OpenVPN kann keine Verbindung herstellen - CA Zertifikat verantwortlich?

    Hallo Leute,

    ich war langjähriger Synology User und bin zu einer QNAP TS-251+ gekommen, welche ein wenig mehr Dampf unter der Haube hat.


    Ich benötige dringend wieder einen OpenVPN Zugriff und habe über QVPN den Service definiert.

    Die Einstellungen sind mir geläufig und sollte korrekt sein, jedoch habe ich keine Chance eine OpenVPN Verbindung aufzubauen:


    OpenVPN:

    IP-Adressbereich ist definiert

    Serverport UDP 1194 aktiviert und auf Router weitergeleitet

    Clientanzahl 5

    Verschlüsselung 256-bit

    Netzwerkschnittstelle: Alle

    DNS-Server: Router IP

    Standardgateway für alle Geräte aktiviert

    komprimierte VPN Verbindungen aktiviert


    Privilegieneinstellungen OVPN für 2 User hinzugefügt


    Die Konfigurationsdatei habe ich runtergeladen und die IP habe ich in meinen DynDNS Namen geändert.

    Die Zertifikatsdatei ist mir bei Synology als .crt bekannt, hier verwendet QNAP offensichtlich immer eine .ca Datei?

    Die CA Datei kann ich meines Wissens nicht auf Android Smartphones einspielen.


    Ich kann mir momentan nicht erklären, warum es mit der VPN Verbindung nicht klappen will.


    Bitte um Unterstützung, wo liegt der Hund begraben?


    Über die Netzwerkeinstellung : Netzwerk -und virtueller Switch habe ich unter Zugriffsdienste den DDNS hinzugefügt. Dieser kann auch eine Verbindung herstellen.


    Gruß

    Das Zertifikat ist in der Konfigdatei enthalten, die brauchst du nicht separat.

    Welche Client App verwendest du?

    Kompression würde ich auch erstmal abschalten.

    Die Konfigurationsdatei ist die ovpn Datei und die Zertifikatsdatei ist die CA Datei. Bei Synology habe ich ein gepacktes File erhalten, welches eine cert und die Konfigurationsdatei beinhaltet. Bei QNAP scheint es wohl anders zu sein.

    Die Kompression würde ich probeweise nochmal deaktivieren. Als Client App nutze ich über Android die OVPN Connect und via Win Client OpenVPN Gui.

    Mit beiden Versionen funktioniert es nicht.

    Ovpn connect ist eine Cloudlösung, damit wirst du mit eigenem Server nichts beschicken können. "ovpn for Android" wäre eine Wahl.

    Ja, die .ovpn Datei ist die Konfigdatei, diese enthält (grundsätzlich bei QNAP, bei anderen Lösungen bei Bedarf) aber auch die Zertifikate, sodass diese nicht separat benötigt werden.

    Leider auch hier wieder die Meldung: Warte auf Serverantwort

    Kompression wurde deaktiviert

    OVPN für Android wurde installiert

    Ok. Ist die Portweiterleitung ipv4 auf das NAS aktiv? Bekommst du überhaupt eine öffentliche IPv4 (beginnt nicht mit 100.) von Deinem Provider?

    Auf dem Router (Einstellungen sind noch von der Synology NAS vorhanden) ist unter Port Triggering folgende Einstellung aktiv:

    Triggering Port: 1194

    Triggering Protocol: UDP

    External port: 1194

    External protocol: UDP


    Die DDNS Verbindung ist natürlich aktiv. Habe mich auch nochmal mit den DDNS Daten neu eingeloggt. Ich bekomme öffentlich eine ipv4 Adresse, beginnt mit 2.200.

    Über meine DDNS Adresse komme ich lokal auf meinen Router.

    Was für einen Router hast du denn? Bin mir nicht sicher ob Triggering die richtige Option ist, ich würde es mal mit einer ganz normalen Weiterleitung versuchen, schließlich baut der VPN Server ja keine Verbindung auf (wohin denn auch?), somit ist der Port für eingehende Verbindungen nicht offen und der Router wüsste auch nicht wohin er die eingehenden Anfragen schicken soll.

    Ich besitze einen TP-Link Archer VR600v Router. OK Port Triggering habe ich deaktiviert und dafür habe ich unter Virtual Servers die QNAP angelegt und et voilà, die VPN Verbindung läuft.

    Die Sicherheitseinstellungen sind gesetzt:

    Nur Verbindungen aus der Liste zulassen

    Sichere Verbindung HTTPS aktiviert

    Verschlüsselung AES 256bits

    Zugriff nur von 3 berechtigten Usern


    Besteht die Möglichkeit über die VPN Verbindung eine 2FA einzufühen?


    Ich möchte dir jedenfalls sehr für deine Unterstützung danken. Wie so oft war es eine kleine Einstellung, welche mit der Synology NAS funktioniert hat und mit der QNAP eben nicht.

    Ja manchmal ist die Lösung einfacher als man denken mochte :S


    2FA für das VPN ist soweit ich weiß nicht möglich, 2FA bietet Qnap glaube ich nur für das WebGUI.

    Habe neurdings ein Problem (TLS handshake failed) mit der oVPN-Verbindung (OpenVPN für Android). Kann keine Verbinung herstellen mit folgendem Fehler:

    Code
    2022-02-03 16:15:14 VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=TW, ST=Taiwan, L=Taipei, O=QNAP Systems Inc., OU=NAS, CN=TS Series NAS, name=NAS, emailAddress=admin@qnap.com, serial=1
2022-02-03 16:15:14 OpenSSL: error:0A000086:SSL routines::certificate verify failed
2022-02-03 16:15:14 TLS_ERROR: BIO read tls_read_plaintext error
2022-02-03 16:15:14 TLS Error: TLS object -> incoming plaintext read error
2022-02-03 16:15:14 TLS Error: TLS handshake failed
2022-02-03 16:15:14 TCP/UDP: Closing socket
2022-02-03 16:15:14 SIGUSR1[soft,tls-error] received, process restarting

    Hat sich das einer erklären? Habe schon gegoogelt was das Zeug hält, aber leider nichts gefunden.... Portweiterleitung ist auf UDP1194 eingerichet.

    Scheint ein Zertifikatsfehler zu sein... aber woher auf einmal?

    Zertifikat/ config mal neu erstellt und damit versucht?

    Eventuell auch mal den Server komplett neu aufsetzen.

    Eventuell eine Sicherheitsmaßnahme wodurch QNAP in QVPN bestimmte Cipherstärken vorgibt?

    Hubert00, schon eine Lösung gefunden? Ich bin Heute auf genau das selbe Problem gestossen. Bei mir nur auf dem Android OpenVPN Client...

    Ich habe schon im QNAP Sicherheitseinstellungen (Verschlüsselung auf Hoch) geändert und gespeichert, dann das openvpn - connection file neu geladen... hat nix gebracht. OpenVPN dienst schon disabled und wieder aktiviert. auch nix.


    Evtl. wirklich das ganze VPN löschen und neu konfigurieren? Werde noch ein paar Dinge probieren...

    Zitat von bienzma

    QNAP Sicherheitseinstellungen (Verschlüsselung auf Hoch)

    Du meinst das Aktivieren der strong cipher? Das hat nichts mit dem VPN zu tun ;)


    QVPN verwendet noch OpenVPN 2.4.11 (das ist demnächst nach über 5 Jahren EOL), gut vorstellbar, dass neue Clients damit nicht mehr zurechtkommen.

    Versuch es mal mit dem Kompatibilitätsmodus in der App (die von Arne Schwabe), den findest Du in den Basiseinstellungen der entsprechenden Verbindung ganz oben.


    Man hört es nicht gerne, aber ich kann nur raten QVPN den Rücken zu kehren und den VPN Server auf einem Router oder einem anderen, besser gepflegten System laufen zu lassen.

    In der Anleitung zum neuen Windows Community-OpenVPN-Client 2.6.0 steht der Hinweis, daß bei OpenVPN-Servern 2.4 folgender Eintrag in der .OVPN-Configuration notwendig sei:

    tls-cert-profile insecure

    Dazu kommt eventuell noch der empfohlene Eintrag aus 2.5.x:

    data-ciphers AES-256-CBC


    (Die Einstellung Hoch im QVPN bezieht sich auf cipher bzw. data-ciphers. "Hoch" bezeichnet AES-256-CBC anstelle von AES-128-CBC. Beides eigentlich nicht mehr wirklich zeitgemäß aber QNAP hat halt OpenVPN zugunsten des "neuen" WireGuard vernachlässigt.)