FIP-VPN mit fixer IP von Synology funktioniert plötzlich nicht mehr

Mit unserem VPN Dienste machen wir Netzwerke erreichbar die keine öffentliche IP-Adresse besitzen oder keine Änderungen im Router möglich sind.
Post Reply
narada
Posts: 3
Joined: Fri 14. Jun 2024, 08:32

FIP-VPN mit fixer IP von Synology funktioniert plötzlich nicht mehr

Post by narada »

Guten Morgen,

wir testen gerade die Möglichkeiten von feste-ip.net.
Um Daten von einem Synology-Cluster, welches ausschließlich IPv4 spricht zu einer Synology zu übertragen, die sich hinter einem Starlink-Anschluss befindet, haben wir testweise das FIP-VPN mit statischer IP eingerichtet.
Diese Verbindung an der Ziel-Synology eingerichtet, Verbindung wurde aufgebaut. Testweise haben wir gestern Abend die Übertragung einiger Daten gestartet.
Heute morgen sehe ich dann, dass diese Übertragung unterbrochen wurde, der Tunnel lt. Synology noch besteht. Den Tunnel getrennt, neu verbunden. Jetzt wird angezeigt, dass "eine Autorisierung erforderlich" sei (siehe screenshot).

Die Verbindung habe ich dann gelöscht, neu angelegt, gleicher Fehler.
Konfiguration bei fixeIP aktualisiert, runtergeladen, Verbindung angelegt, gleicher Fehler.

Irgendjemand eine Idee, was da los ist?

Die Synology verwendet DSM 7.2.1, was dann OpenVPN 2.5.8 beinhaltet.

Vielen Dank im Voraus.


Das var/log/messages der Synology sagt:

2024-06-14T08:28:54+02:00 DiskStation openvpn[13141]: WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2024-06-14T08:28:54+02:00 DiskStation openvpn[13141]: WARNING: Compression for sending and receiving enabled. Compression has been used in the past to break encryption. Allowing compression allows attacks that break encryption. Using "--allow-compression yes" is strongly discouraged for common usage. See --compress in the manual page for more information
2024-06-14T08:28:54+02:00 DiskStation openvpn[13141]: WARNING: file 'ta_o1718346493.key' is group or others accessible
2024-06-14T08:28:54+02:00 DiskStation openvpn[13141]: WARNING: file '/tmp/ovpn_client_up' is group or others accessible
2024-06-14T08:28:54+02:00 DiskStation openvpn[13142]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2024-06-14T08:28:54+02:00 DiskStation openvpn[13142]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
2024-06-14T08:28:54+02:00 DiskStation openvpn[13142]: WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1440)
2024-06-14T08:28:54+02:00 DiskStation openvpn[13142]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2024-06-14T08:28:57+02:00 DiskStation synovpnc[13070]: connection.c:1313 CreateOVPNConnection(o1718346493) failed
2024-06-14T08:28:57+02:00 DiskStation synovpnc[13070]: synovpnc.c:385 VPN id 'o1718346493' is failed to create
Attachments
Bildschirmfoto 2024-06-14 um 08.29.24.jpg
Bildschirmfoto 2024-06-14 um 08.29.24.jpg (48.14 KiB) Viewed 3266 times
narada
Posts: 3
Joined: Fri 14. Jun 2024, 08:32

Re: FIP-VPN mit fixer IP von Synology funktioniert plötzlich nicht mehr

Post by narada »

ok, ein Update, die Verbindung läuft wieder.
Ich habe einmal im Konto die VPN-Verbindung komplett gelöscht und neu angelegt.
Beim Import der ovpn-Datei habe ich keinerlei Änderungen durchgeführt, auch diese Empfehlung hier in den HowTos den Namen der .auth-Datei nach auth-user-pass zu entfernen, habe ich nicht befolgt.
Ich habe nur (per ssh in der client_oXXXXXXXX) noch den verbose-level auf 4 gesetzt
verb 4
und eine dedizierte Log-Datei konfiguriert
log-append /var/log/openvpn.log

Anschließend hat sich der Tunnel wieder verbunden.

Leider weiss ich immer noch nicht was die Ursache war, warum der alte Tunnel, der ja bis heute nacht gegen 04.00 gelaufen ist, heute morgen dann nicht mehr wollte...

Aber vielleicht kurz erwähnt, dass man das HowTo für das FIP-VPN mit statischer IPv4 auf Synology-Systemen wie folgt ändern kann:

Bei DSM 7.2.1 (69057 Update 5) und OpenVPN 2.5.8
sind keinerlei Änderungen an der ovpn-Datei notwendig.
Zugangsdaten aus der .auth-Datei holen, einsetzen
ovpn-Datei auswählen
fipCA.crt als CA-Zertifikat
fipTA.key als TLS-auth-Schlüssel (bei erweiterte Optionen)
Standard-Gateway auf Remote-Netzwerk verwenden -> EIN
Wieder verbinden, wenn die VPN-Verbindung verloren wurde -> EIN
fertig.
Post Reply