Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: André PE1PQX op 10 maart 2021, 15:36:21
-
Afgelopen dagen heeft Syno een DSM update vrij gegeven n.l. de 6.2.4-25556. Hierbij is ook het VPN server package bijgewerkt.
Na deze update werkt OpenVPN welke is aangepast volgens deze (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/) manier niet meer.
Client kan geen contact krijgen op een één of andere manier, en het loggen in /var/log/openvpn.log gebeurt ook niet meer. (laatste toevoeging in het log stamt van 8 maart j.l.).
Ik moet nog het log van een Win10 client los peuteren om te zien wat daar in staat.
Zijn er meer die dit zien??
-
Aanvulling: Na het terug zetten van de vorige versie van het OpenVPN package (v. 1.3.11-2777) werkt het wel.
Ergens is er in de update (v 1.3.12-2780) dus iets veranderd waardoor er iets niet meer werkt, maar wat weet ik dus niet!
-
Dat is het nadeel van handmatige aanpassingen. Synology houdt hier natuurlijk geen rekening mee als ze paden of andere zaken veranderen bij een update.
Het blijft leerzaam te weten of het aan de aanpassing ligt, of dat het probleem meer algemeen is.
-
Ben wel zeer geïnteresseerd. Mijn DS214Play, draaiend op DSM 6.2.3-25426 Update 3. Maakt nog geen melding van een update. Ik wilde morgen aan de hier gelinkte procedure beginnen.
Toch maar even afwachten of het een algemeen probleem is.
Overigens staat er in de release notes dit over VPN en Proxy.
When logging in through VPN or Proxy server, some functionalities may have authentication issues. To fix this issue, please go to Control Panel > Security, and click the Trusted Proxies button to add the trusted proxy server to the list.
Mogelijk helpt dat je in de goede richting.
-
André,
Controleer alle paden.
Wat geeft
openvpn --versionop de DS?
Pas het pad naar het log eens aan naar
log /usr/syno/etc/packages/VPNCenter/VPNcerts/openvpn.log
.
Welke versie op de client?
Log met
verb 4
Post beide logs eens, verwijder keys en IP.
-
@Pippin ik heb de voorlaatste weer terug gezet. Ik zal op mijn 918+ dit ook nog eens instellen maar dan met de laatste versie om te zien wat er dan gebeurt.
Daarna zal ik de logs/uitkomsten van je verzoeken even melden.
-
Post ook even
openvpn --show-ciphers
En welke ciphers zijn er beschikbaar in VPN Server? (screenshots)
-
@Pippin Geef me AUB even de tijd, zal de gevraagde data even verzamelen.
Zal de data vanuit mijn (nu werkende) VPN op mijn DS218+ en de gegevens uit een nog in te stellen DS918+ melden.
-
Version uit mijn DS918 met VPN v 1.3.12-2780:
openvpn --version
OpenVPN 2.3.17 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Mar 2 2021
library versions: OpenSSL 1.0.2u-fips 20 Dec 2019, LZO 2.09
Originally developed by James Yonan
Copyright (C) 2002-2017 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes enable_http_proxy=yes enable_iproute2=no enable_libtool_lock=yes enable_lzo=yes enable_lzo_stub=no enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=no with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_plugindir='$(libdir)/openvpn/plugins' with_sysroot=no
git revision: refs/heads/DSM6-2-4-official/8533768265ff2951
Cypher op de zelfde NAS en VPN versie:
openvpn --show-ciphers
The following ciphers and cipher modes are available
for use with OpenVPN. Each cipher shown below may be
used as a parameter to the --cipher option. The default
key size is shown as well as whether or not it can be
changed with the --keysize directive. Using a CBC mode
is recommended. In static key mode only CBC mode is allowed.
AES-128-CBC (128 bit key, 128 bit block)
AES-128-CFB (128 bit key, 128 bit block, TLS client/server mode only)
AES-128-CFB1 (128 bit key, 128 bit block, TLS client/server mode only)
AES-128-CFB8 (128 bit key, 128 bit block, TLS client/server mode only)
AES-128-OFB (128 bit key, 128 bit block, TLS client/server mode only)
AES-192-CBC (192 bit key, 128 bit block)
AES-192-CFB (192 bit key, 128 bit block, TLS client/server mode only)
AES-192-CFB1 (192 bit key, 128 bit block, TLS client/server mode only)
AES-192-CFB8 (192 bit key, 128 bit block, TLS client/server mode only)
AES-192-OFB (192 bit key, 128 bit block, TLS client/server mode only)
AES-256-CBC (256 bit key, 128 bit block)
AES-256-CFB (256 bit key, 128 bit block, TLS client/server mode only)
AES-256-CFB1 (256 bit key, 128 bit block, TLS client/server mode only)
AES-256-CFB8 (256 bit key, 128 bit block, TLS client/server mode only)
AES-256-OFB (256 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-128-CBC (128 bit key, 128 bit block)
CAMELLIA-128-CFB (128 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-128-CFB1 (128 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-128-CFB8 (128 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-128-OFB (128 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-192-CBC (192 bit key, 128 bit block)
CAMELLIA-192-CFB (192 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-192-CFB1 (192 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-192-CFB8 (192 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-192-OFB (192 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-256-CBC (256 bit key, 128 bit block)
CAMELLIA-256-CFB (256 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-256-CFB1 (256 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-256-CFB8 (256 bit key, 128 bit block, TLS client/server mode only)
CAMELLIA-256-OFB (256 bit key, 128 bit block, TLS client/server mode only)
SEED-CBC (128 bit key, 128 bit block)
SEED-CFB (128 bit key, 128 bit block, TLS client/server mode only)
SEED-OFB (128 bit key, 128 bit block, TLS client/server mode only)
The following ciphers have a block size of less than 128 bits,
and are therefore deprecated. Do not use unless you have to.
BF-CBC (128 bit key by default, 64 bit block)
BF-CFB (128 bit key by default, 64 bit block, TLS client/server mode only)
BF-OFB (128 bit key by default, 64 bit block, TLS client/server mode only)
CAST5-CBC (128 bit key by default, 64 bit block)
CAST5-CFB (128 bit key by default, 64 bit block, TLS client/server mode only)
CAST5-OFB (128 bit key by default, 64 bit block, TLS client/server mode only)
DES-CBC (64 bit key, 64 bit block)
DES-CFB (64 bit key, 64 bit block, TLS client/server mode only)
DES-CFB1 (64 bit key, 64 bit block, TLS client/server mode only)
DES-CFB8 (64 bit key, 64 bit block, TLS client/server mode only)
DES-EDE-CBC (128 bit key, 64 bit block)
DES-EDE-CFB (128 bit key, 64 bit block, TLS client/server mode only)
DES-EDE-OFB (128 bit key, 64 bit block, TLS client/server mode only)
DES-EDE3-CBC (192 bit key, 64 bit block)
DES-EDE3-CFB (192 bit key, 64 bit block, TLS client/server mode only)
DES-EDE3-CFB1 (192 bit key, 64 bit block, TLS client/server mode only)
DES-EDE3-CFB8 (192 bit key, 64 bit block, TLS client/server mode only)
DES-EDE3-OFB (192 bit key, 64 bit block, TLS client/server mode only)
DES-OFB (64 bit key, 64 bit block, TLS client/server mode only)
DESX-CBC (192 bit key, 64 bit block)
RC2-40-CBC (40 bit key by default, 64 bit block)
RC2-64-CBC (64 bit key by default, 64 bit block)
RC2-CBC (128 bit key by default, 64 bit block)
RC2-CFB (128 bit key by default, 64 bit block, TLS client/server mode only)
RC2-OFB (128 bit key by default, 64 bit block, TLS client/server mode only)
Het gekke is, dit komt exact overeen met de aangepaste VPN in de DS218.
Android Client is OpenVPN version 3.2.4.(5891)
Windows Client is OpenVPN version 3.2.3.1851
Met de logs ben ik mee bezig....
-
Had de gedachte dat Synology (eindelijk) een update had gedaan naar versie 2.4.x of zelfs 2.5.x
Maar helaas...
Gebruik zelf VPN Server niet meer.
Dus naar de 918 werkt het wel maar naar de 218 niet?
Dan zou ik eerst alle instellingen nalopen, vooral netwerk en firewall.
Synology heeft nog wel eens de gewoonte instellingen te veranderen na een update.
Als de OpenVPN server is gestart ook eens kijken naar
netstat -atunp
-
Ik heb de DS918+ (voor VPN testdoeleinden) nog niet verder aangepast volgens jouw mooie omschrijving.
Hier kom om morgen pas aan toe.
De DS218+ werk inmiddels wel zoals bedoeld en gewenst en is aangepast.
Die 'netstat -atunp', voer ik die in putty uit op de server?? (Dacht het wel, maar twijfel)
-
Ok, dus 218 werkt.
Die 'netstat -atunp', voer ik die in putty uit op de server?? (Dacht het wel, maar twijfel)
Ja in putty/terminal, daar zou dan openvpn op moeten duiken.
-
Ik zal vanavond de 918 ook eens opstellen als VPN server MET die aanpassingen, maar dan met v. 1.3.12.
Log van de 218 (VPN Server) en Android (client) reeds gemaakt, komt er zo aan.
-
Hier 2 logs van een WERKENDE verbinding, inclusief opbouwen en verbreken van de verbinding.
VPN Server:
Thu Mar 11 16:21:27 2021 us=512012 MULTI: multi_create_instance called
Thu Mar 11 16:21:27 2021 us=512116 Vodafone_4G_IP:42065 Re-using SSL/TLS context
Thu Mar 11 16:21:27 2021 us=512144 Vodafone_4G_IP:42065 LZO compression initialized
Thu Mar 11 16:21:27 2021 us=512240 Vodafone_4G_IP:42065 Control Channel MTU parms [ L:1570 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Thu Mar 11 16:21:27 2021 us=512260 Vodafone_4G_IP:42065 Data Channel MTU parms [ L:1570 D:1450 EF:70 EB:143 ET:0 EL:3 AF:3/1 ]
Thu Mar 11 16:21:27 2021 us=512301 Vodafone_4G_IP:42065 Local Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Thu Mar 11 16:21:27 2021 us=512317 Vodafone_4G_IP:42065 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Thu Mar 11 16:21:27 2021 us=512343 Vodafone_4G_IP:42065 Local Options hash (VER=V4): '8a3b3cca'
Thu Mar 11 16:21:27 2021 us=512365 Vodafone_4G_IP:42065 Expected Remote Options hash (VER=V4): '73e43c96'
Thu Mar 11 16:21:27 2021 us=512422 Vodafone_4G_IP:42065 TLS: Initial packet from [AF_INET]Vodafone_4G_IP:42065, sid=a8cae596 2c39246f
Thu Mar 11 16:21:27 2021 us=803161 Vodafone_4G_IP:42065 PID_ERR replay-window backtrack occurred [1] [TLS_AUTH-0] [0_00000000] 1615476086:10 1615476086:9 t=1615476087[0] r=[0,64,15,1,1] sl=[54,10,64,528]
Thu Mar 11 16:21:27 2021 us=803576 Vodafone_4G_IP:42065 VERIFY OK: depth=1, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=CA, emailAddress=rootca@vpn.vpn
Thu Mar 11 16:21:27 2021 us=803970 Vodafone_4G_IP:42065 Validating certificate key usage
Thu Mar 11 16:21:27 2021 us=803989 Vodafone_4G_IP:42065 ++ Certificate has key usage 0088, expects 0080
Thu Mar 11 16:21:27 2021 us=804004 Vodafone_4G_IP:42065 ++ Certificate has key usage 0088, expects 0008
Thu Mar 11 16:21:27 2021 us=804019 Vodafone_4G_IP:42065 ++ Certificate has key usage 0088, expects 0088
Thu Mar 11 16:21:27 2021 us=804033 Vodafone_4G_IP:42065 VERIFY KU OK
Thu Mar 11 16:21:27 2021 us=804051 Vodafone_4G_IP:42065 Validating certificate extended key usage
Thu Mar 11 16:21:27 2021 us=804068 Vodafone_4G_IP:42065 ++ Certificate has EKU (str) TLS Web Client Authentication, expects TLS Web Client Authentication
Thu Mar 11 16:21:27 2021 us=804106 Vodafone_4G_IP:42065 VERIFY EKU OK
Thu Mar 11 16:21:27 2021 us=804124 Vodafone_4G_IP:42065 VERIFY OK: depth=0, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=VPN_USER, emailAddress=Andre@domain.eu
Thu Mar 11 16:21:27 2021 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Thu Mar 11 16:21:28 2021 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Thu Mar 11 16:21:28 2021 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false
.Thu Mar 11 16:21:28 2021 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Thu Mar 11 16:21:28 2021 us=135358 Vodafone_4G_IP:42065 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Thu Mar 11 16:21:28 2021 us=135469 Vodafone_4G_IP:42065 TLS: Username/Password authentication succeeded for username 'VPN_USER'
Thu Mar 11 16:21:28 2021 us=135597 Vodafone_4G_IP:42065 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Mar 11 16:21:28 2021 us=135619 Vodafone_4G_IP:42065 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Thu Mar 11 16:21:28 2021 us=135711 Vodafone_4G_IP:42065 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Mar 11 16:21:28 2021 us=135731 Vodafone_4G_IP:42065 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Thu Mar 11 16:21:28 2021 us=167751 Vodafone_4G_IP:42065 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Thu Mar 11 16:21:28 2021 us=167827 Vodafone_4G_IP:42065 [VPN_USER] Peer Connection Initiated with [AF_INET]Vodafone_4G_IP:42065
Thu Mar 11 16:21:28 2021 us=167878 VPN_USER/Vodafone_4G_IP:42065 MULTI_sva: pool returned IPv4=192.168.160.2, IPv6=(Not enabled)
Thu Mar 11 16:21:28 2021 us=170667 VPN_USER/Vodafone_4G_IP:42065 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Thu Mar 11 16:21:28 2021 us=170746 VPN_USER/Vodafone_4G_IP:42065 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_6b150ea630c7212a601ff54fbaea6c57.tmp
Thu Mar 11 16:21:28 2021 us=170851 VPN_USER/Vodafone_4G_IP:42065 MULTI: Learn: 192.168.160.2 -> VPN_USER/Vodafone_4G_IP:42065
Thu Mar 11 16:21:28 2021 us=170871 VPN_USER/Vodafone_4G_IP:42065 MULTI: primary virtual IP for VPN_USER/Vodafone_4G_IP:42065: 192.168.160.2
Thu Mar 11 16:21:28 2021 us=175844 VPN_USER/Vodafone_4G_IP:42065 PUSH: Received control message: 'PUSH_REQUEST'
Thu Mar 11 16:21:28 2021 us=175914 VPN_USER/Vodafone_4G_IP:42065 send_push_reply(): safe_cap=940
Thu Mar 11 16:21:28 2021 us=175968 VPN_USER/Vodafone_4G_IP:42065 SENT CONTROL [VPN_USER]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.160.0 255.255.255.0,sndbuf 0,rcvbuf 0,route-gateway 192.168.160.1,topology subnet,ping 10,ping-restart 60,ifconfig 192.168.160.2 255.255.255.0' (status=1)
Thu Mar 11 16:21:46 2021 us=213924 VPN_USER/Vodafone_4G_IP:42065 SIGTERM[soft,remote-exit] received, client-instance exiting
Thu Mar 11 16:21:46 2021 RADIUS-PLUGIN: BACKGROUND ACCT: No accounting data was found for VPN_USER,Vodafone_4G_IP:42065.
Thu Mar 11 16:21:46 2021 us=216661 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_DISCONNECT status=0
VPN Client (Android)
16:21:26.953 -- ----- OpenVPN Start -----
16:21:26.953 -- EVENT: CORE_THREAD_ACTIVE
16:21:26.956 -- OpenVPN core 3.git:released:662eae9a:Release android arm64 64-bit PT_PROXY
16:21:26.957 -- Frame=512/2048/512 mssfix-ctrl=1250
16:21:26.957 -- UNUSED OPTIONS
6 [verb] [4]
7 [nobind]
9 [block-outside-dns]
10 [register-dns]
14 [pull]
15 [tls-client]
18 [prng] [SHA256] [32]
23 [fast-io]
26 [auth-nocache]
16:21:26.957 -- EVENT: RESOLVE
16:21:26.961 -- Contacting WAN_IP_ADRES:1194 via UDP
16:21:26.961 -- EVENT: WAIT
16:21:26.964 -- Connecting to [mijn_domein]:1194 (WAN_IP_ADRES) via UDPv4
16:21:27.085 -- EVENT: CONNECTING
16:21:27.088 -- Tunnel Options:V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
16:21:27.088 -- Creds: Username/Password
16:21:27.089 -- Peer Info:
IV_VER=3.git:released:662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_GUI_VER=net.openvpn.connect.android_3.2.4-5891
IV_SSO=openurl
16:21:27.210 -- VERIFY OK: depth=0, /C=??/ST=??/L=??/O=OVPN/OU=Security/CN=Server/emailAddress=Andre@domain.eu
16:21:27.711 -- SSL Handshake: CN=Server, TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
16:21:27.713 -- Session is ACTIVE
16:21:27.715 -- EVENT: GET_CONFIG
16:21:27.722 -- Sending PUSH_REQUEST to server...
16:21:27.749 -- OPTIONS:
0 [redirect-gateway] [def1]
1 [dhcp-option] [DNS] [192.168.1.4]
2 [dhcp-option] [DNS] [192.168.1.5]
3 [route] [192.168.1.0] [255.255.255.0]
4 [route] [192.168.160.0] [255.255.255.0]
5 [sndbuf] [0]
6 [rcvbuf] [0]
7 [route-gateway] [192.168.160.1]
8 [topology] [subnet]
9 [ping] [10]
10 [ping-restart] [60]
11 [ifconfig] [192.168.160.2] [255.255.255.0]
16:21:27.751 -- PROTOCOL OPTIONS:
cipher: AES-256-CBC
digest: SHA256
compress: LZO_STUB
peer ID: -1
16:21:27.753 -- EVENT: ASSIGN_IP
16:21:27.781 -- Connected via tun
16:21:27.783 -- LZO-ASYM init swap=0 asym=1
16:21:27.785 -- Comp-stub init swap=0
16:21:27.787 -- EVENT: CONNECTED info='USER@mijndomein:1194 (WAN_IP_ADRESS) via /UDPv4 on tun/192.168.160.2/ gw=[192.168.160.1/]'
16:21:45.785 -- EVENT: DISCONNECTED
16:21:45.787 -- Tunnel bytes per CPU second: 0
16:21:45.788 -- ----- OpenVPN Stop -----
Ik ga nu de DS918+ met de nieuwe versie opzetten, momentje AUB.
-
Hieronder het log van de Androd client bij een falende verbinding.
Op een één of andere manier word er op de server geen OpenVPN log aangemaakt in /var/log.
19:04:07.016 -- ----- OpenVPN Start -----
19:04:07.017 -- EVENT: CORE_THREAD_ACTIVE
19:04:07.019 -- OpenVPN core 3.git:released:662eae9a:Release android arm64 64-bit PT_PROXY
19:04:07.019 -- Frame=512/2048/512 mssfix-ctrl=1250
19:04:07.021 -- UNUSED OPTIONS
6 [verb] [4]
7 [nobind]
9 [block-outside-dns]
10 [register-dns]
14 [pull]
15 [tls-client]
18 [prng] [SHA256] [32]
23 [fast-io]
26 [auth-nocache]
19:04:07.021 -- EVENT: RESOLVE
19:04:07.106 -- Contacting WAN_IP_ADRESS:1194 via UDP
19:04:07.107 -- EVENT: WAIT
19:04:07.110 -- Connecting to [mijn_domein]:1194 (WAN_IP_ADRESS) via UDPv4
19:04:07.142 -- EVENT: CONNECTING
19:04:47.022 -- Session invalidated: KEEPALIVE_TIMEOUT
19:04:47.023 -- Client terminated, restarting in 2000 ms...
19:04:49.023 -- EVENT: RECONNECTING
19:04:49.031 -- EVENT: RESOLVE
19:04:49.045 -- Contacting WAN_IP_ADRESS:1194 via UDP
19:04:49.045 -- EVENT: WAIT
19:04:49.051 -- Connecting to [mijn_domein]:1194 (WAN_IP_ADRESS) via UDPv4
19:04:49.093 -- EVENT: CONNECTING
19:05:07.023 -- EVENT: PAUSE
19:05:55.635 -- EVENT: RESUME
19:05:55.638 -- EVENT: RECONNECTING
19:05:55.641 -- EVENT: RESOLVE
19:05:55.647 -- Contacting WAN_IP_ADRESS:1194 via UDP
19:05:55.648 -- EVENT: WAIT
19:05:55.650 -- Connecting to [mijn_domein]:1194 (WAN_IP_ADRESS) via UDPv4
19:05:55.683 -- EVENT: CONNECTING
19:06:35.638 -- Session invalidated: KEEPALIVE_TIMEOUT
19:06:35.639 -- Client terminated, restarting in 2000 ms...
19:06:37.637 -- EVENT: RECONNECTING
19:06:37.644 -- EVENT: RESOLVE
19:06:37.656 -- Contacting WAN_IP_ADRESS:1194 via UDP
19:06:37.658 -- EVENT: WAIT
19:06:37.664 -- Connecting to [mijn_domein]:1194 (WAN_IP_ADRESS) via UDPv4
19:06:37.701 -- EVENT: CONNECTING
19:06:55.638 -- EVENT: CONNECTION_TIMEOUT
19:06:55.647 -- EVENT: DISCONNECTED
19:06:55.648 -- Tunnel bytes per CPU second: 0
19:06:55.649 -- ----- OpenVPN Stop ----
En voordat een slim persoon roept "heb je de router wel aangepast en de poort 1194 wel naar je DS918+ door gestuurd?" Jawel, dat heb ik, toch bedankt voor het herinneren. :thumbup: ;)
(Ondertussen weer terug gezet naar een werkende DS218+)
-
Wat laat
netstat -atupzien?
Is daar het server proces zichtbaar?
Het lijkt erop dat de Android client de server niet bereikt
EVENT: CONNECTION_TIMEOUT
-
Ik zie daar slechts één regel waar openvpn in genoemd wordt:
udp6 0 0 [::]:openvpn [::]:* -
Heb verder exact dezelfde procedure gebruikt als in mijn DS218+ bij het opzetten van de server, alleen in de DS918+ een nieuwere versie van het pakket.
Begin sterk het vermoeden te krijgen dat er met OpenVPN 1.3.12-2780 iets aan de hand is.
-
udp6komt niet voor in het server bestand van het beter beveiligen topic.....
udp6 is wel de standaard configuratie.
.
Het VPN Server start script (openvpn.sh) kijkt of openvpn.conf.user bestaat en als dat zo is wordt dat als configuratie bestand gebruikt.
Heb even gesnorkelt:
PKG_USERCONF_DIR="/usr/syno/etc/packages/VPNCenter"
CONF_DIR="${PKG_USERCONF_DIR}/openvpn"
USER_CONF="openvpn.conf.user"
...
...
...
if [ -e ${CONF_DIR}/${USER_CONF} ]; then
OPENVPN_CONF=${USER_CONF}
fi
-
In mijn DS918+ bestaat het bestand openvpn.conf.user (net nog geverifieerd) in de map /usr/syno/etc/packages/VPNCenter/openvpn
-
Hmm...
Wat als je de originele openvpn.conf hernoemt
sudo mv openvpn.conf openvpn.conf.bak
en de aangepaste
sudo mv openvpn.conf.user openvpn.conf?
-
Ik zal daar aankomend weekend eens mee aan de gang.
-
Hmm...
Wat als je de originele openvpn.conf hernoemt
sudo mv openvpn.conf openvpn.conf.bak
en de aangepaste
sudo mv openvpn.conf.user openvpn.conf?
Maakt helaas geen verschil, krijg geen verbinding....
-
Dag André,
om op je vraag terug te komen "zijn er meer die dit zien?".
Ja, helaas ik ook sinds de NAS afgelopen nacht de update heeft doorgevoerd naar de VPN server 1.3.12-2780.
Via de OpenVPN client op Windows krijg je de volgende foutmelding:
....TLS Error: cannot locate HMAC in incoming packet from....
Terugzetten van VPN Server naar de vorige versie (1.3.11-2777) lukte me niet, dat gaf een melding dat downgraden niet mogelijk was. Deïnstalleren durf ik even niet omdat ik bang ben dat ik dan weer de hele flow door moet van "Beter beveiligen...".
Dus ik duckduckgo me suf om te kijken of ik een oplossing kan vinden. Zodra ik iets heb, laat ik het weten.
-
Ik heb auto-update na dit verhaal uitgezet, en wil VPN package voorlopig niet updaten...
-
Terugzetten van VPN Server naar de vorige versie (1.3.11-2777) lukte me niet, dat gaf een melding dat downgraden niet mogelijk was
Dat is dan het voordeel van het gebruik van HyperBackup. Dan kun je vrij simpel terug naar de versie van voor de update. Alleen is het tricky als je zelf files toegevoegd hebt. Die moeten dan wel in folders staan die meegaan met de backup.
-
Deïnstalleren durf ik even niet omdat ik bang ben dat ik dan weer de hele flow door moet van "Beter beveiligen...".
@alexander Het enige wat ik mij kan voorstellen, mocht het zo zijn dat je de VPN Server 1.3.12-2780 gaat verwijderen:
- dan moet je in ieder geval eerst /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.user veilig stellen en weer terugzetten als je VPN Server 1.3.11-2777 hebt geïnstalleerd.
- En misschien ook de VPN Server-database niet verwijderen (wordt gevraagd).
Maar, uiteindelijk kan @Pippin nog beter adviseren dan ik. ;)
-
En, misschien kan dit Topic (https://forums.openvpn.net/viewtopic.php?t=24446) ook wel helpen ?
-
- dan moet je in ieder geval eerst /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.user veilig stellen en weer terugzetten als je VPN Server 1.3.11-2777 hebt geïnstalleerd.
- En misschien ook de VPN Server-database niet verwijderen (wordt gevraagd).
Heb even getest, als je de VPN Server-database niet laat verwijderen, dan blijft de inhoud van /usr/syno/etc/packages/VPNCenter/openvpn/ ook bestaan, dus ook openvpn.conf.user en openvpn.conf......
-
@Birdy en @Briolet: hartelijk dank voor jullie reacties!
TLDR: het werkt weer na wat hobbels die ik hieronder beschrijf.
Heb ik eindelijk eens gebruik kunnen maken van mijn hyperbackup, uit de suggestie van @Briolet. Al jaren maak ik braaf maandelijks een backup op een externe USB disk (en heb ook nog een backup disk ver buitenshuis liggen), maar nog nooit echt nodig gehad. En ik had me ook niet gerealiseerd dat ook de "apps" en de config van de NAS zelf gebackupped werden. Nu dus gemerkt hoe geweldig de hyperbackup inderdaad werkt en hoe makkelijk een restore is.
Uiteraard wel eerst even de files veiliggesteld (better safe than sorry) die @Birdy had geadviseerd.
Restore poging 1: op een DS213 gaat het niet zo snel, dus intussen maar koffie drinken. Na een tijdje een succesvolle restore, hoera. Maar helaas, VPN werkte niet. De VPN server stond na de restore alweer op de foute versie 1.3.12-2780 :o. Kennelijk toch iets met oude en nieuwe versie? Aangezien de restore zo goed werkt, dan maar de VPN server van de NAS weggooien en opnieuw een restore doen.
Restore poging 2: wederom een succesvolle restore. Tijdens restore gecontroleerd dat inderdaad de "vorige" versie 1.3.11-2777 op de backup stond. Mooi zo, maar weer even geduld hebben met de restore. Na een tijdje helaas toch weer de foute versie 1.3.12-2780 :S
Misschien wel handig om de autoupdate op de NAS helemaal uit te zetten?!
Restore poging 3: en ja hoor, zonder autoupdate leverde de restore keurig de gewenste VPN server versie 1.3.11-2777 op. Makkelijkste manier om te controleren: telefoon op 4G en OpenVPN starten. Helaas geen verbinding :'(
De telefoon levert nauwelijks logging, dus de tethering aan op de telefoon en de laptop koppelen aan de telefoon. De OpenVPN op de laptop levert meer logging. Daar kwam een vage melding die DuckDuckGo wist te vertalen naar iets met de route of de port forwarding. Dus routers nagekeken, geen fouten gevonden. Toch nog eens naar de firewall instellingen op de NAS gekeken en de firewall bleek de boosdoener: de rule voor de 1194 poort was verdwenen. Kennelijk had het verwijderen van de VPN server, na restore poging 1, ook tot gevolg dat de firewall rule werd verwijderd. Regel weer toegevoegd en tada, werkt weer.
Eind goed, al goed.
Nogmaals, dank voor het meedenken.
Als ik tijd heb (lees: moet ik een keer maken) zal ik de VPN server update nog eens doorvoeren en kijken of ik het dan toch werkend krijg. Als dat lukt laat ik het uiteraard weten.
-
Misschien wel handig om de autoupdate op de NAS helemaal uit te zetten?!
Zeker weten, voor de Packages en DSM.
Je moet zelf (kunnen) bepalen wanneer je wilt updaten. ;)
Mooi dat het weer werkt. :thumbup:
-
Restore poging 3: en ja hoor, zonder autoupdate leverde de restore keurig
Mooi dat zo'n auto-update ook uit te zetten is. ;)
Ik heb een paar maand geleden iets vergelijkbaars met Firefox gehad. Na een update werkte het printen niet meer correct. (lees: hij printte niet meer direct, maar met 30 seconden vertraging). Backup terug zetten werkte perfect, voor een tiental seconden... totdat de autoupdate weer aansloeg. Uiteindelijk ben ik maar overgestapt op Chrome voor het printen van mijn verzendlabels, die ik on-line moet aanmaken.
-
Ik heb 'gewoon' de oude VPN package gedownload uit de Syno archieven en die gebruikt.
Wel eerst de foute package de-installeren (databases etc. behouden) en dan de oude package installeren. Wel zorgen dat eerst auto-update uit staat!
Wel even checken of de aangepaste bestanden nog op de juiste plek staan en eventueel ta.key opnieuw genereren mocht het nodig zijn.
Een (waarschijnlijk overbodige) tip van mijn kant: bewaar de aangemaakte bestanden zoals de certificaten etc. die na een lange tijd gemaakt zijn. Dus alle bestanden van na het genereren van de Diffy-Huffmann code die je dan hebt!
Mocht je wel de VPN server opnieuw moeten aanpassen hoef je die procedure niet meer te doen.
-
helaas ben ik er ook achtergekomen dat de nieuwste openvpn versie niet werkt
wat een gezeik elke keer
ik heb de oude versie verwijderd(datasbase laten staan) en daarna versie 2777 geinstalleerd.
alle files staan er zo te zien nog.
als ik vpn echter op start staat openvpn uitgeschakeld.
als ik deze probeer in te schakelen(aanvinken) en ik druk op toerpassen dan krijg ik de melding
"importeer eerst het desbetreffende certificaat om deze open VPN service in te schakelen"
wat mis ik nu?
Edit: ik heb inmiddels alles weggegooid inclusief database en vpn 2777 opnieuw gesinstalleerd.
als ik echter helemaal op nieuw begin dan krijg ik nog steeds die melding over het certificaat.
onder certificaten heb ik er 2 staan
Server houdbaar tot 16-3-2036
synology.com houdbaar tot 15-6-2037
Edit2: got it working
i needed to attatch the synology.com certifcate to openVPN
after that i reinstalled the files
really strange that this all happened after the upgrade
This is a major issue if DSM7 will need package 2780 as mandatory
-
helaas ben ik er ook achtergekomen dat de nieuwste openvpn versie niet werkt
wat een gezeik elke keer
Dat is een eigen keuze wanneer je zelf bestanden gaat aanpassen. Na een update zijn regelmatig veel aanpassingen weer weg. Schrijf goed op wat er aangepast is en loop altijd alle aanpassingen door na een update. Of schrijf een script die je na een update runt en alle aanpassingen voor jou doet.
-
This is a major issue if DSM7 will need package 2780 as mandatory
Waarom ineens Engels ?
Maar goed, in DSM 7 Beta is de versie van VPN Server Beta 1.4.1-2830, dus niet 1.3.12-2780.
-
Dat is een eigen keuze wanneer je zelf bestanden gaat aanpassen. Na een update zijn regelmatig veel aanpassingen weer weg. Schrijf goed op wat er aangepast is en loop altijd alle aanpassingen door na een update. Of schrijf een script die je na een update runt en alle aanpassingen voor jou doet.
Met de aanpassingen volgens het beroemde fijne topic werkt de nieuwe versie van VPN server niet!! Hier was ik al achter, zie begin van dit topic.
Dus NA update en DAARNA de aanpassingen uitvoeren kun je GEEN VPN connectie opbouwen.
Enkele logs etc. heb ik al naar Pippin gestuurd.
-
zoals André PE1PQX al noemde. er is iets veranderd in package 2780 en dat heeft niets met de settings(of terugzetten files) te maken.
Het werkt gewoon niet meer.
ik zag wel in de log dat normaliter daar de login naam vrschijnt van de gebruiker die ik gebruik.
nu stond daar systematisch UNDEF
wellicht dat er dus iets fout gaat met het doormelden van de gebruikte username/password of toch ook de certificaten
dat de beta voor dsm7 inmiddels al op 2830 zit geef me zeker geen goed gevoel want we weten niet of de problemen in 2780 daarin verholpen zijn.
@Birdy, inderdaad engels was niet de bedoeling maar blijkbaar switchte ik ineens to english mode.
ik ben blij dat alles weer werkt (inclusief die rare certificaat melding)
het blijft apart dat zo'n update zoveel problemen kan creeren.
-
Noem me eigenwijs, maar ik heb nadat de updates van de VPN server de configuratie bij mij ook onbruikbaar gemaakt toch even doorgezet afgelopen weken en heb nu een werkende configuratie op DSM 6.2.4 met het laatste VPNCenter pakket.
Het is me nog niet helemaal duidelijk wat er aan scheelde maar ik kwam er achter dat ik op een gegeven moment na installatie twee verschillende versies van de OpenVPN binaries op het systeem had staan, in /usr/sbin en binnen de package folder zelf.
Het terugzetten van VPNCenter-x86_64-1.3.11-2777 was bij mij in ieder geval niet voldoende. Ik heb de versies gelijk moeten maken voor het weer ging werken.
Met een vreemd gevoel voor luiheid heb ik dat niet allemaal met de hand zitten uittypen, maar er een tooltje voor gebouwd.
https://github.com/biocoder-frodo/VPNCenter.OpenVPN.PackageConfig
Wat natuurlijk weer niet mogelijk was zonder dit forum..