Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: Tim__ op 27 november 2014, 19:50:04
-
Ik heb OpenVPN naar poort 443 TCP volgens volgende tutorial http://www.hugonline.nl/ict/vpn-standaard-https-poort-met-synology-nas/ (http://www.hugonline.nl/ict/vpn-standaard-https-poort-met-synology-nas/) te proberen te doen lopen. Dit lukte echter daardoor ik geprobeerd heb om alles terug naar de originele settings te zetten. Bij de Mac's lukt het nu terug om via OpenVPN op poort 1194UDP te verbinden.
Echter, onder iOS krijg ik, ondanks herinstallatie van de OpenVPN app, een reboot van de iPhone en een nieuwe import van de OpenVPN files volgende error:
2014-11-27 18:39:08 Transport Error: PolarSSL: SSL read error : X509 - Certificate verification failed, e.g. CRL, CA or signature check failed
2014-11-27 18:39:08 EVENT: CERT_VERIFY_FAIL PolarSSL: SSL read error : X509 - Certificate verification failed, e.g. CRL, CA or signature check failed [ERR]
Wie weet raad?
PS: wat mij ook opvalt is dat er bij de export van het OpenVPN certificaat ca.crt er ook een ca_bundle.crt bestand is.
-
Als ik het goed begrijp wil je dus nu de standaard implementatie van Synology terug hebben?
In dat geval lijkt het me het beste en snelste alles te deinstalleren, zowel server en client(s) om vervolgens met een schone lei te beginnen.
Waar de bundle vandaan komt weet ik niet. Deze is daadwerkelijk geëxporteerd door VPN Server?
Voor de standaard implementatie heb je die niet nodig.
Je zou die ook eens kunnen wissen en dus niet importeren.
Even snel op het net gekeken te hebben zou dat voor Netscape zijn
Heb je zelf certificaten gemaakt?
Edit: Welke versie DSM en VPN Server?
-
Welke OpenVPN files synchroniseer je naar IOS? Je moet de .opvn file en de ca_bundle.crt hebben, want daarnaar wordt in de .opvn file verwezen.
-
Neen dat werkt niet. Ik krijg dezelfde foutmelding over het certificaat.
-
Als ik het goed begrijp wil je dus nu de standaard implementatie van Synology terug hebben?
Yup, dat heb je juist ;-)
In dat geval lijkt het me het beste en snelste alles te deinstalleren, zowel server en client(s) om vervolgens met een schone lei te beginnen.
Heb ik gedaan :-) Ook via ssh alle restanten weggehaald.
Waar de bundle vandaan komt weet ik niet. Deze is daadwerkelijk geëxporteerd door VPN Server?
Voor de standaard implementatie heb je die niet nodig.
Je zou die ook eens kunnen wissen en dus niet importeren.
Ja, ik heb opnieuw een export gedaan een die gegevens op de iPhone gezet. Ook wissen en opnieuw op de iPhone zetten bracht geen oplossing.
Heb je zelf certificaten gemaakt?
Yup, werkt al lange tijd (meer dan 1,5 jaar) probleemloos. Tot wanneer ik beginnen prutsen ben met die poorten en aanpassingen in de openvpn.conf. Ik heb alle aanpassingen in die con teruggezet.
Edit: Welke versie DSM en VPN Server?
DSM 5.1 met VPN Server 1.2-3435
-
Heb je zelf certificaten gemaakt?
Yup, werkt al lange tijd (meer dan 1,5 jaar) probleemloos. Tot wanneer ik beginnen prutsen ben met die poorten en aanpassingen in de openvpn.conf. Ik heb alle aanpassingen in die con teruggezet.
Een beetje off-topic.
Ik wilde laatst ook weer een open VPN verbinding opzetten en liep ook tegen een certificaat fout aan terwijl ik niets aan mijn settings veranderd had. Mijn enige actie was dat ik tussentijds het aanmaken van een certificaat via DSM getest had. Maar daarna had ik mijn oude certificaat weer terug gezet via de opties in DSM.
Via DSM had ik dus als test een certificaat met de naam 'Fake.nl" aangemaakt, gewoon om te kijken hoe dit binnen DSM werkte. Daarna had ik via de install optie weer mijn oude certificaat geïnstalleerd. Mij was wel opgevallen dat als ik via DSM het certificaat exporteer, ik twee private en twee public keys kreeg en dat 'fake.nl' certificaat zat er tussen.
Met dit in mijn achterhoofd heb ik openVPN nog eens geëxporteerd en daar zat nu idd het 'Fake.nl" certificaat bij en niet mijn eigen certificaat. Volgens mij is dat een bug en ik moet hier nog steeds een bugmeldig van doen.
Ik noem dit omdat je schrijft dat je al lang een eigen certificaat gebruikt, maar OpenVPN rommelt een beetje met je 'eigen' certificaten.
-
Heb alleen maar vragen ;)
Heb je ook het pad naar de bundle goed gecontroleerd in de config file van iOS?
En als je dat pad tussen "....." zet?
Online vind ik wel meer problemen met OpenVPN i.c.m. iOS.
-
@briolet: bedankt voor de feedback.
@MMD: aan het pad heb ik niets gewijzigd maar zal het eens controleren. Thx.
-
"Some software may require the inclusion of basicConstraints with CA set to FALSE for end entity certificates"
https://www.openssl.org/docs/apps/x509v3_config.html#STANDARD_EXTENSIONS (https://www.openssl.org/docs/apps/x509v3_config.html#STANDARD_EXTENSIONS)
Dit is waarschijnlijk bij iOS het geval. Hoe je dit in de ca krijgt weet ik niet, waarschijnlijk een optie aan/uitvinken tijdens het genereren van de certificaten.
-
Opgelost: heb een oud certificaat geïmporteerd en openvpn onder iOS werkt terug. Raar verhaal... :-/