Synology Impossible de me connecter via Open VPN / Problème de certificat ?

Tatas

Apprenti
12 Octobre 2017
46
0
6
Bonjour à toute la communauté,
J’ai reçu, il y a moins d’un mois, un mail de la part de Let’s Encrypt Expiry Bot qui m’indiquait que mon certificat xxxxx.synology.me arrivait prochaine à échéance et qu’il était donc nécessaire de le renouveler.
Je dois reconnaître que je me suis méfié de ce mail et que j’ai donc décidé de ne pas y porter attention.
Pourtant, en essayant de me connecter via OpenVPN hier, j’ai un message d’erreur qui s’affiche sur mon smartphone alors que j’arrivais parfaitement à me connecter auparavant.
Je fais donc le rapprochement avec ce mail précédemment reçu en me disant qu’il aurait peut-être fallu y prêter davantage attention, même si la vigilance reste de rigueur…
Je précise que je parviens toujours à me connecter en wifi avec mon smartphone mais vous allez sûrement me dire que tout cela n’est pas lié.
Lorsque je regarde les paramètres de mon OpenVPN, il est toujours activé. Et lorsque je me rends dans Accès externe > DDNS, le statut est normal.
J'ai également été voir du coté de Sécurité>Certificat et j'y ai trouvé 2 certificats (1 émis par Let's Encrypt Authority X3 et qui est valide jusqu'au 15/06/2020 et 1 émis par Synology Inc. CA (certificat auto-signé)).
J'ai donc un doute que mon problème de connection soit lié au certificat.
Est-il normal de disposer de ces 2 certificats ?
A titre informatif, OpenVPN me renvoie le message d'erreur suivant : "There was an error attempting to connect to the selected server. Error message: mbed TLS: SSL read error : X509 - Certificate verification failed, e.g. CRL, CA or signature check failed".
En cette période de confinement, mon accès extérieur n'est pas primordial, mais je souhaite tout de même comprendre et solutionner ce problème avec votre aide précieuse.
En remerciant la communauté par avance.
 
Salut,
on est bien d'accord que c'est ton certificat let's encrypt qui est configurer sur ton xxxxx.synology.me et non l'auto signé ?
Si oui alors je pense qu'il va falloir le supprimer et le ré-créer.

Ps:eek:ui tu peu avoir plusieurs certification cela ne sert à rien mais c'est possible dans tout les cas seulement une peut être configurer sur un nom de domaine.
 
Bonjour,
Tout d'abord merci de prendre le temps de m'aider.
Je te confirme qu'il s'agit bien du certificat Let's Encrypt.
Quelle(s) précaution(s) dois-je prendre avant de supprimer ce certificat ?
Y a-t-il un mode opératoire particulier à suivre ?
Je supprimerai donc le 2e certificat installé et inutile.
Merci encore pour tes conseils.
 
Si tu shouaite sauvegarder cette ancien certificat, dans le doute, tu peu toujours l'exporter mais je n'y voit pas spécialement l'intérêt.
Ensuite il faut re-creer un certificat let encrypt en le plaçant "par défaut"
 
Bonjour,
Je me suis donc lancé dans le renouvellement du certificat. Opération qui peut sembler basique pour la grande majorité d’entre vous mais qui me semble périlleuse pour ma part…
Pour renouveler le certificat, je me suis rendu dans la rubrique correspondante Sécurité > Certficat, j’ai choisi le certificat Let’s encrypt correspondant et j’ai demandé le renouvellement.
J’ai une fenêtre qui s’est affichée pour me demander de vérifier que l’environnement a été correctement configuré et notamment :
  • DSM peut être accédé depuis un WAN via les ports 80 ou 443
  • DNS a été correctement configuré.
Je dois avouer que ces 2 exigences m’ont laissé perplexe :? et j’ai donc validé. Après quelques secondes avec une fenêtre « Traitement. Veuillez patienter… », j’ai ensuite une fenêtre « Redémarrage du serveur Web… » qui s’affiche avec une icône qui tourne en boucle pendant plusieurs minutes (éternellement?) et qui me laisse penser que la procédure n’est pas complète. :rolleyes:
J’ai quitté cette fenêtre et suis retourné voir le certificat dont la date d’expiration a effectivement été repoussée d’un mois mais je ne suis pas convaincu par cette démarche.
Pouvez-vous m’aider et notamment m’indiquer les actions à effectuer au préalable svp pour vérifier la configuration ?
En vous remerciant par avance.
 
Bonjour à toute la communauté,
Je m'excuse par avance pour ce post que j'adresse avant tout afin d'être rassuré avant de procéder à certaines actions. :oops:
Pouvez-vous m'indiquer si il est préférable d'ouvrir le port 80 ou le 443 ? (d'un point de vue sécurité)
L'ouverture d'un port dans le NAS nécessite-t-il un redémarrage ?
L'ouverture de ce port n'est nécessaire que le temps du renouvellement du certificat ?
En vous remerciant par avance.
 
Salut,
Pour le renouvellement du certificat, le port 80 et 443 doit être ouvert dans ta box et dans le pare-feu du NAS.
Cela ne demande pas de re-démarrage.
 
Bonjour à toute la communauté,

Et encore merci à toi, EVOTK de prendre le temps de m'aider.

J'ai donc ouvert les ports 80 et 443 au niveau de mon NAS et de ma Freebox et j'ai ensuite renouvelé ma demande de certificat.

Malheureusement, j'ai à nouveau la fenêtre "Redémarrage du serveur Web..." qui tourne en boucle sans que j'en comprenne la raison.

Je précise que j'ai attendu et que je suppose que ce temps est normalement suffisant.

Merci d'avance pour vos conseils.
 
Je me permets d'apporter une précision :
J'ai observé le message d'erreur suivant dans mes notifications DSM : "Échec de l'enregistrement de l'adresse IP xxxxxxxxxxxx dans le nom d'hôte monserveur.synology.me [Le serveur DDNS est temporairement hors service. Veuillez contacter votre fournisseur de service.]"
Dans ma fenêtre DDNS, j'ai le message d'erreur au niveau du statut : "Erreur de réseau. Vérifiez votre DSN et vos paramètres réseau."
J'ai cliqué sur le bouton "Test de connexion" et le statut est redevu "Normal"
J'ai tenté à nouveau de renouveler le certificat mais cette fois-ci j'ai eu le message suivant : "le nombre maximum de demandes de certificat est atteint pour ce nom de domaine."...
:oops:
 
Bonjour à toute la communauté,

Après quelques mois sans rencontrer de problème et sans pour autant en connaître la raison, je rencontre à nouveau des difficultés de connexion via Open VPN à partir de mon smartphone.
J'ai la fenêtre qui s'affiche avec le message d'erreur suivant : "There was an error attempting to connect to the selected server. Error message: OpenSSLContext::SSL::read_cleartext:BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed"

J'ai été regarder du côté de mon certificat sur le DiskStation et il est valide jusqu'en janvier 2021. Le verrou est vert.

Auriez-vous des pistes d'exploration à m'indiquer ?

En vous remerciant par avance.
 
Bonjour à toute la communauté,

J'ai poursuivi les recherches de mon côté. Du côté du NAS, tout me semble toujours OK. Du côté de mon smartphone, j'ai désinstallé et réinstallé l'appli Open VPN et j'ai également réinstallé le certificat que j'ai exporté juste avant en ayant veillé de faire les modifications nécessaires au préalable dans le fichier de configuration OpenVPN.

Malheureusement, j'échoue toujours avec le même message d'erreur. :(

Quelqu'un pourrait-il me venir en aide svp ?

En vous remerciant par avance.
 
Salut
Quel est le message d'erreur ?
Dans ton pare-feu le port 1194/TCP est bien ouvert ?
Celui ci est également bien redirigé dans ta box ?
 
Bonjour,

Et tout d'abord, merci de prendre le temps de m'aider.

J'ai sorti un fichier log de mon appli Open VPN dont j'ai copié ci-dessous quelques lignes dont certaines renvoient des erreurs qui m'interpellent :
15:06:08.088 -- VERIFY OK: depth=1, /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
15:06:08.089 -- VERIFY FAIL: depth=0, /CN=nomserveur.synology.me [certificate has expired]
15:06:08.091 -- Transport Error: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
15:06:08.093 -- EVENT: CERT_VERIFY_FAIL info='OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2576 status=-1: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed'

Comme évoqué plus haut dans ce sujet, j'avais déjà rencontré des problèmes de certificat expiré il y a quelques mois sans que j'en comprenne l'explication car lorsque je regarde le certificat émis par Let's Encrypt Authority X3 sur mon DSM, celui-ci est valide jusqu'au 22/01/2021.

Pour répondre à tes questions sur les ports, ils sont bien ouverts et redirigés sur mes équipements par contre il s'agit de ports UDP (et non TCP).