In overleg met de TS slotje eraf. Maaaaaar ......
Andere openvpn gerelateerde vragen svp in een nieuw draadje. Dat maakt zoeken in het forum ook makkelijker !
Dit draadje werkt de TS starter nog wel bij.
Samsung 6.x VPN is reported not to work unless the VPN app is excempted from Powersave featuresOpenVPN Connect voor Android (https://play.google.com/store/apps/details?id=net.openvpn.openvpn) t/m versie 3.0.7
10.0.0
10.0.1
10.1.1
10.1.10
10.2.0
10.8.0
10.10.1
10.90.90
10.100.1
10.255.255
169.254 # APIPA #
172.16.0
172.16.16
172.16.42
172.16.68
172.19.3
172.20.10 # IPhone built-in hotspot #
192.168.0
192.168.1
192.168.2
192.168.3
192.168.4
192.168.5
192.168.6
192.168.7
192.168.8
192.168.9
192.168.10
192.168.11
192.168.13
192.168.15
192.168.16
192.168.18
192.168.20
192.168.29
192.168.30
192.168.31
192.168.33
192.168.39
192.168.40
192.168.42 # Android USB tethering #
192.168.43 # Android built-in hotspot #
192.168.50
192.168.55
192.168.61
192.168.62
192.168.65
192.168.77
192.168.80
192.168.85
192.168.88
192.168.98
192.168.99
192.168.100
192.168.101
192.168.102
192.168.111
192.168.123
192.168.126
192.168.129
192.168.137 # Windows Phone built-in hotspot #
192.168.168
192.168.178
192.168.190
192.168.199
192.168.200
192.168.220
192.168.223
192.168.229
192.168.240
192.168.245
192.168.251
192.168.252
192.168.254
200.200.200
cd /usr/syno/etc/packages/VPNCenter/VPNcerts
/usr/syno/etc.defaults/rc.sysv/apparmor.sh stop
openvpn --genkey --secret ta.key
Er is nu in de map VPNcerts een ta.key te vinden./usr/syno/etc.defaults/rc.sysv/apparmor.sh start
exit
5. WinSP
Navigeer naar /usr/syno/etc/packages/VPNCenter/openvpn
Hernoem openvpn.conf naar openvpnoud.conf
Download onderaan deze post het config .zip bestand ovpn-server.zip en pak het uit.
Plaats openvpn.conf uit het .zip bestand in bovenstaande map waar de hernoemde versie staat EN VOLG DE INSTRUCTIES die in het bestand staan.
Ik kan de melding ook niet vinden, maar heb nu ook een huilend kind naast me staan.
Dat verstoord ook een beetje de aandacht, vanavond maar even verder prutsen!!
Als alles correct gedaan is zijn we klaar op de VPN Server en kun je deze nu starten via het Package Center.
Als je een melding krijgt in VPN Server om het configuratie bestand te controleren stop dan de VPN Server.
Navigeer met WinSCP naar /usr/syno/etc/packages/VPNCenter/openvpn en open openvpn.conf.
Haal # weg voor #log-append /var/log/openvpn.log, sla op en start opnieuw de VPN Server.
Navigeer naar /var/log en open openvpn.log om te kijken wat de melding is.
WinScp heeft ook een terminal optie (blauwe venster met prompt icon) daar krijg je een command line tot je beschikking, heb je geen putty meer nodig.Klopt, en wil je toch PuTTY dan zit die optie naast die terminal optie ;)
Dan moet PuTTY wel op je PC staan want de eerste keer vraagt WinSCP naar het pad.Is mij nooit opgevallen, WinSCP heeft mij dat niet gevraagd n.l., althans, kan me niets van herinneren, maar dat kan de leeftijd zijn :lol:
tls-auth ta.key 1
tls-auth "c:\\Program Files\\OpenVPN\\config\\ta.key 1"
I had to re-copyThat`s strange...some time ago I rewrote this tutorial to avoid overwriting files but maybe I made some mistake.
TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failedPlease check certificates/keys one by one or:
1 - Zorg ervoor dat SSH-Service aan staat: Configuratiescherm > Terminal.IS dus in DSM! Of heb je ook in Windows 10 die optie.
Ah zo, dat is voor de niet al te gevorderde gebruiker niet geheel duidelijk uit de beschrijving.Dus, een niet gevorderde gebruiker denkt gelijk aan Windows, vind die optie niet dus, slaan we die maar over ? ;)
Na aanpassing nog het zelfde probleem....Bij punt 6 wel het IP-Adres opgegeven van je NAS ?
Feedback voor verbetering (voor beginners zoals ik):
- Duidelijk aangeven dat het om DSM gaat bij SSH
BTW -> top topic! BedanktGraag gedaan.
<ca>
-----BEGIN CERTIFICATE-----
Inhoud van ca.crt
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
Inhoud van gebruiker.crt (client)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
Inhoud van gebruiker.key (client)
-----END RSA PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
Inhoud van ta.key
-----END OpenVPN Static key V1-----
</tls-auth>
staat.Fri Feb 12 15:38:42 2016 us=486294 MULTI: multi_create_instance called
Fri Feb 12 15:38:42 2016 us=486453 62.140.132.44:7508 Re-using SSL/TLS context
Fri Feb 12 15:38:42 2016 us=517408 62.140.132.44:7508 LZO compression initialized
Fri Feb 12 15:38:42 2016 us=517633 62.140.132.44:7508 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Feb 12 15:38:42 2016 us=517688 62.140.132.44:7508 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb 12 15:38:42 2016 us=517989 62.140.132.44:7508 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Fri Feb 12 15:38:42 2016 us=518071 62.140.132.44:7508 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Fri Feb 12 15:38:42 2016 us=518139 62.140.132.44:7508 Local Options hash (VER=V4): '162b04de'
Fri Feb 12 15:38:42 2016 us=518190 62.140.132.44:7508 Expected Remote Options hash (VER=V4): '9e7066d2'
Fri Feb 12 15:38:42 2016 us=518273 62.140.132.44:7508 TLS: Initial packet from [AF_INET]62.140.132.44:7508, sid=5e1458ec 44de9ac1
Fri Feb 12 15:38:48 2016 us=894780 62.140.132.44:7508 VERIFY OK: depth=1, CN=CA
Fri Feb 12 15:38:48 2016 us=896201 62.140.132.44:7508 Validating certificate key usage
Fri Feb 12 15:38:48 2016 us=896264 62.140.132.44:7508 ++ Certificate has key usage 00a0, expects 0080
Fri Feb 12 15:38:48 2016 us=896300 62.140.132.44:7508 ++ Certificate has key usage 00a0, expects 0008
Fri Feb 12 15:38:48 2016 us=896334 62.140.132.44:7508 ++ Certificate has key usage 00a0, expects 0088
Fri Feb 12 15:38:48 2016 us=896367 62.140.132.44:7508 VERIFY KU ERROR
Fri Feb 12 15:38:48 2016 us=896480 62.140.132.44:7508 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:lib(20):func(137):reason(178)
Fri Feb 12 15:38:48 2016 us=896519 62.140.132.44:7508 TLS Error: TLS object -> incoming plaintext read error
Fri Feb 12 15:38:48 2016 us=899685 62.140.132.44:7508 SYNO_ERR_CERT
Fri Feb 12 15:38:48 2016 us=899772 62.140.132.44:7508 TLS Error: TLS handshake failed
Fri Feb 12 15:38:48 2016 us=899998 62.140.132.44:7508 SIGUSR1[soft,tls-error] received, client-instance restarting
VERIFY KU ERRORDeze error geeft aan dat de Key Usage niet correct is.
509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, Key Agreement
X509v3 Extended Key Usage:
TLS Web Client Authentication
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
---
X509v3 Key Usage:
Digital Signature, [b]Key Agreement[/b]
X509v3 Extended Key Usage:
TLS Web Client Authentication
push "dhcp-option DNS ip.van.rou.ter"
in de openvpn.conf.user toevoegen. Dan krijgen alle clients die optie gepushed.dhcp-option DNS ip.van.rou.ter
toevoegen.evt andere netwerk settings
Iets beter omschrijven graag...push dhcp-option DNS ip.van.rou.ter
heb eerder idd ook gebruikt en zal deze ff toevoegen in de openvpn.config.user. Doordat ik DNS server op de nas heb draaien kan ik tevens via vpn mijn andere devices benaderen op basis van <hostname>.<domain> :) Ik zal ook ff de NETBIOS link bekijken.evt andere netwerk settings
Kun je wel negeren, het werkt zoals ik wil ;D
push "dhcp-option DNS ip.van.rou.ter"
Het zou kunnen dat je het certificaat die voor OVPN gebruikt wordt moet toevoegen aan:
Instellingen-->Beveiliging-->onder Opslag van referenties-->Installeren vanaf SD-kaart
Vervolgens selecteer je de twee *.crt bestanden die je in de map VPNcerts hebt staan.
Gebruikt/heeft VyprVPN een eigen App?
Zo ja, dan zet die app de route die nodig is.
Zal een kijken wat het oplevert.En werkt?
The VPN connection warning telling you that this app can intercept all traffic is imposed by the system to prevent abuse of the VPNService API.Het ligt er dus aan welke versie Android men heeft.
The VPN connection notification (The key symbol) is also imposed by the Android system to signal an ongoing VPN connection. On some images this notification plays a sound.
Android introduced these system dialogs for your own safety and made sure that they cannot be circumvented. (On some images this unfortunately includes a notification sound)
Ik bedoel eigenlijk, wanneer je verbindt met VyprVPN, gebruik je dan hun app?Beide ja
Wanneer je verbindt naar je DS gebruik je de OpenVPN Connect app?
Er is nog een andere goede app van Arne Schwabe, OpenVPN for Android, die kan misschien wel routes zetten?App gedownload en daar staat idd het e.e.a. over routes..... Kan even niet met zekerheid zeggen dat dit gaat werken. Buiten dat heb ik geen idee wat en waar ik certificaten etc zou moeten importeren
VPN network interface has been changes to eth0Die melding ken ik niet... Is "Synology eigen" denk ik.
Krijg het niet weer aan de praat... Deze stappen heb ik doorlopen
Dan eerst VPN Center deinstalleren, DS herstarten, weer installeren en handleiding vanaf dat moment volgen.
VPN network interface has been changes to eth0kan ik niet thuisbrengen. Dat heeft er iets mee te maken naar mijn idee.
remote/local TLS keys are out of syncServer herstart terwijl je nog was verbonden met je telefoon?
route -n add -net 10.8.0.0/16 192.168.1.10
waarbij 10.8.0.0 het vpn netwerk is en 192.168.10 het ip adres van de NAS.client-to-client is volgens mij om twee (of meerdere) vpn clients elkaar te laten "zien"Dat klopt en kan ook een oplossing zijn, alleen verbind je dan op het VPN-IP van de client, 10.8.0.x
topology subnettoe te voegen aan de server config.
push "topology subnet"
/volume1/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnf
overwriteccfiles=truewijzigen in
overwriteccfiles=falseAnders worden de client files overschreven door Radius.
/var/packages/VPNCenter/etc/openvpn/ccdEn aan de server config dan nog
client-config-dir ccdtoevoegen.
Client crt details;
X509v3 Key Usage:
Digital Signature, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication
Op de Key usage tab selecteren we links alleen Digital Signature en Key Agreement.
Overigens gebruik ik persoonlijk 1 speciaal VPN user account welke puur dient om de VPN brug te openen.
Uiteraard ook een lang password op het account, overige users mogen geen VPN verbinding opzetten.
push "route 192.168.1.130 255.255.255.0"
push "route 10.8.0.1 255.255.255.0"
topush "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
Max Clients 5
So it was my error..Let`s blame it on Google translate :D
synovpnnet: connection.c:775 not client format
synovpnnet: connection.c:847 SepOpenvpnClientStr(CLIENT_LIST,Cliennaam,PUBLIEK-IP:port,VPN-IP,89951990,330024312,Fri Mar 25 04:32:44 2016,1458876764,Clientnaam) failed
synovpnnet: connection.c:886 ParseOpenvpnClient2DB() failed
synovpnnet: connection.c:914 SetOpenvpnClient2DB() failed
synovpnnet: connection.c:943 failed to refresh openvpn connection DB
Tevens zou het in DSM 6 nu al mogelijk moeten zijn om certificaten per App toe te wijzen.Ha, iets gevonden, schijnt nog niet te werken..... ::)
SSH poort 22 is alleen voor FTP om van buitenaf te kunnen benaderen.Tikvoutje denk ik...
Je kan nog één stapje verder gaan op je openVPN te beveiligen, het idee hierachter is als iemand nu je certificaat te pakken krijgt kan hij inloggen.Hij zal ook nog op DSM of actieve services/packages moeten inloggen en krijgt vervolgens de rechten van de gebruiker waarmee hij inlogt. Zie niet zo goed wat de extra beveiliging dan is?
In onderstaand voorbeeld zou een 'hacker' die je certificaat heeft een VPN tunnel kunnen opbouwen maar kan dan verder niets doen.Zie bovenstaande, ligt eraan welke rechten de gecompromitteerde gebruiker heeft..... of ik begrijp het verkeerd.
Je gebruikt de CCD opties in de openvpn server config fileDat is mogelijk op de NAS , ik doe dat namelijk zelf ook zo.
client-config-dir ccd
Hierna moet je een file aanmaken met exact dezelfde naam als de commonname die gebruikt is in je certificaat en voeg je de IP range toe die deze client mag gebruiken
iroute 192.168.4.0 255.255.255.0
Het IP adres voor de client
ifconfig-push 10.8.2.5 10.8.2.6
Voor wat betreft de certificaten doe ik in grote lijnen wat in de handleiding beschreven staatAls verheldering hierop:
New OpenVPN Windows installers have been released.
The I003 and I604 installers bundle OpenSSL 1.0.1t which fixes some security vulnerabilities.
The I604 installers also bundle a new tap-windows6 driver (9.21.2) which has dual authenticode signatures (SHA1/SHA2) for the best possible compatibility across Windows versions (Vista -> Windows 10).
In addition, the 9.21.2 driver fixes a security vulnerability which, however, required local admin rights to be exploitable.
OpenVPN-GUI has also seen minor changes.
block-outside-dns
register-dns
en hebben verder geen invloed op andere besturingssystemen.Gert Doering (1):
Preparing for release v2.3.11 (ChangeLog, version.m4)
James Yonan (1):
Fixed port-share bug with DoS potential
Jens Neuhalfen (2):
Make intent of utun device name validation clear
Fix buffer overflow by user supplied data
Leonardo Basilio (1):
Correctly report TCP connection timeout on windows.
Lev Stipakov (1):
Report Windows bitness
Michael McConville (1):
Fix undefined signed shift overflow
Niels Ole Salscheider (1):
Fix build with libressl
Samuli Seppänen (1):
Improve LZO, PAM and OpenSSL documentation
Selva Nair (2):
Ensure input read using systemd-ask-password is null terminated
Support reading the challenge-response from console
Steffan Karger (10):
openssl: improve logging
polarssl: improve logging
Update manpage: OpenSSL might also need /dev/urandom inside chroot
socks.c: fix check on get_user_pass() return value(s)
Fix OCSP_check.sh
hardening: add safe FD_SET() wrapper openvpn_fd_set()
Fix memory leak in argv_extract_cmd_name()
Replace MSG_TEST() macro for static inline msg_test()
Restrict default TLS cipher list
Various Changes.rst fixes
ValdikSS (3):
Clarify mssfix documentation
Clarify --block-outside-dns documentation
Update --block-outside-dns to work on Windows Vista
push "route 192.168.193.0 255.255.255.0"
push "route 192.168.168.0 255.255.255.0"
dev tun
management 127.0.0.1 1195
server 192.168.168.0 255.255.255.0
max-clients 5
server 192.168.168.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf
push "route 192.168.193.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)
push "route 192.168.168.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)
max-clients 5 ### 5 vervangen door het nummer uit openvpn.conf
topology subnet
toe te voegen aan de server config, mogelijk is dat de oorzaak.1. Wordt er geen route gezet op de client die naar het LAN wijst.
Kan je / iemand mij hier nog bij helpen?Jawel hoor, het werkt dus ook niet met een standaard configuratie...
dhcp-option DNS x.x.x.x
in de client config?verb 4
/var/log/openvpn.log
toevoegen en dan OpenVPN her/starten.verb 4
dhcp-option DNS 8.8.8.8
toe.192.168.168.1
192.168.193.1 (hier ga ik ervan uit dat dit je gateway van de NAS is, pas dus aan indien nodig)
192.168.193.x (IP van NAS)
192.168.193.xx (IP van ander apparaat waarvan je zeker weet dat die antwoord op ping)
8.8.8.8
216.58.212.142
www.google.nl
Ping resultaten dan hier plaatsen.verb 4
dhcp-option DNS 8.8.8.8
route print
nadat het IP toegewezen is/verbinding volledig tot stand gekomen is om te controleren of de routes gezet worden maar vaak is het log van de client daar al voldoende voor.C:\Users\Gebruiker>ping 10.8.0.1
Pinging 10.8.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Deze ping ^^^ is naar het tunnel IP van de server.ik ben welgeteld 2 dagen bezig geweest om de vpn aan de praat te krijgen.Dat gaat nu sneller denk ik :)
nu deze handleiding gevolgd waarbij ik moet zeggen dat hij niet helemaal idiot proof is.Er staat ook niet beschreven dat die verwijderd moet worden ;)
met name het laten staan van de standaard openvpn.conf is niet duidelijk beschreven.
ook certificaten met hoofdletters is niet slim(voor de iphone).Zou kunnen, heb geen ervaring met Apple.
ik heb echter nog 2 vragenVolgens mij worden voor Apple inline certificaten aangeraden.
....
..
.
Arne Schwabe (2):
Complete push-peer-info documentation and allow IV_PLAT_VER for other platforms than Windows if the client UI supplies it.
Move ASSERT so external-key with OpenSSL works again
David Sommerseth (5):
Only build and run cmocka unit tests if its submodule is initialized
Another fix related to unit test framework
Remove NOP function and callers
Revert "Drop recursively routed packets"
Preparing release of v2.3.12
Dorian Harmans (1):
Add CHACHA20-POLY1305 ciphersuite IANA name translations.
Ivo Manca (1):
Plug memory leak in mbedTLS backend
Jeffrey Cutter (1):
Update contrib/pull-resolv-conf/client.up for no DOMAIN
Jens Neuhalfen (2):
Add unit testing support via cmocka
Add a test for auth-pam searchandreplace
Josh Cepek (1):
Push an IPv6 CIDR mask used by the server, not the pool's size
Leon Klingele (1):
Add link to bug tracker
Lev Stipakov (1):
Drop recursively routed packets
Samuli Seppänen (2):
Update CONTRIBUTING.rst to allow GitHub PRs for code review purposes
Clarify the fact that build instructions in README are for release tarballs
Selva Nair (4):
Make error non-fatal while deleting address using netsh
Make block-outside-dns work with persist-tun
Ignore SIGUSR1/SIGHUP during exit notification
Promptly close the netcmd_semaphore handle after use
Steffan Karger (4):
Fix polarssl / mbedtls builds
Don't limit max incoming message size based on c2->frame
Fix '--cipher none --cipher' crash
Discourage using 64-bit block ciphers
check even of dit bij jou ook zo is of dat jij wel een certificaat ziet in openvpn
status /tmp/ovpn_status_2_result 30 <--wijzigen van 30 naar b.v. 240.
dat bij een reboot alles wel wordt opgestart maar dat een openvpn verbinding opzetten mislukt
package stoppen en starten lost het probleem op
auth-user-pass login
"login" is gewoon een tekst bestand met daarin:gebruiker
wachtwoord
op de eerste twee regels.heb inmiddels een account bij OpenVPNBij Private Tunnel (https://www.privatetunnel.com/home/) neem ik aan?
gebruiker aanmaken in DSMDenk dat je SRM bedoelt...
local 192.168.178.XXX
toe aan de server config, openvpn.conf.user, en probeer het nog eens.# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!
remote <DDNS1-ADDRES> 4911 ### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
remote <DDNS2-ADDRES> 4911 ### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
#cert <GEBRUIKER1.crt> ### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.crt"
#cert <GEBRUIKER2.crt> ### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.crt"
#key <GEBRUIKER1.key> ### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.key"
#key <GEBRUIKER1.key> ### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.key"
# Onderstaande "dhcp-option DNS" hoeft niet gebruikt te worden,
# dan wordt de standaard DNS instelling van de client gebruikt.
# Wil je dat wel dan moet het een geldig DNS server IP zijn
# Hetzij een eigen DNS server (b.v. op de Diskstation)
# Of publieke DNS server (b.v. 8.8.8.8 van Google)
# Wanneer je het wel gebruikt moet het # weggehaalt worden
# Er kunnen er meerdere opgegeven worden
#dhcp-option DNS vul.hier.ip1.in ### IP van DNS server 1
#dhcp-option DNS vul.hier.ip2.in ### IP van DNS server 2
als ik de OpenVPN poort aanpas in DSMGevonden (;
De eigen configuratie optie heeft tot gevolg dat je in het scherm van OpenVPN Server geen instellingen meer kunt doen en onderin krijg je de melding in blauw: Configuratie is aangepastDe poort moet aangepast worden in openvpn.conf.user
Thu Nov 24 21:15:57 2016 TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)
echter de WebUI wordt uitgeschakeldAhhhhh, nu zie ik het ;)
float
toevoegen aan de openvpn.ovpn waarschijnlijk een workaround.TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)
CitaatThu Nov 24 21:15:57 2016 TCP/UDP: Incoming packet rejected from [AF_INET]mijn.ext.ip.adres:1194[2], expected peer address: [AF_INET]mijn.ext.ip.adres:4911 (allow this incoming source address/port by removing --remote or adding --float)
Ook spreekt men van de poort 1149 (TYPO) terwijl deze verandert werd...Die poort 1194 is de poort waarmee server naar de client toe communiceert, het log is immers van de client.
Voeg eens float toe zoals hierboven geschreven aan openvpn.conf en doe dat dan ook maar in openvpn.conf.user
remote DDNS.adres 4911 --float### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
remote DDNS.adres 4911### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
--float
Moet ik dan nog iets op de client zelf aanpassen?Wijzigingen doe je in de config bestanden, openvpn.conf.user en openvpn.ovpn.
TCP/UDP: Incoming packet rejected from [AF_INET]
is nu weg uit het log.TLS Error: TLS key negotiation failed to occur within 60 seconds
Ik heb de file verder aangepast, en nu werkt het! top!
/var/log/openvpn.log
Daarin is waarschijnlijk de reden te zien waarom het mislukt is.twee nieuwe instellingen.....Codering (staat nu op BF-CBC) en Verificatie (Staat op SHA-1)
MULTI: new connection by client 'client' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.Lijkt erop dat er één certificaat met commonname 'client' wordt gebruikt?
Of begrijp ik je nu verkeerd?Goed begrepen.
Of kan ik dat oplossen met die --duplicate-cn instelling? En ik welke config file moet ik die instelling dan zetten?
Ik snap echter nog niet waarom twee verschillende users met twee verschillende certificaten niet tegelijk kunnen werken.Dat zou moeten werken echter kan ik mij voorstellen, als je vanuit hetzelfde netwerk (met hetzelfde WAN-IP) met meerdere clients verbind er IP/routeer conflicten ontstaan (waarschijnlijk wordt hetzelfde VPN-IP gegeven aan verschillende clients)
Dat zou toch moeten werken?
1. Waar moet die --duplicate-cn instelling precies staan?1 en 2 gaan niet samen. Het is of 1 of 2.
2. Ik zou het geweldig vinden als ik een user gebonden certificaat heb.
Zelfs als iemand het juiste account + password zou hebben, heeft hij immers ook het certificaat nodig.Het beschrijft eigenlijk een three factor authentication, n.l. tls-auth, eigen certificaat en gebr./ww.
Is dit mogelijk? Jouw methode komt dicht in de buurt.....
Maar dat multi inlog verhaal zou het helemaal af maken voor mij. Ik kan wel helemaal opnieuw beginnen met de standaard methode, maar daarmee heb ik volgens mijn geen user gebonden certificaat toch?Een oplossing zou dan kunnen zijn om de OpenVPN client op de gateway te draaien, dit zal de router zijn, i.p.v. op elke host.
Ik kan natuurlijk ook per apparaat een andere gebruiker en certificaat aanmaken, maar dat zou dus betekenen dat ik op de NAS meerdere users aan moet maken die in feite dezelfde persoon zijn. Alleen maar om in te kunnen loggen vanaf mijn tablet, telefoon en windows machine tegelijk. Dan kom je weer in de knel met home drives etc. Wat voor de NAS zijn het drie verschillende gebruikers.
Ik heb dit ook zo gedaan met mijn laptop en hiermee kan ik probleemloos van 'buitenaf' inloggen via OpenVPN op mijn netwerk.Werkte eerst wel?
(heb hiervoor een XS4ALL UMTS dongeltje gebruikt).
allow-recursive-routing
Zie https://forums.openvpn.net/viewtopic.php?f=4&t=23432Degene die antwoord gaf in dat topic die ken ik heel goed ;)
De OpenVPN Server heeft een "verborgen" mogelijkheid een eigen configuratie te gebruiken en daar wordt in deze handleiding gebruik van gemaakt. Deze mogelijkheid wordt niet officieel door Synology ondersteund.
Dit zorgt er mede voor dat de configuratie niet overschreven wordt door een update of herstart. Vanaf DSM 5.0 tot op heden kan ik zeggen dat het mij nog niet gebeurt is. Desalniettemin kan het voorkomen dat het toch gebeurt, we weten immers niet welke veranderingen Synology met toekomstige updates aanbrengt.
/var/log/openvpn.log
Ok, ik heb de regel:openvpn.conf ?
tls-auth ta.key 1
toegevoegd aan: /var/pacakges/VPNCenter/etc/openvpn openvpn.conf
/var/pacakges/VPNCenter/etc/openvpn openvpn.conf
MULTI: bad source address from client [xxx.yyy.zzz.www], packet droppedJe mobiel zit in een zogenaamd CGN netwerk, xxx.yyy.zzz.www zal wel een 100.xxx.xxx.xxx adres zijn.
ps: heb het volledig path ook al ingeven in de.ovpn file maar dit veranderd niets...Hoe zien die paden er daadwerkelijk uit dan?
Initial packet from [AF_INET]84.xx.xx.xxx:443
TCP connection established with [AF_INET]84.xx.xx.xxx:57571
Maak anders het server certificaat en de server sleutel opnieuw nadat je ze eerst verwijderd hebt, ook uit XCA.
Daarnaast wil ik graag een ip adres krijgen wat deel uit maakt van mijn lokale netwerk.Lees de bruine letters nog eens.
Dit gaat een tijdje duren laat het z`n gang gaan, drink wat en wacht.....
Drink nog wat.....
.....
....
...
..
Tue May 15 15:31:41 2018 us=274201 NOTE: --fast-io is disabled since we are running on Windows
Tue May 15 15:31:41 2018 us=274201 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:41 2018 us=274201 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:41 2018 us=274201 LZO compression initializing
Tue May 15 15:31:41 2018 us=274201 Control Channel MTU parms [ L:1622 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 15:31:41 2018 us=274201 MANAGEMENT: >STATE:1526362301,RESOLVE,,,,,,
Tue May 15 15:31:41 2018 us=274201 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Tue May 15 15:31:41 2018 us=274201 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 15:31:41 2018 us=274201 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 15:31:41 2018 us=274201 TCP/UDP: Preserving recently used remote address: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:41 2018 us=274201 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 15 15:31:41 2018 us=274201 UDP link local (bound): [AF_INET][undef]:1194
Tue May 15 15:31:41 2018 us=274201 UDP link remote: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:41 2018 us=274201 MANAGEMENT: >STATE:1526362301,WAIT,,,,,,
Tue May 15 15:31:41 2018 us=321001 MANAGEMENT: >STATE:1526362301,AUTH,,,,,,
Tue May 15 15:31:41 2018 us=321001 TLS: Initial packet from [AF_INET]X.X.X.X:1194, sid=6b104c25 6b0586a9
Tue May 15 15:31:42 2018 us=912201 TLS Error: Unroutable control packet received from [AF_INET]X.X.X.X:1194 (si=3 op=P_CONTROL_V1)
Tue May 15 15:31:42 2018 us=912201 VERIFY OK: depth=1, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=CA, emailAddress=rootca@vpn.vpn
Tue May 15 15:31:42 2018 us=912201 VERIFY KU OK
Tue May 15 15:31:42 2018 us=912201 Certificate does not have extended key usage extension
Tue May 15 15:31:42 2018 us=912201 VERIFY EKU ERROR
Tue May 15 15:31:42 2018 us=912201 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Tue May 15 15:31:42 2018 us=912201 TLS_ERROR: BIO read tls_read_plaintext error
Tue May 15 15:31:42 2018 us=912201 TLS Error: TLS object -> incoming plaintext read error
Tue May 15 15:31:42 2018 us=912201 TLS Error: TLS handshake failed
Tue May 15 15:31:42 2018 us=912201 TCP/UDP: Closing socket
Tue May 15 15:31:42 2018 us=912201 SIGUSR1[soft,tls-error] received, process restarting
Tue May 15 15:31:42 2018 us=912201 MANAGEMENT: >STATE:1526362302,RECONNECTING,tls-error,,,,,
Tue May 15 15:31:42 2018 us=912201 Restart pause, 5 second(s)
Tue May 15 15:31:47 2018 us=982201 NOTE: --fast-io is disabled since we are running on Windows
Tue May 15 15:31:47 2018 us=982201 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:47 2018 us=982201 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 15:31:47 2018 us=982201 LZO compression initializing
Tue May 15 15:31:47 2018 us=982201 Control Channel MTU parms [ L:1622 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 15:31:47 2018 us=982201 MANAGEMENT: >STATE:1526362307,RESOLVE,,,,,,
Tue May 15 15:31:47 2018 us=982201 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Tue May 15 15:31:47 2018 us=982201 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 15:31:47 2018 us=982201 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 15:31:47 2018 us=982201 TCP/UDP: Preserving recently used remote address: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:47 2018 us=982201 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 15 15:31:47 2018 us=982201 UDP link local (bound): [AF_INET][undef]:1194
Tue May 15 15:31:47 2018 us=982201 UDP link remote: [AF_INET]X.X.X.X:1194
Tue May 15 15:31:47 2018 us=982201 MANAGEMENT: >STATE:1526362307,WAIT,,,,,,
Tue May 15 15:31:48 2018 us=13401 TLS Error: Unroutable control packet received from [AF_INET]X.X.X.X:1194 (si=3 op=P_CONTROL_V1)
# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!
remote X.X.X.X 1194
### Extern IP adres of DDNS-naam of Domein-naam. Meerdere regels zijn mogelijk
cert Vinnie.crt
### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.crt"
key Vinnie.key
### Heb je voor meerdere gebruikers certificaten/keys gemaakt dan "gebruikersnaam.key"
# Onderstaande "dhcp-option DNS" hoeft niet gebruikt te worden,
# dan wordt de standaard DNS instelling van de client gebruikt.
# Wil je dat wel dan moet het een geldig DNS server IP zijn
# Hetzij een eigen DNS server (b.v. op de Diskstation)
# Of publieke DNS server (b.v. 8.8.8.8 van Google)
# Wanneer je het wel gebruikt moet het # weggehaalt worden
# Er kunnen er meerdere opgegeven worden
#dhcp-option DNS vul.hier.ip1.in ### IP van DNS server 1
#dhcp-option DNS vul.hier.ip2.in ### IP van DNS server 2
# Wat hier onder staat hoeft niet gewijzigd te worden
################################################################
ca CA.crt
verb 4
block-outside-dns
register-dns
redirect-gateway def1
dev tun
proto udp
pull
tls-client
remote-cert-tls server
cipher AES-256-CBC
prng SHA256 32
auth SHA256
tls-version-min 1.2 or-highest
tls-auth ta.key 1
fast-io
comp-lzo
reneg-sec 0
auth-user-pass
auth-nocache
# Dit config bestand dient nog aangepast worden aan jouw situatie
# Wijzig alleen wat gevraagd wordt!
# Er wordt een logbestand geschreven naar:
log /var/log/openvpn.log
verb 4
# Als er problemen zijn om te verbinden bekijk dan het openvpn.log
# Bekijk tevens het log van de client
# Kom je er niet uit, meld je dan hier: http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/
################################################################
# Dit dien je over te nemen van openvpn.conf in /usr/syno/etc/packages/VPNCenter/openvpn
# Als het IP adres 192.168.160.1 is overgenomen uit de handleiding hoeft hier onder <push "route 192.168.160.0 255.255.255.0"> niet vervangen te worden
server 192.168.160.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf
push "route 192.168.1.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)
push "route 192.168.160.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)
max-clients 5 ### 5 vervangen door het nummer uit openvpn.conf
# Wat hier onder staat hoeft niet gewijzigd te worden
################################################################
topology subnet
push "sndbuf 0"
push "rcvbuf 0"
sndbuf 0
rcvbuf 0
management 127.0.0.1 1195
dev tun
proto udp
port 1194
persist-tun
persist-key
cipher AES-256-CBC
prng SHA256 32
auth SHA256
tls-version-min 1.2 or-highest
tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0
remote-cert-tls client
dh /usr/syno/etc/packages/VPNCenter/VPNcerts/dh4096.pem
ca /usr/syno/etc/packages/VPNCenter/VPNcerts/CA.crt
cert /usr/syno/etc/packages/VPNCenter/VPNcerts/Server.crt
key /usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key
fast-io
comp-lzo
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
status /tmp/ovpn_status_2_result 30
status-version 2
Tue May 15 16:01:25 2018 us=850677 MULTI: multi_create_instance called
Tue May 15 16:01:25 2018 us=850942 X.X.X.X:41100 Re-using SSL/TLS context
Tue May 15 16:01:25 2018 us=851049 X.X.X.X:41100 LZO compression initialized
Tue May 15 16:01:25 2018 us=851325 X.X.X.X:41100 Control Channel MTU parms [ L:1570 D:1172 EF:78 EB:0 ET:0 EL:3 ]
Tue May 15 16:01:25 2018 us=851437 X.X.X.X:41100 Data Channel MTU parms [ L:1570 D:1450 EF:70 EB:143 ET:0 EL:3 AF:3/1 ]
Tue May 15 16:01:25 2018 us=851579 X.X.X.X:41100 Local Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-server'
Tue May 15 16:01:25 2018 us=851649 X.X.X.X:41100 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client'
Tue May 15 16:01:25 2018 us=851746 X.X.X.X:41100 Local Options hash (VER=V4): '8a3b3cca'
Tue May 15 16:01:25 2018 us=851834 X.X.X.X:41100 Expected Remote Options hash (VER=V4): '73e43c96'
Tue May 15 16:01:25 2018 us=852001 X.X.X.X:41100 TLS: Initial packet from [AF_INET]X.X.X.X:41100, sid=572a78bb f525f70b
Tue May 15 16:01:27 2018 us=402465 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [22] 1526364084:2 1526364084:2 t=1526364087[0] r=[-2,64,15,0,1] sl=[62,2,64,272]
Tue May 15 16:01:27 2018 us=402659 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #2 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:27 2018 us=402743 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:29 2018 us=258046 X.X.X.X:41100 VERIFY OK: depth=1, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=CA, emailAddress=rootca@vpn.vpn
Tue May 15 16:01:29 2018 us=263430 X.X.X.X:41100 Validating certificate key usage
Tue May 15 16:01:29 2018 us=263550 X.X.X.X:41100 ++ Certificate has key usage 0088, expects 0080
Tue May 15 16:01:29 2018 us=263619 X.X.X.X:41100 ++ Certificate has key usage 0088, expects 0008
Tue May 15 16:01:29 2018 us=263675 X.X.X.X:41100 ++ Certificate has key usage 0088, expects 0088
Tue May 15 16:01:29 2018 us=263729 X.X.X.X:41100 VERIFY KU OK
Tue May 15 16:01:29 2018 us=263794 X.X.X.X:41100 Validating certificate extended key usage
Tue May 15 16:01:29 2018 us=263857 X.X.X.X:41100 ++ Certificate has EKU (str) TLS Web Client Authentication, expects TLS Web Client Authentication
Tue May 15 16:01:29 2018 us=263914 X.X.X.X:41100 VERIFY EKU OK
Tue May 15 16:01:29 2018 us=264004 X.X.X.X:41100 VERIFY OK: depth=0, C=??, ST=??, L=??, O=OVPN, OU=Security, CN=Vinnie, emailAddress=Vinnie@vpn.vpn
Tue May 15 16:01:30 2018 us=464170 X.X.X.X:41100 PID_ERR replay-window backtrack occurred [2] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:7 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464341 X.X.X.X:41100 PID_ERR replay [2] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:7 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464447 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=464608 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=464821 X.X.X.X:41100 PID_ERR replay [1] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:8 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=464934 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465003 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465137 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:9 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465233 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465297 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465449 X.X.X.X:41100 PID_ERR replay [1] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:8 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465542 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465605 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 us=465727 X.X.X.X:41100 PID_ERR replay [0] [TLS_AUTH-0] [011333355] 1526364084:9 1526364084:9 t=1526364090[0] r=[0,64,15,2,1] sl=[55,9,64,272]
Tue May 15 16:01:30 2018 us=465818 X.X.X.X:41100 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 / time = (1526364084) Tue May 15 16:01:24 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Tue May 15 16:01:30 2018 us=465882 X.X.X.X:41100 TLS Error: incoming packet authentication failed from [AF_INET]X.X.X.X:41100
Tue May 15 16:01:30 2018 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Tue May 15 16:01:31 2018 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Tue May 15 16:01:31 2018 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false
.Tue May 15 16:01:31 2018 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Tue May 15 16:01:31 2018 us=75434 X.X.X.X:41100 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Tue May 15 16:01:31 2018 us=75631 X.X.X.X:41100 TLS: Username/Password authentication succeeded for username 'Vinnie'
Tue May 15 16:01:31 2018 us=76138 X.X.X.X:41100 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 15 16:01:31 2018 us=76273 X.X.X.X:41100 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 16:01:31 2018 us=76354 X.X.X.X:41100 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 15 16:01:31 2018 us=76424 X.X.X.X:41100 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue May 15 16:01:31 2018 us=171518 X.X.X.X:41100 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Tue May 15 16:01:31 2018 us=171718 X.X.X.X:41100 [Vinnie] Peer Connection Initiated with [AF_INET]X.X.X.X:41100
Tue May 15 16:01:31 2018 us=171881 Vinnie/X.X.X.X:41100 MULTI_sva: pool returned IPv4=192.168.160.2, IPv6=(Not enabled)
Tue May 15 16:01:31 2018 us=198042 Vinnie/X.X.X.X:41100 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Tue May 15 16:01:31 2018 us=198268 Vinnie/X.X.X.X:41100 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_6d7afee432a7858787927bbb020aa56e.tmp
Tue May 15 16:01:31 2018 us=198565 Vinnie/X.X.X.X:41100 MULTI: Learn: 192.168.160.2 -> Vinnie/X.X.X.X:41100
Tue May 15 16:01:31 2018 us=198662 Vinnie/X.X.X.X:41100 MULTI: primary virtual IP for Vinnie/X.X.X.X:41100: 192.168.160.2
Tue May 15 16:01:31 2018 us=199212 Vinnie/X.X.X.X:41100 PUSH: Received control message: 'PUSH_REQUEST'
Tue May 15 16:01:31 2018 us=199316 Vinnie/X.X.X.X:41100 send_push_reply(): safe_cap=940
Tue May 15 16:01:31 2018 us=199451 Vinnie/X.X.X.X:41100 SENT CONTROL [Vinnie]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.160.0 255.255.255.0,sndbuf 0,rcvbuf 0,route-gateway 192.168.160.1,topology subnet,ping 10,ping-restart 60,ifconfig 192.168.160.2 255.255.255.0' (status=1)
Tue May 15 16:02:03 2018 us=503272 Vinnie/X.X.X.X:41100 SIGTERM[soft,remote-exit] received, client-instance exiting
Tue May 15 16:02:03 2018 RADIUS-PLUGIN: BACKGROUND ACCT: No accounting data was found for Vinnie,X.X.X.X:41100.
Tue May 15 16:02:03 2018 us=506538 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_DISCONNECT status=0
I'm using one set of certs for both devices, I don't think this matters but pointed it out just in case.It does, certificate is coupled to the user (this is not a 100% correct explanation for our NAS but the outcome will be the same).
iptables -S
op de command line.iptables -S > /volume1/SHARE/regels.txt
SHARE vervangen door een gedeelde map.Ik heb verder het idee dat in de OpenVPN config file voor de client nog het een en ander in te stellen is. Echt 100% secure is dat ook weer niet omdat dit eenvoudig is te wijzigen.Je geeft het zelf al aan. De client kan zelf routes zetten naar jou interne netwerk(en) en zo mogelijk toegang krijgen.
Firewall mogelijkheid is eigenlijk een must, zeer zeker voor bedrijven.Daar doelde ik eigenlijk op OpenVPN (of zelfs andere VPN).
VERIFY EKU ERROR
Please check your server certificate for Extended Key Usage properties or post the details which you can find in XCA./usr/syno/etc/packages/VPNCenter/VPNcerts 0755
CA.crt 0400
Server.crt 0400
Server.key 0400
dh4096.pem 0644
ta.key 0400
/usr/syno/etc/packages/VPNCenter/openvpn
openvpn.conf.user 0644
openvpn --version
root@NAS:~# openvpn --version
OpenVPN 2.4.5 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
library versions: OpenSSL 1.0.2o 27 Mar 2018, LZO 2.10
Originally developed by James Yonan
OpenVPN 2.3.11 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 19 2018
library versions: OpenSSL 1.0.2n-fips 7 Dec 2017, LZO 2.09
Originally developed by James Yonan
Lijkt een oudere versie te zijn dan voor ARM CPU's. Dat verbaast me dus toch wel weer...
SynologyRouter> openvpn --version
OpenVPN 2.3.11 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec 18 2017
library versions: OpenSSL 1.0.2k-fips 26 Jan 2017, LZO 2.09
Originally developed by James Yonan
::)
iPKG-GuiIs een mooi handig pakketje.
Off topic:
Zeker weten?
https://www.synology-forum.de/showthread.html?68335-EBI-Easy-Bootstrap-Installer/page10&p=732841&viewfull=1#post732841
Overigens heb ik naast EBI ook iPKG-Gui geïnstalleerd.
Mon Jun 18 16:23:12 2018 us=167876 Current Parameter Settings:
Mon Jun 18 16:23:12 2018 us=168579 config = 'openvpn.conf.user'
Mon Jun 18 16:23:12 2018 us=168697 mode = 1
Mon Jun 18 16:23:12 2018 us=168799 persist_config = DISABLED
Mon Jun 18 16:23:12 2018 us=168900 persist_mode = 1
Mon Jun 18 16:23:12 2018 us=169000 show_ciphers = DISABLED
Mon Jun 18 16:23:12 2018 us=169100 show_digests = DISABLED
Mon Jun 18 16:23:12 2018 us=169199 show_engines = DISABLED
Mon Jun 18 16:23:12 2018 us=169297 genkey = DISABLED
Mon Jun 18 16:23:12 2018 us=169396 key_pass_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=169497 show_tls_ciphers = DISABLED
Mon Jun 18 16:23:12 2018 us=169596 Connection profiles [default]:
Mon Jun 18 16:23:12 2018 us=169697 proto = udp
Mon Jun 18 16:23:12 2018 us=169795 local = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=169895 local_port = 1194
Mon Jun 18 16:23:12 2018 us=169992 remote = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=170092 remote_port = 1194
Mon Jun 18 16:23:12 2018 us=170189 remote_float = DISABLED
Mon Jun 18 16:23:12 2018 us=170288 bind_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=170387 bind_local = ENABLED
Mon Jun 18 16:23:12 2018 us=170488 connect_retry_seconds = 5
Mon Jun 18 16:23:12 2018 us=170588 connect_timeout = 10
Mon Jun 18 16:23:12 2018 us=170688 connect_retry_max = 0
Mon Jun 18 16:23:12 2018 us=170786 socks_proxy_server = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=170886 socks_proxy_port = 0
Mon Jun 18 16:23:12 2018 us=170984 socks_proxy_retry = DISABLED
Mon Jun 18 16:23:12 2018 us=171083 tun_mtu = 1500
Mon Jun 18 16:23:12 2018 us=171182 tun_mtu_defined = ENABLED
Mon Jun 18 16:23:12 2018 us=171281 link_mtu = 1500
Mon Jun 18 16:23:12 2018 us=171379 link_mtu_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=171479 tun_mtu_extra = 0
Mon Jun 18 16:23:12 2018 us=171577 tun_mtu_extra_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=171677 mtu_discover_type = -1
Mon Jun 18 16:23:12 2018 us=171776 fragment = 0
Mon Jun 18 16:23:12 2018 us=171875 mssfix = 1450
Mon Jun 18 16:23:12 2018 us=171974 explicit_exit_notification = 0
Mon Jun 18 16:23:12 2018 us=172114 Connection profiles END
Mon Jun 18 16:23:12 2018 us=172215 remote_random = DISABLED
Mon Jun 18 16:23:12 2018 us=172315 ipchange = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=172413 dev = 'tun'
Mon Jun 18 16:23:12 2018 us=172510 dev_type = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=172609 dev_node = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=172707 lladdr = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=172805 topology = 3
Mon Jun 18 16:23:12 2018 us=172903 tun_ipv6 = DISABLED
Mon Jun 18 16:23:12 2018 us=173002 ifconfig_local = '192.168.160.1'
Mon Jun 18 16:23:12 2018 us=173102 ifconfig_remote_netmask = '255.255.255.0'
Mon Jun 18 16:23:12 2018 us=173200 ifconfig_noexec = DISABLED
Mon Jun 18 16:23:12 2018 us=173299 ifconfig_nowarn = DISABLED
Mon Jun 18 16:23:12 2018 us=173397 ifconfig_ipv6_local = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=173496 ifconfig_ipv6_netbits = 0
Mon Jun 18 16:23:12 2018 us=173596 ifconfig_ipv6_remote = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=173694 shaper = 0
Mon Jun 18 16:23:12 2018 us=173793 mtu_test = 0
Mon Jun 18 16:23:12 2018 us=173889 mlock = DISABLED
Mon Jun 18 16:23:12 2018 us=173988 keepalive_ping = 10
Mon Jun 18 16:23:12 2018 us=174087 keepalive_timeout = 60
Mon Jun 18 16:23:12 2018 us=174186 inactivity_timeout = 0
Mon Jun 18 16:23:12 2018 us=174285 ping_send_timeout = 10
Mon Jun 18 16:23:12 2018 us=174385 ping_rec_timeout = 120
Mon Jun 18 16:23:12 2018 us=174485 ping_rec_timeout_action = 2
Mon Jun 18 16:23:12 2018 us=174584 ping_timer_remote = DISABLED
Mon Jun 18 16:23:12 2018 us=174684 remap_sigusr1 = 0
Mon Jun 18 16:23:12 2018 us=174783 persist_tun = ENABLED
Mon Jun 18 16:23:12 2018 us=174882 persist_local_ip = DISABLED
Mon Jun 18 16:23:12 2018 us=174981 persist_remote_ip = DISABLED
Mon Jun 18 16:23:12 2018 us=175081 persist_key = ENABLED
Mon Jun 18 16:23:12 2018 us=175178 passtos = DISABLED
Mon Jun 18 16:23:12 2018 us=175278 resolve_retry_seconds = 1000000000
Mon Jun 18 16:23:12 2018 us=175406 username = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=175506 groupname = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=175605 chroot_dir = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=175705 cd_dir = '/usr/syno/etc/packages/VPNCenter/openvpn'
Mon Jun 18 16:23:12 2018 us=175804 writepid = '/var/run/ovpn_server.pid'
Mon Jun 18 16:23:12 2018 us=175903 up_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=176002 down_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=176101 down_pre = DISABLED
Mon Jun 18 16:23:12 2018 us=176200 up_restart = DISABLED
Mon Jun 18 16:23:12 2018 us=176299 up_delay = DISABLED
Mon Jun 18 16:23:12 2018 us=176397 daemon = ENABLED
Mon Jun 18 16:23:12 2018 us=176496 inetd = 0
Mon Jun 18 16:23:12 2018 us=176594 log = ENABLED
Mon Jun 18 16:23:12 2018 us=176693 suppress_timestamps = DISABLED
Mon Jun 18 16:23:12 2018 us=176793 nice = 0
Mon Jun 18 16:23:12 2018 us=176892 verbosity = 4
Mon Jun 18 16:23:12 2018 us=176991 mute = 0
Mon Jun 18 16:23:12 2018 us=177090 gremlin = 0
Mon Jun 18 16:23:12 2018 us=177189 status_file = '/tmp/ovpn_status_2_result'
Mon Jun 18 16:23:12 2018 us=177290 status_file_version = 2
Mon Jun 18 16:23:12 2018 us=177390 status_file_update_freq = 30
Mon Jun 18 16:23:12 2018 us=177488 occ = ENABLED
Mon Jun 18 16:23:12 2018 us=177586 rcvbuf = 0
Mon Jun 18 16:23:12 2018 us=177685 sndbuf = 0
Mon Jun 18 16:23:12 2018 us=177784 mark = 0
Mon Jun 18 16:23:12 2018 us=177883 sockflags = 0
Mon Jun 18 16:23:12 2018 us=177982 fast_io = ENABLED
Mon Jun 18 16:23:12 2018 us=178081 lzo = 7
Mon Jun 18 16:23:12 2018 us=178179 route_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=178278 route_default_gateway = '192.168.160.2'
Mon Jun 18 16:23:12 2018 us=178378 route_default_metric = 0
Mon Jun 18 16:23:12 2018 us=178479 route_noexec = DISABLED
Mon Jun 18 16:23:12 2018 us=178580 route_delay = 0
Mon Jun 18 16:23:12 2018 us=178681 route_delay_window = 30
Mon Jun 18 16:23:12 2018 us=178781 route_delay_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=178882 route_nopull = DISABLED
Mon Jun 18 16:23:12 2018 us=178982 route_gateway_via_dhcp = DISABLED
Mon Jun 18 16:23:12 2018 us=179083 max_routes = 100
Mon Jun 18 16:23:12 2018 us=179183 allow_pull_fqdn = DISABLED
Mon Jun 18 16:23:12 2018 us=179285 management_addr = '127.0.0.1'
Mon Jun 18 16:23:12 2018 us=179386 management_port = 1195
Mon Jun 18 16:23:12 2018 us=179486 management_user_pass = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=179587 management_log_history_cache = 250
Mon Jun 18 16:23:12 2018 us=179688 management_echo_buffer_size = 100
Mon Jun 18 16:23:12 2018 us=179789 management_write_peer_info_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=179890 management_client_user = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=179991 management_client_group = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=180093 management_flags = 0
Mon Jun 18 16:23:12 2018 us=180226 plugin[0] /var/packages/VPNCenter/target/lib/radiusplugin.so '[/var/packages/VPNCenter/target/lib/radiusplugin.so] [/var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf]'
Mon Jun 18 16:23:12 2018 us=180333 shared_secret_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=180438 key_direction = 1
Mon Jun 18 16:23:12 2018 us=180539 ciphername_defined = ENABLED
Mon Jun 18 16:23:12 2018 us=180641 ciphername = 'AES-256-CBC'
Mon Jun 18 16:23:12 2018 us=180743 authname_defined = ENABLED
Mon Jun 18 16:23:12 2018 us=180844 authname = 'SHA256'
Mon Jun 18 16:23:12 2018 us=180945 prng_hash = 'SHA256'
Mon Jun 18 16:23:12 2018 us=181046 prng_nonce_secret_len = 32
Mon Jun 18 16:23:12 2018 us=181146 keysize = 0
Mon Jun 18 16:23:12 2018 us=181247 engine = DISABLED
Mon Jun 18 16:23:12 2018 us=181346 replay = ENABLED
Mon Jun 18 16:23:12 2018 us=181447 mute_replay_warnings = DISABLED
Mon Jun 18 16:23:12 2018 us=181548 replay_window = 64
Mon Jun 18 16:23:12 2018 us=181648 replay_time = 15
Mon Jun 18 16:23:12 2018 us=181748 packet_id_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=181849 use_iv = ENABLED
Mon Jun 18 16:23:12 2018 us=181976 test_crypto = DISABLED
Mon Jun 18 16:23:12 2018 us=182110 tls_server = ENABLED
Mon Jun 18 16:23:12 2018 us=182213 tls_client = DISABLED
Mon Jun 18 16:23:12 2018 us=182315 key_method = 2
Mon Jun 18 16:23:12 2018 us=182418 ca_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/CA.crt'
Mon Jun 18 16:23:12 2018 us=182519 ca_path = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=182621 dh_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/dh4096.pem'
Mon Jun 18 16:23:12 2018 us=182723 cert_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/Server.crt'
Mon Jun 18 16:23:12 2018 us=182826 priv_key_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key'
Mon Jun 18 16:23:12 2018 us=182928 pkcs12_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183029 cipher_list = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183129 tls_verify = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183230 tls_export_cert = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183332 verify_x509_type = 0
Mon Jun 18 16:23:12 2018 us=183432 verify_x509_name = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183532 crl_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=183632 ns_cert_type = 0
Mon Jun 18 16:23:12 2018 us=183733 remote_cert_ku[i] = 128
Mon Jun 18 16:23:12 2018 us=183835 remote_cert_ku[i] = 8
Mon Jun 18 16:23:12 2018 us=183937 remote_cert_ku[i] = 136
Mon Jun 18 16:23:12 2018 us=184038 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184140 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184240 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184340 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184441 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184542 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184643 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184745 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184847 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=184948 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=185050 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=185152 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=185254 remote_cert_ku[i] = 0
Mon Jun 18 16:23:12 2018 us=185356 remote_cert_eku = 'TLS Web Client Authentication'
Mon Jun 18 16:23:12 2018 us=185457 ssl_flags = 192
Mon Jun 18 16:23:12 2018 us=185559 tls_timeout = 2
Mon Jun 18 16:23:12 2018 us=185660 renegotiate_bytes = 0
Mon Jun 18 16:23:12 2018 us=185762 renegotiate_packets = 0
Mon Jun 18 16:23:12 2018 us=185863 renegotiate_seconds = 0
Mon Jun 18 16:23:12 2018 us=185966 handshake_window = 60
Mon Jun 18 16:23:12 2018 us=186067 transition_window = 3600
Mon Jun 18 16:23:12 2018 us=186167 single_session = DISABLED
Mon Jun 18 16:23:12 2018 us=186267 push_peer_info = DISABLED
Mon Jun 18 16:23:12 2018 us=186367 tls_exit = DISABLED
Mon Jun 18 16:23:12 2018 us=186467 tls_auth_file = '/usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key'
Mon Jun 18 16:23:12 2018 us=186582 server_network = 192.168.160.0
Mon Jun 18 16:23:12 2018 us=186697 server_netmask = 255.255.255.0
Mon Jun 18 16:23:12 2018 us=186843 server_network_ipv6 = ::
Mon Jun 18 16:23:12 2018 us=186950 server_netbits_ipv6 = 0
Mon Jun 18 16:23:12 2018 us=187066 server_bridge_ip = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=187180 server_bridge_netmask = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=187294 server_bridge_pool_start = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=187408 server_bridge_pool_end = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=187509 push_entry = 'route 192.168.2.0 255.255.255.0'
Mon Jun 18 16:23:12 2018 us=187611 push_entry = 'route 192.168.160.0 255.255.255.0'
Mon Jun 18 16:23:12 2018 us=187712 push_entry = 'sndbuf 0'
Mon Jun 18 16:23:12 2018 us=187813 push_entry = 'rcvbuf 0'
Mon Jun 18 16:23:12 2018 us=187915 push_entry = 'route-gateway 192.168.160.1'
Mon Jun 18 16:23:12 2018 us=188016 push_entry = 'topology subnet'
Mon Jun 18 16:23:12 2018 us=188117 push_entry = 'ping 10'
Mon Jun 18 16:23:12 2018 us=188217 push_entry = 'ping-restart 60'
Mon Jun 18 16:23:12 2018 us=188320 ifconfig_pool_defined = ENABLED
Mon Jun 18 16:23:12 2018 us=188463 ifconfig_pool_start = 192.168.160.2
Mon Jun 18 16:23:12 2018 us=188580 ifconfig_pool_end = 192.168.160.253
Mon Jun 18 16:23:12 2018 us=188695 ifconfig_pool_netmask = 255.255.255.0
Mon Jun 18 16:23:12 2018 us=188797 ifconfig_pool_persist_filename = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=188899 ifconfig_pool_persist_refresh_freq = 600
Mon Jun 18 16:23:12 2018 us=189002 ifconfig_ipv6_pool_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=189110 ifconfig_ipv6_pool_base = ::
Mon Jun 18 16:23:12 2018 us=189212 ifconfig_ipv6_pool_netbits = 0
Mon Jun 18 16:23:12 2018 us=189313 n_bcast_buf = 256
Mon Jun 18 16:23:12 2018 us=189415 tcp_queue_limit = 64
Mon Jun 18 16:23:12 2018 us=189517 real_hash_size = 256
Mon Jun 18 16:23:12 2018 us=189618 virtual_hash_size = 256
Mon Jun 18 16:23:12 2018 us=189720 client_connect_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=189821 learn_address_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=189922 client_disconnect_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=190024 client_config_dir = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=190124 ccd_exclusive = DISABLED
Mon Jun 18 16:23:12 2018 us=190225 tmp_dir = '/tmp'
Mon Jun 18 16:23:12 2018 us=190325 push_ifconfig_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=190439 push_ifconfig_local = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=190554 push_ifconfig_remote_netmask = 0.0.0.0
Mon Jun 18 16:23:12 2018 us=190655 push_ifconfig_ipv6_defined = DISABLED
Mon Jun 18 16:23:12 2018 us=190764 push_ifconfig_ipv6_local = ::/0
Mon Jun 18 16:23:12 2018 us=190872 push_ifconfig_ipv6_remote = ::
Mon Jun 18 16:23:12 2018 us=190973 enable_c2c = DISABLED
Mon Jun 18 16:23:12 2018 us=191074 duplicate_cn = DISABLED
Mon Jun 18 16:23:12 2018 us=191175 cf_max = 0
Mon Jun 18 16:23:12 2018 us=191275 cf_per = 0
Mon Jun 18 16:23:12 2018 us=191376 max_clients = 5
Mon Jun 18 16:23:12 2018 us=191476 max_routes_per_client = 256
Mon Jun 18 16:23:12 2018 us=191576 auth_user_pass_verify_script = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=191679 auth_user_pass_verify_script_via_file = DISABLED
Mon Jun 18 16:23:12 2018 us=191780 port_share_host = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=191882 port_share_port = 0
Mon Jun 18 16:23:12 2018 us=191980 client = DISABLED
Mon Jun 18 16:23:12 2018 us=192127 pull = DISABLED
Mon Jun 18 16:23:12 2018 us=192229 auth_user_pass_file = '[UNDEF]'
Mon Jun 18 16:23:12 2018 us=192339 OpenVPN 2.3.6 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Aug 11 2015
Mon Jun 18 16:23:12 2018 us=192508 library versions: OpenSSL 1.0.1u-fips 22 Sep 2016, LZO 2.08
Mon Jun 18 16:23:12 2018 us=193197 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1195
Mon Jun 18 16:23:12 2018 RADIUS-PLUGIN: Configfile name: /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf.
Mon Jun 18 16:23:12 2018 us=198316 PLUGIN_INIT: POST /var/packages/VPNCenter/target/lib/radiusplugin.so '[/var/packages/VPNCenter/target/lib/radiusplugin.so] [/var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT
Mon Jun 18 16:23:12 2018 us=201094 Diffie-Hellman initialized with 4096 bit key
Mon Jun 18 16:23:12 2018 us=204166 WARNING: file '/usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key' is group or others accessible
Mon Jun 18 16:23:12 2018 us=228220 Control Channel Authentication: using '/usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key' as a OpenVPN static key file
Mon Jun 18 16:23:12 2018 us=228556 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Jun 18 16:23:12 2018 us=228722 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Jun 18 16:23:12 2018 us=228931 TLS-Auth MTU parms [ L:1570 D:178 EF:78 EB:0 ET:0 EL:0 ]
Mon Jun 18 16:23:12 2018 us=229116 Socket Buffers: R=[114688->114688] S=[114688->114688]
Mon Jun 18 16:23:12 2018 us=252156 TUN/TAP device tun0 opened
Mon Jun 18 16:23:12 2018 us=252357 TUN/TAP TX queue length set to 100
Mon Jun 18 16:23:12 2018 us=252534 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Jun 18 16:23:12 2018 us=252813 /sbin/ifconfig tun0 192.168.160.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.160.255
Mon Jun 18 16:23:12 2018 us=280577 Data Channel MTU parms [ L:1570 D:1450 EF:70 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jun 18 16:23:12 2018 us=293320 UDPv4 link local (bound): [undef]
Mon Jun 18 16:23:12 2018 us=293713 UDPv4 link remote: [undef]
Mon Jun 18 16:23:12 2018 us=293883 MULTI: multi_init called, r=256 v=256
Mon Jun 18 16:23:12 2018 us=294863 IFCONFIG POOL: base=192.168.160.2 size=252, ipv6=0
Mon Jun 18 16:23:12 2018 us=295237 Initialization Sequence Completed
key_direction = 1
In het client log staat:key_direction = 1
Server zijde dient 0 te zijn en client zijde 1WARNING: file '/usr/syno/etc/packages/VPNCenter/VPNcerts/Server.key' is group or others accessible
ERROR: could not read Auth username/password/ok/string from management interface
op de Windows client vandaan komt is raden.....key-direction 0
tls-auth ta.key 0
Aan de client zijde op 1:tls-auth ta.key 1
Daar hoeft niets aan te gebeuren.Wordt OpenVPN als administrator gestart?Die vraag had ik niet hoeven stellen want dat is niet meer van toepassing in de versie 2.4.6 die je onder Windows gebruikt.
sudo -i
en geef het password in van admin.
Fout tijdens het overslaan van het opstartbericht. Uw shell is mogelijk niet compatibel met de toepassing (BASH wordt aangeraden).bij invoer van /sudo i krijg ik server stuurde opdracht beëindigingsstatus 127.
/$ sudo -i
sudo: no tty present and no askpass program specified
ik heb de laatste aanpassingen gedaan in zowel server als client files
toegevoegd comp-lzo no, nobind, float prng SHA256 32, auth SHA256
weggehaald reneg-sec 0
verbinden gaat prima maar als ik in de log kijk zie ik staan compress:LZO_STUB
betekent dit nu dat compressie uit staat?
ik kan overigens in de settings van openvpn (https://www.bestvpn.co/vpn-deals/)(v3.0.1) de compressie op NO, Full of downlink only zetten maar alles blijft gewoon werken(waarschijnlijk omdat dit overruled wordt door de config files )
ik heb eea veranderd omdat ik begrepen heb dat upgraden naar 3.0.2 problemen geeft als je compressie nog hebt aan staan
cat /proc/sys/net/ipv4/ip_forward
on the DS command line?block-outside-dns
register-dns
The routes in the client log look ok to me.
1. Did you allow the VPN subnet 10.10.0.0/24 in the firewall on the DS?
proto udp6
in plaats vanproto udp
aan beide zijden.login as: admin
admin@192.168.1.29's password:
admin@DS220Plus:~$ sudo -i
Password:
root@DS220Plus:~#
cd /usr/syno/etc/packages/VPNCenter/VPNcerts
Command wordt niet herkend: melding: no such file or directory
terwijl hij in winscp gewoon staat en is gevuld zoals in de vorige stappen opgegeven…
~$ cd /root
-sh: cd: /root: Permission denied
Of een gevalletje rechten die niet juist staan.Nee , het klopt wel een beetje : goed lezen althans ik lees soms net over iets heen/of verkeerd met een dergelijke “lap” tekst… zover allemaal redelijk gelukt alleen geeft hij nu een bepaalde foutmelding ondanks dat hij verbonden is:
cannot locate HMAC in incoming packet from [AF_INET]en dan een ipv6-adres (lijkt het).
TLS handshake failedkomt ook voorbij
cd /usr/syno/etc/packages/VPNCenter/VPNcertsDit was bij mij ook even het geval. Kwestie van goed lezen: 'VPNCenter' heeft 4 hoofdletters en ik ben geneigd VPNcenter (dus met kleine c) te typen. Dat is funest als het case-sensitive is ;D
Command wordt niet herkend: melding: no such file or directory
terwijl hij in winscp gewoon staat en is gevuld zoals in de vorige stappen opgegeven
Problem solved!
Je moet openvpn.conf weghalen (in /usr/syno/etc/packages/VPNCenter/openvpn/) en vervangen door openvpn.conf.user (hernoemen naar openvpn.conf natuurlijk!).
Vervolgens VPN server opnieuw starten en het werkt als een zonnetje!
En jij had hetzelfde probleem als ik had?Aan je foutmeldingen te zien wel :)
nu heb ik mijn openvpn.openvpn naar mijzelf gemaild en geimporteerd in de openvpn client van ios en krijg ik de volgende melding: zie foto
moet ik miss inline tags gebruiken en hoe doe ik dat??
Problem solved!
Je moet openvpn.conf weghalen (in /usr/syno/etc/packages/VPNCenter/openvpn/) en vervangen door openvpn.conf.user (hernoemen naar openvpn.conf natuurlijk!).
Vervolgens VPN server opnieuw starten en het werkt als een zonnetje!
Problem solved!
Je moet openvpn.conf weghalen (in /usr/syno/etc/packages/VPNCenter/openvpn/) en vervangen door openvpn.conf.user (hernoemen naar openvpn.conf natuurlijk!).
Vervolgens VPN server opnieuw starten en het werkt als een zonnetje!