OpenVPN Synology NAS No server certificate verification method has been enabled

[keamas]

Hallo, ich habe eine Synology NAS DS213j gekauft. Darauf läuft die aktuelle Version: 4.3-3776-2
Ich habe darauf den VPN Service für OpenVPN Konfiguriert.
Ich habe die es sowohl mit Lokalen Benutzern als auch mit Domänenbenutzern als Account Typ getestet.

Die Konfigurationsdatei wurde angepasst mit der Server IP.

Auch an meiner Sophos UTM Firewall habe ich eine DNAT Rule und eine entsprechende Regel für UDP 1194 eingerichtet.
Leider bekomme ich jedoch keine Verbindung hin.

dev tun
tls-client

remote planet-express.xxx.xxx 1194

# The "float" tells OpenVPN to accept authenticated packets from any address, 
# not only the address which was specified in the --remote option. 
# This is useful when you are connecting to a peer which holds a dynamic address 
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass
ns-cert-type server

Ich bekomme folgende Meldung aus dem Client Log.
Ich habe es mit dem OpenVPN Client Viscosity und OpenVPN versucht:

Okt 01 02:31:55: Status auf Connecting geändert
Okt 01 02:31:55: Viscosity 1.4.6 (1212)
Okt 01 02:31:55: Besturingssysteem is Microsoft Windows 7 Enterprise 
Okt 01 02:31:55: Aktivieren des Netzwerkadapters...
Okt 01 02:31:55: Überprüfe die Erreichbarkeit der Gegenstelle...
Okt 01 02:31:55: Gegenstelle ist erreichbar. Starte Verbindungsversuch.
Okt 01 02:31:55: OpenVPN 2.3.2 Windows-MSVC [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jun 18 2013
Okt 1 02:32:00: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Okt 1 02:32:00: UDPv4 link local (bound): [undef]
Okt 1 02:32:00: UDPv4 link remote: [AF_INET]84.112.x.x:1194
Okt 1 02:33:01: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Okt 1 02:33:01: TLS Error: TLS handshake failed
Okt 1 02:33:01: SIGUSR1[soft,tls-error] received, process restarting
Okt 01 02:33:01: Status auf Connecting geändert
Okt 01 02:33:11: Status auf Disconnecting geändert
Okt 01 02:33:11: Status auf Disconnected geändert
Okt 01 02:33:43: Status auf Connecting geändert

Gibt es evtl. irgendwelche Logs uw... was ich auswerden kann?
Oder sonst tipps was man versuchen kann?

Im VPN Server ist der Status von OpenVPN Aktiviert und Grün.

Die NAT Regel auf der Sophos UTM sollte meiner Meinung nach passen, ich habe kurzfristig den Port von 1194 UDP auf 5001 TCP geändert und konnte die Synology Seite erreichen.

 

[jahlives]

sind die Zeiten zwischen Server und Client synchron? Die Warning sollte imho nicht das Problem sein. Bist du zudem ganz sicher, dass auf der Clientseite nicht allenfalls eine Firewall auch ausgehende Ports filtert?

 

[hadrian85]

Nutzt Du ein eigenes SSL-Zertifikat für die DS? Bei mir ist dieser Fehler auch aufgetreten. Das Problem war, dass die DS in die ZIP-Datei mit der Konfiguration das falsche CA-Zertifikat gepackt hat. Nachdem ich es mit dem richtigen ausgetauscht habe, funktioniert es.

Grüße,
Christian

 

[Header]

Genau vor einen ähnlichen Problem stehe ich auch, bei mir kommt auch keine Verbindung aufgrund eines fehlenden TLS-Handshakes zu Stande.

ich habe jetzt die ca.crt Datei, meines selbst erstellten Zertifikates in die Open VPN Konfigurationsdatein rein gepackt. leider, klappt der TLS-Handshake immer noch nicht. was hast du denn alles ausgetauscht?

LG

 

[hadrian85]

Ich habe die ca.crt aus dem Synology-Archiv mit dem Zertifikat der Root-CA ausgetauscht, die Ausstellerin meines SSL-Zertifikates ist. Danach funktioniertes es problemlos.

Lg.

 

[keamas]

Ich habe die ca.crt aus dem Synology-Archiv mit dem Zertifikat der Root-CA ausgetauscht, die Ausstellerin meines SSL-Zertifikates ist. Danach funktioniertes es problemlos.

Lg.

hat bei mir auch geholfen danke

 

[Nightx]

Kann mir jemand erklären was ich als Noob machen muss? Ich habe da CA.crt importiert aber die Verbindung läuft nicht.

 

[fpo4711]

Kann mir jemand erklären was ich als Noob machen muss? Ich habe da CA.crt importiert aber die Verbindung läuft nicht.

Dir kann nur ein Hellseher helfen.

Vieleicht könntest Du ja mal auf die Idee kommen ein paar Informationen zu posten. Wie beispielsweise sieht deine IP-Struktur aus. Wie sieht dein Log aus. Welche Fehlermeldungen erhällst Du.

Gruß Frank

 

[Nightx]

Wenn ich das alles als NOOB raussuchen könnte und wüßte wo ich suchen muss würde ich nicht fragen......

 

[Nightx]

Nutzt Du ein eigenes SSL-Zertifikat für die DS? Bei mir ist dieser Fehler auch aufgetreten. Das Problem war, dass die DS in die ZIP-Datei mit der Konfiguration das falsche CA-Zertifikat gepackt hat. Nachdem ich es mit dem richtigen ausgetauscht habe, funktioniert es.

Grüße,
Christian

Ich habe bisher keine Zertifikate bewußt genutzt. Wo kann ich das ersehen?