OpenVPN Zertifikats Problem Verbindung kommt nicht Zustande

[jaerc]

Hallo zusammen

Ich nutze eine DS216+ und habe mir ein SSL Zertifikat ausstellen lassen für https Verbindungen.
Dieses funktioniert nun aber scheinbar mit OpenVPN nicht. korrekt.

Auf der Client Sseite bekomme ich folgenden Fehler wenn ich versuche eine Verbindung mit OpenVPN Client herzustellen:

Fri Apr 15 22:50:22 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Apr 15 22:50:22 2016 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Apr 15 22:50:22 2016 TLS Error: TLS object -> incoming plaintext read error
Fri Apr 15 22:50:22 2016 TLS Error: TLS handshake failed
Fri Apr 15 22:50:22 2016 SIGUSR1[soft,tls-error] received, process restarting
Fri Apr 15 22:50:24 2016 UDPv4 link local (bound): [undef]

Der Synology VPN Server ist auf das neu erstellte Zertifikat gelinkt. (Wenn ich dies ändere auf das vorinstallierte selbst unterzeichnete synology.com Zertifikat habe ich denselben Fehler)

Von der VPN Server Konfiguration habe ich die Konfigurationsdateien exportiert und so das ca.crt erhalten und beim Client wie üblich importiert. Wenn ich dieses öffne ist es ausgestellt fpr Synology INC CA, was dem selbstunterzeichneten Zertifikat entspricht.
Wie kann ich den VPN Server dazu bringen mein neu gekauftes Zertifikat zu verwenden?

Besten Dank
Chris

 

[jaerc]

Habe das Problem mittleweile selber gelöst. Im openvpn.ovpn config file des Clients musst ich noch folgenden Eintrag entfernen:

ns-cert-type server

Anschliessend kam die VPN Verbindung erfolgreich zustande.

 

[Ulfhednir]

Ich habe leider mit meiner DS412+ ebenfalls Probleme. Ich vermute, dass es irgendwie mit den Zertifikaten zusammenhängt. Laut VPN Exportdatei ist das Let's Encrypt Zertifikat dort hinterlegt. Allerdings habe ich in den Sicherheitseinstellungen alles auf Synology-Standard zurückgesetzt.

Vielleicht ein Bug mit DSM 6? PPTP läuft problemfrei.

 

[Tom80]

Hallo,

Ich habe hier auch ein VPN-Problem mit der Verbindung zwischen einer DS214 und einer DS216+.

Der VPN-Server läuft auf der DS216+, über mein Handy kann ich mich hier über OpenVPN problemlos verbinden. (hier ist kein Zertifikat gewählt)
Die DS214 meldet aber immer folgendes Problem:

"Verbindung fehlgeschlagen oder Zertifikat abgelaufen, verwenden Sie bitte ein gültiges Zertifikat....."

Gibt es hier ein genaueres Logfile wo ich sehen kann woher das Problem kommt?
Habe mir auch schon mal ein eigenes Zertifikat erstellt, funktioniert aber auch nicht.

Auf beiden DS läuft die Version DSM 6.0-7321.

Woran kann das nun liegen?

Gruß Tom

 

[Tom80]

Hallo,

Hat denn keiner eine Idee woran das liegen kann?

Gruß Tom

 

[Ulfhednir]

Hast du denn keine Idee?
Im Internet findet man weitere Genossen, die Probleme mit OpenVPN mit DSM 6 haben. Hier im Forum gibt es ebenfalls einige Fälle. Ich vermute einfach, dass Synology leider Bockmist verzapft hat.
Für den Fall der Fälle funktioniert PPTP auch noch.

 

[Ulfhednir]

Ich, für meinen Teil, konnte das Problem lösen! Bei mir ist das Ganze ein Zertifikatsproblem gewesen und resultiert durch die Nutzung von Lets Encrypt.
Die Zertifikate von Lets Enrcypt haben ein Verfallsdatum und werden aus Sicherheitsgründen turnusmäßig aktualisiert. Das hatte scheinbar zur Folge, dass mein über VPN exportiertes Zertifikat ebenfalls abgelaufen war. Der VPN Server behielt sich scheinbar auch das alte Zertifikat im Speicher.
Ich habe nun unter "Sicherheit" das Zertifikat für VPN auf selbst signiert und wieder auf Lets Enrcypt umgestellt. Anschließend unter dem VPN Server das Zertifikat neu exportiert.

Nach dem Hinterlegen meiner Serveradresse (muss mit dem Zertifikat übereinstimmen) klappte der Spaß bei mir wieder.

Vielleicht hilft das dem ein oder anderen.

 

[Frogman]

Die Zertifikate von Lets Enrcypt haben ein Verfallsdatum und werden aus Sicherheitsgründen turnusmäßig aktualisiert. ....

...was allerdings auch für TLS-Zertifikate aller anderen Anbieter wie auch für eigensignierte gilt und so auch korrekt ist.

 

[Tom80]

Hallo,

Hab es nun auch geschafft eine Verbindung aufzubauen.
Bei mir hat es gereicht das Protokol von UDP auf TCP umzustellen.
Anscheinend wurde hier etwas im Speedport-Router nicht richtig durchgereicht.

Nun gehts jedenfalls.

Gruß Tom

 

[Ulfhednir]

...was allerdings auch für TLS-Zertifikate aller anderen Anbieter wie auch für eigensignierte gilt und so auch korrekt ist.

Was bloß nicht auffällt, wenn das Zertifikat bis 2035 signiert ist

 

[Bonehunter99]

Ist zwar schon etwas lange liegen geblieben. Aber vielleicht hilft es ja später doch noch jemandem.

Hatte neulich auf Lets encrypt umgestellt. Die ganze nervigen Zertifikatswarnungen im Browser waren damit weg, dafür ging die Verbindung zum Open VPN nicht mehr.
Die Lösung bei mir: Unter "Sicherheit =>Zertifikat => Konfigurieren" in der Liste der Anwendungen unter Open VPN im Dropdown wider den Wert "synology.com" ausgwàhlt. Funzt.