OpenVPN krijg ik niet aan de praat. Hulp gevraagd!

[Otman]

Goedemorgen,

inmiddels al meerdere topics hier ingeschoten in verband met VPN.

Mijn situatie: op mijn werk verbinding maken met mijn NAS thuis.

- L2TP krijg ik niet aan de gang. Zie mijn vorige topic. Bekend probleem met Win10.
- PPTP werkt perfect, maar niet super veilig

Nu is mijn idee om OpenVPN in te stellen. Echter loop ik tegen problemen aan. Wat heb ik?

- SSL certificaat van Comodo
- OpenVPN ingeschakeld op de NAS met juiste rechten aan de gebruikers
- Export gedaan van alle gegevens
- OpenVPN geinstalleerd en als admin geopend op client pc
- config file aangepast (ik denk dat hier wat mis gaat)
- File geplaatst in de config folder

De client maakt wel verbinding, dit kan ik zien in de NAS, maar de OpenVPN icoontjes worden niet groen maar blijven geel. Dit krijg ik te zien in de log:

Fri Jan 13 11:34:14 2017 OpenVPN 2.4.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 27 2016
Fri Jan 13 11:34:14 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Jan 13 11:34:14 2017 library versions: OpenSSL 1.0.2i  22 Sep 2016, LZO 2.09
Fri Jan 13 11:34:16 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Jan 13 11:34:16 2017 TCP/UDP: Preserving recently used remote address: [AF_INET](hier staat mijn wan ip):1194
Fri Jan 13 11:34:16 2017 UDP link local (bound): [AF_INET][undef]:1194
Fri Jan 13 11:34:16 2017 UDP link remote: [AF_INET](hier staat mijn wan ip):1194
Fri Jan 13 11:34:16 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Jan 13 11:34:16 2017 VERIFY ERROR: depth=2, error=unable to get issuer certificate: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
Fri Jan 13 11:34:16 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Fri Jan 13 11:34:16 2017 TLS_ERROR: BIO read tls_read_plaintext error
Fri Jan 13 11:34:16 2017 TLS Error: TLS object -> incoming plaintext read error
Fri Jan 13 11:34:16 2017 TLS Error: TLS handshake failed
Fri Jan 13 11:34:16 2017 SIGUSR1[soft,tls-error] received, process restarting

Dit is mijn config file:

dev tun
tls-client

remote WAN IP VAN MIJ 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 10.8.0.1

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
Ik heb de certificaat info weggehaald.
-----END CERTIFICATE-----
</ca>


Doe ik wat verkeerd?

[Babylonia]

dhcp-option DNS 10.8.0.1

Daar gebruik je een intern VPN (?) netwerk adres voor.  Daar zou je een algemene DNS-server voor moeten gebruiken.

Vergelijk het voorbeeld  < HIER >

Verder heb ik vraagtekens m.b.t. het gebruik van het certificaat afgaande op je log-gegevens.
Je gebruikt een SSL Comodo certificaat op je NAS. Exporteer die gegevens eens vanuit je NAS (niet onder het VPN-menu).
Je krijgt dan mogelijk een "server" certificaat en een "normaal" (= Client) certificaat.

Laats had ik bij reset naar fabrieksinstellingen van mijn Synology "router" (met vergelijkbare VPN-server opties als in een NAS) en opnieuw inregelen, vergelijkbare problemen met VPN. Toen ik het certificaat gebruikte wat onder de algemene gegevens is te exporteren, en niet die vanuit het VPN-server menu. Bleek alles weer te kloppen.

Ter info, een iets afwijkende set-up in mijn situatie (vanuit oudere versies VPN-server set-up):
Zelf gebruik ik niet een configuratiebestand "inclusief certificaat" maar exclusief het certificaat ----> die certificaat-data zou je kunnen uitwisselen met het certificaat als los bestand geëxporteerd vanuit het algemene menu van certificaat gegevens.

Nog eens opnieuw exporteren van de gegevens vanuit het menu van de VPN-server, bleek erna het certificaat toch weer te zijn gecorrigeerd bij vergelijk van die certificaten, terwijl het eerder echt verschillend was. (Of dat mogelijk is gekomen door nog een reboot is me niet bekend).

In ieder geval door het certificaat te gebruiken wat onder het algemene menu is te vinden bij configuratiescherm / beveiliging, waren de problemen over.

[Otman]

Je krijgt dan mogelijk een "server" certificaat en een "normaal" (= Client) certificaat.

Ik krijg .pem bestanden. Geen .ca file zoals bij het VPN tabblad.

[Otman]

Fri Jan 13 13:26:51 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_ACK_V1)
Fri Jan 13 13:26:53 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_CONTROL_V1)
Fri Jan 13 13:26:53 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_ACK_V1)
Fri Jan 13 13:26:56 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_CONTROL_V1)
Fri Jan 13 13:26:56 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_CONTROL_V1)
Fri Jan 13 13:26:57 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_ACK_V1)
Fri Jan 13 13:26:59 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_CONTROL_V1)
Fri Jan 13 13:27:00 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_CONTROL_V1)
Fri Jan 13 13:27:03 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_CONTROL_V1)
Fri Jan 13 13:27:05 2017 TLS Error: Unroutable control packet received from [AF_INET]145.130.120.134:1194 (si=3 op=P_ACK_V1)



Dit krijg ik ook te zien als ik de eerste manier probeer.

[Hofstede]

Ik denk dat je in de config file alleen maar het CA-deel van het certificaat hebt staan?

Je moet de complete CA-bundle er in zetten zodat het volledige certificaat pad er in staat.

[Otman]

Hoe doe ik dat? Als ik de VPN export doe, dan krijg ik 4 files.

ca.crt
ca_bundle.crt
readme.txt
VPNconfig.ovpn

Volgens de tutorial van OpenVPN moet ik 2 files in de config folder plaatsen.

ca.crt en de ovpn file.

Wat jij bedoelt snap ik nog niet helemaal.


EDIT: als ik de VPN export functie toe pas, zet ie dan niet automatisch de bundle in de config file? Het deel wat ik weggehaald heb, bestaat uit meerdere certificaten.

Ik zie namelijk een paar keer staan <----Begin of certificate----> etc

[Otman]

Heb trouwens de inhoud van de bundle gekopieerd in de ovpn file. Zonder succes.

[Babylonia]

Probeer het eens alleen met de data van  ca.crt

[Otman]

Dat heb ik dus in eerste instantie gedaan, maar dat werkt niet. Zie mijn eerste post. Dat was op basis van ca.crt.

Ik heb het idee dat ik in het config bestand iets niet goed hebt staan.

Met name het DNS gedeelte snap ik niet helemaal. Welk adres moet ik hier nu invullen? Ik heb OpenDNS geprobeerd (zoals in je stappenplan) maar geen succes.

EDIT: Als ik op 'server' niveau (dus bij beveiliging / certificaat) een export doe, krijg ik dus .pem files.

[Babylonia]

Dat is dan kennelijk afwijkend met de "Synology router".  Heb evenwel met een editor ("kladblok" kan ook worden gebruikt) die "pem" bestanden bekeken, en het zijn gewoon certificaten, alleen met een andere extensie.

De data van de  "private key" (privkey.pem)  is dan mogelijk in te zetten voor je VPN?

[Otman]

Geprobeerd, maar zonder succes. Zie bijlage.

Ik snap het niet. Ik volg de tutorial van Synology, waar gaat het dan mis? Het feit dat ik een SSL certificaat heb?

[Pippin]

Herstart OpenVPN op de DS.
Exporteer config opnieuw, in OpenVPN.

Windows:
Alles in de map config van OpenVPN weggooien.
Alleen ca.crt en *.ovpn daar plaatsen.
Vul je IP in.

Verbinden...werkt niet dan hier kijken:
https://forum.synology.com/enu/viewtopic.php?f=173&t=84908&start=30#p356763

[mchp92]

Ik heb het werkend met alleen ca.crt en t ovpn bestand. Ik heb geen apart ssl certificaat. Ook geen idee waarom je dit nodig zou hebben.


DS115j / DS213j / DS216

[Babylonia]

Dat aparte SSL certificaat heb je voor VPN ook helemaal niet nodig.
Maar mogelijk draai je ook een web-server onder https, en is het handiger als je dat wel hebt.
Kom je geen vreemde meldingen tegen dat een website mogelijk onbetrouwbaar zou zijn e.d.

[Otman]

Ik heb een apart SSL certificaat omdat ik inderdaad HTTPS gebruikte want ik had eerst WebDAV draaien. Maar dat bevalt me totaal niet.

Ik ga het SSL certificaat eens weghalen en kijken wat er gebeurt.

EDIT: lukt niet. Certificaat is niet te verwijderen.