Ds411 Slim / Openvpn / Ca.crt

[jackbauer59]

Bonjour à tous,

tout d'abord, je vous présente mes meilleurs voeux!

Je possède un NAS Synology DS411 Slim depuis plusieurs mois.

Mon réseau se fait par l'intermédiaire d'une Freebox V6.

J'ai mis en place diverses fonctions (surveillance, ftp, etc) accessibles en LAN ou à distance.

J'avais les certificats par défaut de Synology, ainsi que OpenVPN qui fonctionnait bien.

Hier, j'ai décidé de mettre un certificat "fiable" par le biais de startssl.

Tout est ok au niveau de la connexion sur l'interface web mais ma connexion OpenVPN ne fonctionne plus (normal, j'ai changé de certificat).

J'ai désinstallé et réinstallé le module "VPN Server" et réactivé OpenVPN, sans succès...

Lors que je souhaite faire l'export de ma configuration OpenVPN, un fichier "openvpn.zip" est généré avec en contenu le fichier de configuration OpenVPN mais pas le ca.crt... Je pense que le souci vient de là...

Comment faire pour l'y remettre?

Voici les logs de OpenVPN lorsque celui-ci se lance:

Sat Jan 04 23:58:05 2014 OpenVPN 2.3.2 x86_64-w64-mingw32 [sSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [iPv6] built on Aug 22 2013

Sat Jan 04 23:58:16 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Sat Jan 04 23:58:16 2014 UDPv4 link local (bound): [undef]

Sat Jan 04 23:58:16 2014 UDPv4 link remote: [AF_INET]monipfreebox:1194

Sat Jan 04 23:58:16 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Sat Jan 04 23:58:18 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Sat Jan 04 23:58:22 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Sat Jan 04 23:58:30 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Sat Jan 04 23:58:47 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Sat Jan 04 23:59:16 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Sat Jan 04 23:59:16 2014 TLS Error: TLS handshake failed

Sat Jan 04 23:59:16 2014 SIGUSR1[soft,tls-error] received, process restarting

Merci de votre aide qui je l'espère me sera précieuse!

Bonne soirée,

Stéphane

Modifié le 4 janvier 2014 par jackbauer59

[jackbauer59]

Afin d'essayer de faire avancer le sujet, et en parcourant plusieurs forums dont celui ci, j'ai comparé 2 répertoires:

/usr/syno/etc/packages/VPNCenter/openvpn/keys

-rwxr-xr-x 1 root root 2212 Jan 5 16:23 ca.crt

-r-------- 1 root root 2276 Jan 5 16:23 server.crt

-r-------- 1 root root 1674 Jan 5 16:23 server.key

/var/packages/VPNCenter/target/etc/openvpn/keys

-rwxr-xr-x 1 root root 1866 Aug 14 11:31 README.txt

-rw-rw-rw- 1 root root 3200 Jan 5 16:23 android.ovpn

-rw-r--r-- 1 root root 1172 Aug 14 11:31 client.crt

-rw-r--r-- 1 root root 887 Aug 14 11:31 client.key

-rw-r--r-- 1 root root 245 Aug 14 11:31 dh1024.pem

-rw-rw-rw- 1 root root 5289 Jan 5 16:23 iOS.ovpn

-rw-r--r-- 1 root root 977 Aug 14 11:31 mobile.ovpn

-rwxr-xr-x 1 root root 957 Aug 14 11:31 openvpn.ovpn

-rwxrwxrwx 1 root root 1456 Jan 5 16:27 openvpn.zip

On remarque que le fichier ca.crt n'est pas présent dans le second, d'où peut être son absence dans le zip d'export de configuration OpenVPN...?

Les droits sont peut être incorrects sur certains fichiers?

J'ai par la suite copié les fichiers du répertoire 1 vers le répertoire 2, et là le fichier Zip contient bien le fichier de configuration OpenVPN ainsi que le fichier ca.crt mais cela ne suffit pas, j'ai toujours l'erreur OpenVPN Code 10054.

Je les ai supprimés pour remettre la vue ci-dessus.

Merci de votre aide

Stéphane

[jackbauer59]

Bonsoir,

je me permets un petit "up" pour vous informer que la connexion vpn en PPTP fonctionne mais pas celle avec OpenVPN.

Comment procéder? J'ai toujours la même erreur. Je penche pour un problème de certificat malgré que je l'ai réinstallé.

Message d'erreur principal :

TLS Error: Unroutable control packet received from monip1194 (si=3 op=P_ACK_V1)

Voici les logs dernièrement enregistrées:

2014-01-12 00:43:16 *Tunnelblick: Established communication with OpenVPN

2014-01-12 00:43:16 OpenVPN 2.2.1 i386-apple-darwin10.8.0 [sSL] [LZO2] [PKCS11] [eurephia] built on Oct 25 2013

2014-01-12 00:43:25 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

2014-01-12 00:43:25 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

2014-01-12 00:43:25 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

2014-01-12 00:43:25 LZO compression initialized

2014-01-12 00:43:25 UDPv4 link local (bound): [undef]:1194

2014-01-12 00:43:25 UDPv4 link remote: monip:1194

2014-01-12 00:43:25 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

2014-01-12 00:43:25 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: /C=IL/O=StartCom_Ltd./OU=Secure_Digital_Certificate_Signing/CN=StartCom_Class_1_Primary_Intermediate_Server_CA

2014-01-12 00:43:25 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

2014-01-12 00:43:25 TLS Error: TLS object -> incoming plaintext read error

2014-01-12 00:43:25 TLS Error: TLS handshake failed

2014-01-12 00:43:25 SIGUSR1[soft,tls-error] received, process restarting

2014-01-12 00:43:25 *Tunnelblick: No 'reconnecting.sh' script to execute

2014-01-12 00:43:25 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

2014-01-12 00:43:25 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

2014-01-12 00:43:25 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

2014-01-12 00:43:25 LZO compression initialized

2014-01-12 00:43:25 UDPv4 link local (bound): [undef]:1194

2014-01-12 00:43:25 UDPv4 link remote: monip:1194

2014-01-12 00:43:26 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: /C=IL/O=StartCom_Ltd./OU=Secure_Digital_Certificate_Signing/CN=StartCom_Class_1_Primary_Intermediate_Server_CA

2014-01-12 00:43:26 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

2014-01-12 00:43:26 TLS Error: TLS object -> incoming plaintext read error

2014-01-12 00:43:26 TLS Error: TLS handshake failed

2014-01-12 00:43:26 SIGUSR1[soft,tls-error] received, process restarting

2014-01-12 00:43:26 *Tunnelblick: No 'reconnecting.sh' script to execute

2014-01-12 00:43:26 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

2014-01-12 00:43:26 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

2014-01-12 00:43:26 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

2014-01-12 00:43:26 LZO compression initialized

2014-01-12 00:43:26 UDPv4 link local (bound): [undef]:1194

2014-01-12 00:43:26 UDPv4 link remote: monip:1194

2014-01-12 00:43:26 TLS Error: Unroutable control packet received from monip:1194 (si=3 op=P_ACK_V1)

2014-01-12 00:43:27 TLS Error: Unroutable control packet received from monip:1194 (si=3 op=P_CONTROL_V1)

2014-01-12 00:43:28 TLS Error: Unroutable control packet received from monip:1194 (si=3 op=P_CONTROL_V1)

Merci pour votre aide!

Modifié le 11 janvier 2014 par jackbauer59

[Sodex]

Bonjour Stéphane,

J'ai le même probleme que toi.

As-tu trouvé une solution ?

Eric

[fersingb]

Bonjour,

j'avais exactement le même problème:

2014-01-12 00:43:25 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: /C=IL/O=StartCom_Ltd./OU=Secure_Digital_Certificate_Signing/CN=StartCom_Class_1_Primary_Intermediate_Server_CA
2014-01-12 00:43:25 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

La solution est de combiner le CA root et le CA class1 dans 1 seul fichier et de donner ce fichier comme "intermediate" certificate dans la config de DSM. En gros ça donne:

$ cat ssl.ca.pem ssl.sub.class1.server.ca.pem > ca.crt

Puis dans DSM: Security -> Certificate -> Import

- Private key: <la clé déchiffrée>
- Certificate: ssl.crt
- Intermediate certificate: ca.crt (celui généré + haut)

Après ça:

- redémarrer le serveur VPN

- réexporter la config VPN pour les clients

Et ça devrait marcher.

Modifié le 5 mai 2014 par fersingb