Auteur Topic: Kan na harde reset niet meer inloggen op Open VPN.  (gelezen 1304 keer)

Offline T. Rademakers

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 1
  • Berichten: 39
Kan na harde reset niet meer inloggen op Open VPN.
« Gepost op: 12 mei 2017, 21:58:26 »
Goedenavond,
enige tijd geleden heb ik een harde reset op mijn nas uitgevoerd. Voordat ik dat deed heb ik eerst een systeem back-up gemaakt en onder meer de instellingen van Open VPN veilig gesteld. Na uitvoering van de reset heb ik de gegevens terug gezet. Ook heb ik opnieuw op mijn router poort 1194 geforward naar de nas. Volgens het infocenter, onder tabblad verbinding testen, heeft Open VPN verbinding met internet. De router geeft ook aan dat de poort is geforward. Het oude, zelf gemaakte certificaat wat Open VPN gebruikte is dus teruggezet. Omdat ik geen zelfgemaakt certificaat op de nas kon importeren (de nas maakt gebruik van DSM versie 6.1.1-15101 update 2) heb ik een standaard certificaat van Synology aangemaakt. Dus de nas (Synology certificaat) en Open VPN (oud zelf gemaakt certificaat) hebben een verschillend certificaat. Open VPN versie is 1.3.5.-2759.
Als ik vanuit mijn Windows laptop inlog krijg in momenteel de volgende foutmelding:

Fri May 12 18:20:52 2017 OpenVPN 2.4.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 11 2017
Fri May 12 18:20:52 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Fri May 12 18:20:52 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.10
Fri May 12 18:21:07 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri May 12 18:21:08 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxx:1194
Fri May 12 18:21:08 2017 UDP link local (bound): [AF_INET][undexxxx:1194
Fri May 12 18:21:08 2017 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=TW, L=Taipei, O=Synology Inc., CN=Synology Inc. CA
Fri May 12 18:21:08 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Fri May 12 18:21:08 2017 TLS_ERROR: BIO read tls_read_plaintext error
Fri May 12 18:21:08 2017 TLS Error: TLS object -> incoming plaintext read error
Fri May 12 18:21:08 2017 TLS Error: TLS handshake failed
Fri May 12 18:21:08 2017 SIGUSR1[soft,tls-error] received, process restarting

Hieruit maak ik op dat het certificaat op de nas niet wordt herkend door de Open VPN cliënt. Ik dacht altijd dat alleen het certificaat van Open VPN werd vergeleken met de cliënt, maar dat schijnt niet zo te zijn.
Wat is nu de meest effectieve oplossing voor dit probleem?
1.   Open VPN app verwijderen en opnieuw installeren op de nas, zodat ik het Synology certificaat kan importeren? Dan hebben de nas en Open VPN weer hetzelfde certificaat. En hoe doe je dat importeren dan? Dat kan ik nergens terugvinden. En daarna de cliënts bijwerken met dit nieuwe certificaat.
2.   Het "oude" zelfgemaakte certificaat op de nas importeren? Dan hebben weer de nas en Open VPN hetzelfde certificaat en hoef ik aan de cliëntkant niets te wijzigen, immers tot de harde reset werkte het uiteindelijk als een zonnetje. En ook hiervoor geldt. Hoe doe je dat dan? Het oude certificaat werd steeds geweigerd.
3.   Of als laatste optie: De handleiding van MMD volgen en helemaal opnieuw beginnen.

Het aantal gebruikers van de Open VPN verbinding is 2. De verbinding wordt niet erg intensief gebruikt, alleen als we op vakantie zijn.
Graag een reactie wat in deze situatie de beste optie is en hoe die dan in zijn werk gaat.

Met vriendelijke groet,
Twan.

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Kan na harde reset niet meer inloggen op Open VPN.
« Reactie #1 Gepost op: 12 mei 2017, 22:08:20 »
Je gebruikt het VPN Server pakket van de NAS neem ik aan? Dan moet je in VPN server de client files opnieuw exporteren en deze nieuwe files gebruiken op je Windows laptop.
De logs geven duidelijk aan dat het certificaat van de server en van de client niet meer matchen.

Offline T. Rademakers

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 1
  • Berichten: 39
Re: Kan na harde reset niet meer inloggen op Open VPN.
« Reactie #2 Gepost op: 14 mei 2017, 14:34:33 »
 :)Dank voor je oplossing.
Het werkt weer.
Ik heb nog wel een vraagje. Het logboek geeft aan dat de versleuteling kleiner is dan 128 bits. Wat moet ik doen om de kwaliteit van de versleuteling op te voeren naar ten minste 128 bits? Een ander certificaat importeren?
En hoe groot is het risico?
Hieronder is de logfile weergegeven.

Sun May 14 13:24:23 2017 OpenVPN 2.4.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 11 2017
Sun May 14 13:24:23 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sun May 14 13:24:23 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.10
Enter Management Password:
Sun May 14 13:24:32 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun May 14 13:24:33 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxx:1194
Sun May 14 13:24:33 2017 UDP link local (bound): [AF_INET][undef]:1194
Sun May 14 13:24:33 2017 UDP link remote: [AF_INET]xxxxxx:1194
Sun May 14 13:24:33 2017 [synology.com] Peer Connection Initiated with [AF_INET]xxxxxx:1194
Sun May 14 13:24:34 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun May 14 13:24:34 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun May 14 13:24:34 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sun May 14 13:24:34 2017 open_tun
Sun May 14 13:24:34 2017 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{301FB46E-54DB-4C91-B6B4-610BFB04B303}.tap
Sun May 14 13:24:34 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {301FB46E-54DB-4C91-B6B4-610BFB04B303} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun May 14 13:24:34 2017 Successful ARP Flush on interface [2] {301FB46E-54DB-4C91-B6B4-610BFB04B303}
Sun May 14 13:24:34 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun May 14 13:24:39 2017 Initialization Sequence Completed

Groeten,
Twan.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Kan na harde reset niet meer inloggen op Open VPN.
« Reactie #3 Gepost op: 14 mei 2017, 16:09:06 »

Stel als cipher tenminste, AES-128-CBC en als authenticatie SHA1 in.
De client configuratie dient daarna opniew geexporteerd te worden.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline T. Rademakers

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 1
  • Berichten: 39
Re: Kan na harde reset niet meer inloggen op Open VPN.
« Reactie #4 Gepost op: 14 mei 2017, 21:07:39 »
Dank je.
Het werkt weer als een zonnetje.

Groeten,
Twan.


 

aansluiten externe harde schijf op DS-106e

Gestart door AnonymousBoard Externe harddisks en Printers

Reacties: 1
Gelezen: 4614
Laatste bericht 14 augustus 2006, 08:57:54
door Björn
wat kan er niet met php/mysql?

Gestart door AnonymousBoard Web Station

Reacties: 2
Gelezen: 8972
Laatste bericht 10 april 2008, 21:14:21
door Anonymous
Map verwijderen op USB-schijf lukt niet

Gestart door AnonymousBoard Externe harddisks en Printers

Reacties: 1
Gelezen: 8605
Laatste bericht 28 augustus 2006, 10:55:33
door Bob
Fan 106e lawaaierig, slaat niet/nauwelijks af bij standby

Gestart door AnonymousBoard NAS hardware vragen

Reacties: 9
Gelezen: 12654
Laatste bericht 02 januari 2007, 12:21:44
door LeendertB
Draaid de DS 106 ook zonder harde schijf?

Gestart door Willem2Board NAS hardware vragen

Reacties: 1
Gelezen: 3199
Laatste bericht 19 september 2006, 09:03:22
door Björn