OpenVPN und Zertifikat / Zertifikatsabfrage

[RalfPeter]

Hallo an alle VPN Kenner,

ich habe erfolgreich den VPN Server installiert, OpenVPN eingerichtet, die Firewall der DS passend geöffnet und einen VPN Client (Android OpenVPN Connect) istalliert.

Dann habe ich die VPNconfig exportiert, am Smartphone importiert. Verbindung hergestellt, dann kommt folgende Abfrage:



Da ich nicht weiß, was "er" von mir will, klicke ich auf "continue". Jetzt bin ich mit meinem VPN verbunden! Klappt! In den DS Apps die Verbindung zu nutzen (IP des VPN Netzes) ist problemlos. User und Passwort eingeben und schon bin ich verbunden und kann z.B. mit DS File meine (für den Benutzer freigegebenen) Dateien benutzen.

Jetzt habe ich aber Zweifel, inwieweit diese Verbindung wirklich sicher ist. Denn ich habe ja das Zertifikat "ignoriert" durch "continue". In der VPNconfig scheinen 2 Zertifikate zu sein: vielleicht das Syno und mein Let's Encrypt der domain? Wenn ich die Zertifikate ignoriere, bedeutet dies, dass das auch jeder tun kann, der die sonstigen VPNconfig Daten kennt? Das dürfte nicht allzu schwer sein.

Übersehe ich etwas? Muss ich noch zusätzlich ein Sicherheitsmerkal auswählen, damit meine VPN Verbindung sicher ist? Oder wodurch wird die Verbindung sicher?

 

[Fusion]

im Werkszustand wird nur der Server mit einem Zertifikat versehen. So hast du es offensichtlich eingerichtet.
Deshalb gibt es kein Client Zertifikat und "Continue" ist die richtige Auswahl.

Anders falls du (in den neuesten VPNCenter Versionen möglich) ein Client Zertifikat eingerichtet hast. Dann ist eher was beim Profil Import am Client schief gelaufen, wenn er es nicht benutzt.

 

[RalfPeter]

@Fusion: Danke für die Antwort. Dann bedeutet dies: die Verbindung ist sicher!

Was meinst du mit "neuesten VPNCenter Versionen"? Ich benutze VPN Server 1.3.14-2782 und OpenVPN Connet (Android) Version 3.2.5 (7182). Ich benutze DSM 6.2.4 und ich meine, dass alle Pakete aktuell sind.

Oder gibt es eine Anleitung, wie ich ein passendes Client Zertifikat einrichten kann? Was ist der Vorteil?

 

[Fusion]

Das muss direkt in den openVPN Optionen des VPN Servers sichtbar sein.

Ist einfach noch ein weiterer Faktor, dass man neben Passwort auch noch eine "Passwort-Datei" haben muss die zum Gegenstück auf dem Server passt.

 

[RalfPeter]

Du meinst im VPN Server auf der DS in diesem Dialog?



Also hier gibt es bei mir nichts mit Client Zertifikat.

 

[Fusion]

Ja, DSM 7 mit VPN 1.4.4 kann dann tls-auth keys.
Unter DSM 6 müsste man das noch auf der Konsole in der config machen.
Sorry.

 

[RalfPeter]

Konsole? Cool. Aber ganz ehrlich? Da lasse ich die Finger von, solange ich nicht weiß was ich tue.

Danke für deine Hilfe. Hauptsache es ist sicher. Der zusätzliche Klick auf "continue" stört mich nicht.

 

[tproko]

DSM 7 mit VPN 1.4.4 kann dann tls-auth keys

Cool. Hat ja lange gedauert. Hoffentlich holen sie das auch in srm irgendwann nach. Via ssh ging zwar, ging aber 1-2 mal verloren in den letzten Jahren.