OpenVPN verbindt niet

[DSM'tje]

Ik krijg OpenVPN helaas niet werkend op mijn Synology.
Als ik verbindt dan krijg ik de volgende error:
TLS Error: Unroutable control packet

De ovpn file heb ik aangepast naar mijn wensen oftewel het externe IP (ook hostnaam geprobeerd) van mijn Syno ingevuld.
Wat kan hier het probleem zijn?

[Pippin]

Heel af en toe gebeurt dit bij mij ook nadat ik net de telefoon heb opgestart.
Het komt dan doordat de tijd nog niet gesynct is.
Controleer dus of het tijdverschil tussen NAS en client niet te groot is.

P.s.
Whatsapp geeft dan ook een melding bij mij dat de tijd gesycnt moet worden.

Iets meer info zoals het hele log zonder je IP/hostnaam, welke client en versies kan handig zijn...

[DSM'tje]

Tijd zijn op mijn Syno en op mijn MacBook (waar ik mee probeer te verbinden) gelijk. Dit heb ik dubbel gechecked.

Mijn Syno: DSM 5.2-5592 Update 4. (laatste versie)
Mijn MacBook: OSX 10.10.5 met Viscosity v1.5.11 (laatste versie)

Code: [Selecteer]

Oct 20 11:16:46: SIGTERM[hard,] received, process exiting
Oct 20 11:20:08: Viscosity Mac 1.5.11 (1314)
Oct 20 11:20:08: Viscosity OpenVPN Engine Started
Oct 20 11:20:08: Running on Mac OS X 10.10.5
Oct 20 11:20:08: ---------
Oct 20 11:20:08: Checking reachability status of connection...
Oct 20 11:20:08: Connection is reachable. Starting connection attempt.
Oct 20 11:20:08: OpenVPN 2.3.8 x86_64-apple-darwin [SSL (OpenSSL)] [LZO] [PKCS11] [MH] [IPv6] built on Sep 23 2015
Oct 20 11:20:08: library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.09
Oct 20 11:20:17: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Oct 20 11:20:17: UDPv4 link local (bound): [undef]
Oct 20 11:20:17: UDPv4 link remote: [AF_INET]IP:PORT
Oct 20 11:20:17: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Oct 20 11:20:17: VERIFY ERROR: depth=2, error=unable to get issuer certificate: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
Oct 20 11:20:17: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Oct 20 11:20:17: TLS Error: TLS object -> incoming plaintext read error
Oct 20 11:20:17: TLS Error: TLS handshake failed
Oct 20 11:20:17: SIGUSR1[soft,tls-error] received, process restarting
Oct 20 11:20:28: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Oct 20 11:20:28: UDPv4 link local (bound): [undef]
Oct 20 11:20:28: UDPv4 link remote: [AF_INET]IP:PORT
Oct 20 11:20:28: VERIFY ERROR: depth=2, error=unable to get issuer certificate: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
Oct 20 11:20:28: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Oct 20 11:20:28: TLS Error: TLS object -> incoming plaintext read error
Oct 20 11:20:28: TLS Error: TLS handshake failed
Oct 20 11:20:28: SIGUSR1[soft,tls-error] received, process restarting
Oct 20 11:20:38: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Oct 20 11:20:38: UDPv4 link local (bound): [undef]
Oct 20 11:20:38: UDPv4 link remote: [AF_INET]IP:PORT
Oct 20 11:20:38: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_ACK_V1)
Oct 20 11:20:40: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_ACK_V1)
Oct 20 11:20:43: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_CONTROL_V1)
Oct 20 11:20:43: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_CONTROL_V1)
Oct 20 11:20:44: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_CONTROL_V1)
Oct 20 11:20:44: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_ACK_V1)
Oct 20 11:20:45: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_CONTROL_V1)
Oct 20 11:20:48: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_CONTROL_V1)
Oct 20 11:20:50: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_CONTROL_V1)
Oct 20 11:20:51: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_CONTROL_V1)
Oct 20 11:20:52: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_CONTROL_V1)
Oct 20 11:20:52: TLS Error: Unroutable control packet received from [AF_INET]IP:PORT (si=3 op=P_ACK_V1)


[Pippin]

De melding is een symptoom van een certificaat probleem blijkt uit het log.
Heb je al een herstart van de NAS geprobeert en vervolgens opnieuw een export van de config en opnieuw een import op de MAC?

[Pippin]

Hier staat een mogelijke oplossing:
http://forum.synology.com/enu/viewtopic.php?f=173&t=84908&start=30#p356763

[DSM'tje]

De melding is een symptoom van een certificaat probleem blijkt uit het log.
Heb je al een herstart van de NAS geprobeert en vervolgens opnieuw een export van de config en opnieuw een import op de MAC?

Dit heeft helaas niet geholpen.
Config uit Viscosity gehaald en de app afgesloten. Heb de Syno herstart. Daarna de "nieuwe" config gedownload en mijn juiste IP ingevuld. Daarna config ingeladen maar helaas hetzelfde resultaat.

Ik zal de link eens bekijken en terugkoppelen.

[Birdy]

Als MMD sugestie niet helpt dan:

Afgaande op de eerste Error: 

VERIFY ERROR: depth=2, error=unable to get issuer certificate: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority

Misschien dat deze Topic kan helpen ?

[Pippin]

@Birdy
Wij vinden hetzelfde 

[Birdy]

Ahhhhh Alleen ik start op pag.1 jij op 3 

[DSM'tje]

Mag ik jullie beide bedanken?!! Het werkt nu. 

Ik heb volgende gedaan:

1) VPN Station verwijderd van mijn Syno
2) Syno een herstart gegeven
3) Via Xolphin (SSL boer) heb ik het certificaat bundle van Comodo gedownload: "Certificaat bundel - PositiveSSL_Bundle.crt".
Dit zijn alle 3 de certificaten van Comodo in 1 (root + intermediate 1 + intermediate 2).
4) Vervolgens heb ik op de Syno de volgende bestanden ingeladen: persoonlijke sleutel (server.key), certificaat en voor het intermediar certificaat heb ik het bundle certificaat gepakt welke ik had gedownload
5) Syno nogmaals een herstart gegeven
6) VPN Station geinstallerd en OpenVPN geconfigureerd
7) Export gedaan van de OpenVPN bestanden en viola

[Birdy]

 

[Briolet]

Vooral dat herstarten zal belangrijk zijn. Ik heb in het verleden ook al gemerkt dat sommige pakketten met het oude certificaat blijven werken als ze niet eerst gestopt worden, na een certificaat update. Bij mij was het mail server die met de oude certificaten bleef werken. Dat stoppen van dergelijke pakketten zou dan eigenlijk een onderdeel moeten zijn van de certificaat installatie.

[DSM'tje]

Zo'n idee had ik namelijk ook!
Vandaar ook maar 2x een herstart gedaan. 

[update]
Gelezen en citaat verwijderd.

[Pippin]

In orde dan 

Wat betreft het certificaat gebeuren, had al eens een verzoek gedaan bij Synology om de VPN Server los te koppelen van de rest van het systeem omdat toch aardig wat gebruikers eigen certificaten maken voor de VPN.
Tesamen met een knop Geavanceerd in OpenVPN Server waar ettelijke functies beschikbaar zouden kunnen komen.

Zoals het nu is worden doodleuk je eigen certificaten overgeschreven na een herstart van de OpenVPN Server/DS als je ze niet in een eigen directory stopt en de config van de server aanpast of een ander certificaat importeert of twee verschillende certificaten gebruikt voor het systeem en VPN.
Telkens als je herstart worden de "systeem certificaten" gekopieerd naar de OpenVPN Server.
Dat vindt je terug in het openvpn.sh script, zeer onwenselijk vind ik.

Zij hebben dit naar mijn mening, onder de kap veel te ingewikkeld gemaakt.
Hoop dat iemand het nog volgen kan...

[Briolet]

Hoop dat iemand het nog volgen kan...

Niet helemaal omdat ik weer andere ervaringen heb. Toen ik een jaar geleden een nieuw eigen certificaat aangemaakt heb, heb ik voor de aardigheid ook via de synology opties een certificaat aangemaakt. Die heb ik op naam 'fake' uitgegeven. Toen ik met die spielerei klaar was, heb ik mijn eigen certificaat weer geïmporteerd en geïnstalleerd.

Wie schetst mijn verbazing toen ik het OpenVPN certificaat exporteerde, dit op naam van 'fake' was. Het via de synology opties aangemaakte certificaat staat blijkbaar apart van een zelf geïmporteerd certificaat.