Pomoc QVPN jako klient OpenVPN

[Pitr]

Cześć
Puściłem ostatnio update QTS na TS-431 P2 (do 5.5.1) i aktualizację QVPN do 3.2.983.
Po aktualizacji problem taki, że kontrolka statusu jest szara i w sumie nie wiadomo co się dzieje, ale podsumowując QVPN nie łączy się z serwerem OPEN VPN, a wcześniej działał.
Jako, że serwer VPN (na AUSU WRT) działał już od jakiegoś czasu to pomyślałem że jakiś update bezpieczeństwa jest i że coś mam nie tak na serwerze czego nowy klient nie akceptuje, więc skonfigurowałem na nowo, mniej więcej tak:

remote {serwerort}
float
nobind
proto udp
dev tun
sndbuf 0
rcvbuf 0
keepalive 10 30
auth-user-pass
client
auth SHA1
cipher AES-256-CBC
remote-cert-tls server

Od strony serwera VPN widzę komunikaty:

Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 TLS: Initial packet from [AF_INET6]::ffff:{zew. adr IP serwera z QVPN}:55795 (via ::ffff:{adres IP routera ASUS z serwerem Open VPN}%eth0), sid=d6cd2d5d 1eb7d66f
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 VERIFY OK: depth=1, C=TW, ST=TW, L=Taipei, O=ASUS, CN=RT-AX86U, emailAddress=me@myhost.mydomain
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 VERIFY OK: depth=0, C=TW, ST=TW, L=Taipei, O=ASUS, CN=client, emailAddress=me@myhost.mydomain
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_VER=2.6.6
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_PLAT=linux
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_TCPNL=1
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_MTU=1600
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_NCP=2
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_PROTO=470
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_LZO_STUB=1
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_COMP_STUB=1
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_COMP_STUBv2=1
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 PLUGIN_CALL: POST /usr/lib/openvpn-plugin-auth-pam.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 TLS: Username/Password authentication succeeded for username '{nazwa_uzytkownika_Open_VPN}'
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher AES-256-CBC'
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 [client] Peer Connection Initiated with [AF_INET6]::ffff:{zew. adr IP serwera z QVPN}:55795 (via ::ffff:{adres IP routera ASUS z serwerem Open VPN}%eth0)
Feb 1 16:53:36 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Feb 1 16:53:36 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_505632ee61832e9e.tmp
Feb 1 16:53:36 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 MULTI: Learn: 10.8.0.26 -> client/{zew. adr IP serwera z QVPN}:55795
Feb 1 16:53:36 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 MULTI: primary virtual IP for client/{zew. adr IP serwera z QVPN}:55795: 10.8.0.26


Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 TLS: Initial packet from [AF_INET6]::ffff:{zew. adr IP serwera z QVPN}:55795 (via ::ffff:{adres IP routera ASUS z serwerem Open VPN}%eth0), sid=d6cd2d5d 1eb7d66f
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 VERIFY OK: depth=1, C=TW, ST=TW, L=Taipei, O=ASUS, CN=RT-AX86U, emailAddress=me@myhost.mydomain
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 VERIFY OK: depth=0, C=TW, ST=TW, L=Taipei, O=ASUS, CN=client, emailAddress=me@myhost.mydomain
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_VER=2.6.6
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_PLAT=linux
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_TCPNL=1
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_MTU=1600
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_NCP=2
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_PROTO=470
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_LZO_STUB=1
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_COMP_STUB=1
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_COMP_STUBv2=1
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 PLUGIN_CALL: POST /usr/lib/openvpn-plugin-auth-pam.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 TLS: Username/Password authentication succeeded for username '{nazwa_uzytkownika_Open_VPN}'
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher AES-256-CBC'
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 [client] Peer Connection Initiated with [AF_INET6]::ffff:{zew. adr IP serwera z QVPN}:55795 (via ::ffff:{adres IP routera ASUS z serwerem Open VPN}%eth0)
Feb 1 16:53:36 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Feb 1 16:53:36 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_505632ee61832e9e.tmp
Feb 1 16:53:36 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 MULTI: Learn: 10.8.0.26 -> client/{zew. adr IP serwera z QVPN}:55795
Feb 1 16:53:36 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 MULTI: primary virtual IP for client/{zew. adr IP serwera z QVPN}:55795: 10.8.0.26
Feb 1 16:53:37 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 PUSH: Received control message: 'PUSH_REQUEST'
Feb 1 16:53:37 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:55795 SENT CONTROL [client]: 'PUSH_REPLY,route 10.10.20.0 255.255.255.0 vpn_gateway 500,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 30,ifconfig 10.8.0.26 10.8.0.25,peer-id 2' (status=1)
Feb 1 16:53:41 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:50554 [client] Inactivity timeout (--ping-restart), restarting
Feb 1 16:53:41 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:50554 SIGUSR1[soft,ping-restart] received, client-instance restarting


Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 TLS: Initial packet from [AF_INET6]::ffff:{zew. adr IP serwera z QVPN}:39602 (via ::ffff:{adres IP routera ASUS z serwerem Open VPN}%eth0), sid=05640e88 a2cf6d1c
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 VERIFY OK: depth=1, C=TW, ST=TW, L=Taipei, O=ASUS, CN=RT-AX86U, emailAddress=me@myhost.mydomain
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 VERIFY OK: depth=0, C=TW, ST=TW, L=Taipei, O=ASUS, CN=client, emailAddress=me@myhost.mydomain
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_VER=2.6.6
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_PLAT=linux
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_TCPNL=1
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_MTU=1600
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_NCP=2
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_PROTO=470
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_LZO_STUB=1
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_COMP_STUB=1
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 peer info: IV_COMP_STUBv2=1
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 PLUGIN_CALL: POST /usr/lib/openvpn-plugin-auth-pam.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 TLS: Username/Password authentication succeeded for username '{nazwa_uzytkownika_Open_VPN}'
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher AES-256-CBC'
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Feb 1 16:53:51 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:39602 [client] Peer Connection Initiated with [AF_INET6]::ffff:{zew. adr IP serwera z QVPN}:39602 (via ::ffff:{adres IP routera ASUS z serwerem Open VPN}%eth0)
Feb 1 16:53:51 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:39602 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Feb 1 16:53:51 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:39602 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_0db351df5a95e6af.tmp
Feb 1 16:53:51 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:39602 MULTI: Learn: 10.8.0.26 -> client/{zew. adr IP serwera z QVPN}:39602
Feb 1 16:53:51 vpnserver1[31928]: client/{zew. adr IP serwera z QVPN}:39602 MULTI: primary virtual IP for client/{zew. adr IP serwera z QVPN}:39602: 10.8.0.26

Wygląda na to, że QVPN się łączy, autoryzacja przebiega prawidłowo, a później się łączy ponownie i ponownie...

Generalnie łączę kilka serwerów do tego routera - tak mi łatwiej do nich się logować, bez potrzeby udostępniania bezpośredniego połączenia do serwerów z zewnątrz.
Będę też wdzięczny za wskazówkę gdzie znaleźć jakieś logi odnośnie tego połączenia VPN od strony serwera.
Pozdrawiam

Piotr

P.S. Nie wiem czy tylko ja jestem jakiś marudny, ale informacje zwrotne od strony klientów VPN na serwerach NAS są tragiczne, no bo co powiedzieć, o trzeciej wersji programu w której profile połączeń wyglądają tak:

jakaś kolumna ST... -> napis status widać tylko jak się najedzie kursorem, akcja pierwsza z lewej nazywa się "Connected" więc domyślaj się co robi. Jak dział to OK, ale w takiej sytuacji wygląda jak "Pointless button".
Co ciekawe S trzyma taki sam poziom

 

[SiewcaRyżu]

STATUS ?

 

[Pitr]

Tak, status, ale nawet na ultra szerokim ekranie tego nie widać. W każdym razie to takie czepianie się z mojej strony, ale sam problem z tym dlaczego się nie łączy jest zagadką.
Zestawiłem jeszcze połączenie z drugiego serwera (TS-431 P3 przed aktualizacją) i wygląda tak:

Łączy się bez problemu.
Pozdrawiam

 

[Warlock666]

i had a similar issue after upgrading version none would connect had to create new profiles
also it seems to be case sensative now so also had to amend opvn files

cipher aes-128-cbc
auth sha1

to

cipher AES-128-CBC
auth SHA1

 

[Pitr]

Cześć, dzięki za sugestie, ale niestety to już testowałem - za każdym razem jak zmieniałem konfigurację serwera (chyba z 7 razy do testów), tworzyłem również nowe profile połączeń VPN na QNAP - bez rezultatu.
W pliku konfiguracyjnym nazwy mam dużymi literami, czyli chyba prawidłowo:
cipher AES-128-CBC
auth SHA1
Przetestowałem też czy zmiana liter na małe coś zmieni, ale wtedy QVPN odrzuca plik ze względu na złe parametry.
Pozdrawiam

Połączono posty: 2 Luty 2024

Problem zdaje się jest dość popularny i problemem jest prawdopodobnie QVPN, przykładem może być ten wątek:

Link: https://www.reddit.com/r/qnap/comments/1afq1zj/qvpn_openvpn_setup_and_connection_issue_in_latest/

Idąc za radą pobrałem ze sklepu:
https://www.qnap.com/en-us/app_center/?os=qts&version=5.0.1&II=287
wersję 2.4.746, zainstalowałem i działa jak należy.
Z aktualizacją chyba trochę się wstrzymam.
Pozdrawiam

 

[3Qn]

Zmień dodaj w profilu/pliku "*.openvpn"
linijkę:

verb 3

Set output verbosity to n (default=1). Each level shows all info from the previous levels. Level 3 is recommended if you want a good summary of what's happening without being swamped by output.0 -- No output except fatal errors.
1 to 4 -- Normal usage range.
5 -- Output R and W characters to the console for each packet read and write, uppercase is used for TCP/UDP packets and lowercase is used for TUN/TAP packets.
6 to 11 -- Debug info range (see errlevel.h for additional information on debug levels).

U mnie działają po aktualizacji do najnowszej wersji na obu nasach.
- Wersja 3.2.983 Kompilacja 20240118

 

[Pitr]

Opcję z verb 3 przetestuję w weekend(działa to niech chwilowo pochodzi, dam znać co wyszło.
P.S. na jakich Qnapach Ci to działa? Moje maszyny są na ARM(TS431P2), może x86 sprawa nie dotyczy?

 

[3Qn]

Nie sprawdzałem changeloga ostatniej aktualizacji a widać warto bo były grubsze zmiany:

Jak znajdę chwilę wygrzebię jakie algorytmy tuneli generalnie mam kilka.

 

[Pitr]

Niestety parametr verb 3 nie zmienia sytuacji(chyba, że za jego zastosowaniem miałem sprawdzić jakieś konkretne logi?). Wersja QVPN 3.2.983 (ARM) nie zestawia tunelu z serwerem OpenVPN na routerze ASUS z nieznanego powodu (autoryzuje się poprawnie, ale nie zestawia połączenia). Ze względu na brak informacji zwrotnej z QNAP nie mam pomysłów jak to dokładniej zdiagnozować i pozostaję na razie przy wersji 2.4.746.
Osobom zainteresowany polecam śledzenie wcześniej wklejonego wątku lub ewentualnie tego:
[QVPN] openVPN setup and connection issue in latest release - Version 3.2.983 Build 20240118 - QNAP NAS Community Forum
Może coś się w nich wyjaśni.
Pozdrawiam
Piotr

 

[SiewcaRyżu]

im więcej osób zrobi ticketa , tym bardziej issue w nim opisywane, zostanie podbite w trackerze firmy , więc jak nie działa , rób ticketa !

 

[Warlock666]

assuming you are using the latest firmware

5.1.5.2645 build 20240116

2024-01-25

i raised a ticket and they suggest reinstalling the firmware again which seemed to work

 

[Silas Mariusz]

P.S. Nie wiem czy tylko ja jestem jakiś marudny, ale informacje zwrotne od strony klientów VPN na serwerach NAS są tragiczne, no bo co powiedzieć, o trzeciej wersji programu w której profile połączeń wyglądają tak:

I to jest właśnie przykład dlaczego się nie kupuje routerów ASUS, TP Srink i etc.
Ostatni FW:

Ostatnia wersja QVPN:

Wczoraj @Ice mi wygenerował dostęp do serwera OpenVPN ze swojego Ubiquiti - sprawdzałem pod kątem chociażby rtorrent'a.

Jakoś działa.

client
dev tun
proto tcp
remote 1.2.3.4 1195
resolv-retry infinite
nobind

# Downgrade privileges after initialization (non-Windows only)
user nobody
group nogroup

persist-key
persist-tun

auth-user-pass
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
verb 3

auth SHA1
key-direction 1

reneg-sec 0

redirect-gateway def1

<ca>
-----BEGIN CERTIFICATE-----
0123456789abcdef/
-----END CERTIFICATE-----
</ca>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
0123456789abcdef
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
ABCDEFGHIJKLM....
WXYZ=
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
ABCDEFGHIJKLM....
WXYZ=
-----END PRIVATE KEY-----
</key>

 

[Warlock666]

who is you vpn provider

 

[Silas Mariusz]

Ubiquiti UDM VPN Server <-> OpenVPN client running on QNAP NAS QVPN3 latest app

Please note:
That OpenVPN has been changed a lot within last year and some providers/devices might be incompatible.
Now QNAP offers and is compatible with latest OpenVPN version only.

 

[Warlock666]

This is what i have in my openvpn file that works

client
dev tun
proto udp
remote uk-manchester.privacy.network 1198
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-128-CBC
auth SHA1
tls-client
remote-cert-tls server

auth-user-pass
compress
verb 1
reneg-sec 0
<crl-verify>
-----BEGIN X509 CRL-----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-----END X509 CRL-----
</crl-verify>

<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

disable-occ

 

[Silas Mariusz]

@Pitr problem is probably not QNAP itself, but his VPN server.

 

[Warlock666]

You could try Free OpenVPN - Free VPN access with no restrictions! and use one of these file to test to see if that works

 

[Silas Mariusz]

You could try Free OpenVPN - Free VPN access with no restrictions! and use one of these file to test to see if that works

Great site.
Never heard about it before.
Anyway to make it working I had to delete data-ciphers line otherwise it wont import.

Link: https://www.youtube.com/watch?v=rVvz2r4CBQI

 

[Pitr]

Dobra, chyba rozgryzłem temat (choć pewien nie jestem
Na routerze mam starszą wersją OpenVPN 2.4.12, która ma pewne ograniczenia względem nowszych wersji, w szczególności nie posiada niektórych protokołów szyfrowania jak AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305 (no przynajmniej w mojej wersji), zamiast tego chciałem używać AES-256-CBC.
Plik konfiguracyjny klienta w nowych wersjach obligatoryjnie określa obsługiwane protokoły poprzez parametr data-ciphers, i tu problem - Asus ze starszą wersją przy generowaniu plików konfiguracyjnych nie wpisywał tego pola, klient OpenVPN w QVPN Service 3 przyjmował wartość domyślą tego parametru jako AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305 co powodowało konflikt uzgadniania metody szyfrowania :

Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM

Feb 1 16:53:36 vpnserver1[31928]: {zew. adr IP serwera z QVPN}:55795 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher AES-256-CBC'

Wystarczyło dodać odpowiedni parametr do pliku konfiguracyjnego i zaczęło śmigać.

data-ciphers AES-256-CBC

Oczywiście protokoły obsługiwane pomiędzy QNAPAMI się z założenia zgadzają i dlatego zwykle działają (chociaż jak poczytać channge loga do QVPN to różnie to było), no ale całe założenie było, że QNAP'y mają nie być widoczne bezpośrednio z internetu, więc to rozwiązanie pozostawiłem jako ostateczność.
Co do routerów Asusa to wiadomo, że to to samo co porządne routery + firewalle, ale na potrzeby SOHO przeważnie wystarcza i daje nieporównywalnie więcej opcji niż routerek dostarczony przez operatora.

Dzięki wielkie za pomoc i wszystkie sugestie.
Pozdrawiam
Piotr
P.S. Ticket był złożony, ale zaraz go wycofam

 

[Warlock666]

not sure if this article help for any future diagnosis
Why does QVPN not accept my .ovpn file when adding an OpenVPN connection profile?