VPNCenter 1.2-2414 - Zertifikate funktionieren nicht mehr richtig!

[Frogman]

...Der Vorteil ist, dass man beim Webzugriff mittels https bzw. Bei anderen SSL/TSL Verbindungen keine Meldung wegen einer nicht beglaubigen Verbindung bekommt, man kann in solchem Fall nicht sicher sein, ob sich einer zwischen dem Zielserver und dem Client gehängt hat. ...

Nur mal so am Rande - dieser Punkt hat nichts damit zu tun, denn Du kannst Dir dessen auch dann nicht sicher sein, wenn es ein Root-CA-signiertes Zertifikat ist, was Du im Client angezeigt bekommst (Stichworte: Staatszugriff auf Root-CAs oder auch Einbruch in Root-CAs mit dem Diebstahl der Signierzertifikate). Hier zieht einzig und allein der Abgleich des Fingerprint des erhaltenen Zertifikats mit Angaben, die der Anbieter des Serverdienstes machen kann, um vor SSL-Proxies sicher zu sein.

Ein fremdsigniertes Zertifikat hat einzig und allein den Vorteil, dass man in den üblichen Clients keine Warnung angezeigt bekommt, dass der Domain-Name in der aufgerufenen Adresse nicht mit dem Namen im ausgelieferten Zertifikat übereinstimmt.

 

[7ynolge]

Ein fremdsigniertes Zertifikat hat einzig und allein den Vorteil, dass man in den üblichen Clients keine Warnung angezeigt bekommt, dass der Domain-Name in der aufgerufenen Adresse nicht mit dem Namen im ausgelieferten Zertifikat übereinstimmt.

Ich bekomme auf meinem iphone mit meinem selbst erstelltem Zertifikat keine Fehlermeldung.

Sehe daher keinen Unterschied.

 

[Frogman]

Dann hast Du beim ersten Aufrufen die Warnmeldung erhalten und bei der Zustimmung zusätzlich die Option genutzt, dass diese Auswahl für die Zukunft gespeichert wird - dann erhält man auch keine Warnungen mehr.

 

[7ynolge]

Nein definitiv nicht. Ich spiele mir das Zertifikat morgen auf mein IPad und antworte dann nochmal

 

[fugazzy]

Wie ist denn der Status in dieser Sache? Ich habe jetzt die Version 1.2 - 2415 auf der DM 5.0 aber Probleme mit OpenVPN mit eigenen Zertifikaten.
Diese sind manuell per ssh auf den Server kopiert und hatten vorher problemlos funktioniert.

Ich stelle fest, dass sich nach dem Start von OpenVPN die ca.crt irgendwie ändert und damit natürlich das ganze nicht mehr funktioniert.

 

[DRIV3R]

Hi fugazzy,

leider gibt es nicht viel neues zu berichten. Auch mit 2415 bleibt der Fehler beim Export der ca.crt über das VPNCenter erhalten. Nach meinem letzten Post hat es zwar noch mal Emailkontakt mit dem Support gegeben, aber mehr als das die Kollegen dabei sind, den Fehler zu reproduzieren, weiß ich auch nicht.

Versteh nur nicht was da solange dauert.
Ne DS mit aktuellen DSM und aktuellen VPNCenter und man reproduziert das in 15 Minuten.

Ich habe festgestellt, dass die ca.crt die ich beim Export bekomme nicht mein Zertifikat ist, sondern ein altes zum Test erstelltes per DSM selbst signiertes. Keine Ahnung warum das noch auf der DS schlummert.

Naja es heißt wohl weiter warten.
Gruß
Timo

 

[DRIV3R]

@fugazzy
@marsiegem

Habe gerade die Meldung vom Synology Support erhalten, dass die Kollegen unser Problem mit dem VPNCenter bzgl. der fremd signierten Zertifikate nicht vor Ort reproduzieren können.
Die wollten weiterhin eine Fernwartung bei mir machen, die ich aber aufgrund von sensiblen Kundendaten nicht zur Verfügung stellen kann.
Der Support Mitarbeiter hat mich nach weiteren Support Ticket ID´s gefragt, die zu dem bekannten VPNCenter Problem passen.
Könnte ihr beiden mir eventuell eure TicketID´s zukommen lassen, damit der Synology Support die Probleme mit dem VPNCenter bündeln kann?

Das wäre Super.

Gruß
Timo

 

[fugazzy]

Könnte ihr beiden mir eventuell eure TicketID´s zukommen lassen, damit der Synology Support die Probleme mit dem VPNCenter bündeln kann?

Hallo, vielen Dank für die Bemühungen, ich habe bisher noch kein Ticket aufgemacht
Es fehlte die Zeit dazu und an wen muss ich mich da wenden?

 

[DRIV3R]

Kannst du ganz einfach hier machen:
Support

 

[fugazzy]

Kannst du ganz einfach hier machen:
Support

habe ich gemacht - 3 bis 5 Tage Rektionszeit . . .

 

[mausbieber]

Hallo,
ich konnte das Problem für Zertifikate von RapidSSL lösen siehe http://www.synology-forum.de/showth...fehlgeschlagen&p=436964&viewfull=1#post436964 .
Es fehlen im ca.crt für den Client zwei Zertifikate um den Chain richtig aufzulösen.

 

[fugazzy]

Hallo, bin durch Fehlermeldungen auf die falsche Fährte gekommen, vor kurzem ist mein Server-Zertifikat abgelaufen, mit dem neuen geht es nun

 

[JogibaerNr1]

Ich hatte ein ähnliches Problem.

Bei mir hat folgendes geholfen:

1. VPN Server Paket im DSM stoppen
2. DiskStation neu starten
3. VPN Server Paket starten
4. Im VPN Server Paket Menü die Konfigurationsdatei erneut exportieren
5. Die ca.crt Datei mit dem Inhalt vom ca.pem Zertifikat von StartSSL ergänzen: https://www.startssl.com/certs/ca.pem also Inhalt im ASCII Format einfach direkt in die Datei kopieren (von diesem Anbieter habe ich mein Zertifikat für meine DiskStation)
6. openvpn.ovpn Datei wie bereits bekannt anpassen ergo Adresse der DiskStation einfügen (in meinem Fall meine Subdomain die auf meine Diskstation.ddns.net Adresse weiterleitet)
7. die geänderten Datein in den OpenVPN Config Programmordner kopieren und die VPN Verbindung erfolgreich herstellen.

 

[DRIV3R]

Hi JogibaerNr.1

Man hab ich lange nach ner Lösung gesucht. Ich hab echt schon alles ausprobiert.........
..... mit Ausnahme von deinem und mausbiebers Tipp läuft es.

Ihr habt euch aber sowas von nen Kasten Bier verdient

Also man muss doch echt das exportierte ca.crt editieren und den Inhalt des, bei mir StartSSL roots, ca.pem einfügen.
Dann klappt das auch.

Hast du was dagegen, wenn ich die Lösung dem Synology Support mitteile.
Ich stehe schon ewig mit denen in Kontakt und wir suchen nach ner Lösung.
Wobei Synology mir in letzter Zeit immer erzählt, dass alles okay wäre und das VPNCenter keinen Bug hätte.
Die Jungs vom englischen Support haben versucht das Problem was wir haben zu reproduzieren und haben dabei keinen Fehler feststellen können.

Ich finde aber, dass ein notwendiges editieren der exportierten ca.crt nicht sein muss.
Dafür hab ich doch das VPNCenter damit ich nicht noch 1000 Std fummeln muss.

Also danke nochmal.
Super!!!

 

[JogibaerNr1]

Na klar, schreibe denen ruhig. Freut mich dass es bei dir auch funktioniert hat.

 

[marsiegem]

Hallo Driver, Hallo Jogibear,

es freut mich das ihr eine Lösung gefunden habt. Ich haben die von dir beschriebene Anleitung ebenfalls befolgt. Leider klappt die Verbindung bei mir immer noch nicht.

Der Knackpunkt ist vermutlich bei Schritt 5.
Könnte mir jemand hier vielleicht noch einen Tipp geben:

Die mit Schritt 4 exportierte ca.cert enthält bei mir:
-----BEGIN CERTIFICATE-----
(...)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(...)
-----END CERTIFICATE-----
Aus "einfach direkt in die Datei kopieren" schließe ich mal der Inhalt der ca.pem soll dahinter eingefügt werden, so dass ich dann am Ende 3 mal Begin Certificate ... End Certificate habe.
Fehlt hier unter Umständen noch etwas?
Ich öffne beide Dateien mit dem Notepad ++ (unter Windows) und kopiere den Inhalt rüber und speichere die ca.cert normal. Gibt es bei diesem Schritt hier wegen der Betonung auf ASCII noch etwas zu beachten?

Vielen Dank
Gruß Mark

 

[JogibaerNr1]

Nein eigentlich sollte das OpenVPN Paket im DSM nur ein Zertifikat exportieren, war jedenfalls bei mir und vielen anderen so. Vielleicht hat Synology inzwischen auf den Fehler reagiert und das Paket aktualisiert.

Das erste Zertifikat in der ca.crt Datei kommt von dir beim Export der Konfigurationsdateien im OpenVPN Paket, und das zweite hat den Inhalt von meinem Link oben, natürlich mit der Voraussetzung dass du dein Zertifikat bei StartSSL erstellt hast. Mehr sollte da nicht drin stehen. Auch wenn eines doppelt sein sollte funktioniert die Verbindun nicht wie ich die Erfahrung gemacht habe, also "nur" zwei Zertifikate in der Datei. Du kannst auch schauen ob sich diese unterscheiden, da reicht schon ein Vergleich von den ersten 10 Buchstaben.

Was die Reihenfolge angeht stimmt das so wie du beschrieben hast, genau so habe ich das auch gemacht.