Fragen, OpenVPN Server als Schnittstelle für Home und Smartphone

[Domi83]

So, überall da wo ein Linux oder Windows Server steht, klappt alles. Jetzt wäre nur noch die Frage, kann es sein dass es mit Synology Probleme geben wird??

Die Config auf meinem Server ist im Start-Post nachgetragen worden und ich hab bei jemandem versucht eine OpenVPN Client Verbindung zu meinem Server aufzubauen, aber das klappt leider nicht. Es scheint wohl Authentifizierungsprobleme zu geben.

Eventuell liegt es auch am "cipher" oder "auth", aber als ich es Freitag Abend ausprobiert hatte und im Log File der Synology gesucht hatte, hab ich so direkt nichts gefunden was mir helfen konnte. Als ich dann im Internet gesucht hatte, gab es dann immer Empfehlungen die Synology als Server zu nutzen, aber das ist ja nicht mein Plan

Sind da grundsätzliche Probleme bekannt?

 

[riversource]

Ich verstehe das Problem noch nicht.

So, überall da wo ein Linux oder Windows Server steht, klappt alles.

Das heißt, die können Verbindungen zum Server aufbauen und sich gegenseitig erreichen? Oder sind die durch ein Gateway erreichbar, z.B. der Raspi?

ich hab bei jemandem versucht eine OpenVPN Client Verbindung zu meinem Server aufzubauen, aber das klappt leider nicht.

Klappt es von gar keinem Client? Oder nur von diesem Client aus nicht? Welche Clients haben denn sonst noch eine Verbindung zum Server? Inwiefern passt das noch zum Bild aus #1?

aber als ich es Freitag Abend ausprobiert hatte und im Log File der Synology gesucht hatte, hab ich so direkt nichts gefunden was mir helfen konnte.

Und im Server Log?

 

[Domi83]

Kurz und knapp, alles geht! Es geht also nicht mehr um Windows, Linux oder irgendwelches Routing.

Das einzige was jetzt nicht geht... ich wollte jetzt eine Synology NAS ebenfalls als Client anbinden, aber diese bekommt einfach keine Verbindung zustande. Die Fehlermeldung (im DSM) ist unter anderem "Authentication Fehler" oder "Verbindung nicht möglich"... irgendwo auf der Synology stand auch was von "offline?", als wenn die Disk Station den Server im Rechenzentrum nicht erreichen könnte. Aber Ports und Co sind kein Thema, da wird nichts geblockt.

Die .ovpn Datei ist exakt die gleiche wie von allen anderen Clients auch. In der Datei sind tls-auth, ca, cert und key eingebunden, dass soll aber wohl kein Problem sein.

In welchem Log auf der Synology sollte das denn genau stehen... irgendwo im DSM oder muss ich über SSH das File suchen?

Nachtrag: Falls mit Serverlog der VPN Server gemeint war, dort taucht nichts auf. Als würde die Synology gar keine Verbindung dort hin aufbauen oder es gar versuchen.

 

[riversource]

Wenn auf Serverseite tatsächlich gar nichts anzeigt, dann gab es tatsächlich keinen Verbindungsaufbau. OpenVPN loggt schon den ersten Kontaktversuch. Es scheint also ein Problem beim Internetzugang der Synology oder des VPN Containers darauf zu sein. Vielleicht was mit DNS, IPv4 oder IPv6?

 

[Domi83]

Ich komme erst morgen Abend wieder an die Synology NAS dran. Diese hängt hinter einer 7590 von der Deutschen Glasfaser und mein Bekannter hatte mir am Freitag Abend den PC eingeschaltet gelassen, so dass ich via TeamViewer drauf kam und Abends die Verbindung einrichten könnte.

Da müsste ich dann mal schauen ob es ein DNS Problem ist und die IPv4 des OpenVPN Servers hinterlegen. Denn das System wo dieser drauf läuft hat statische IP Adressen, aber es gibt auch nen A-Record der auf die IP verweißt. Ich könnte auch noch einen AAAA-Record erstellen, wollte es aber rein über IPv4 laufen lassen.

Aber sonst klappt alles bisher sehr gut.

Meine VPN VM auf Proxmox (zuhause) kann sich mit dem OpenVPN Server verbinden, die Linux sowie Windows Systeme (OpenVPN Clients) bei Kunden und Bekannten können sich verbinden... und wenn ich z.B. von Unterwegs mein Notebook auf mache, den OpenVPN Client starte, VPN verbinde, kann ich alle Subnetze erreichen, ohne dass ich jetzt x Netzwerkadapter hinterlegen muss und alle Verbindungen separat aufbauen muss

 

[Domi83]

So, nachdem mein Bekannter seinen PC eingeschaltet gelassen hat und ich mal auf seine Synology drauf schauen konnte, habe ich folgende Erkenntnis gewonnen...

Tue Jun 14 18:06:37 2022 OpenVPN 2.3.17 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May  7 2020
Tue Jun 14 18:06:37 2022 library versions: OpenSSL 1.0.2u-fips  20 Dec 2019, LZO 2.09
Tue Jun 14 18:06:37 2022 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Jun 14 18:06:37 2022 PLUGIN_INIT: POST /lib/openvpn/openvpn-down-root.so '[/lib/openvpn/openvpn-down-root.so] [/usr/syno/etc.defaults/synovpnclient/scripts/ip-down]' intercepted=PLUGIN_UP|PLUGIN_DOWN
Tue Jun 14 18:06:37 2022 Control Channel Authentication: tls-auth using INLINE static key file
Tue Jun 14 18:06:37 2022 Outgoing Control Channel Authentication: Using 384 bit message hash 'SHA384' for HMAC authentication
Tue Jun 14 18:06:37 2022 Incoming Control Channel Authentication: Using 384 bit message hash 'SHA384' for HMAC authentication
Tue Jun 14 18:06:37 2022 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Jun 14 18:06:37 2022 UDPv4 link local: [undef]
Tue Jun 14 18:06:37 2022 UDPv4 link remote: [AF_INET]xx.xx.xx.xx:xxxxx
Tue Jun 14 18:06:37 2022 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:xxxxx, sid=e81e784b 8fca9b1d
Tue Jun 14 18:06:37 2022 VERIFY OK: depth=1, CN=Easy-RSA CA
Tue Jun 14 18:06:37 2022 Validating certificate key usage
Tue Jun 14 18:06:37 2022 ++ Certificate has key usage  00a0, expects 00a0
Tue Jun 14 18:06:37 2022 VERIFY KU OK
Tue Jun 14 18:06:37 2022 Validating certificate extended key usage
Tue Jun 14 18:06:37 2022 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Tue Jun 14 18:06:37 2022 VERIFY EKU OK
Tue Jun 14 18:06:37 2022 VERIFY OK: depth=0, CN=vpnnet
Tue Jun 14 18:06:37 2022 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1585', remote='link-mtu 1549'
Tue Jun 14 18:06:37 2022 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher AES-256-GCM'
Tue Jun 14 18:06:37 2022 WARNING: 'auth' is used inconsistently, local='auth SHA384', remote='auth [null-digest]'
Tue Jun 14 18:06:37 2022 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun 14 18:06:37 2022 Data Channel Encrypt: Using 384 bit message hash 'SHA384' for HMAC authentication
Tue Jun 14 18:06:37 2022 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun 14 18:06:37 2022 Data Channel Decrypt: Using 384 bit message hash 'SHA384' for HMAC authentication
Tue Jun 14 18:06:37 2022 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Jun 14 18:06:37 2022 [vpnnet] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:xxxxx
Tue Jun 14 18:06:40 2022 SENT CONTROL [vpnnet]: 'PUSH_REQUEST' (status=1)
Tue Jun 14 18:06:40 2022 SYNO_ERR_AUTH
Tue Jun 14 18:06:40 2022 AUTH: Received control message: AUTH_FAILED,Data channel cipher negotiation failed (no shared cipher)
Tue Jun 14 18:06:40 2022 PLUGIN_CLOSE: /lib/openvpn/openvpn-down-root.so
Tue Jun 14 18:06:40 2022 SIGTERM[soft,auth-failure] received, process exiting

Das Problem ist nur, ich bin dann bei meinen Suchaktionen auf die Idee gekommen, zu gucken ob man mehrere "cipher" oder "auth" hinterlegen kann. Angeblich braucht man diese in der server.conf nur hinterlegen und schon geht das, aber auch da bekomme ich die gleiche Fehlermeldung.

Interessant ist auch, dass er mir bei "auth null-digest" sagt... es ist aber auf beiden Seiten "auth SHA384" hinterlegt.

Daher kam auch meine Frage, ob bekannt ist, dass Synology eventuell generelle Probleme mit so etwas hat?!

Gruß, Domi

 

[riversource]

Es fällt auf, das sowohl OpenVPN als auch OpenSSL sehr alt sind. Gibt es kein Update?

Cipher und auth müssen auf beiden Seiten zusammenpassen. Außerdem müssen die Mindestvoraussetzungen für Zertifikatslängen etc. stimmen. Dementsprechend musst du die Konfiguration auf allen beteiligten Geräten aufeinander abstimmen.

 

[Domi83]

Dementsprechend musst du die Konfiguration auf allen beteiligten Geräten aufeinander abstimmen.

Vollkommen verständlich, ich weiß was du meinst... ich erwähne es noch einmal (falls es in Vergessenheit geriet), auf allen anderen Geräten (Windows und Linux Systeme) funktioniert es. Aufgrund diesen Konfigurationen beruht ja die Config für die Synology NAS, doch die NAS will einfach nicht.

Was die Updates angeht, leider ich kann nur mit dem arbeiten was mir die Synology NAS anbietet.

Ich habe sogar (bevor so eine Vermutung kommt) die Config Dateien mal hin und her geschoben. Das heißt, System X hat die Config von Y bekommen, Y die von Z, Z die von P etc., die Verbindungen funktionieren problemlos.

Auch die Config die für die Synology NAS gebaut wurde, funktioniert auf den Windows sowie den Linux Systemen. Ich vermute, dass Problem ist die DSM der Synology NAS. Ich schaue mal, wie die NAS und OpenVPN darauf reagiert, wenn ich ein Update auf DSM 7.x mache. Vielleicht geht es ja dann.

Wäre ja gelacht, wenn das nicht realisierbar wäre... ist ja auch nicht das erste mal, dass ich OpenVPN verwende

Nachtrag: Es war ja so einfach... Update auf DSM 7.x und schon läuft alles! Kumpel war zwar jetzt nicht davon begeistert, dass wir das Update machen, weil er vermutet dass die Performance seiner Synology in den Keller geht, aber damit geht es. Dass kann ich jetzt bei einem anderen Bekannten / Kunden ebenfalls nachstellen und dann auch sein Netzwerk bei mir mit integrieren. Sehr cool und doch so einfach.