NAS kan plotseling geen OpenVPN verbinding meer met andere NAS leggen

[steef27]

Hallo,

Sinds een week heb ik problemen met de OpenVPN verbinding die ik van nas 1 (DSM 7.2.1) naar nas 2 (DSM 6.2.4) leg t.b.v. backup.
Met een laptop of smartphone (in het lan van nas 1 maar ook vanaf het www) kan ik zonder problemen met dezelfde *.ovpn (zie bijlage) een verbinding met nas 2 opzetten.
Er is niets gewijzigd aan de instellingen van beide machines.
De meldingen die in de log (zie bijlage) van nas 1 staan zijn niet anders dan meldingen die er een paar weken geleden ook al in stonden.
Het lukt wel om een IPsec/L2TP verbinding op te zetten tussen de nassen, maar er lijkt vervolgens geen data over de lijn te willen. 
Heeft iemand een idee hoe ik dit op kan lossen of wat ik kan controleren? Het probleem lijkt aan de kant van nas 1 te liggen.

Groet, Steef

p.s. sorry als ik dit misschien in de verkeerde groep heb gepost.

[Birdy]

2e regel in de gegeven log staat het probleem en de oplossing.

[steef27]

ook al geprobeerd, heeft geen effect anders dan dat de warning weg is.
De melding staat er overigens al maanden in.

[Birdy]

ook al geprobeerd, heeft geen effect anders dan dat de warning weg is.

De 2e regel was geen Warning !
Dus, weet ik niet wat je geprobeerd hebt.

[Briolet]

De 2e regel was geen Warning !

In de 2e regel staat 'deprecated'.  Deprecated houdt in dat het nog steeds behoort te werken, maar dat het op de nominatie staat om in de toekomst te vervallen. Je kunt dat alvast dingen aanpassen zodat het blijft werken.

PS: Het nut van het eerste screenshot snap ik overigens niet. Als hij verlopen is, update je dat certificaat voordat je naar andere problemen zoekt.

[steef27]

het certificaat dat ik gebruik is 1 op 1 van wat ik van nas 2 download heb via de OpenVPN configuratie.

Ik heb overigens in de*.opvn 'data-ciphers AES-256-CBC' toegevoegd. Zoals ik al zei is de warning daarmee weg, maar het probleem niet verholpen. Het blijft vreemd dat ik via andere devices wél een openvpn verbinding kan opzetten naar NAS2.

[Birdy]

Ik heb overigens in de*.opvn 'data-ciphers AES-256-CBC' toegevoegd. Zoals ik al zei is de warning daarmee weg

Daarmee was dus niet de Warning maar de Deprecated Option weg, het juist benoemen geeft eerder meer duidelijkheid

Het blijft vreemd dat ik via andere devices wél een openvpn verbinding kan opzetten naar NAS2.

Ja, dat is vreemd.
Dan zou je dus denken dat het probleem in NAS1 zit.
Verwijder die OpenVPN verbinding, setup een nieuwe OpenVPN verbinding en test weer.

[Birdy]

Nog eens naar die log gekeken, het gaat eigenlijk om regel 12:
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Maar goed, probeer eerst m'n voorgaande optie eens.

[steef27]

ik heb nu de poort gewijzigd naar 1199 TCP en ook de bijbehorende firewall aanpassingen gedaan.
Ik krijg nu een andere melding op NAS 1: "Verbinding is mislukt. Controleer uw netwerkinstellingen"
Ook de OpenVPN.log laat geen foutmeldingen meer zien.

[steef27]

ik heb het weer op poort 1194 TCP geprobeerd. Geen TLS error of SYNO_ERR_CERT.
Geen fouten in de log, wel in het Interface scherm van DSM "Verbinding is Mislukt. Controleer uw netwerkinstellingen"

Als ik de configuratie weer wijzig naar UDP (zowel op NAS2 en NAS1) dan krijg ik wel weer TLS error en SYNO_ERR_CERT.
Het lijkt er op dat NAS1 ergens een beperking heeft in het uitgaande verkeer, vooral omdat ik met mijn Windows laptop wél gewoon verbinding kan leggen met NAS2. Iemand nog een idee?

[steef27]

het is opgelost!
Ik heb alle wijzigingen teruggedraaid en met één simpele instelling werkt het:
Op de NAS1: Configuratiescherm>Netwerk>Netwerkinterface>LAN>Bewerken>IPv6>"IPv6 installeren" gewijzigd van "automatisch" naar "uit".

De toevoegingen in *.opvn t.a.v. de data-cipher, de instellingen m.b.t. het certificaat, een andere poort of wijziging naar TCP, het was geen onderdeel van de oplossing.

Waarom IPv6 nu ineens een probleem is, is mij een raadsel. Het werkt in ieder geval.

[Briolet]

Bij IPv6 moet je bij de meeste routers het doelIP in de firewall toestaan. Vergelijkbaar met forwarden, maar nu niet per poort, maar alle poorten in één handeling.

Misschien had je vroeger geen IPv6 op beide lokaties en werd het daarom ook niet geprobeerd.

[Babylonia]

Ik heb overigens in de*.opvn 'data-ciphers AES-256-CBC' toegevoegd.....

Vind ik vreemd dat je dat apart zou moeten toevoegen.
Alle basis data m.b.t. gebruikte coderingen / versleuteling die worden geëxporteerd in een OpenVPN configuratiebestand
horen standaard reeds te corresponderen met de OpenVPN server instellingen zoals ingesteld.

IPv6 instellingen kunnen wel impact hebben op de werking van OpenVPN.   (Wel/geen werking via IPv6 - wel met IPv4).
Maar heeft op zichzelf geen impact op gebruikte coderingen / versleuteling, of instellingen die daar betrekking op hebben.