Fórum Root.cz
Hlavní témata => Server => Téma založeno: pkoci 01. 10. 2021, 15:45:49
-
Zdravím,
dlouho dobu jsem bezproblémově používal aplikaci VPN server na Synology DS918+. Zhruba od včerejška se nemůžu připojit přes VPN na všech zařízeních. Mělo by se jednat o Synology DDNS certificate vydaný R3.
Certifikát jsem zkusil obnovit i vytvořit nový. Bohužel problém neustále přetrvává. Když jsem se pokusil rozjet OpenVPN server na routeru Asus rt-at56u, tak vše jede.
Výpis z logu je následující
2021-10-01 15:34:15.141442 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=TW, ST=TW, L=Taipei, O=ASUS, CN=RT-AX56U, emailAddress=me@myhost.mydomain, serial=
***
2021-10-01 15:34:15.141509 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2021-10-01 15:34:15.141518 TLS_ERROR: BIO read tls_read_plaintext error
2021-10-01 15:34:15.141525 TLS Error: TLS object -> incoming plaintext read error
2021-10-01 15:34:15.141530 TLS Error: TLS handshake failed
Nevíte, co s tím?
Děkuji za odpovědi
-
viz https://www.root.cz/zpravicky/vyprsel-korenovy-certifikat-dst-root-ca-pouzivany-autoritou-let-s-encrypt/, v diskuzi pak máš i nějaké návody.
-
Je v konfiguráku klienta certifikát CA toho Synology? Můžeš sem dát celý konfigurák? (asi teda bez klíče, no)
-
Jediný certifikát tam je Synology DDNS Certificate od R3. Konfigurákem myslíš obsah toho konfiguračního souboru openvpn (.ovpn)?
-
Jediný certifikát tam je Synology DDNS Certificate od R3.
A to je jako v ca parametru? Nebo je to v cert parametru? Bez cert to snad nemůže fungovat, ne? (leda že by používali autentizaci heslem)
Já si vždycky přes easy-rsa vyrobím vlastní CA a její certifikát plácnu klientům do ca parametru. Nic se externě nepodepisuje, je to čistě moje CA bez jakékoli vazby na okolí.
Konfigurákem myslíš obsah toho konfiguračního souboru openvpn (.ovpn)?
Ano, a certifikáty pokud nějaké includuje zvlášť.
-
Obsah .ovpn:
dev tun
tls-client
remote ***.synology.me 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
dhcp-option DNS 192.168.0.244
dhcp-option DNS 192.168.0.254
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
***
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
***
-----END CERTIFICATE-----
</ca>
Dále k tomu je vygenerovaný soubor ca.crt, který má stejný obsah jako <ca>***</ca>
Jinak já s tím nic extra nedělal. Udělal jsem drobné konfigurační změny, vyexportoval konfigurační balíček, nainstaloval certifikát a .opvn. a vše šlo bezchybně.