Назад | Перейти на главную страницу

QNAP TS-419 QTS 4.1.2 Использование OpenVPN для подключения в качестве VPN-клиента

Я отслеживаю аналогичный запрос пользователя: QNAP TS-419p в качестве шлюза VPN?

У меня QNAP TS-419 II с прошивкой 4.1.2. У меня есть поставщик услуг VPN, который использует OpenVPN для подключения к своим услугам VPN. В данных файлах у меня есть ca.crt, myUser.crt, myUser.key и куча файлов конфигурации opvn для проксированных или полностью маршрутизируемых VPN-соединений.

Я скорее следовал этим инструкциям: http://support.purevpn.com/qnap-nas-qts-4-x-openvpn-setup-guide

Когда я нажимаю кнопку подключения, и через несколько минут произошел сбой. Ниже приведены результаты в журнале:

Sun Aug  9 00:40:02 2015 OpenVPN 2.2.1-8+deb7u3 arm-none-linux-gnueabi [SSL] [LZO2] [EPOLL] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug  4 2015
Sun Aug  9 00:40:02 2015 WARNING: file '/share/MD0_DATA/Download/vpn/pass1.txt' is group or others accessible
Sun Aug  9 00:40:02 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Aug  9 00:40:02 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sun Aug  9 00:40:02 2015 WARNING: file '/share/MD0_DATA/Download/vpn/vpn.key' is group or others accessible
Sun Aug  9 00:40:02 2015 Control Channel Authentication: using '/share/MD0_DATA/Download/vpn/vpn.key' as a free-form passphrase file
Sun Aug  9 00:40:02 2015 Key file '/share/MD0_DATA/Download/vpn/vpn.key' used in --tls-auth contains insufficient key material [keys found=1 required=2] -- try generating a new key file with 'openvpn --genkey --secret [file]', or use the existing key file in bidirectional mode by specifying --tls-auth without a key direction parameter

Что касается предупреждений, я понимаю, что это проблема с разрешением файла, может ли кто-нибудь сказать мне, что это должно быть?

Что касается предложения по безопасности Note и OpenVPN, знает ли кто-нибудь, что я должен делать с этого момента, чтобы он работал правильно?

Файл конфигурации My Client:

client
dev tun
proto tcp
tls-client
remote <remote IP> 80
persist-key
persist-tun
ca /share/MD0_DATA/Download/vpn/ca.crt
tls-auth /share/MD0_DATA/Download/vpn/key.key
cert /share/MD0_DATA/Download/vpn/cert.crt
cipher AES-256-CBC
comp-lzo
auth-user-pass /share/MD0_DATA/Download/vpn/pass1.txt
auth-retry interact
script-security 3
log-append /share/MD0_DATA/Download/vpn/openvpn.log
verb 3
mute 20
keepalive 10 60
writepid /var/run/openvpn.client.pid
up /etc/openvpn/openvpn_up
down /etc/openvpn/openvpn_down
explicit-exit-notify 2
ifconfig-nowarn
auth-nocache

Согласно первому предупреждению вы должны добавить ns-cert-type server в конфигурацию вашего клиента [OpenVPN Manual] [1]

В соответствии с последней строкой вам необходимо восстановить один из ваших ключей, или измените свою конфигурацию:

  1. openvpn --genkey --secret /share/MD0_DATA/Download/vpn/vpn.key ; или

  2. Убрать номер сзади --tls-auth в конфигурации вашего клиента.

Затем вам нужно удалить Group и Other права из 2-х ключевых файлов:

chmod go= /share/MD0_DATA/Download/vpn/pass1.txt ;

chmod go= /share/MD0_DATA/Download/vpn/vpn.key ;

Это позаботится о "группе или других доступных"

[1][https://openvpn.net/index.php/open-source/documentation/howto.html#mitm]

Кстати, это более или менее обман https://unix.stackexchange.com/questions/57798/openvpn-warning-no-server-certificate-verification-method-has-been-enabled