VPN funktioniert nicht mehr

[BeBsCh]

Moin Leute,

habe die ganze Zeit openVPN benutzt, um von meinem iPhone auf meine DS412+ zuzugreifen.
Hat auch immer einwandfrei geklappt.
Heute habe ich wieder etwas rumgespielt, u.A. war ein Update für den VPN Server zur Verfügung.
Habe dieses installiert.
Als zweites habe ich versucht ein SSL Zertifikat zu erstellen. Dies hat mir meine DS auch gemacht.
Ich weiss nicht, woran es liegt, dass nun mein openVPN nicht mehr geht.
Die App meldet: Transport Error: PolarSSL: SSL read error: X509 - Ceritficate verification failed

Ich wollte gerne das SSL Zertifikat wieder löschen, da ich es eh nicht hinbekommen habe.
Leider finde ich hierfür keinen Button.
Es gibt nur:

- Zertifikat erstellen
- Zertifikat importieren
- Zertifikat exportieren

Da meine App auch ein paar Details auswirft, welche sich auf dieses selbst erstellte SSL Zertifikat für HTTPS beziehen, gehe ich davon aus, dass es damit zusammen hängt.
da ich regelmäßig ein Backup der Konfig mache, habe ich eine 4 Wochen alte Konfig eingespielt..... weiterhin ist das selbst erstellte Zertifikat vorhanden.
HTTPS ist deaktiviert!!

Die DS ist auf dem aktuellen Stand der Firmware!

 

[Frogman]

In einer gespeicherten Konfiguration sind nur gewisse Daten vorhanden (eingerichtete User, Ordner, Einstellungen), allerdings keine SSL-Zertifikate - von daher ist es nicht verwunderlich, dass diese Maßnahme nichts an den Zertifikaten ändert.
Es hängt im Detail davon ab, was genau Du für das eigene SSL-Zertifikat angestellt hast. Wenn hier ein anderes Root-Zertifikat zum Einsatz kommt, musst Du natürlich im VPN-Server die Konfiguration für den Client neu exportieren und dort einspielen.

Ein SSL-Zertifikat löschen kannst Du direkt so nicht, sondern dafür musst Du wieder ein neues installieren (das alte wird dabei überschrieben). Also entweder ein neues generisches mit Signatur des Synology-CA-Zertifikats erzeugen oder ein neues mit einer entsprechenden Signatur, bspw. von StartSSL oder ein gekauftes Class1/2-Zertifikat.

 

[BeBsCh]

Danke für die schnelle Antwort.
Die Konfig beim VPN zu exportieren habe ich versucht, habe diese neu aufs iphone eingespielt, bringt leider nichts.
" ein neues generisches mit Signatur des Synology-CA-Zertifikats erzeugen" da möchte das NAS haben, dass ich eine Zertifizierungsanforderung wähle....
Was heisst das denn? Da soll man eine datei hochladen.

 

[Frogman]

Dabei kommt aber keine Aufforderung für eine Zertifizierungsanforderung...
Hast Du die unten markierten Option gewählt?

 

[BeBsCh]

Hallo!
So ein Zertifikat habe ich bereits.
Das VPN geht nun wieder, glaube es lag doch irgendwie noch an der Config....
Allerdings möchte ich das verschlüsselte Webinterface doch ans laufen bekommen.
Habe in meinem Chrome Browser das HTTPS Zertifikat importiert und als Vertrauenswürdig hinzugefügt.
Ist jetz automatisch der Aufruf von http://IP:5000 SSL verschlüsselt?
Über https://IP komme ich automatisch aufs Webinterface, aber ohne einen Hinweis, dass es verschlüsselt ist.
Über https://IP:5001 geht nix!
Über https://IP:5000 kommt SSL Verbindungsfehler

Es kann keine sichere Verbindung zum Server hergestellt werden. Möglicherweise liegt ein Problem mit dem Server vor oder es ist ein Client-Authentifizierungszertifikat erforderlich, das Sie nicht haben.
Fehlercode: ERR_SSL_PROTOCOL_ERROR

Mach ich was falsch oder ist alles korrekt so?

 

[Frogman]

Das VPN geht nun wieder, glaube es lag doch irgendwie noch an der Config....

Spontane Selbstheilung? Oder solange an den Knöpfen gespielt, bis es "plötzlich wieder ging"? Hilfreich für eine Ursachenfindung wäre es, dass man die durchgeführten Maßnahmen notiert... nur so als Tipp für die Zukunft.

Allerdings möchte ich das verschlüsselte Webinterface doch ans laufen bekommen.
Habe in meinem Chrome Browser das HTTPS Zertifikat importiert und als Vertrauenswürdig hinzugefügt.

Was bitte hast Du im Browser importiert? Etwa das Serverzertifikat der DS?
Wenn Du dort etwas importierst, sollte es das Signierzertifikat ca.crt sein, also das generische Signierzertifikat von Synology, mit dem die lokalen selbsterzeugten Serverzertifikate server.crt der DS signiert werden.
Alternativ kannst Du das Serverzertifikat bei Aufruf der Serverwebsite, wenn die Warnmeldung über die Vertrauenswürdigkeit kommt, als Ausnahme hinzufügen.

Ist jetz automatisch der Aufruf von http://IP:5000 SSL verschlüsselt?

Nein! Dieses ist der unverschlüsselte Aufruf. Verschlüsselt wird immer über https://...ort (wobei Port je nach Dienst andere Werte annehmen kann, bspw. 5001 für den DSM-Zugang).

Über https://IP:5001 geht nix!

Dieser Aufruf ist richtig - doch damit er funktioniert, musst Du unter den DSM-Einstellungen (unter 'Netzwerk' in der Systemsteuerung) auch https aktiviert haben.

 

[PeterSillie29]

Moin Leute,

habe die ganze Zeit openVPN benutzt, um von meinem iPhone auf meine DS412+ zuzugreifen.
Hat auch immer einwandfrei geklappt.
Heute habe ich wieder etwas rumgespielt, u.A. war ein Update für den VPN Server zur Verfügung.
Habe dieses installiert.
Als zweites habe ich versucht ein SSL Zertifikat zu erstellen. Dies hat mir meine DS auch gemacht.
Ich weiss nicht, woran es liegt, dass nun mein openVPN nicht mehr geht.
Die App meldet: Transport Error: PolarSSL: SSL read error: X509 - Ceritficate verification failed

Ich wollte gerne das SSL Zertifikat wieder löschen, da ich es eh nicht hinbekommen habe.
Leider finde ich hierfür keinen Button.
Es gibt nur:

- Zertifikat erstellen
- Zertifikat importieren
- Zertifikat exportieren

Da meine App auch ein paar Details auswirft, welche sich auf dieses selbst erstellte SSL Zertifikat für HTTPS beziehen, gehe ich davon aus, dass es damit zusammen hängt.
da ich regelmäßig ein Backup der Konfig mache, habe ich eine 4 Wochen alte Konfig eingespielt..... weiterhin ist das selbst erstellte Zertifikat vorhanden.
HTTPS ist deaktiviert!!

Die DS ist auf dem aktuellen Stand der Firmware!

Hi, k.a. ob das für dich in Frage kommt, aber vllt als schnelle Lösung brauchbar: HotpotShield VPN. Ich benutze es seit Monaten, läuft schnell, stabil und ist kostenlos.

Läuft auf allen Browsern, Win, Mac, iOS, Android.

Offiz Seite: http://www.hotspotshield.com/lp/access_youtube_from_germany_de_cnt1/?

Greets

 

[BeBsCh]

Hallo Frogman,

ich habe https aktiviert, trotzdem geht die genannte richtige IP nicht. Kommt ein SSL Fehler.
Die Ca Datei habe ich bei Zertifikate importiert, genau.

Edit:

Sorry, es gibt 2 https haken im Webinterface, hatte das eine nicht aktiviert..

 

[Frogman]

Eben - es gibt eine https-Aktivierung für den System-Apache (DSM usw.) unter 'DSM-Einstellungen' in den Netzwerkeinstellungen und eine für den User-Apache (bspw. für zusätzliche Pakete) unter 'Webdienste'.

 

[BeBsCh]

Was anderes, habe mir bei StartSSL ein kostenloses Zertifikat gemacht (nach einer Anleitung bei Youtube von iDomiX).
Leider finde ich keinen Editor, mit welchem ich in Ascii2 speichern kann, was immer wieder als notwendig erwähnt wird.
Habe bereits Notepad++ heruntergeladen, allerdings finde ich nirgends die Funktion/Codierung/.... , wo ich Ascii2 auswählen kann.

 

[Firepit]

Hallo,

mit Notepad++ geht's.
Speichern unter und dann Dateityp MSDOS / ASCII


Wenn du das Zertifikat hinbekommen hast bei StartSSL, dann sage mal bitte bescheid wie du es gemacht hast.
Ich verzweifel langsam daran.
Ich bekomme einfach kein Zertifikat für Synology hin

Gruß
Firepit

 

[Frogman]

Wenn du das Zertifikat hinbekommen hast bei StartSSL, ...

Für VPN?
Ganz einfach: Du öffnest das Intermediate (d.h. also das sub.class1.server.ca.pem) in einem Editor, ebenso öffnest Du das ca.pem von StartSSL in einem zweiten Fenster. Dann kopierst Du den Inhalt des ca.pem und fügst ihn hinter den Inhalt in die sub.class1.server.ca.pem ein. Wichtig ist es, dazu vorher einen Zeilenumbruch zu machen, d.h. es muss dann so aussehen:

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Das Ganze speicherst Du dann als 'ca.crt' ab, welche Du dann in OpenVPN mit der Konfig zusammen in einen Ordner auf das Client-Device packst. Dann importierst Du die OpenVPN-Konfig im Client.

Alternativ kannst Du auch gleich die kombinierte Datei aus Intermediate und Root-Zertifikat bei der Installation des SSL-Zertifikats auf der DS an Stelle des Intermediates verwenden (damit liefert der Server die Kette mit Intermediate-Cert + Root-Cert aus, was aber performanceseitig bei der typischen Nutzung einer DS nicht relevant ist) - auf diese Weise exportiert der VPN-Server auf der DS gleich die richtige komplette 'ca.crt', die Du dann direkt im OpenVPN-Client verwenden kannst.

Ich habe im Anhang mal diese Datei angefügt, benannt als chain.pem. Genauer gesagt habe ich gleich zwei eingepackt - einmal die chain.pem für eine Zertifikatskette, wo die Signierzertifikate SHA-1 verwenden, und einmal eine chain_256.pem für eine Zertifikatskette, bei der das in Kürze vorgeschriebene SHA-2 (d.h. mit 256bit) verwendet wird. Das Root-Zertifikat ist dasselbe (zweiter Teil in der chain), nur der vordere Teil, d.h. das Intermediate unterscheidet sich (vernünftigerweise hat StartSSL die Intermediates quersigniert).

Hinweis dazu:
man sollte bei selbst erzeugten Zertifikaten den CSR an die Signaturstelle möglichst mit dem Schalter -sha256 verwenden (Beispiel hierhttp://serverfault.com/questions/326657/creating-a-non-md5-csr-for-verisgn), da der bisherige Standard SHA-1 inzwischen als zu schwach anzusehen ist. Ab 2016 wird dann von Browserherstellern und OS-Herstellern begonnen, Zertifikate auf Basis von SHA-1 nicht mehr zu akzeptieren.
Wer aktuell seinen Server hier einmal testet, wird schon recht dezent darauf hingewiesen, die Bewertung wurde schon angepaßt, d.h. Ketten mit SHA-1 werden schon abgewertet.
Details dazu findet man an geeigneter Stelle, bspw. hier bei GlobalSign.

 

[BeBsCh]

ich weiss warum es bei mir nicht geht... kann keine DynDNS einrichten auf meinem Webspace/bei meinem Provider.. dazu bräuchte ich das nächstgrößere Paket

 

[Frogman]

Du meinst, Du kannst keinen CNAME-Record eintragen?

 

[BeBsCh]

Wenn das so heisst?
Ich hab auf jedenfall keine DDNS inklusive und mit einer DNS von synology.me z.b. gehts scheinbar nicht.

 

[Firepit]

Hi Frogman,
danke für die schnelle Antwort, aber so ganz blicke ich noch nicht durch.

Du sprichst da von einer Datei, die ich nicht habe. ca.pem
Die andere habe ich. sub.class1.server.ca.pem

Ich bin genau so vorgegangen, wie es in dem Video geschildert wird.
http://www.youtube.com/watch?v=fIJqppzwZC0

Dabei habe ich folgende Dateien erhalten:
1. en_SSL.key
2. decrypted_ssl.key
3. sub.class1.server.ca.pem

Damit hat es nicht geklappt. Fehlermeldung (Fehlerhaftes Zertifikat)

Auch schreibst du, dass das ganze für OpenVPN ist.
Ich hatte es mit dem VPN mit der Portfreigabe 1723 im Router versucht.
OpenVPN habe ich nicht versucht und nicht aktiviert.

Sorry, dass ich hier so laienhaft schreibe, aber ich bin nun einmal nur normaler Anwender.

Gruß
Firepit

 

[BeBsCh]

Hallo Firepit.

Hast du wie im Video gezeigt, eine eigene Domain, mit der du auch eine Dynamische DNS anlegen kannst?
Ich hatte es nämlich so verstanden, dass es reicht, eine Subdomain mit eigener Domain zu besitzen, und diese auf die .synology.me weiterzuleiten.
Dem ist leider nicht so.
Mein Tarif beim Provider beinhaltet aber leider keine Dynamische DNS

evtl. erweitere ich meinen tarif.... für 3€ mehr im Monat bekomme ich DDNS und 2 weitere Zusatzdomains.

 

[Firepit]

Ja, ich habe eine eigene Domain, sonst geht es nicht.

Wichtig ist auch bei Startcom, dass du unter POSTMASTER@DOMAIN.de zu erreichen bist, weil du auf diese E-Mail-Adresse einen Code bekommst, der in Startcom eingegeben werden musst.
Es gibt 3 verschiedene Adressen, habe sie jetzt aber nicht im Kopf. Meine war eben der POSTMASTER.

 

[BeBsCh]

Die Adresse einzurichten ist ja kein Problem wenn man die Domain hat So hab ichs auch gemacht... Habe aber leider kein DDNS zur Verfügung.
naja wenigstens geht mein VPN wieder...

 

[Firepit]

Ja genau. Und die DDNS ist dann auch deine Sub-Domain.