[Synology] VPN Server - keine Verbindung

[Cumonu]

Moin, seit dem letzten Update der Synology-Anwendung "VPN Server" kann eine entfernte DiskStation keine Verbindung mehr mit meiner lokalen DiskStation herstellen (OpenVPN; Server-IP über myfritz.net). Vorher hat es problemlos funktioniert. Bis auf das Update auf den neuesten DSM habe ich weiter nichts geändert.

Fehlermeldung:
Es konnte keine Netzwerkverbindung hergestellt werden. Verbindung fehlgeschlagen oder Zertifikat abgelaufen. Verwenden Sie bitte ein gültiges Zertifikat, das vom VPN-Server ausgegeben wurde, und versuchen Sie es erneut.

Google weiß leider keinen Rat. Jemand eine Idee?

 

[Raijin]

Ich habe zwar keine Diskstation, aber die Fehlermeldung deutet auf ein abgelaufenes Zertifikat hin.

Zwei potentielle Lösungen:

1) Prüfe mal das Datum auf beiden Diskstations. Evtl. ist es nach dem Update falsch eingestellt.
2) Schau in die Oberfläche der Server-DS und sieh nach ob du Client-Zertifikate verlängern oder neu erzeugen kannst. Das neue/verlängerte Zertifikat kopierst du dann auf die Client-DS und verwendest es für die VPN-Verbindung

 

[uWt-oMG-UMD-YfK]

Wenn du schon eine Fritz.Box hast solltest du den VPN-Server der Box verwenden und nicht eine Lösung hinten dran hängen.

 

[Cumonu]

Okay, es geht jetzt wieder, ich bedanke mich ganz herzlich.

Ich musste die VPN-Verbindung auf dem Client löschen und wieder neu erstellen.
Vorher habe ich die Konfigurationsdateien auf dem VPN-Server exportiert. Dabei wurden folgende Dateien erzeugt:

ca.crt
ca_bundle.crt
openvpn.ovpn
README.txt

Bei der Herstellung der VPN-Verbindung auf der Client-DiskStation musste ich die Zertifikatsdatei ca_bundle.crt importieren, mit der Datei ca.crt konnte ich keine Verbindung herstellen.

Wenn mich meine Erinnerung nicht täuscht, wurde vor dem Update der Anwendung "VPN Server" nur die Zertifikatsdatei ca.crt erzeugt. Mit dem Update scheint sich hier was geändert zu haben.

@uWt-oMG-UMD-YfK

Das Fritz-VPN habe ich vor ca. einem Jahr genutzt (mit einer FB 7390), leider lief es nur unzuverlässig, weshalb ich auf den VPN-Server der DiskStation ausgewichen bin. Es kann sein, dass es mittlerweile besser läuft (ich benutze inzwischen die FB 7490, nachdem mir die 7390 von 1&1 abgeraucht ist), aber ich werde getreu der Devise "never change a running system" nicht ohne Not auf das VPN der FB wechseln.

 

[Raijin]

Schön, dass es wieder läuft.

Abschließend noch eine kurze Erklärung:


ca.crt ist das Chef-Zertifikat. Es sitzt ganz oben in der Hierarchie, die certificate authority, kurz ca.
ca_bundle.crt ist das Client-Zertifikat. Damit identifiziert sich der Client.


Beide sind für eine OpenVPN-Verbindung mit Zertifikaten zwingend erforderlich. Während der Verbindung tauschen Server (der hat intern quasi ein server.crt) und Client ihre Zertifikate aus und prüfen jeweils gegen die(selbe) ca ob das Zertifikat auch gültig ist. Mit einer anderen ca oder ganz ohne könnte man das Zertifikat der Gegenstelle nicht verifizieren -> keine Verbindung.

 

[bvrulez]

Comunu: Vielen, vielen Dank für das aussagekräftige Posten der Frage UND der Lösung! Ich hatte das gleiche Problem.

 

[RetoH]

Auch mir hat dieses Post geholfen! Vielen Dank! Obwohl ich noch nicht verstanden haben warum es plötzlich nur noch mit dem ca_bundle.crt geht. Bei einer anderen VPN Verbindung geht nachwievor es auch mit dem ca.crt...