Synology NAS CA-certificaat-bestand niet aangemaakt

vrijdag 19 mei 2023 18:01

Acties:

0 Henk 'm!

Anoniem: 1954186

Topicstarter

Graag wil ik een VPN-server op mijn synology NAS.

Graag wil ik OpenVPN gebruiken op mijn NAS.

Ik heb poort 1194 opengezet voor de NAS bij portforwarding in de router.

Ik stel OpenVPN in voor het gebruik met o.a. mobiele telefoons.

In de software van mijn synology NAS bij VPN server => OpenVPN => configuratie exporteren, wordt alleen VPNconfig.ovpn en een readme-bestand aangemaakt en geexporteerd. Maar geen CA-bestand (het VPN-certificaat).

Bij het editen van het bestand VPNconfig.ovpn heb ik bij de regel 'remote mijnsyno.synology.me 1194' op de plek van mijnsyno.synology.me, het IP-adres van de NAS ingevuld i.p.v. een DNS-naam.

Waarom wordt er geen CA-bestand aangemaakt?

Afbeeldingslocatie: https://tweakers.net/i/_XSf9dOAz8uvtrBtqeVy7idm5Xg=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/gkp64sp6xNFNdZPROtcsVxD0.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/_XSf9dOAz8uvtrBtqeVy7idm5Xg=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/gkp64sp6xNFNdZPROtcsVxD0.jpg?f=user_large

vrijdag 19 mei 2023 18:09

Acties:

0 Henk 'm!

lier

MikroTik nerd

Heb je al in de logging gekeken?

Eerst het probleem, dan de oplossing

vrijdag 19 mei 2023 19:15

Acties:

0 Henk 'm!

DarkSide

theres no place like ::1

https://stackoverflow.com...issing-ca-crt-in-zip-file

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

zaterdag 20 mei 2023 04:12

Acties:

0 Henk 'm!

Anoniem: 1954186

Topicstarter

@lier Is logging het logboekcentrum van de synology NAS?

@darkside Met die xca 2.4.0 tool wordt een certificaat (.crt-file) gemaakt. Maar mijn mobiele telefoon geeft aan dat de uitgever van dit certificaat alle verkeer van en naar de mobiele telefoon kan inspecteren.

Dat klinkt niet fijn.

En van de naam darkside daar kun je ook van alles van denken.

Is er geen gebruiksvriendelijke manier om zo'n certificaat te krijgen zonder vreemde tooltjes?

Ik hoop dat iemand een veilige oplossing heeft.

zaterdag 20 mei 2023 07:16

Acties:

0 Henk 'm!

DarkSide

theres no place like ::1

Lets encrypt cert gebruiken.
Andere self signed certficaten geven idd meldingen.

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

zaterdag 20 mei 2023 08:17

Acties:

0 Henk 'm!

Ben(V)

Waarom zou je OpenVpn server een CA -bstand moeten aanmaken.
Hij maakt een .ovp bestand aan en dat moet je importeren in je OpenVpn client op je telefoon.
Zie:
https://mysynology.nl/ope...gy-nas-en-android-device/

[ Voor 34% gewijzigd door Ben(V) op 20-05-2023 08:20 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 20 mei 2023 10:36

Acties:

0 Henk 'm!

Anoniem: 1954186

Topicstarter

Ik ben er druk mee bezig.

Bij openVPN => VPN and remote access stond OpenVPN aan in mijn router op poort 1194 zoals ik al aangaf. Ik gebruik nu weer de UDP poort. Dat het standaard aan stond in mijn router vind ik heel raar omdat ik niets doe met op afstand toegang geven. Nou ja, ik heb het nu uitgezet.

@Ben Ik heb een handleiding voor VPN install op android en die geeft aan dat je een CA-bstand zou moeten krijgen. Ik moet er nog maar eens goed induiken m.b.t. CA-certificaten e.d.

Ik ga verder met jullie info. Dank.

[ Voor 10% gewijzigd door Anoniem: 1954186 op 20-05-2023 10:43 ]

zaterdag 20 mei 2023 10:52

Acties:

0 Henk 'm!

Ben(V)

Een .ovp bestand bevat een certificate.
En je hebt echt dat .ovp bestand nodig en niet iets anders want alleen met dat bestand kan je VPN client op je android connecten met de Nas VPN server.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 20 mei 2023 13:16

Acties:

0 Henk 'm!

Anoniem: 1954186

Topicstarter

Ik heb alles geconfigureerd. Maar ik krijg geen authenticatie op mijn mobiele telefoon.

Extern IP-adres mobiel is hetzelfde als het extern IP-adres van de synology NAS.

De NAS zit aan een switch.

De switch zit aan een router.

Ik gebruik VLAN's.

Ik krijg de melding op mijn mobiele telefoon: 'select certificate' => this profile doesn't include a client certificate. Continue connecting without a certificate or select one from the android keychain. => continue aanklikken => connection failed. There was an error attempting to connect to the selected server. Error message: Peer certificate verification failure.

Zie volgend logboek:

Afbeeldingslocatie: https://tweakers.net/i/soLo9c-W-rMcEcPIgHUPbY2Eun8=/x800/filters:strip_icc():strip_exif()/f/image/7fgoTR6w9K1C1HAtNMFUUBZd.jpg?f=fotoalbum_large

Iemand een idee wat hier aan de hand is?

[ Voor 7% gewijzigd door Anoniem: 1954186 op 20-05-2023 17:16 ]

zondag 21 mei 2023 12:55

Acties:

0 Henk 'm!

wonderst

Ik heb ook openVPN draaien op mijn synology en ik heb het zo ingesteld, wellicht heb je daar iets aan:

Afbeeldingslocatie: https://tweakers.net/i/Ts_TM1J9RL-DrjFXDOLjWkyRzsM=/800x/filters:strip_exif()/f/image/n4KkTdLXPLa70Dwg9tSa0cXr.png?f=fotoalbum_large

Als ik op "Export Configuration" klik krijg ik een zip met daarin een readme.txt en een VPNconfig.ovpn. In de laatste moet ik dan nog het host aanpassen.

code:

1	remote BLABLA.synology.me 1194

Verder heb ik deze optie aanstaan:

code:

1	redirect-gateway def1

En heb ik deze DHCP opties aangezet:

code:

1 2	dhcp-option DNS 192.168.x.x dhcp-option DOMAIN modem.x

Uiteraard even de BLABLA, x.x en modem.x veranderen naar je eigen situatie.

Als ik deze vervolgens inlees met de openVPN app op mijn android telefoon doet hij het.

Overigens als je het .ovpn bestand bekiikt zie je dat daar de CA key in zit.

[ Voor 0% gewijzigd door wonderst op 21-05-2023 12:55 . Reden: Ik kan niet spellen ]

zondag 21 mei 2023 14:34

Acties:

0 Henk 'm!

deHakkelaar

Ben(V) schreef op zaterdag 20 mei 2023 @ 08:17:
Waarom zou je OpenVpn server een CA -bstand moeten aanmaken.

Zonder CA kun je geen CSR genereren en dus ook bv geen LetsEncrypt certs laten signen/genereren.
Dat je het niet direct ziet betekent niet dat er onderhuids geen CA wordt gegenereerd.

$ apt-file list openvpn
[..]
openvpn: /usr/share/doc/openvpn/examples/sample-keys/ca.crt
openvpn: /usr/share/doc/openvpn/examples/sample-keys/ca.key

[ Voor 16% gewijzigd door deHakkelaar op 21-05-2023 14:38 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

zondag 21 mei 2023 14:44

Acties:

0 Henk 'm!

Ben(V)

Een Synology Nas heeft gewoon certificaten aan boord die door Synology geleverd worden
En de OpenVpn van Synology kan gewoon een .ovp genereren die je weer inporteert in de OpenVpn client van je android.
Daar heb je geen extra CA voor nodig.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zondag 21 mei 2023 14:45

Acties:

0 Henk 'm!

deHakkelaar

@Ben(V) , idd , geen extra CA maar wel een CA.

There are only 10 types of people in the world: those who understand binary, and those who don't

maandag 22 mei 2023 10:15

Acties:

0 Henk 'm!

Anoniem: 1954186

Topicstarter

@wonderst
In het VPNconfig.ovpn-bestand. Welk IP-adres moet ik invullen bij dhcp-option DNS 192.168.x.x (dat is toch van de router)?

En wat bij dhcp-option DOMAIN 192.168.x.x?

Ik heb trouwens een switch aan mijn router zitten! Daar zit de NAS aan vast.

[ Voor 41% gewijzigd door Anoniem: 1954186 op 27-05-2023 10:41 ]

Vraag

Alle reacties