Ověření certifikátu selhalo - OpenVPN na Synology

Ověření certifikátu selhalo - OpenVPN na Synology
« kdy: 01. 10. 2021, 15:45:49 »
Zdravím,

dlouho dobu jsem bezproblémově používal aplikaci VPN server na Synology DS918+. Zhruba od včerejška se nemůžu připojit přes VPN na všech zařízeních. Mělo by se jednat o Synology DDNS certificate vydaný R3.

Certifikát jsem zkusil obnovit i vytvořit nový. Bohužel problém neustále přetrvává. Když jsem se pokusil rozjet OpenVPN server na routeru Asus rt-at56u, tak vše jede.

Výpis z logu je následující
Citace
2021-10-01 15:34:15.141442 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=TW, ST=TW, L=Taipei, O=ASUS, CN=RT-AX56U, emailAddress=me@myhost.mydomain, serial=
***
2021-10-01 15:34:15.141509 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2021-10-01 15:34:15.141518 TLS_ERROR: BIO read tls_read_plaintext error
2021-10-01 15:34:15.141525 TLS Error: TLS object -> incoming plaintext read error
2021-10-01 15:34:15.141530 TLS Error: TLS handshake failed

Nevíte, co s tím?

Děkuji za odpovědi



_Jenda

  • *****
  • 863
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Ověření certifikátu selhalo - OpenVPN na Synology
« Odpověď #2 kdy: 01. 10. 2021, 17:23:24 »
Je v konfiguráku klienta certifikát CA toho Synology? Můžeš sem dát celý konfigurák? (asi teda bez klíče, no)

Re:Ověření certifikátu selhalo - OpenVPN na Synology
« Odpověď #3 kdy: 01. 10. 2021, 17:48:58 »
Jediný certifikát tam je Synology DDNS Certificate od R3. Konfigurákem myslíš obsah toho konfiguračního souboru openvpn (.ovpn)?

_Jenda

  • *****
  • 863
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Ověření certifikátu selhalo - OpenVPN na Synology
« Odpověď #4 kdy: 01. 10. 2021, 18:24:40 »
Jediný certifikát tam je Synology DDNS Certificate od R3.
A to je jako v ca parametru? Nebo je to v cert parametru? Bez cert to snad nemůže fungovat, ne? (leda že by používali autentizaci heslem)

Já si vždycky přes easy-rsa vyrobím vlastní CA a její certifikát plácnu klientům do ca parametru. Nic se externě nepodepisuje, je to čistě moje CA bez jakékoli vazby na okolí.

Konfigurákem myslíš obsah toho konfiguračního souboru openvpn (.ovpn)?
Ano, a certifikáty pokud nějaké includuje zvlášť.


Re:Ověření certifikátu selhalo - OpenVPN na Synology
« Odpověď #5 kdy: 01. 10. 2021, 18:39:01 »
Obsah .ovpn:
Citace
dev tun
tls-client

remote ***.synology.me 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.0.244
dhcp-option DNS 192.168.0.254

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
***
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
***
-----END CERTIFICATE-----

</ca>

Dále k tomu je vygenerovaný soubor ca.crt, který má stejný obsah jako <ca>***</ca>

Jinak já s tím nic extra nedělal. Udělal jsem drobné konfigurační změny, vyexportoval konfigurační balíček, nainstaloval certifikát a .opvn. a vše šlo bezchybně.