Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: pd0amn op 03 januari 2023, 00:55:32
-
Met mijn DS214play gebruikte ik altijd als VPN de PPTP van Synology.
Sinds de nieuwe update van Android op mijn Samsung smartphone is de mogelijkheid van pptp verdwenen.
Er kan alleen nog gekozen worden voor:
IKEv2/IPSec PSK
IKEv2/IPSec MSCHAPv2
IKEv2/IPSec RSA
Deze protocollen vind ik echter niet op mijn DS214play.
Wie heeft een goed advies dat ik weer gebruik kan maken met VPN op de DS214play om elders mijn mijn smartphone op mijn thuis netwerk te komen.
-
Staat er geen L2TP/IPSec bij ??
Anders zou je een OpenVPN Client (https://play.google.com/store/apps/details?id=it.colucciweb.vpnclientpro&hl=nl) app, op je smartphone kunnen installeren.
En daarmee een verbinding kunnen opzetten. Is wel wat ingewikkelder om het allemaal te configureren dan de andere VPN protocollen.
-
Bedankt voor je reactie. Neen zoals eerder vermeld alleen de
IKEv2/IPSec PSK
IKEv2/IPSec MSCHAPv2
IKEv2/IPSec RSA
Ik heb inderdaad al met twee apps op mijn smartphone geprobeerd (OpenVPNConnect en VPN Client Pro) om openVPN te verbinden met mijn DS214play. Tot op heden nog niet gelukt door waarschijnlijk certificaat of wat anders. De poort in firewall en in de modem heb ik wel opengezet hiervoor. Voor de VPN Client Pro zal ik morgen eerst nog eens een handleiding proberen te vinden waar ook iets over het certificaat in tevinden is.
-
Dat het PPTP protocol is vervallen, kan ik me wel voorstellen. Het is een verouderd niet veilig protocol.
Er wordt al jaren aanbevolen om het niet te gebruiken. Maar dat "Samsung" ook het L2TP protocol laat vallen is wel opmerkelijk.
Want veel gebruikers benutten dat. (Het is nog steeds een standaard VPN protocol bij andere merken Android smartphones).
Voor OpenVPN zul je vanuit de NAS een configuratiebestand moeten exporteren.
Waarbij een certificaat wordt bijgevoegd in het configuratiebestand zelf.
Welk certificaat, kan weer afhankelijk zijn van de keus van certificaten op de NAS zelf.
(Bijvoorbeeld een zelf ondertekend certificaat).
Er is op het forum erg veel te vinden m.b.t. OpenVPN onderwerpen. Dus genoeg aanwijzingen.
-
Bedankt voor je hulp zover. Ik ga nu eerst maar eens met openvpn pro aan de gang hoe ik al die utp instellingen moet instellen.
-
Nee, die instellingen doe je juist vooraf m.b.v. het OpenVPN configuratiebestand wat je eerst moet exporteren vanuit de NAS.
Dat geëxporteerde configuratiebestand pas je aan, en importeer je vervolgens in de OpenVPN Pro applicatie. Klaar.
-
Volgens mij heeft Apple het PPTP protocol al 10 jaar geleden afgeschaft. Wel heel gradueel. Bestaande configuraties met PPTP bleven werken, maar je kon geen nieuwe aanmaken.
Tijd om over te stappen dus.
Tip voor OpenVPN:
- Gebruik geen Let's Encrypt certificaat omdat die elke 3 maand vernieuwd en je configuratie dan ongeldig wordt.
- Een self-signed certificaat volstaat. Maar ook hier weer een probleem omdat Synology de geldigheid tot 12 maand beperkt heeft. Dat is omdat browsers een maximum geldigheid van 13 maand eisen. Heel jammer dat je dit niet in DSM kunt instellen, want er zijn genoeg toepassingen waarvoor de geldigheid van > 12 maand geen probleem is. Vroeger waren de self-signed certificaten van DSM 10 jaar geldig.
-
Gisteren hele dag en vanmorgen geprobeerd het werkend te krijgen. Veel youtube filmjes en teksten doorgelezen.
Helaas nog niet gelukt. Ik krijg deze foutmelding:
08:56:24.694 -- ----- OpenVPN Start -----
08:56:24.694 -- EVENT: CORE_THREAD_ACTIVE
08:56:24.696 -- OpenVPN core 3.git::d3f8b18b:Release android arm64 64-bit PT_PROXY
08:56:24.697 -- Frame=512/2048/512 mssfix-ctrl=1250
08:56:24.698 -- EVENT: CORE_THREAD_ERROR info='ssl_context_error: OpenSSLContext: CA not defined'
Ik vermoed zelf dat het misschien aan het certificaat kan liggen. Misschien dat iemand mij nog een duwtje in de goede richting kan geven. In ieder geval bedankt voor de al verkregen hulp van iedereen.
-
De informatie die je geeft is veel te beperkt.
Het kan aan de hele set-up liggen met wat je hebt gedaan??
- Wat is er in de NAS voorhanden aan gebruikte certificaten?
- Heb je het configuratiescherm geëxporteerd, en wat heb je er allemaal in aangepast?
Maak je gebruik van een eigen domein ??
Gebruik je een Synology DDNS domein ??
Een duwtje in de goede richting is dan verder moeilijk te geven omdat bij OpenVPN er te veel variabelen zijn.
In de twee "sticky" onderwerpen (oranje / geel gemarkeerde onderwerpen) bovenaan dit forum onderdeel (https://www.synology-forum.nl/vpn-server/),
kun je naar ik vermoed "nogal wat reacties" terugvinden die je naar de juiste richting kunnen sturen.
Ook al zou ik persoonlijk de afwijkende zaken met "extra" beveiliging voorlopig achterwege laten, en je beperken tot de standaard opties.
Die je evenwel ook kunt terugvinden in help-bestanden en Synology tutorials zelf.
-
Bedankt Babylonia. Ik ga alles wat je aangaf morgen inlezen.
-
Ik las op het forum als je dat zipbestand opent, dan zie je als het goed is 3 bestanden:
VPNConfig.ovpn
README.txt
ca.crt
Bij mij ontbreekt het ca.crt.
-
Daar is eerder in een reactie hierboven (https://www.synology-forum.nl/vpn-server/pptp-optie-is-verdwenen-in-samsung-s22/msg318114/#msg318114) al op gewezen. Dat certificaat zit tegenwoordig al ingebakken in het configuratiebestand.
Kun je zelf controleren. Één of meerdere blokken tekst-strings van allerlei karakters, tussen de tags
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Als je die vindt, staat het erbij. Indien NIET zie je het ook gelijk.
-
Staat inderdaad wel tussen de tekstblokken. Ga me weer verder inlezen. Bedankt zover maar weer.
-
Ik heb mij nu heel lang ingelezen maar er staat ontzettend veel over openvpn.
Ik ben nu zover dat, wanneer ik OpenVPN connect opstart op mijn Android telefoon ik kan kiezen voor:
Select Certificate
This profile doesn"t include a client certificate. Continue connecting without a certificate or select one from the Android keychain?
Continue Select certificate
Als ik kies voor Select Certificate krijg ik de volgende melding:
There was an error attempting to connect to the selected server.
Error message: External certificate not found. Please select proper certificate for profile.
Als ik had gekozen had voor Continue in plaats van Select Certificate dan krijg ik wel een vpn-verbinding.
Ik heb gelezen dat als ik in de .opvn file de regel "server CLIENT_CERT 0" toevoeg ik geen error melding krijg.
Dit heb ik gedaan en inderdaad geen foutmelding meer.
Mijn vraag is e.e.a nu wel goed beveiligd met alleen naam en wachtwoord en tls.
In de .opvn file staan twee certificaten.
Gaarne hulp
-
Hoe is het OpenVPN configuratiebestand aangepast, en geïmporteerd in de bewuste OpenVPN Client app op je smartphone?
Volgens je eerdere reactie (https://www.synology-forum.nl/vpn-server/pptp-optie-is-verdwenen-in-samsung-s22/msg318115/#msg318115) de app "OpenVPN Pro" (https://play.google.com/store/apps/details?id=it.colucciweb.vpnclientpro&hl=nl&gl=US), maar erna (https://www.synology-forum.nl/vpn-server/pptp-optie-is-verdwenen-in-samsung-s22/msg318818/#msg318818) heb je het weer over "OpenVPN Connect" (https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=nl&gl=US). Wat gebruik je dan?
Afhankelijk daarvan, kan het "van alles zijn" wat je aan mogelijke meldingen krijgt, als zaken niet juist zijn ingesteld.
Nog steeds allemaal veel te vaag om te kunnen bepalen wat je niet goed doet.
-
Sorry ik gebruik nu OpenVPN Connect op mijn samsung telefoon(Android)
De vpnconfig.open ziet er als volgt uit:
dev tun
tls-client
remote xxx.synology.me 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS 192.168.2.254
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
setenv CLIENT_CERT 0
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxx tekst even verwijderd
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxx tekst even verwijderd
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxtekst even verwijderd
-----END OpenVPN Static key V1-----
</tls-auth>
-
Zie bijlagen
-
Een aantal van die instellingen zijn vergelijkbaar met wat ik ook gebruik. (Geldt voor je voorlaatste bericht (https://www.synology-forum.nl/vpn-server/pptp-optie-is-verdwenen-in-samsung-s22/msg318820/#msg318820) hiervoor).
Maar een aantal ook "zeker niet" !!
Kan afhankelijk zijn van persoonlijke behoeften, en gebruik van bijv. een eigen domein (?).
Wat wil je bereiken met die VPN connectie?
Alleen verbinding met je NAS (lokaal voor je thuis netwerk)
De rest "buiten" de VPN verbinding?
Of "alles" via de VPN verbinding thuis, ook de "browser" internet-verbinding via je VPN verbinding?
Lees je ook de betekenis / uitleg van de informatie voorafgegaan met een hekje # wat er voor bepaalde code bedoeld??
De "verkorte" weergave van mijn configuratiebestand. (Zonder de toegevoegde informatie voorafgegaan van regels met een hekje #)
Zoals voor mij van toepassing.
dev tun
tls-client
remote [ mijn NL-domein naam ] 1194
#.............
float
#.............
redirect-gateway def1
#.............
dhcp-option DNS 1.1.1.2
dhcp-option DNS 1.0.0.2
pull
#.............
proto udp
script-security 2
reneg-sec 0
auth SHA512
cipher AES-256-CBC
auth-nocache
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXX...............
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXX...............
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXXXXXXXXXXXXX...............
-----END OpenVPN Static key V1-----
</tls-auth>
verify-x509-name '[ mijn NL-domein naam ]' name
explicit-exit-notify
-
Reuze Bedankt voor je snelle antwoord.
Ik wil alleen verbinding met mijn lokaal netwerk thuis maken vanuit elders in de wereld.
Op mijn manier lukt het zoals ik al eerder had aangegeven maar ik weet niet of de verbinding nu wel veilig is door mijn omzeilen met behulp van de regel toe tevoegen "setenv CLIENT_CERT 0.
Ik ga nu naar bed en morgen is dit weer een nieuwe uitdaging om eens jouw .opvn te proberen.
Bedankt maar weer.
-
M.b.t. je vervolgreactie < DEZE> (https://www.synology-forum.nl/vpn-server/pptp-optie-is-verdwenen-in-samsung-s22/msg318821/#msg318821)
1e plaatje ----> Vinkje / activeer instelling: "Ken VPN machtigingen alleen toe aan aan nieuw toegevoegde lokale gebruikers"
En kijk onder het menu "Rechten" van de VPN Sever,
of je de juiste gebruikers ook rechten hebt gegeven om een VPN verbinding te mogen inzetten.
3e laatste plaatje:
Een "QuickConnect ID" werkt niet voor VPN. Ofwel kies voor een DDNS domein (bijv. dat van Synology = xxx.synology.me ).
Of een eigen domein gebruiken wat je mogelijke via een service provider hebt aangevraagd,
en via de account gegevens waar je het domein hebt geregistreerd kunt doorverwijzen naar je internet WAN IP adres.
En gebruik dat in het OpenVPN configuratiebestand alls domein om met je thuisnetwerk te verbinden.
-
Dag @Babylonia. Helaas ook na een middag en avond stoeien is het weer niet gelukt.
Misschien dat jij nog tijd voor me hebt om de screens te bekijken of jou nog wat opvalt wat niet goed is. Als ik de foutmelding van screen 1 en 2 lees zou het toch aan het certificaat kunnen liggen. Dus heb ik al een nieuw certificaat via synology geimporteerd en als standaard aangemerkt.
dev tun
tls-client
remote xxx.ynology.me 1194
# ............
float
# .............
redirect-gateway def1
# ...............
dhcp-option DNS 192.168.2.254
pull
# ............
proto udp
script-security 2
reneg-sec 0
auth SHA512
cipher AES-256-CBC
auth-nocache
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
4XXXXXXXXXXXXXXXX
</tls-auth>
verify-x509-name xxxx.synology.me name
explicit-exit-notify
-
Misschien dat jij nog tijd voor me hebt om de screens te bekijken of jou nog wat opvalt wat niet goed is.
In je configuratie zie ik dat je voor de DNS server het IP-adres van de KPN router gebruikt.
dhcp-option DNS 192.168.2.254 (Achterliggend wordt dan verder verwezen naar de DNS servers van KPN).
Het kan, maar is niet altijd betrouwbaar. Je zou mogelijk een algemene externe DNS server kunnen gebruiken (Cloudflare 1.1.1.1)
Of zoals in mijn geval twee alternatieve DNS servers van Cloudflare:
dhcp-option DNS 1.1.1.2
dhcp-option DNS 1.0.0.2
Wat staat voor een gefilterde DNS = No Malware (controleert op malware, zie < info > (https://one.one.one.one/family/) naar onderen scrollen / linkerkant).
Verder zie ik in je instellingen van de VPN server, dat je compressie hebt ingesteld.
Maar de codering ervan ontbreekt in je laatste set-up van het configuratiebestand.
Dat hoort er wel in te staan bij een actief ingestelde compressie, anders werkt het niet.
comp-lzo
Bij mij komt die code niet in mijn set-up terug, omdat ikzelf géén compressie gebruik.
Als ik de foutmelding van screen 1 en 2 lees zou het toch aan het certificaat kunnen liggen.
Daar lijkt het inderdaad op. Maar de mobiele app menu's zijn van een andere OpenVPN app, dan welke ikzelf gebruik.
(Tenminste mijn menu's zien er heel anders uit). Ik gebruik de app VPN Client Pro (https://play.google.com/store/apps/details?id=it.colucciweb.vpnclientpro&hl=nl)
Het zou kunnen als je een andere app gebruikt, dat die een ingekapseld certificaat in het configuratiebestand niet accepteert ??
(Er staat me iets van bij dat bij eerdere versies die ik gebruikte van OpenVPN Connect (https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=nl) of misschien < DEZE > (https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=nl), dat die dat niet meenam.
En je het certificaat alsnog apart moest importeren).
-
Dag Babylonia. Bedankt voor al je hulp. Ik heb nu besloten om de moed maar even op te geven voorlopig. Ik heb nog wel een poging gedaan met de client VPN Pro pp mijn samsung telefoon. Ik kom hiermee wel op het thuisnetwerk wat mijn bedoeling is maar krijg nog steeds een melding over het certificaat. Dus voorlopig laat ik het maar even zo. Nogmaals heel veel dank voor je hulp.
-
Veel gebruikers hebben er problemen mee.
Het is een van de meest besproken foutmeldingen met betrekking tot OpenVPN.
https://www.google.nl/search?q=no+server+certificate+verification+method+has+been+enabled
Ook op dit Synology forum, komen er vergelijkbare onderwerpen voorbij. Mogelijke oplossing - zie vervolgreactie:
https://www.synology-forum.nl/vpn-server/openvpn-niet-werkende-te-krijgen/msg268003/#msg268003
-
Er kan alleen nog gekozen worden voor:
IKEv2/IPSec PSK
IKEv2/IPSec MSCHAPv2
IKEv2/IPSec RSA
Deze protocollen vind ik echter niet op mijn DS214play.
Ik wilde VPN ook weer eens activeren op mijn nieuw Samsung telefoon. De VPN server onder DSM 6.2 kent geen IKEv2. (Wel IKEv1, wat onderdeel van L2TP is). Ik ben gisteren de VPN server op de Synology router geïnstalleerd en tot mijn verbazing kende die ook nog geen IKEv2. (De router kent het wel bij de site-to-site verbinding)
Weet iemand of dit protocol wel onder DSM 7.1 beschikbaar is?
-
De VPN server onder DSM 6.2 kent geen IKEv2. (Wel IKEv1, wat onderdeel van L2TP is).
Domme vraag misschien maar, hoe controleer je welke IKE versie je hebt ?
[attach=1]
Is IKEv2 hetzelfde als MS-CHAP v2 dan ? Verder zie ik niets met v1 of v2.
-
Ik zag precies wat jij zag, dat je wel een IKE kunt aanvinken. Maar als ik op internet zoek, heeft het L2TP protocol een IKEv1 optie van authenticatie en geen IKEv2 optie. Ik gebruikte altijd de pre-shared key van IKEv1.
En volgens mij werkt IKEv2 geheel anders en wordt dat met IKE aangeduid en IKEv1 valt onder de noemer L2TP.
(In elk geval werkt dit nu niet op de telefoon)
-
Omdat de scherm afdruk (https://www.synology-forum.nl/vpn-server/pptp-optie-is-verdwenen-in-samsung-s22/?action=dlattach;ts=1721829616;attach=62205;image) welke @Birdy in zijn reactie #25 (https://www.synology-forum.nl/vpn-server/pptp-optie-is-verdwenen-in-samsung-s22/msg330322/#msg330322) toont.
In het menu, de regel IKE authentication geen onderscheid maakt welke versie, ga ik uit van IKEv1
Bijv. bij de Synology router het instellen van een site-to-site VPN verbinding wordt expliciet onderscheid gemaakt tussen IKEv1 en IKEv2
https://kb.synology.com/nl-nl/SRM/help/VPNPlusServer/vpnplus_server_site2site?version=1_3#section3
IKE-versie: Selecteer IKEv1 of IKEv2. Beide sites moeten dezelfde IKE-versie hebben.
-
Weet iemand of dit protocol wel onder DSM 7.1 beschikbaar is?
Mijn printscreen was van DSM6 en ik heb ook DSM7.1 en DSM7.2 gecontroleerd, geen IKEv2 dus.