Your browser (Internet Explorer 7 or lower) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.
X
Home

Synology OpenVPN Client TLS Error

January 29, 2013 Allgemeines, HowTo, Linux, Sicherheit 0 Comments

Problem: Verbindung einer Synology als Client zu einem OpenVPN Server schlägt fehl.231_2_Synology-LOGO2
Erklärung: Beim Versuch eine Synology als Client zu einem OpenVPN Server,welcher neben der Userkennung auch TLS/SSL als Authentifizierung vorschreibt, schlägt die Verbindung fehl. Im Synology OpenVPN Wizard wird lediglich als Fehlermeldung “Verbindung fehlgeschlagen. Bitte überprüfen Sie Ihre Netzwerkeinstellungen” angezeigt.

Das Logfile auf meiner OpenVPN Appliance zeigte beim Verbindungsversuch folgenden Fehler:


openvpn[12924]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]:1194

Lösung: Man verbindet sich via SSH als root auf seine Synology und installiert dort zunächst das Paket ipkg wie folgt. Das Passwort ist das selbe wie für den admin im Webinterface.
Mit dem Befehl cat /proc/cpuino | grep “model name” erfahrt ihr, welcher Prozessor in der Synology verbaut ist. Ich arbeite mit einer ds713+ in der sich eine Intel Atom CPU befindet. Diese Info ist wichtig um das korrekte ipkg Paket installieren zu können.

Die Anleitung und das Paket findet ihr in diesem Wiki, nachdem ich mich gerichtet habe:
http://www.synology-wiki.de/index.php/IPKG
Sobald Ihr IPKG installiert habt, kommt ihr wieder zurück zu diesem Artikel und es geht weiter!

Nachwievor auf der Synology via ssh führt man jetzt folgenden Befehl aus:

ipkg install module-init-tools openvpn openssl bash

Ob die folgenden Sachen wirklich notwendig sind, weiß ich nicht. Dies habe ich aus der Installation für den Synology-OpenVPN Server und hab die Befehle auf jeden Fall mal ausgeführt. Obwohl wir die Synology ja nur als Client und nich als Server nutzen wollen, schadet es zumindest mal nicht.

/sbin/insmod /lib/modules/tun.ko
mkdir /dev/net/
mknod /dev/net/tun c 10 200
echo 1 > /proc/sys/net/ipv4/ip_forward

Jetzt löscht man erstmal bis auf die client_oxxxxx und ovpn_oxxxxx.conf alles andere aus dem Ordner

/usr/syno/etc/synovpnclient/openvpn

und kopiert (am einfachsten mit WinSCP) die folgenden Dateien des OpenVPN Servers auf in diesen Ordner.
VPNUSER.p12
VPNUSER-tls.key
VPNUSER.crt (Mir fiel gerade auf, dass dieses File nirgends von den bearbeiteten Config-Files genutzt wird. Ich hab es aber trotzdem kopiert und liegen gelassen)

Jetzt passt man noch die client_oxxxxx und die ovpn_oxxxxx wie folgt an:
client_oxxxxx



dev tun
tls-client
client
remote 1194
pull
proto udp
cipher AES-128-CBC
tls-remote ServerCert
pkcs12 VPNUSER.p12
tls-auth VPNUSER-tls.key 1
comp-lzo
redirect-gateway
script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down
auth-user-pass /tmp/ovpn_client_up
resolv-retry infinite

ovpn_oxxxxx



[client]
dev=tun
tls-client=_ON_
client=_ON_
remote= 1194
pull=_ON_
proto=udp
cipher=AES-128-CBC
tls-remote=ServerCert
pkcs12=VPNUSER.p12
tls-auth=VPNUSER-tls.key 1
comp-lzo=_ON_
redirect-gateway=_ON_
script-security=2
float=_ON_
reneg-sec=0
explicit-exit-notify=_ON_
plugin=/lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down
auth-user-pass=/tmp/ovpn_client_up
resolv-retry=infinite
[syno]
user=NAS
pass=KdfQ5S8QgdQp5g==
nat=yes
conf_name=OpenVPN
reconnect=yes

Zurück im Webinterface der Synology sollte sich der OpenVPN Client nun zum OpenVPN Server verbinden können.

 

KKormany | kormany.de

DeliciousStumbleUponDiggTwitterFacebookRedditLinkedInEmail

Error after cPanel update 11.34 – cpanelemaildiscovery.cpanel.net

October 19, 2012 Linux 0 Comments

Heute habe ich mehrere Anrufe von Kunden bekommen die entweder ihre Mails nicht mehr abrufen konnten oder folgende Fehlermeldung in Outlook präsentiert bekamen: “Outlook wurde an den Server ‘cpanelemaildiscovery.cpanel.net’ umgeleitet, um neue Einstellungen für ihr Konto ‘name@domain.tld’ abzurufen. ….”

cpanelemaildiscovery.cpanel.net

Das Problem trat erst seit Update des cPanel auf 11.34 auf, welches gestern eingespielt wurde. Offensichtlich hat das Update bei allen DNS-Zonen eigenmächtig “autodiscover”, “autoconfig” und “autodiscover._tcp_” Einträge hinzugefügt, weshalb Outlook plötzlich an der neu hinterlegten Adresse suchte und die vorher genannte Meldung zeigte.

Anscheinend ist das Problem inzwischen bekannt und es wurde auch schon ein ALPHA-Patch released, der von mir auf unserem Server angewendet wurde und die Einträge aus den DNS-Zonen entfernt hat. Der Fehler tritt jetzt nicht mehr auf.

Den Patch und die Beschreibung findet man hier: http://forums.cpanel.net/f5/autodiscover-dns-records-299412.html

Disclaimer: Wer seine cPanel-Installation aufgrund der hier beschriebenen Vorgehensweise kaputt macht, ist selbst schuld! Immer sichergehen dass aktuelle Backups vorhanden sind _bevor_ man Änderungen am System vornimmt!!

DeliciousStumbleUponDiggTwitterFacebookRedditLinkedInEmail
Tags: , , , ,

SMTP ERROR in WordPress

June 1, 2012 Allgemeines 0 Comments

{EAV:971791906c294980}

Leider weiß ich auch nach Suchen meine Quelle nicht mehr, möchte aber die Lösung eines SMTP Problems dennoch dokumentieren. Ich vermute, dass mein Problem mehrere Ursachen haben kann. Folgende Lösung hat zumindest mir aber weitergeholfen.

Problem:
Wordpress sendet trotz korrekter Konfiguration keine E-Mails und gibt folgende Fehlermeldung:
SMTP -> ERROR: Failed to connect to server: Permission denied (13)

Lösung:
Via SSH auf den Linux Server verbinden und verifizieren ob SELinux aktiviert, deaktivert oder die geladene Policy auf ‘enforcing’ oder ‘permissive’ steht.


[root@centos01 ~]# sestatus

Kommt folgende Ausgabe, ändert man diese Einstellungen mit den im Weiteren zu sehenden Befehlen.

SELinux status: disabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted


setenforce permissive
setsebool -P httpd_can_network_connect=on
semanage port -a -t http_port_t -p tcp 25
service httpd restart

Ist semanage nicht verfügbar installiert man noch folgendes Paket:

yum install policycoreutils-python

KKormany | kormany.de

DeliciousStumbleUponDiggTwitterFacebookRedditLinkedInEmail

Yum beendet sich mit Fehler “No module named cElementTree” in CentOS 5

May 31, 2012 Linux 0 Comments

Heute hatte ich ein Problem mit yum auf CentOS 5. Sobald ich yum aufrief beendete es sich mit folgender Fehlermeldung:


There was a problem importing one of the Python modules
required to run yum. The error leading to this problem was:

No module named cElementTree

Please install a package which provides this module, or
verify that the module is installed correctly.

It's possible that the above module doesn't match the
current version of Python, which is:
2.4.3 (#1, Feb 22 2012, 16:06:13)
[GCC 4.1.2 20080704 (Red Hat 4.1.2-52)]

Der ausschlaggebende Teil war natürlich “No module named cElementTree”. Nach ein wenig Recherche stellte sich heraus, dass wohl (warum auch immer) die Version python-elementtree-1.2.6-7.el4.i386.rpm installiert war. Diese ist nicht kompatibel, vielmehr muss die Version 1.2.6-5 installiert sein.
Ein kurzes

rpm --install --nodeps --force http://mirror.centos.org/centos/5/os/i386/CentOS/python-elementtree-1.2.6-5.i386.rpm

hat das Problem gelöst, yum funktioniert wieder wie gewohnt und die Updates konnten eingespielt werden.

DeliciousStumbleUponDiggTwitterFacebookRedditLinkedInEmail
Tags: , , , ,
« Older Posts