OpenVPn mit einer Synology NAS

Gudri

New Member
Moin,

nachdem das nun mit dem Blackberry hingehauen hat würde ich auch gerne die NAS Festplatte mit VPN ins Netz schicken.

Laut Synology Wiki läuft dort ein "normales" Linux ( http://www.synology-wiki.de/index.php/Wo_ist_was_im_Linux-System )

Ich habe bei einem anderen VPN anbieter eine Anleitung gefunden für OpenVPN auf Synology Nas jedoch ist es so nicht übertragbar.

Hab die Linux ca.crt (non tcp) über die Weboberfläche des NAS importiert, genauso wie Benutzername, Passwort, Serveradresse, Protokoll und Port eingegeben (1150)

Wenn ich mich per SSH auf das NAS einlogge erscheint erstmal BusyBox v1.16.1.

im OpenVPN.log steht folgendes:
Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where -
Use --help for more information.

und im client_o14********:

dev tun
client
remote amsterdam.perfect-privacy.com 1150
cipher AES-256-CBC
keepalive 10 30
resolf-retry infinite
persist-tun
persist-key
proto udp
log openvpn.log
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
ca ca_o14********.crt
script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/sc
auth-user-pass /tmp/ovpn_client_up


Kann mir jemand weiterhelfen ?
 

Gerd

Junior Member
Die Synology NAS GUI öffnen

-Systemsteuerung
-Netzwerk-Schnittstelle
-Erstellen
-VPN-Profil erstellen
-OpenVPN
-Profilname eingeben
-Serveradresse: amsterdam.perfect-privacy.com
-Benutzername: PP-Benutzername
-Kennwort: PP-Kennwort
-Port: 1150 (1149, 1150 oder 1151)
-Protokoll: UDP
-Zertifikat: ca.crt

-Weiter

-Unter Erweiterte Einstellungen alle 4 Punkte aktivieren, oder je nachdem was du möchstest/ vor hast

-Übernehmen

-Zum "Terminal & SNMP" Menü wechseln
-"Enable SSH service" aktivieren
-"Only use hardware accelerated ciphers" aktivieren

-Übernehmen

-Nun im Terminal über SSH einloggen (wahrscheinlich mit ssh root@192.168.1.1)

Code:
cd /usr/syno/etc/synovpnclient/openvpn
Code:
ls -al
-Dann die Nummer hinter ca_ aufschreiben.

-Die Dateien Amsterdam_cl.crt, Amsterdam_cl.key und Amsterdam_ta.key nach "/usr/syno/etc/synovpnclient/openvpn" kopieren

-Danach die Zertifikate umbennen
Wenn also bei dir ca_o01520811132.crt steht, dann muss die Nummer auch hinter den Zertifikaten hin
z.B.
Amsterdam_cl_o01520811132.crt
Amsterdam_cl_o01520811132.key
Amsterdam_ta_o01520811132.key


(zurück zum Terminal)

Code:
vi client_*.*
(Und den Text mit dem unteren ersetzen)

Code:
script-security 2
client
ns-cert-type server
redirect-gateway def1
dev tun
remote amsterdam.perfect-privacy.com 1150
proto udp
tun-mtu 1500
fragment 1300
mssfix
float
reneg-sec 3600
resolv-retry 60
keepalive 10 30
resolf-retry infinite
persist-tun
persist-key
ca ca_o01520811132.crt
cert Amsterdam_cl_o01520811132.crt
key Amsterdam_cl_o01520811132.key
tls-auth Amsterdam_ta_o01520811132.key 1
tls-timeout 5
hand-window 120
tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
auth SHA512
cipher AES-256-CBC
comp-lzo
verb 4
auth-user-pass /tmp/ovpn_client_up
inactive 604800
ping 5
ping-restart 120
replay-window 512 60
mute-replay-warnings
log openvpn.log
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/sc

(Die Nummern hinter den Zertifikaten dementsprechend ändern)

-Um zu speichern "Escape" und diese Tasten drücken :wq

-Zurück zum Webbrowser wechseln. Da wo du den Client erstellt hast und auf "Verbinden/Connect" klicken.

(Ob man diese Schritte umsetzen kann weiß ich nicht. Ist alles nur Theorie)
 

Gudri

New Member
Moin,
Die Dateien Amsterdam_cl.crt, Amsterdam_cl.key und Amsterdam_ta.key nach "/usr/syno/etc/synovpnclient/openvpn" kopieren
probiere grad mal deine Anleitung aus, aber weiß gra dnicht wie ich vom Mac datein aufs das Nas schieben soll außerhalb der "gemeinsamen Ordner" also ftp per admin mit dem internen system vom mac Computer ( Shit cmd K) klappt nicht... Brauch ich dafür wieder ein Programm oder kann ich mit der Console irgendwie Daten drüber transfereren ?
 

JackCarver

Junior Member
Sofern auf dem NAS ein SSH Service läuft kannst du auf dem Terminal zb scp (secure copy) verwenden. Damit kannst du Dateien auf das NAS oder auch umgekehrt vom NAS herunterladen. Kurze Beispiele:

1, Alle Daten aus dem Verzeichnis /Users/Username/Daten sollen auf das NAS in das Verzeichnis /root/Daten geladen werden:

Code:
scp /Users/username/Daten/* user@NAS-IP:/root/Daten
2, Alle Daten aus dem Verzeichnis /root/Daten sollen vom NAS ins Verzeichnis /Users/username/Daten geladen werden:

Code:
scp user@NAS-IP:/root/Daten/* /Users/username/Daten
Sollen nur einzelne Dateien geladen werden, dann muss anstelle des Asteriks Zeichens der Dateiname stehen. Du benötigst für diese Kopieroperationen natürlich das SSH Passwort des jeweiligen Users auf der NAS.

Edit:
Hier ist noch n Link mit weiteren Beispielen ua auch wie man rekursiv kopiert:

http://www.hypexr.org/linux_scp_help.php
 

Gudri

New Member
Okay habs soweit umgesetzt, habe jedoch die Certs schon auf dem Rechner umbenannt und dann aufs Nas geladen.

Hat nicht geklappt. Im openvpn.log steht:

Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server or --tls-client
Use --help for more information.
 

Gerd

Junior Member
Jack müsste man für die Certs nach dem kopieren noch die Zugriffsberechtigung vergeben oder ist das nicht notwendig?
 

Gudri

New Member
Hm aktualisiert sich das log von selbst ?
Egal was ich mache da steht immer das Gleiche drinne
( Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server or --tls-client
Use --help for more information. )
Hab einfach tls-client eingefügt und dafür client entfernt, aber auch mit beiden Parametern probiert. -> ohne erfolgreiche Verbindung
 

JackCarver

Junior Member
Schau doch mal auf den Zeitstempel vom Log, sollte sich von selbst aktualisieren.

tls-client ist richtig
 

Gudri

New Member
-rw------- 1 root root 160 Jul 31 07:40 openvpn.log

Irgendwas stimmt da nicht der macht garkeine neue log.

Dabei steht im client
log openvpn.log
 

Gerd

Junior Member
In dem Ordner "/usr/syno/etc/synovpnclient/openvpn" müssten zwei Konfigurationsdateien sein.
Einmal ovpnclient.conf das Synology Setup enthält und
einmal client_langenummer wo die PP Konfiguration rein kommt.

In welche Datei von den zwei hast du die Konfiguration eingetragen Gurdi?
 

Gerd

Junior Member
Manche Certs haben ein Text vor der Zeile: -----BEGIN
Der Text vor "-----BEGIN" könnte man auch weg machen.

In meinem Beispiel müsste man den Text bei

Amsterdam_cl_o01520811132.crt
Amsterdam_ta_o01520811132.key

weg machen.
 

Gerd

Junior Member
Ich habe viele Zeilen von deiner Konfigurationsdatei mit PP Zeilen ergänzt Gurdi.

Wahrscheinlich hast du deine config nicht vollständig in dieses Forum kopiert, so wie diese Zeile:

Code:
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/sc
und so habe ich den Fehler übernommen. Der Text hinter "/sc" müsste auf jeden Fall noch weiter gehen.
 

Gudri

New Member
Hab ich gemacht.
Hab eben das openvpn.log mit rm gelöscht.
Er erstellt aber kein neues. Immernoch ohne Vpn Verbindung die NAS
@Gerd
Sind vielleicht irgendwelche Fehler oben in deinem Quellcode ?

resolf-retry infinite
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/sc
Kommen mir seltsam vor. beim letzten scheint etwas zu fehlen, deshalb habe ich das original beibehalten was eh schon im client stand.

Und so siehts auf der NAS aus:
Code:
-rw-r--r--    1 root     root          7796 Aug  4 18:11 Amsterdam_cl_o1438703928.crt
-rw-r--r--    1 root     root          3268 Aug  4 18:11 Amsterdam_cl_o1438703928.key
-rw-r--r--    1 root     root           602 Aug  4 18:11 Amsterdam_ta_o1438703928.key
-rwxrwxrwx    1 root     root          2382 Aug  4 17:58 ca_o1438703928.crt
-rw-rw-rw-    1 root     root          1141 Aug  4 18:44 client_o1438703928
-rw-r--r--    1 root     root           192 Aug  4 17:58 ovpnclient.conf
 

Gudri

New Member
also in meinem client steht jetzt folgendes:
Code:
dev tun                                                                                                                                                                                                  
tls-client                                                                                                                                                                                               
ns-cert-type server                                                                                                                                                                                      
redirect-gateway def1                                                                                                                                                                                    
remote amsterdam.perfect-privacy.com 1149                                                                                                                                                                
proto udp                                                                                                                                                                                                
tun-mtu 1500                                                                                                                                                                                             
fragment 1300                                                                                                                                                                                            
mssfix                                                                                                                                                                                                   
float                                                                                                                                                                                                    
reneg-sec 3600                                                                                                                                                                                           
resolv-retry 60                                                                                                                                                                                          
keepalive 10 30                                                                                                                                                                                          
resolv-retry infinite                                                                                                                                                                                    
persist-tun                                                                                                                                                                                              
persist-key                                                                                                                                                                                              
ca ca_o1438703928.crt                                                                                                                                                                                    
cert Amsterdam_cl_o1438703928.crt                                                                                                                                                                        
key Amsterdam_cl_o1438703928.key                                                                                                                                                                         
tls-auth Amsterdam_ta_o1438703928.key 1                                                                                                                                                                  
tls-timeout 5                                                                                                                                                                                            
hand-window 120                                                                                                                                                                                          
tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA2
auth SHA512                                                                                                                                                                                              
cipher AES-256-CBC                                                                                                                                                                                       
verb 4                                                                                                                                                                                                   
inactive 604800                                                                                                                                                                                          
ping 5                                                                                                                                                                                                   
ping-restart 120                                                                                                                                                                                         
replay-window 512 60                                                                                                                                                                                     
mute-replay-warnings                                                                                                                                                                                     
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up                                                                                                                                                  
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up                                                                                                                                           
ca ca_o1438703928.crt                                                                                                                                                                                    
comp-lzo                                                                                                                                                                                                 
redirect-gateway                                                                                                                                                                                         
script-security 2                                                                                                                                                                                        
float                                                                                                                                                                                                    
reneg-sec 0                                                                                                                                                                                              
explicit-exit-notify                                                                                                                                                                                     
log openvpn.log                                                                                                                                                                                          
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down                                                                                                            
auth-user-pass /tmp/ovpn_client_up
 

Gudri

New Member
AHHH die log ist wieder da =)
Log:
Options error: --keepalive conflicts with --ping, --ping-exit, or --ping-restart. If you use --keepalive, you don't need any of the other --ping directives.
Use --help for more information.
 

Gerd

Junior Member
Sind vielleicht irgendwelche Fehler oben in deinem Quellcode ?
Daran wirds bestimmt liegen.

Die Frage ist ob da etwas fehlt oder ob da einige Befehle da sind die nicht hin gehören

Edit: Ich würde zum Versuch den keepalive Befehl oder alle ping Befehle wegnehmen.

Du hast zwei Zeilen in der Konfiguration mit ca_langenummer.

Da muss noch "resolv-retry infinite" weg, weil da schon "resolv-retry 60" steht.

Ebenso muss "redirect-gateway" weg, weil da schon "redirect-gateway def1" steht.

Ein "float" Befehl steht noch zuviel.

"reneg-sec 0" muss noch weg
 
Last edited:
Top