Synology-Forum.nl

Packages => Officiële Packages => VPN Server => Topic gestart door: GuidoG op 07 december 2021, 08:42:02

Titel: DS916+ VPN problemen TLS handshake
Bericht door: GuidoG op 07 december 2021, 08:42:02

Sinds de update naar DSM 7.0.1-42218 afgelopen weekend is mijn NAS niet meer benaderbaar van buiten het netwerk.

De poorten naar DSM (5000), OPENVPN (1194) staan gewoon open op de router en er is op de router niets veranderd, maar ik kan de NAS niet meer benaderen. DSM is nog wel te benaderen via Quickconnect, maar de VPN werkt niet meer.

Titel: Re: DS916+ niet exten benaderbaar
Bericht door: Birdy op 07 december 2021, 09:29:21

Werk je met DDNS in plaats van het externe Ip-adres?
Zo niet, dan is misschien (toevallig) het externe ip-adres gewijzigd.
Dat QC wel werkt, komt omdat er geen extern IP-adres gebruikt wordt.

Titel: Re: DS916+ niet exten benaderbaar
Bericht door: GuidoG op 07 december 2021, 11:40:30

Zowel DDNS als IP adres is het probleem aanwezig. Ik heb ook een Domoticasysteem (Fibaro) en die is wel extern benaderbaar (alle apparatuur behalve Synology, die benaderbaar zou moeten zijn extern is benaderbaar), vandaar ook dat het probleem aan de Synology lijkt te liggen en niet IP of DDNS gerelateerd lijkt...

Titel: Re: DS916+ niet exten benaderbaar
Bericht door: Briolet op 07 december 2021, 12:00:11

Als je hem wel intern kunt benaderen via IP, ligt het probleem nooit aan de nas, maar altijd aan de forwarding in je router.

Titel: Re: DS916+ niet exten benaderbaar
Bericht door: GuidoG op 07 december 2021, 16:33:28

Ok dat is stap 1. Er lag toch een probleempje aan de router, Port 5000 en 5001 stonden open, maar in DSM had ik ingestaeld dat 5050 benaderbaar moet zijn, dat is opgelost, ik kom nu dus WEL in DSM van buiten het netwerk.

Maar VPN werkt nog niet.

Logfile OpenVPN:
Tue Dec  7 16:25:37 2021 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
Tue Dec  7 16:25:37 2021 OpenVPN 2.5.4 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 20 2021
Tue Dec  7 16:25:37 2021 Windows version 10.0 (Windows 10 or greater) 64bit
Tue Dec  7 16:25:37 2021 library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
Tue Dec  7 16:25:39 2021 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec  7 16:25:39 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]46.XXX.XXX.XXX   :1194
Tue Dec  7 16:25:39 2021 UDP link local (bound): [AF_INET][undef]:1194
Tue Dec  7 16:25:39 2021 UDP link remote: [AF_INET]46.XXX.XXX.XXX   :1194
Tue Dec  7 16:26:39 2021 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Dec  7 16:26:39 2021 TLS Error: TLS handshake failed
Tue Dec  7 16:26:39 2021 SIGUSR1[soft,tls-error] received, process restarting
Tue Dec  7 16:26:44 2021 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec  7 16:26:44 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]46.XXX.XXX.XXX   :1194
Tue Dec  7 16:26:44 2021 UDP link local (bound): [AF_INET][undef]:1194
Tue Dec  7 16:26:44 2021 UDP link remote: [AF_INET]46.XXX.XXX.XXX   :1194
Tue Dec  7 16:27:45 2021 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Dec  7 16:27:45 2021 TLS Error: TLS handshake failed
Tue Dec  7 16:27:45 2021 SIGUSR1[soft,tls-error] received, process restarting
Tue Dec  7 16:27:50 2021 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec  7 16:27:50 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]46.XXX.XXX.XXX   :1194
Tue Dec  7 16:27:50 2021 UDP link local (bound): [AF_INET][undef]:1194
Tue Dec  7 16:27:50 2021 UDP link remote: [AF_INET]46.XXX.XXX.XXX   :1194
Tue Dec  7 16:28:50 2021 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Dec  7 16:28:50 2021 TLS Error: TLS handshake failed
Tue Dec  7 16:28:50 2021 SIGUSR1[soft,tls-error] received, process restarting
Tue Dec  7 16:28:55 2021 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec  7 16:28:55 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]46.XXX.XXX.XXX   :1194
Tue Dec  7 16:28:55 2021 UDP link local (bound): [AF_INET][undef]:1194
Tue Dec  7 16:28:55 2021 UDP link remote: [AF_INET]46.XXX.XXX.XXX   :1194

Ik zie hem wel binnen komen in de Synology, maar als UNDEF

Titel: Re: DS916+ VPN problemen TLS handshake
Bericht door: GuidoG op 07 december 2021, 19:28:03

Als ik op mijn router port 99 open heb staan en die staat open richting IP adres van de camera, staat hij open, als ik in de router de port 99 open zet en verwijs naar de Synology, staat hij dicht??? Ik snap er niets van.

Titel: Re: DS916+ VPN problemen TLS handshake
Bericht door: GuidoG op 07 december 2021, 20:37:32

Als ik webdav app installeer en poort 5005 open zet en verwijs naar synology gaat de poort wel open. Maar in de VPN pakckage gebeurd dat niet als ik 1194 open zet. Lijkt wel of de VPN package beschadigd is. Reinstall van de package mag niet baten.

Het is hiermee uitgesloten dat het aan de router ligt. Is er een alternatieve VPN package voor de Synology?

Titel: Re: DS916+ VPN problemen TLS handshake
Bericht door: Briolet op 07 december 2021, 21:08:26

Hoe weet ja dat een poort open staat? *

In de router kun je poorten forwarden, niet echt openen.  Maar goed, als je een poort forward, mag je aannemen dat hij open staat. Dat is bij 99% van de routers zo. (Tenzij de router een firewall gebruikt waar je poorten expliciet kunt openen of sluiten)

In de nas open je poorten in de fitewall.

Volgens mij zoek je nu fouten op een plek waar geen fouten zitten.

*: Als je dat via een poortcheck site doet, kijk dan naar de voorwaarden van die site. Lang niet elke site kan elke poort checken. En als je een landen blokkade in je firewall gebruikt, kijk dan in welk land die checker zit.

Titel: Re: DS916+ VPN problemen TLS handshake
Bericht door: Babylonia op 07 december 2021, 23:46:14

Als aanvulling op die laatste opmerking:
Bijna alle poort check websites controleren niet op het UDP protocol.
Controleren van OpenVPN (en andere VPN protocollen en services die UDP gebruiken) levert dan nooit een positieve match op.

Bij gebruik van Open VPN, exporteer het OpenVPN configuratiebestand nog eens opnieuw vanuit de VPN server.
En importeer het na de nodige persoonlijke aanpassingen weer in de VPN Client software.

Ofwel gewoon vanuit de basis opnieuw instellen.

Titel: Re: DS916+ VPN problemen TLS handshake
Bericht door: GuidoG op 08 december 2021, 12:39:28

Ik heb nog een keer VPN op een andere port gezet, toen kreeg ik opeens wel toegang, toen de VPN weer teruggezet naar 1194 en toen de client config weer op 1194 gezet en toen werkte het wel!

Ik heb geen idee wat nu de oorzaak was, ik heb in ieder geval niets in de router veranderd...

Bedankt voor het meedenken!!

Titel: Re: DS916+ VPN problemen TLS handshake
Bericht door: zandhaas op 08 december 2021, 16:11:28

Ik had dezelfde problemen als jij.
Dus ook net ff de poort twee keer veranderd en weer terug. En daarna kon ik weer verbinding maken.
Waarschijnlijk ergens in de config niet helemaal goed overgekomen na de upgrade naar versie 7

Titel: Re: DS916+ VPN problemen TLS handshake
Bericht door: Babylonia op 08 december 2021, 16:31:31

Zoiets gebeurt wel vaker hoor bij een upgrade.