Synology NAS als Open VPN Client - Probleme mit Config File



  • Ich möchte ein Synology NAS als Client mittels Open VPN mit der pfSense verbinden. Beim Importieren der Config File am NAS kommt bei die Fehlermeldung "Die .ovpn Datei enthält ungültige Parameter. Importieren Sie eine andere Datei."
    Ich habe bereits sämtliche Konfigurationen exportiert und erhalte bei jeder die selbe Fehlermeldung.

    Hat irgendjemand Erfahrungen diesbezüglich?

    Folgende Parameter sind in der Config File enthalten:

    dev tun
    persist-tun
    persist-key
    cipher AES-256-CBC
    ncp-ciphers AES-256-GCM:AES-128-GCM
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote XXXXXXXX 1194 udp
    verify-x509-name "XXXXX" name
    auth-user-pass
    pkcs12 pfSense-udp-1194-XXX.p12
    tls-auth pfSense-udp-1194-XXX-tls.key 1
    remote-cert-tls server
    compress stub

    Danke vorab für Eure Hilfe!



  • Hallo,

    Synology OpenVPN version ist 2.3.11 abhangig von DSM version.
    NCP (ncp-ciphers) ist aber erst ab version 2.4 verfugbar.
    Nim

    ncp-ciphers AES-256-GCM:AES-128-GCM
    

    mal aus die config datei raus und versuchs noch mal.



  • Es kommt leider wieder die Selbe Fehlermeldung.


  • Moderator

    Wie exportierst du die Konfiguration? Mit dem Client Export Package? Bitte die Konfiguration für 2.3er kompatible Clients nutzen.

    Was für ein Verfahren nutzt du? Nur Zertifikate?`User+Zert? User? Die Syno kann ggf. mit einem oder mehreren davon nichts anfangen, da diese ja eher für RoadWarrior mit User/Pass+Zert Konfiguration gedacht sind. Nicht alle OpenVPN Clients (vor allem ältere) können aber hier alle Möglichkeiten nutzen.



  • Hallo,

    ich verwende den Client Export 2.4.4 und habe es mit sämtlichen Exportdateien bereits probiert.  :(

    User+Cert kommt zur Anwendung.


  • Moderator

    User+Cert kommt zur Anwendung.

    siehe oben. Hast du geprüft, dass die Syno damit überhaupt klarkommt? :)



  • @JeGr:

    Hast du geprüft, dass die Syno damit überhaupt klarkommt? :)

    Ja, die Syno kommt mit User+ Cert klar.


  • Moderator

    Dann würde ich als nächstes die Konfiguration als Archive exportieren, damit du alle notwendigen Files einzeln vorliegen hast und die Konfiguration manuell erstellen, statt OVPN Import zu nutzen, an dem sich die Syno ggf. verschluckt. Dann OpenVPN statt OpenVPN (ovpn import) und die Daten selbst eintippern und Zertifikate etc. hochladen.



  • Version 2.3.11 auf der Syno kennt auch kein –compress, hab es nicht gesehen.
    Server anpassen nach lzo, neu exportieren und wieder veruschen


  • Moderator

    Also:

    Bitte mal wie folgt versuchen:

    1. Auf der pfSense den Export für Viscosity als Bundle nutzen
    2. Auspacken
    3. config.conf aufmachen und die letzten 3-4 Zeilen entfernen, da sollte der ganze Kram mit den Dateien drinstehen (also TLS Key, Zert, Key, CA)
    4. Auf der Syno OVPN Import auswählen
    5. Verbindung, Nutzername, Kenntwort und config.conf auswählen, dann erweiterte Optionen ausklappen und dort dann CA-Zertifikat (ca.crt), cert.crt, key.key und ta.key (TLS Auth schlüssel) entsprechend auswählen.
    6. Weiter drücken. Restliche Haken setzen
    7. Fertig
    8. Verbinden drücken und schauen obs läuft.

    Habe das auf die Schnelle mit meiner Syno und unserem FirmenVPN so problemlos hinbekommen, Verbindung wird aufgebaut, IP bekomme ich etc.



  • Danke für die Hilfestellungen!

    Ich habe jetzt den Server auf LZO umgestellt und habe es dann so wie JeGr beschrieben probiert. Nur erhalte ich leider weiterhin die selbe Fehlermeldung "Die .ovpn Datei enthält ungültige Parameter. Importieren Sie eine andere Datei."

    Dürfte ich dich JeGr fragen, welche Parameter du in deiner opvn angeführt hast?

    Vielen Dank!


  • Moderator

    Sicher. Viscosity Bundle Konfiguration exportiert, ausgepackt. Config.conf wie beschrieben um die letzten Einträge in denen es um CA, TLSAuth, Cert und key geht bereinigt. (einfach weggelöscht).

    –-
    #-- Config Auto Generated By pfSense for Viscosity --#

    #viscosity startonopen false
    #viscosity dhcp true
    #viscosity dnssupport true
    #viscosity name UnserFirmenVPNTest

    dev tun
    persist-tun
    persist-key
    cipher AES-256-CBC
    auth SHA256
    tls-client
    client
    resolv-retry infinite
    remote <domainname>1194 udp
    verify-x509-name "vpn-server" name
    auth-user-pass
    remote-cert-tls server

    Straight und simpel.</domainname>



  • Vielen Dank für deine Hilfe JeGr!

    Ich bin zumindest einen Schritt weiter und die Synology nimmt die ovpn-Datei an! ;)
    Wenn ich es richtig rausgelesen habe, verwendest du keine Komprimierung?

    Vielen Dank!



  • weiters erhalte ich jetzt die Fehlermeldung: Ungültiges Zertifikat, obwohl ich es genau wie bei den oberen Treads gemacht habe.


  • Moderator

    Wenn ich es richtig rausgelesen habe, verwendest du keine Komprimierung?

    Nein, der Server ist auf "omit" gestellt, richtet sich also normalerweise nach dem Client. Wir brauchen aber auch keine, das ist meist eh alles SSH.

    weiters erhalte ich jetzt die Fehlermeldung: Ungültiges Zertifikat, obwohl ich es genau wie bei den oberen Treads gemacht habe.

    Ich dachte es klappt jetzt - wo tut es das denn jetzt nicht mehr? Und welches Zertifikat?

    Prinzipiell wie gesagt habe ich genau unser Standard Desktop VPN genommen, das Archiv von Viscosity und fertig. Wenn also irgendwelche Fehler mit Zert o.ä. kommen, dann ist schon vorher was falsch, nicht bei der Syno oder sonstwas. Dann stimmt was an deiner Server Konfiguration nicht. Teste es erstmal bis alles sauber läuft mit einem richtigen Client und dann mit dem NAS.



  • _>> weiters erhalte ich jetzt die Fehlermeldung: Ungültiges Zertifikat, obwohl ich es genau wie bei den oberen Treads gemacht habe.

    Ich dachte es klappt jetzt - wo tut es das denn jetzt nicht mehr? Und welches Zertifikat?_

    die .opvn-Datei nimmt die Syno jetzt, jedoch nicht irgendeines der Zertifikate (welches genau, wird in der Fehlermeldung nicht beschrieben.

    In den .crt und .key Files sind jeweils folgendes enthalten:

    <ca>–---BEGIN CERTIFICATE-----
    MIIEbj...bRrHFlq+dN1CB
    4YoXgr5kaNYuzpOlT/MuEnGgAJry8z4bY+GfCFwEJpiI1A==
    -----END CERTIFICATE-----</ca>

    <cert>-----BEGIN CERTIFICATE-----
    MIIEyDCCA7CgAwIBAgIBBDANBg....qnCL45obffKF0EM7VdQ==
    -----END CERTIFICATE-----</cert>

    <key>-----BEGIN PRIVATE KEY-----
    MIIEvAIB....ZvaPbT6WjA7rEzNw==
    -----END PRIVATE KEY-----</key>

    <tls-auth>#

    2048 bit OpenVPN static key

    -----BEGIN OpenVPN Static key V1-----
    3be2.....d696eef288a0
    -----END OpenVPN Static key V1-----</tls-auth>

    >Prinzipiell wie gesagt habe ich genau unser Standard Desktop VPN genommen, das Archiv von Viscosity und fertig. Wenn also irgendwelche Fehler mit Zert o.ä. kommen, dann ist schon vorher was falsch, nicht bei der Syno oder sonstwas. Dann stimmt was an deiner Server Konfiguration nicht. Teste es erstmal bis alles sauber läuft mit einem richtigen Client und dann mit dem NAS.
    Habe das Archiv von Viscosity genommen und ebenfalls über Viscosity probiert und funktioniert anstandslos.


  • Moderator

    Sorry, dann machst du was Seltsames. Das hat bei mir sofort ohne Gemecker im Import geklappt die Einwahl wurde getriggert. Keines der Files hat einen Fehler geworfen, das Einzige was ich gemacht hatte war in der Konfiguration von config.conf die letzten Zeilen zu löschen die auf die Zert und Key Files gezeigt haben. Damit ging das problemlos.