[h][SOLVED][/h]
Standardowo serwer OpenVPN na Synology ustawiony jest w ten sposób, że komputery klientów nie muszą posiadać swoich indywidualnych certyfikatów. Nie jest to optymalne rozwiązanie i dlatego postanowiłem go zmienić.
Korzystając z tutoriali na stronach OpenVPN wygenerowałem sobie zestaw certyfikatów (ca.cert, ca.key, dh2048.pem, diskstation.crt, diskstation.key, klient.crt i klent.key)
Certyfikaty wgrałem do nowo stworzonego katalogu etc/openvpn
Następnie wyedytowałem pliki konfiguracyjne:
var/packages/VPNCenter/target/etc/openvpn.conf
ORAZ
/usr/syno/etc/packages/VPNCenter/openvpn.conf
tak, aby widniały tam wpisy:
ca /etc/openvpn/ca.crt
ORAZ
dh /etc/openvpn/dh2048.pem
Nie ruszałem wpisów dotyczących certyfikatu "server.crt" i klucza "server.key", ponieważ w tym trybie pracy weryfikowany jest jedynie certyfikat główny (CA).
Następnie zmieniłem plik "ca.crt" na komputerze klienta ???
Zrestartowałem serwer ... i kupa :evil:
Klient przestał się łączyć z serwerem. Pomogło dopiero przywrócenie starego pliku "ca.crt" na komputerze klienta.
Podsumowując: w pliku konfiguracyjnym serwer ma podana ścieżkę do nowego "ca.crt" a cały czas stosuje stary "ca.crt", którego teoretycznie nie powinien widzieć.
Co ciekawe, wydaje się, że plik dh2048.pem jest rozpoznawany, ponieważ podczas inicjalizacji serwera w logu pojawia się wzmianka o 2048-bitowym połączeniu/szyfrowaniu.
PYTANIE: co nalezy zrobic, aby serwer "zapomniał" o starych certyfikatach i zobaczył "nowe" czyli te podane w pliku openvpn.conf
[h]EDIT![X-(]( "Angry X-(")
/h]
Dalej nie wiem co było nie tak.
Prawdopodobnie należało wymienić od razu wszystkie cztery certyfikaty (tj. ca, dh, server i key)
Ja z lenistwa wstawiłem tylko pierwsze dwa, a pozostałe zostawiłem "stare"
W międzyczasie, z braku innego pomysłu wróciłem do starych plików konfiguracyjnych, natomiast podmieniłem pliki w katalogach ...openvpn/keys/ na swoje własne certyfikaty. Teraz działa![:)]( "Smile :)")
[h]EDIT 2![X-(]( "Angry X-(")
/h]
Opisany sposób działa, ale tylko przez przypadek, ponieważ niechcący przerwałem link symboliczny pomiędzy /volume1/@appstore/VPNCenter/etc/openvpn/keys/ca.crt a /usr/syno/etc/packages/openvpn/keys/ca.crt
Tymczasem Synology posiada mechanizm (prawdopodobnie jakiś skrypt), który podczas restartu serwera VPN przywraca w katalogu /usr/syno/etc/packages/openvpn/keys/ca.crt "swoje" pliki ca.cert, server.crt i server.key
Standardowo serwer OpenVPN na Synology ustawiony jest w ten sposób, że komputery klientów nie muszą posiadać swoich indywidualnych certyfikatów. Nie jest to optymalne rozwiązanie i dlatego postanowiłem go zmienić.
Korzystając z tutoriali na stronach OpenVPN wygenerowałem sobie zestaw certyfikatów (ca.cert, ca.key, dh2048.pem, diskstation.crt, diskstation.key, klient.crt i klent.key)
Certyfikaty wgrałem do nowo stworzonego katalogu etc/openvpn
Następnie wyedytowałem pliki konfiguracyjne:
var/packages/VPNCenter/target/etc/openvpn.conf
ORAZ
/usr/syno/etc/packages/VPNCenter/openvpn.conf
tak, aby widniały tam wpisy:
ca /etc/openvpn/ca.crt
ORAZ
dh /etc/openvpn/dh2048.pem
Nie ruszałem wpisów dotyczących certyfikatu "server.crt" i klucza "server.key", ponieważ w tym trybie pracy weryfikowany jest jedynie certyfikat główny (CA).
Następnie zmieniłem plik "ca.crt" na komputerze klienta ???
Zrestartowałem serwer ... i kupa :evil:
Klient przestał się łączyć z serwerem. Pomogło dopiero przywrócenie starego pliku "ca.crt" na komputerze klienta.
Podsumowując: w pliku konfiguracyjnym serwer ma podana ścieżkę do nowego "ca.crt" a cały czas stosuje stary "ca.crt", którego teoretycznie nie powinien widzieć.
Co ciekawe, wydaje się, że plik dh2048.pem jest rozpoznawany, ponieważ podczas inicjalizacji serwera w logu pojawia się wzmianka o 2048-bitowym połączeniu/szyfrowaniu.
PYTANIE: co nalezy zrobic, aby serwer "zapomniał" o starych certyfikatach i zobaczył "nowe" czyli te podane w pliku openvpn.conf
[h]EDIT
/h]Dalej nie wiem co było nie tak.
Prawdopodobnie należało wymienić od razu wszystkie cztery certyfikaty (tj. ca, dh, server i key)
Ja z lenistwa wstawiłem tylko pierwsze dwa, a pozostałe zostawiłem "stare"
W międzyczasie, z braku innego pomysłu wróciłem do starych plików konfiguracyjnych, natomiast podmieniłem pliki w katalogach ...openvpn/keys/ na swoje własne certyfikaty. Teraz działa
[h]EDIT 2
/h]Opisany sposób działa, ale tylko przez przypadek, ponieważ niechcący przerwałem link symboliczny pomiędzy /volume1/@appstore/VPNCenter/etc/openvpn/keys/ca.crt a /usr/syno/etc/packages/openvpn/keys/ca.crt
Tymczasem Synology posiada mechanizm (prawdopodobnie jakiś skrypt), który podczas restartu serwera VPN przywraca w katalogu /usr/syno/etc/packages/openvpn/keys/ca.crt "swoje" pliki ca.cert, server.crt i server.key