Synology NAS als Open VPN Client - Probleme mit Config File

JeGr

Wie exportierst du die Konfiguration? Mit dem Client Export Package? Bitte die Konfiguration für 2.3er kompatible Clients nutzen.

Was für ein Verfahren nutzt du? Nur Zertifikate?`User+Zert? User? Die Syno kann ggf. mit einem oder mehreren davon nichts anfangen, da diese ja eher für RoadWarrior mit User/Pass+Zert Konfiguration gedacht sind. Nicht alle OpenVPN Clients (vor allem ältere) können aber hier alle Möglichkeiten nutzen.

AndyN

Hallo,

ich verwende den Client Export 2.4.4 und habe es mit sämtlichen Exportdateien bereits probiert.  :(

User+Cert kommt zur Anwendung.

JeGr

User+Cert kommt zur Anwendung.

siehe oben. Hast du geprüft, dass die Syno damit überhaupt klarkommt? :)

AndyN

@JeGr:

Hast du geprüft, dass die Syno damit überhaupt klarkommt? :)

Ja, die Syno kommt mit User+ Cert klar.

JeGr

Dann würde ich als nächstes die Konfiguration als Archive exportieren, damit du alle notwendigen Files einzeln vorliegen hast und die Konfiguration manuell erstellen, statt OVPN Import zu nutzen, an dem sich die Syno ggf. verschluckt. Dann OpenVPN statt OpenVPN (ovpn import) und die Daten selbst eintippern und Zertifikate etc. hochladen.

Pippin

Version 2.3.11 auf der Syno kennt auch kein –compress, hab es nicht gesehen.
Server anpassen nach lzo, neu exportieren und wieder veruschen

JeGr

Also:

Bitte mal wie folgt versuchen:

1. Auf der pfSense den Export für Viscosity als Bundle nutzen
2. Auspacken
3. config.conf aufmachen und die letzten 3-4 Zeilen entfernen, da sollte der ganze Kram mit den Dateien drinstehen (also TLS Key, Zert, Key, CA)
4. Auf der Syno OVPN Import auswählen
5. Verbindung, Nutzername, Kenntwort und config.conf auswählen, dann erweiterte Optionen ausklappen und dort dann CA-Zertifikat (ca.crt), cert.crt, key.key und ta.key (TLS Auth schlüssel) entsprechend auswählen.
6. Weiter drücken. Restliche Haken setzen
7. Fertig
8. Verbinden drücken und schauen obs läuft.

Habe das auf die Schnelle mit meiner Syno und unserem FirmenVPN so problemlos hinbekommen, Verbindung wird aufgebaut, IP bekomme ich etc.

AndyN

Danke für die Hilfestellungen!

Ich habe jetzt den Server auf LZO umgestellt und habe es dann so wie JeGr beschrieben probiert. Nur erhalte ich leider weiterhin die selbe Fehlermeldung "Die .ovpn Datei enthält ungültige Parameter. Importieren Sie eine andere Datei."

Dürfte ich dich JeGr fragen, welche Parameter du in deiner opvn angeführt hast?

Vielen Dank!

JeGr

Sicher. Viscosity Bundle Konfiguration exportiert, ausgepackt. Config.conf wie beschrieben um die letzten Einträge in denen es um CA, TLSAuth, Cert und key geht bereinigt. (einfach weggelöscht).

–-
#-- Config Auto Generated By pfSense for Viscosity --#

#viscosity startonopen false
#viscosity dhcp true
#viscosity dnssupport true
#viscosity name UnserFirmenVPNTest

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote <domainname>1194 udp
verify-x509-name "vpn-server" name
auth-user-pass
remote-cert-tls server

Straight und simpel.</domainname>

AndyN

Vielen Dank für deine Hilfe JeGr!

Ich bin zumindest einen Schritt weiter und die Synology nimmt die ovpn-Datei an! ;)
Wenn ich es richtig rausgelesen habe, verwendest du keine Komprimierung?

Vielen Dank!

AndyN

weiters erhalte ich jetzt die Fehlermeldung: Ungültiges Zertifikat, obwohl ich es genau wie bei den oberen Treads gemacht habe.

JeGr

Wenn ich es richtig rausgelesen habe, verwendest du keine Komprimierung?

Nein, der Server ist auf "omit" gestellt, richtet sich also normalerweise nach dem Client. Wir brauchen aber auch keine, das ist meist eh alles SSH.

weiters erhalte ich jetzt die Fehlermeldung: Ungültiges Zertifikat, obwohl ich es genau wie bei den oberen Treads gemacht habe.

Ich dachte es klappt jetzt - wo tut es das denn jetzt nicht mehr? Und welches Zertifikat?

Prinzipiell wie gesagt habe ich genau unser Standard Desktop VPN genommen, das Archiv von Viscosity und fertig. Wenn also irgendwelche Fehler mit Zert o.ä. kommen, dann ist schon vorher was falsch, nicht bei der Syno oder sonstwas. Dann stimmt was an deiner Server Konfiguration nicht. Teste es erstmal bis alles sauber läuft mit einem richtigen Client und dann mit dem NAS.

AndyN

_>> weiters erhalte ich jetzt die Fehlermeldung: Ungültiges Zertifikat, obwohl ich es genau wie bei den oberen Treads gemacht habe.

Ich dachte es klappt jetzt - wo tut es das denn jetzt nicht mehr? Und welches Zertifikat?_

die .opvn-Datei nimmt die Syno jetzt, jedoch nicht irgendeines der Zertifikate (welches genau, wird in der Fehlermeldung nicht beschrieben.

In den .crt und .key Files sind jeweils folgendes enthalten:

<ca>–---BEGIN CERTIFICATE-----
MIIEbj...bRrHFlq+dN1CB
4YoXgr5kaNYuzpOlT/MuEnGgAJry8z4bY+GfCFwEJpiI1A==
-----END CERTIFICATE-----</ca>

<cert>-----BEGIN CERTIFICATE-----
MIIEyDCCA7CgAwIBAgIBBDANBg....qnCL45obffKF0EM7VdQ==
-----END CERTIFICATE-----</cert>

<key>-----BEGIN PRIVATE KEY-----
MIIEvAIB....ZvaPbT6WjA7rEzNw==
-----END PRIVATE KEY-----</key>

<tls-auth>#

2048 bit OpenVPN static key

-----BEGIN OpenVPN Static key V1-----
3be2.....d696eef288a0
-----END OpenVPN Static key V1-----</tls-auth>

>Prinzipiell wie gesagt habe ich genau unser Standard Desktop VPN genommen, das Archiv von Viscosity und fertig. Wenn also irgendwelche Fehler mit Zert o.ä. kommen, dann ist schon vorher was falsch, nicht bei der Syno oder sonstwas. Dann stimmt was an deiner Server Konfiguration nicht. Teste es erstmal bis alles sauber läuft mit einem richtigen Client und dann mit dem NAS.
Habe das Archiv von Viscosity genommen und ebenfalls über Viscosity probiert und funktioniert anstandslos.

JeGr

Sorry, dann machst du was Seltsames. Das hat bei mir sofort ohne Gemecker im Import geklappt die Einwahl wurde getriggert. Keines der Files hat einen Fehler geworfen, das Einzige was ich gemacht hatte war in der Konfiguration von config.conf die letzten Zeilen zu löschen die auf die Zert und Key Files gezeigt haben. Damit ging das problemlos.

tktech

Hey AndyN

ich weiß dass der Thread schon recht alt ist. Ich dachte mir schreibe meine Lösung, vielleicht kann sie jemand anders gebrauchen.

Ich hatte das gleiche Problem wie du ... Ich habe dann in die spezifikation von CERT Files geschaut und habe folgendes entdeckt:
wikipedia on X.509

Übliche Dateinamenserweiterungen für X.509-Zertifikate sind:

.CER – DER- oder Base64-kodiertes Zertifikat
.CRT – DER- oder Base64-kodiertes Zertifikat
.CSR – Base64-kodierte Zertifizierungsanfrage des öffentlichen Schlüssels (plus weitere Metadaten des Besitzers) an eine CA, umschlossen von „-----BEGIN CERTIFICATE REQUEST-----“ und „-----END CERTIFICATE REQUEST-----“
.DER – DER-kodiertes Zertifikat
.P12 – PKCS#12, kann öffentliche Zertifikate und private Schlüssel (Kennwort-geschützt) enthalten.
.P7B – Siehe .p7c
.P7C – PKCS#7-signierte Datenstruktur ohne Dateninhalt, nur mit Zertifikat(en) oder Zertifikatsperrliste(n)
.PEM – Base64-kodiertes Zertifikat, umschlossen von „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“
.PFX – Siehe .p12

Ich denke, dass sich Synology den aufbau der cert files nach Dateiendung determiniert.

In diesem Sinne ... Ich habe alle meine cert files dann mit .pem bezeichnet und den aufbau wie folgt angelegt:
-----BEGIN CERTIFICATE-----
MIIDMTCCApqgAwIBAgIJAOSBBMR+7wPrMA0GCSqGSIb3DQEBBQUAMG8xCzAJBgNV
....
byYdVKj2xZDv+sodTc7zzLkFKUImi0Rcr8I6xtJklBLNAZBcjlns0p5/yAxT5YN7
nCslmxg=
-----END CERTIFICATE-----

ich habe das ca.pem sowie client.pem und key.pem angelegt in drei seperaten dateien und diese in die maske von synology hinzugefügt.

danach hat es sofort geklappt.

hoffe es hilft jemand

beste grüße
tom