OpenVPN verbinding met pfSense opzetten

[robertbrand]

Hallo allen wie kan mij helpen?

Ik heb een DS2411+ en wil graag een OpenVPN verbinding opzetten met een pfSense router op een andere locatie

ik krij de volgende melding in het logboek van pfSense

openvpn[77511]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]XX.XXX.XX.XXX:1194 

(XXX = wanip van DS2411+ )

en de volgende melding op DS2411+

Verbinding mislukt of certificaat verlopen. Gebruik een geldig certificaat dat door de VPN-server is uitgegeven en probeer opnieuw

heb via client export tool in de pfSense ook de OpenVPN verbinding opgezet op een laptop op hetzelfde wanip en die werkt wel dus het Certificaat is wel goed

wat gaat er fout ??

[Pippin]

Hallo,

Er wordt gebruik gemaakt van een ta.key?
Wat doet de "client export tool"? Die geeft config bestanden voor je client? Wat krijg je dan allemaal?

[robertbrand]

Hallo,

De VPN export tool laat je de instellingen doewnloaden voor de OpenVPN tevens de tool openvpn zelf
ook kan ik uit de pfSense het certificaat appart downloaden zie de bijlage

[Pippin]

Heb je de Android versie tezamen met het certificaat geprobeerd?

Zonder te weten wat er in het *.ovpn bestand staat wordt het lastig, evt de inhoud in een PM naar mij sturen.
Dan eerst openen in een tekst editor om je WAN-IP te verwijderen.

[Pippin]

Inmiddels is er via PB contact geweest waarbij ik toegang tot PFSense heb gekregen.
De details van het genereren van een CA en certificaten met keys in PFSense zal ik jullie besparen en hoort hier eigenlijk ook niet thuis. Het was in elk geval een leuke ervaring voor mij.

De laatste stap die  @robertbrand   moet ondernemen is het werkend krijgen op de DS die als OpenVPN client naar zijn server verbindt.
Dat plaats ik hier omdat het een ander misschien ook helpt.
Tip:
Op dezelfde manier kan ook een OpenVPN verbinding tussen twee DS`en gemaakt worden waarbij de verbinding beter beveiligd wordt volgens het topic: OpenVPN: Beter beveiligen

***
Maak in PFSense eerst een User aan voor je DS, b.v. DS2411 met een wachtwoord
Maak een certificaat, zoals in mijn PB beschreven, onder de OVPN-CA
Exporteer dan de OpenVPN Connect iOS/Android inline versie

Zorg dat je een Unix tekst editor gebruikt, b.v. Notepad++
De pfSense-udp-1194-DS2411-ios-config.ovpn open je in een tekst editor
Vervolgens open je een nieuw tekstbestand
Uit de *.ovpn kopieer je hetgeen wat *tussen* de <ca> </ca> tags staat naar het nieuwe tekstbestand
Dan ziet het er zo uit:

Code: [Selecteer]

-----BEGIN CERTIFICATE-----
...cijfers letters...
-----END CERTIFICATE-----
Sla het tekstbestand op als ca.crt
Laat *.ovpn nog even openstaan

In DSM een nieuw OpenVPN profiel maken met als User DS2411 en bijbehorend wachtwoord.
WAN-IP adres
1194
udp
ca.crt die net gemaakt is selecteren
Volgende
Compressie inschakelen
Remote gateway inschakelen
Reconnect inschakelen
Toepassen
***Nu nog niet op Verbinden klikken***

Verbind met WinSCP naar de DS
Navigeer naar

Code: [Selecteer]

/usr/syno/etc/synovpnclient/openvpnOpen client_o...nummer... door een dubbelklik in WinSCP
Kopieer uit *.ovpn wat hieronder staat en plak het in client_o...nummer... erbij

Code: [Selecteer]

<cert>
-----BEGIN CERTIFICATE-----
...cijfers letters...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...cijfers letters...
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...cijfers letters...
-----END OpenVPN Static key V1-----
</tls-auth>
 key-direction 1
Voeg tevens onderstaande exact toe voor zover het er al niet staat

Code: [Selecteer]

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
verify-x509-name "OVPN-SERVER" name
ns-cert-type server
Dan opslaan

Als het goed is kun je nu in DSM de verbinding starten :-)

Updates:
Bij mijzelf heb ik ook een OpenVPN client profiel op soortgelijke wijze gemaakt en die heeft tot nu toe DSM 5.2 update 3 en 5 overleeft. Desalniettemin is er geen garantie dat het blijft werken na een update en dit dan overnieuw uitgevoerd moet worden.
Maar er is wel hoop want een gemaakt VPN profiel zou een update moeten overleven.....