdesign:
Solche roten Warnungen produzieren beim Kunden nur unnötige Rückfragen.

@MMD:
Was bewirkt der Eintrag und wo muss der Code in der Synology Konsole ausgeführt werden?

Schon merkwürdig, dass es mit den Synology Boardmitteln trotzdem diese Warnung gibt.

Vielen Dank für die schnellen Reaktionen!

 

[laserdesign]

@laserdesign:
Solche roten Warnungen produzieren beim Kunden nur unnötige Rückfragen.

ja ich kenne das, man muss immer wieder erklären, das alles im grünen Bereich ist.

 

[MMD*]

@vtobi

Es bewirkt das der client das Zertifikat von Server kontrolliert.

Per SSH einloggen, root bekommen und command eingeben.

Info:
https://openvpn.net/index.php/open-source/documentation/howto.html#mitm

 

[vtobi]

Kann die Einstellung auch über die Synology Konsole aktiviert werden? Die Kenntnisse über eine manuelle Bearbeitung der Konfiguration fehlen.

Ist die Meldung wirklich nur informell oder gibt es noch einen Sicherheitsgedanken der geschlossen werden kann.

 

[tproko]

Solche roten Warnungen produzieren beim Kunden nur unnötige Rückfragen.

Naja, in diesem Fall eine durchaus berechtigte Rückfrage! Nicht unnötig, sondern ich würde als gewerblicher Anbieter schauen (gewerblich? da du ja anscheinend Kunden hast), das sicher einzurichten.
MMn ist die Umsetzung von Synology total mies und sollte so State-of-the-Art nicht verwendet werden "Punkt". VPN soll ja eine gute Grundlage sein, um ins eigene (Firmen-)Netz einzusteigen, 2 Faktor-Auth oder Client Zertifikat sehe ich da für den Selbstschutz als absolut nötig (ja vielleicht etwas viel Paranoia, aber die wird wohl nicht mehr weniger werden ).

Der Beitrag aus dem englischen Forum ist bekannt. Leider kann die detaillierte Anleitung nicht umgesetzt werden.

Warum nicht? Wo hast du hier Probleme?
Ich habe vor gut einem Jahr genau die gleiche Anleitung von Seite 1 mit den Adaptierungen von Seite 2 (User pwatk) durchgeführt. Funktioniert alles super. Auf Seite 3 findet sich noch ein Post von mir, wie das dann bei den verschiedenen Clients verwendet werden kann.

(Es gab hier im deutschen Forum von mir auch mal eine Übersetzung, aber diese wurde leider beim Verschieben und Auflösen verschiedener Unterforen entfernt. Hatte leider noch keine Zeit, dass nochmals zu machen und soviel steht da im Endeffekt nicht in Englisch.)


==================

Aja, evt. bringt Post #11 hier von dir noch Aufklärung zu meiner Frage zum "Warum nicht?". Benötigst du hier noch Hilfe, wie man das ganze via Konsole und bash konfiguriert ?

Und wie gesagt: vom Sicherheitsgedanken her, ist die Umsetzung von Synology für mich ein No-Go. OpenVPN logged es nicht umsonst als "WARNING" raus.

 

[vtobi]

Bei mir kommt auch der Fehler bei dem Eintrag: remote-cert-tls server

Mon Mar 26 18:14:25 2018 Certificate does not have key usage extension
Mon Mar 26 18:14:25 2018 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Mon Mar 26 18:14:25 2018 TLS_ERROR: BIO read tls_read_plaintext error
Mon Mar 26 18:14:25 2018 TLS Error: TLS object -> incoming plaintext read error
Mon Mar 26 18:14:25 2018 TLS Error: TLS handshake failed
Mon Mar 26 18:14:25 2018 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 26 18:14:30 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxx:1194
Mon Mar 26 18:14:30 2018 UDP link local (bound): [AF_INET][undef]:1194
Mon Mar 26 18:14:30 2018 UDP link remote: [AF_INET]xxxxx:1194
Mon Mar 26 18:14:30 2018 TLS Error: Unroutable control packet received from [AF_INET]xxxx:1194 (si=3 op=P_ACK_V1)

 

[vtobi]

@tproko
Ich verstehe nicht, warum Synology keine sauberen Exportdateien liefern kann. Der Verbindungsaufbau erfolgt bereits mit einem Zertifikat und der Authentifizierung über den Benutzer / Kennwort.

Warum muss man dann manuell mehrere Einträge im Backend produzieren?

Es kann doch für einen "normalen" Anwender einer Synology Festplatte keine Grundlage für die Konfiguration sein.

 

[tproko]

Benutzername und Passwort alleine ist bei VPN nicht mehr Stand der Technik. Daher auch die Warnung von OpenVPN.

"Synology Festplatte": wir reden aber schon von einem NAS - und mit Synology dann von einem NAS mit sehr vielen Zusatzfunktionalitäten - unter anderem auch VPN.


Bei VPN gehört für mich schon etwas Grundkenntnis vorausgesetzt. Es geht um den sicheren Zugriff ins eigene Netz, dass sollte man nicht auf die leichte Schulter nehmen und oft sind hier die 1-Button-Click-alles-wird-gut-Tools nicht die beste Wahl.
Beispiel? Nicht alles was Synology anbietet, ist auch 1:1 zu verwenden oder zu empfehlen. Siehe zB. Interneteinrichtung automatisch vom NAS zum Router mit dem Einrichtungswizard. Funktioniert ja theoretisch einwandfrei mit vielen Routern, aber dann ist auch gleich mal der Port 80 von außen offen, damit die "Festplatten" dann auch im Internet stehen - praktisch - vor allem ohne weitere Schutzmaßnahmen oder Firewall ...

 

[DKeppi]

Versuch bitte mal aufs DS:

openssl verify -CAfile ca.crt -purpose sslserver /volume1/@appstore/VPNCenter/etc/openvpn/keys/server.crt

Bringt einen Fehler

Error loading file ca.crt
139848563779216:error:02001002:system library:fopen:No such file or directory:bs s_file.c:175:fopen('ca.crt','r')
139848563779216:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c :182:
139848563779216:error:0B084002:x509 certificate routines:X509_load_cert_crl_file :system lib:by_file.c:253:

 

[MMD*]

root rechte?

Und

openssl verify -CAfile /volume1/@appstore/VPNCenter/etc/openvpn/keys/ca.crt -purpose sslserver /volume1/@appstore/VPNCenter/etc/openvpn/keys/server.crt

?

 

[DKeppi]

Root Rechte hab ich ja

Der neue Befehl bringt:
/volume1/@appstore/VPNCenter/etc/openvpn/keys/server.crt: OK

 

[DKeppi]

Bringt uns das Ergebnis "OK" nun eigentlich weiter?

 

[Jrlohni]

Moinsen,

der Beitrag ist ja schon etwas älter, aber ich hoffe es ist OK wenn ich es noch einmal aufleben lasse.

Bei mir geben beide Befehle in der Kommandozeile einen Error.

Die VPN Verbindung funktioniert seit gestern Abend nicht mehr. Vorgestern funktionierte sie noch einwandfrei. Die LOG von OpenVPN schreibt:

Mon Jul 20 11:13:06 2020 TLS Error: Unroutable control packet received from [AF_INET]IP_ADRESSE:1194 (si=3 op=P_CONTROL_V1)
Mon Jul 20 11:13:08 2020 TLS Error: Unroutable control packet received from [AF_INET]IP-ADRESSE:1194 (si=3 op=P_ACK_V1)

Vorher steht dort auch noch mal
TLS Error: TLS pject -> incoming plaintext read error
TLS Error: TLS handshake failed

Aber wie ihr schon sagtet, Warnings und auch kleine Errors gab es immer...

Jemand eine Idee?

Grüße
Johannes