VPN problemen na installatie DSM 7.2

[steef27]

Hi allemaal,

Nadat ik DSM 7.2 heb geinstalleerd lukt het mij niet meer om mijn NAS met een andere NAS te verbinden via VPN.
Ik heb een OpenVPN connectie die ervoor moet zorgen dat ik backups kan wegschrijven naar een andere NAS.
Heeft iemand een idee waar ik moet kijken? Zijn er gedetailleerde logbestanden?
De melding is: "Kan netwerkverbinding niet tot stand brengen"
Via andere devices kan ik de betreffende VPN verbinding naar de andere NAS wél opzetten. Het lijkt dus in de instellingen van de NAS te zitten en na de update naar 7.2 zijn ontstaan.

[Babylonia]

Herstart de NAS eens opnieuw.

En die andere NAS, met een geïnstalleerd  VPN server  pakket, is DSM daarvan ook geüpdatet?
Kijk dan of je met de update van DSM bij die NAS ook op de NAS geïnstalleerde pakketten moet vernieuwen.

Voor de NAS met de VPN Client, kun je de gegevens een keer weggooien, en opnieuw configureren.

[steef27]

Nee, de andere NAS (doel) is niet gewijzigd. Ik heb de VPN connectie-instellingen opnieuw gedaan, maar geen succes. Ook heb ik een L2TP connectie ingesteld, waarvan ik weet dat deze werkt. Ook hiermee kan de Nas niet met de andere Nas verbinden.

[Babylonia]

Heb hier ook enkele VPN testen gedaan.

• NAS met DSM 7.2 met een OpenVPN verbinding naar een commerciële VPN dienst met een server in Duitsland / Berlijn.
  =  géén probleem
  
  
• NAS met DSM 7.2 met een L2TP verbinding naar een andere NAS met daarop DSM 6.2.4 (server 75 km hier vandaan).
  =  géén probleem

Tja, moeilijk te bepalen wat er bij jou dan mis gaat?

Er is wel een melding gedaan van een probleem bij een "aangepaste" OpenVPN set-up, bij een update van DSM 6.2.4
Doorloop dat onderwerp eens.
https://www.synology-forum.nl/vpn-server/aangepaste-openvpn-werkt-na-update-dsm-niet-meer/

Eerder heb ik ook wel eens een  "marathon VPN test"  gedaan.
Neem < die reactie > en vervolgreacties eens door.  Mogelijk kom je daarop verder??
Ik geef nogal wat informatie en tips, waar verbindingen op stuk kunnen lopen.

[zandhaas]

Ik heb na de upgrade naar 7.2 hetvpm pakket moeten verwijderen en opnieuw geïnstalleerd.
Daarna geen probleem meer met OpenVPN

[steef27]

Een L2TP verbinding heb ik ineens aan de praat. De OpenVPN lukt me nog steeds niet. Ik heb de firewall op de doel-Nas uitgezet en op de router (doel) zowel de UDP als TCP protocol opengezet. Kan ik ergens gedetailleerde logging inzien?

[steef27]

in de log file zie ik:

2023-07-15 19:32:16 DEPRECATED OPTION: --cipher set to 'BF-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'BF-CBC' to --data-ciphers or change --cipher 'BF-CBC' to --data-ciphers-fallback 'BF-CBC' to silence this warning.
2023-07-15 19:32:16 WARNING: file '/tmp/ovpn_client_up' is group or others accessible
2023-07-15 19:32:16 OpenVPN 2.5.8 [git:DSM7-2/a82d285baad06068+] x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Nov 14 2022
2023-07-15 19:32:16 library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10
2023-07-15 19:32:16 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-07-15 19:32:16 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-07-15 19:32:16 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
2023-07-15 19:32:16 OpenSSL: error:0308010C:digital envelope routines::unsupported
2023-07-15 19:32:16 Message hash algorithm 'RSA-SHA256' not found

Iemand een idee wat ik moet doen?

[Babylonia]

Wat ik uit die log regels haal, is dat je met misschien het opnieuw installeren van OpenVPN (?) veel te lage bitdiepte gebruikt voor versleuteling.
En vraag me af of je mogelijk ook niet opnieuw het OpenVPN Configuratie bestand hebt geëxporteerd en geïmporteerd bij de Client??
Versleuteling bij het een correspondeert niet bij het ander.

"Standaard" zonder gebruik van extra beveiligingsmaatregelen wordt een certificaat niet gecontroleerd.
Betreft het zeer uitvoerige onderwerp  < HIER >

En dat is dan weer gerelateerd aan:
https://www.synology-forum.nl/vpn-server/aangepaste-openvpn-werkt-na-update-dsm-niet-meer/

[steef27]

Ik heb het opgelost. Ik heb een actuele tutorial (

bekeken voor het inrichten van VPN Server op de doel-nas.
Het viel me op dat er een andere (lees: modernere) codering en verificatie werd gebruikt. Ik heb de settings overgenomen en de verbinding draait als een zonnetjes. Blijkbaar stelt DSM 7.2 (t.o.v. 7.1 x) hogere eisen aan het leggen van een gecodeerde OpenVPN verbinding.

Een tip: voeg de regel "log-append /var/log/OpenVPN.log" toe aan VPNConfig.ovpn voordat je dit gaat importeren.
De codering was: BF-CBC
De codering moet zijn: AES-256-CBC
De verificatie was: RSA-SHA256
De verificatie moet zijn: SHA512

Bedankt voor het meedenken!

[Babylonia]

Datgene wat je hiervoor aanhaalt gaat dus over die versleuteling / bitdiepte.