Kan na harde reset niet meer inloggen op Open VPN.

[T. Rademakers]

Goedenavond,
enige tijd geleden heb ik een harde reset op mijn nas uitgevoerd. Voordat ik dat deed heb ik eerst een systeem back-up gemaakt en onder meer de instellingen van Open VPN veilig gesteld. Na uitvoering van de reset heb ik de gegevens terug gezet. Ook heb ik opnieuw op mijn router poort 1194 geforward naar de nas. Volgens het infocenter, onder tabblad verbinding testen, heeft Open VPN verbinding met internet. De router geeft ook aan dat de poort is geforward. Het oude, zelf gemaakte certificaat wat Open VPN gebruikte is dus teruggezet. Omdat ik geen zelfgemaakt certificaat op de nas kon importeren (de nas maakt gebruik van DSM versie 6.1.1-15101 update 2) heb ik een standaard certificaat van Synology aangemaakt. Dus de nas (Synology certificaat) en Open VPN (oud zelf gemaakt certificaat) hebben een verschillend certificaat. Open VPN versie is 1.3.5.-2759.
Als ik vanuit mijn Windows laptop inlog krijg in momenteel de volgende foutmelding:

Fri May 12 18:20:52 2017 OpenVPN 2.4.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 11 2017
Fri May 12 18:20:52 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Fri May 12 18:20:52 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.10
Fri May 12 18:21:07 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri May 12 18:21:08 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxx:1194
Fri May 12 18:21:08 2017 UDP link local (bound): [AF_INET][undexxxx:1194
Fri May 12 18:21:08 2017 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=TW, L=Taipei, O=Synology Inc., CN=Synology Inc. CA
Fri May 12 18:21:08 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Fri May 12 18:21:08 2017 TLS_ERROR: BIO read tls_read_plaintext error
Fri May 12 18:21:08 2017 TLS Error: TLS object -> incoming plaintext read error
Fri May 12 18:21:08 2017 TLS Error: TLS handshake failed
Fri May 12 18:21:08 2017 SIGUSR1[soft,tls-error] received, process restarting

Hieruit maak ik op dat het certificaat op de nas niet wordt herkend door de Open VPN cliënt. Ik dacht altijd dat alleen het certificaat van Open VPN werd vergeleken met de cliënt, maar dat schijnt niet zo te zijn.
Wat is nu de meest effectieve oplossing voor dit probleem?
1.   Open VPN app verwijderen en opnieuw installeren op de nas, zodat ik het Synology certificaat kan importeren? Dan hebben de nas en Open VPN weer hetzelfde certificaat. En hoe doe je dat importeren dan? Dat kan ik nergens terugvinden. En daarna de cliënts bijwerken met dit nieuwe certificaat.
2.   Het "oude" zelfgemaakte certificaat op de nas importeren? Dan hebben weer de nas en Open VPN hetzelfde certificaat en hoef ik aan de cliëntkant niets te wijzigen, immers tot de harde reset werkte het uiteindelijk als een zonnetje. En ook hiervoor geldt. Hoe doe je dat dan? Het oude certificaat werd steeds geweigerd.
3.   Of als laatste optie: De handleiding van MMD volgen en helemaal opnieuw beginnen.

Het aantal gebruikers van de Open VPN verbinding is 2. De verbinding wordt niet erg intensief gebruikt, alleen als we op vakantie zijn.
Graag een reactie wat in deze situatie de beste optie is en hoe die dan in zijn werk gaat.

Met vriendelijke groet,
Twan.

[Hofstede]

Je gebruikt het VPN Server pakket van de NAS neem ik aan? Dan moet je in VPN server de client files opnieuw exporteren en deze nieuwe files gebruiken op je Windows laptop.
De logs geven duidelijk aan dat het certificaat van de server en van de client niet meer matchen.

[T. Rademakers]

 :)Dank voor je oplossing.
Het werkt weer.
Ik heb nog wel een vraagje. Het logboek geeft aan dat de versleuteling kleiner is dan 128 bits. Wat moet ik doen om de kwaliteit van de versleuteling op te voeren naar ten minste 128 bits? Een ander certificaat importeren?
En hoe groot is het risico?
Hieronder is de logfile weergegeven.

Sun May 14 13:24:23 2017 OpenVPN 2.4.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 11 2017
Sun May 14 13:24:23 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sun May 14 13:24:23 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.10
Enter Management Password:
Sun May 14 13:24:32 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun May 14 13:24:33 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxx:1194
Sun May 14 13:24:33 2017 UDP link local (bound): [AF_INET][undef]:1194
Sun May 14 13:24:33 2017 UDP link remote: [AF_INET]xxxxxx:1194
Sun May 14 13:24:33 2017 [synology.com] Peer Connection Initiated with [AF_INET]xxxxxx:1194
Sun May 14 13:24:34 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun May 14 13:24:34 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun May 14 13:24:34 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sun May 14 13:24:34 2017 open_tun
Sun May 14 13:24:34 2017 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{301FB46E-54DB-4C91-B6B4-610BFB04B303}.tap
Sun May 14 13:24:34 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {301FB46E-54DB-4C91-B6B4-610BFB04B303} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun May 14 13:24:34 2017 Successful ARP Flush on interface [2] {301FB46E-54DB-4C91-B6B4-610BFB04B303}
Sun May 14 13:24:34 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun May 14 13:24:39 2017 Initialization Sequence Completed

Groeten,
Twan.

[Pippin]

Stel als cipher tenminste, AES-128-CBC en als authenticatie SHA1 in.
De client configuratie dient daarna opniew geexporteerd te worden.

[T. Rademakers]

Dank je.
Het werkt weer als een zonnetje.

Groeten,
Twan.