OpenVPn mit einer Synology NAS

Discussion in 'Fragen & Antworten (Q&A)' started by Gudri, Jul 31, 2015.

  1. G

    Gudri New Member

    Moin,

    nachdem das nun mit dem Blackberry hingehauen hat würde ich auch gerne die NAS Festplatte mit VPN ins Netz schicken.

    Laut Synology Wiki läuft dort ein "normales" Linux ( http://www.synology-wiki.de/index.php/Wo_ist_was_im_Linux-System )

    Ich habe bei einem anderen VPN anbieter eine Anleitung gefunden für OpenVPN auf Synology Nas jedoch ist es so nicht übertragbar.

    Hab die Linux ca.crt (non tcp) über die Weboberfläche des NAS importiert, genauso wie Benutzername, Passwort, Serveradresse, Protokoll und Port eingegeben (1150)

    Wenn ich mich per SSH auf das NAS einlogge erscheint erstmal BusyBox v1.16.1.

    im OpenVPN.log steht folgendes:
    Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where -
    Use --help for more information.

    und im client_o14********:

    dev tun
    client
    remote amsterdam.perfect-privacy.com 1150
    cipher AES-256-CBC
    keepalive 10 30
    resolf-retry infinite
    persist-tun
    persist-key
    proto udp
    log openvpn.log
    up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
    route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
    ca ca_o14********.crt
    script-security 2
    float
    reneg-sec 0
    explicit-exit-notify
    plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/sc
    auth-user-pass /tmp/ovpn_client_up


    Kann mir jemand weiterhelfen ?
     
  2. G

    Gerd Junior Member

    Die Synology NAS GUI öffnen

    -Systemsteuerung
    -Netzwerk-Schnittstelle
    -Erstellen
    -VPN-Profil erstellen
    -OpenVPN
    -Profilname eingeben
    -Serveradresse: amsterdam.perfect-privacy.com
    -Benutzername: PP-Benutzername
    -Kennwort: PP-Kennwort
    -Port: 1150 (1149, 1150 oder 1151)
    -Protokoll: UDP
    -Zertifikat: ca.crt

    -Weiter

    -Unter Erweiterte Einstellungen alle 4 Punkte aktivieren, oder je nachdem was du möchstest/ vor hast

    -Übernehmen

    -Zum "Terminal & SNMP" Menü wechseln
    -"Enable SSH service" aktivieren
    -"Only use hardware accelerated ciphers" aktivieren

    -Übernehmen

    -Nun im Terminal über SSH einloggen (wahrscheinlich mit ssh root@192.168.1.1)

    Code:
    cd /usr/syno/etc/synovpnclient/openvpn
    Code:
    ls -al
    -Dann die Nummer hinter ca_ aufschreiben.

    -Die Dateien Amsterdam_cl.crt, Amsterdam_cl.key und Amsterdam_ta.key nach "/usr/syno/etc/synovpnclient/openvpn" kopieren

    -Danach die Zertifikate umbennen
    Wenn also bei dir ca_o01520811132.crt steht, dann muss die Nummer auch hinter den Zertifikaten hin
    z.B.
    Amsterdam_cl_o01520811132.crt
    Amsterdam_cl_o01520811132.key
    Amsterdam_ta_o01520811132.key


    (zurück zum Terminal)

    Code:
    vi client_*.*
    (Und den Text mit dem unteren ersetzen)

    Code:
    script-security 2
    client
    ns-cert-type server
    redirect-gateway def1
    dev tun
    remote amsterdam.perfect-privacy.com 1150
    proto udp
    tun-mtu 1500
    fragment 1300
    mssfix
    float
    reneg-sec 3600
    resolv-retry 60
    keepalive 10 30
    resolf-retry infinite
    persist-tun
    persist-key
    ca ca_o01520811132.crt
    cert Amsterdam_cl_o01520811132.crt
    key Amsterdam_cl_o01520811132.key
    tls-auth Amsterdam_ta_o01520811132.key 1
    tls-timeout 5
    hand-window 120
    tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
    auth SHA512
    cipher AES-256-CBC
    comp-lzo
    verb 4
    auth-user-pass /tmp/ovpn_client_up
    inactive 604800
    ping 5
    ping-restart 120
    replay-window 512 60
    mute-replay-warnings
    log openvpn.log
    up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
    route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
    reneg-sec 0
    explicit-exit-notify
    plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/sc

    (Die Nummern hinter den Zertifikaten dementsprechend ändern)

    -Um zu speichern "Escape" und diese Tasten drücken :wq

    -Zurück zum Webbrowser wechseln. Da wo du den Client erstellt hast und auf "Verbinden/Connect" klicken.

    (Ob man diese Schritte umsetzen kann weiß ich nicht. Ist alles nur Theorie)
     
  3. G

    Gudri New Member

    Moin,
    probiere grad mal deine Anleitung aus, aber weiß gra dnicht wie ich vom Mac datein aufs das Nas schieben soll außerhalb der "gemeinsamen Ordner" also ftp per admin mit dem internen system vom mac Computer ( Shit cmd K) klappt nicht... Brauch ich dafür wieder ein Programm oder kann ich mit der Console irgendwie Daten drüber transfereren ?
     
  4. JackCarver

    JackCarver Junior Member

    Sofern auf dem NAS ein SSH Service läuft kannst du auf dem Terminal zb scp (secure copy) verwenden. Damit kannst du Dateien auf das NAS oder auch umgekehrt vom NAS herunterladen. Kurze Beispiele:

    1, Alle Daten aus dem Verzeichnis /Users/Username/Daten sollen auf das NAS in das Verzeichnis /root/Daten geladen werden:

    Code:
    scp /Users/username/Daten/* user@NAS-IP:/root/Daten
    
    2, Alle Daten aus dem Verzeichnis /root/Daten sollen vom NAS ins Verzeichnis /Users/username/Daten geladen werden:

    Code:
    scp user@NAS-IP:/root/Daten/* /Users/username/Daten
    
    Sollen nur einzelne Dateien geladen werden, dann muss anstelle des Asteriks Zeichens der Dateiname stehen. Du benötigst für diese Kopieroperationen natürlich das SSH Passwort des jeweiligen Users auf der NAS.

    Edit:
    Hier ist noch n Link mit weiteren Beispielen ua auch wie man rekursiv kopiert:

    http://www.hypexr.org/linux_scp_help.php
     
  5. G

    Gudri New Member

    Okay habs soweit umgesetzt, habe jedoch die Certs schon auf dem Rechner umbenannt und dann aufs Nas geladen.

    Hat nicht geklappt. Im openvpn.log steht:

    Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server or --tls-client
    Use --help for more information.
     
  6. JackCarver

    JackCarver Junior Member

    Dann fehlt dir in der Config ein tls-client als Option. Das sagt zumindest dein Log.
     
  7. G

    Gerd Junior Member

    Jack müsste man für die Certs nach dem kopieren noch die Zugriffsberechtigung vergeben oder ist das nicht notwendig?
     
  8. G

    Gudri New Member

    Hm aktualisiert sich das log von selbst ?
    Egal was ich mache da steht immer das Gleiche drinne
    ( Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server or --tls-client
    Use --help for more information. )
    Hab einfach tls-client eingefügt und dafür client entfernt, aber auch mit beiden Parametern probiert. -> ohne erfolgreiche Verbindung
     
  9. G

    Gudri New Member

    Die 3 Certs haben: -rw-r--r--
     
  10. JackCarver

    JackCarver Junior Member

    Schau doch mal auf den Zeitstempel vom Log, sollte sich von selbst aktualisieren.

    tls-client ist richtig
     
  11. G

    Gerd Junior Member

    Ich habe das ganze von dieser Anleitung. Vielleicht seht ihr noch etwas, was ich übersehen habe.
     
  12. G

    Gudri New Member

    -rw------- 1 root root 160 Jul 31 07:40 openvpn.log

    Irgendwas stimmt da nicht der macht garkeine neue log.

    Dabei steht im client
    log openvpn.log
     
  13. G

    Gerd Junior Member

    In dem Ordner "/usr/syno/etc/synovpnclient/openvpn" müssten zwei Konfigurationsdateien sein.
    Einmal ovpnclient.conf das Synology Setup enthält und
    einmal client_langenummer wo die PP Konfiguration rein kommt.

    In welche Datei von den zwei hast du die Konfiguration eingetragen Gurdi?
     
  14. G

    Gudri New Member

    client_o143808****
     
  15. G

    Gerd Junior Member

    Manche Certs haben ein Text vor der Zeile: -----BEGIN
    Der Text vor "-----BEGIN" könnte man auch weg machen.

    In meinem Beispiel müsste man den Text bei

    Amsterdam_cl_o01520811132.crt
    Amsterdam_ta_o01520811132.key

    weg machen.
     
  16. G

    Gerd Junior Member

    Ich habe viele Zeilen von deiner Konfigurationsdatei mit PP Zeilen ergänzt Gurdi.

    Wahrscheinlich hast du deine config nicht vollständig in dieses Forum kopiert, so wie diese Zeile:

    Code:
    plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/sc
    und so habe ich den Fehler übernommen. Der Text hinter "/sc" müsste auf jeden Fall noch weiter gehen.
     
  17. G

    Gudri New Member

    Hab ich gemacht.
    Hab eben das openvpn.log mit rm gelöscht.
    Er erstellt aber kein neues. Immernoch ohne Vpn Verbindung die NAS
    @Gerd
    Sind vielleicht irgendwelche Fehler oben in deinem Quellcode ?

    Kommen mir seltsam vor. beim letzten scheint etwas zu fehlen, deshalb habe ich das original beibehalten was eh schon im client stand.

    Und so siehts auf der NAS aus:
    Code:
    -rw-r--r--    1 root     root          7796 Aug  4 18:11 Amsterdam_cl_o1438703928.crt
    -rw-r--r--    1 root     root          3268 Aug  4 18:11 Amsterdam_cl_o1438703928.key
    -rw-r--r--    1 root     root           602 Aug  4 18:11 Amsterdam_ta_o1438703928.key
    -rwxrwxrwx    1 root     root          2382 Aug  4 17:58 ca_o1438703928.crt
    -rw-rw-rw-    1 root     root          1141 Aug  4 18:44 client_o1438703928
    -rw-r--r--    1 root     root           192 Aug  4 17:58 ovpnclient.conf
     
  18. G

    Gudri New Member

    also in meinem client steht jetzt folgendes:
    Code:
    dev tun                                                                                                                                                                                                  
    tls-client                                                                                                                                                                                               
    ns-cert-type server                                                                                                                                                                                      
    redirect-gateway def1                                                                                                                                                                                    
    remote amsterdam.perfect-privacy.com 1149                                                                                                                                                                
    proto udp                                                                                                                                                                                                
    tun-mtu 1500                                                                                                                                                                                             
    fragment 1300                                                                                                                                                                                            
    mssfix                                                                                                                                                                                                   
    float                                                                                                                                                                                                    
    reneg-sec 3600                                                                                                                                                                                           
    resolv-retry 60                                                                                                                                                                                          
    keepalive 10 30                                                                                                                                                                                          
    resolv-retry infinite                                                                                                                                                                                    
    persist-tun                                                                                                                                                                                              
    persist-key                                                                                                                                                                                              
    ca ca_o1438703928.crt                                                                                                                                                                                    
    cert Amsterdam_cl_o1438703928.crt                                                                                                                                                                        
    key Amsterdam_cl_o1438703928.key                                                                                                                                                                         
    tls-auth Amsterdam_ta_o1438703928.key 1                                                                                                                                                                  
    tls-timeout 5                                                                                                                                                                                            
    hand-window 120                                                                                                                                                                                          
    tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA2
    auth SHA512                                                                                                                                                                                              
    cipher AES-256-CBC                                                                                                                                                                                       
    verb 4                                                                                                                                                                                                   
    inactive 604800                                                                                                                                                                                          
    ping 5                                                                                                                                                                                                   
    ping-restart 120                                                                                                                                                                                         
    replay-window 512 60                                                                                                                                                                                     
    mute-replay-warnings                                                                                                                                                                                     
    up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up                                                                                                                                                  
    route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up                                                                                                                                           
    ca ca_o1438703928.crt                                                                                                                                                                                    
    comp-lzo                                                                                                                                                                                                 
    redirect-gateway                                                                                                                                                                                         
    script-security 2                                                                                                                                                                                        
    float                                                                                                                                                                                                    
    reneg-sec 0                                                                                                                                                                                              
    explicit-exit-notify                                                                                                                                                                                     
    log openvpn.log                                                                                                                                                                                          
    plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down                                                                                                            
    auth-user-pass /tmp/ovpn_client_up   
     
  19. G

    Gudri New Member

    AHHH die log ist wieder da =)
    Log:
    Options error: --keepalive conflicts with --ping, --ping-exit, or --ping-restart. If you use --keepalive, you don't need any of the other --ping directives.
    Use --help for more information.
     
  20. G

    Gerd Junior Member

    Daran wirds bestimmt liegen.

    Die Frage ist ob da etwas fehlt oder ob da einige Befehle da sind die nicht hin gehören

    Edit: Ich würde zum Versuch den keepalive Befehl oder alle ping Befehle wegnehmen.

    Du hast zwei Zeilen in der Konfiguration mit ca_langenummer.

    Da muss noch "resolv-retry infinite" weg, weil da schon "resolv-retry 60" steht.

    Ebenso muss "redirect-gateway" weg, weil da schon "redirect-gateway def1" steht.

    Ein "float" Befehl steht noch zuviel.

    "reneg-sec 0" muss noch weg
     
    Last edited: Aug 4, 2015
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice