OpenVPN lässt sich nicht konfigurieren: option_error: Neither 'client' nor both 'tls-client' and 'pull' options declared

Hallo Stefan,

in deinem Masterkurs beschreibst du die Konfiguration des Fernzugriffs mittels openvpn.
Trotz der tollen step-by-step Beschreibung bekomme ich keine Lösung des Tasks, sondern lediglich eine tolle Fehlermeldung:


Muss an der Synology an anderer Stelle geschraubt werden?

Hallo,

das Problem habe ich nun schon ein paar Mal berichtet bekommen, bei vielen anderen klappt es hingegen problemlos.

Würdest du mir einmal alle Versionen nennen (DSM, OpenVPN Client, …)?

Paperless-ngx 1.17.4
Openvpn Version 3.4.4 (4629)
DSM Version 7.2.1 69057
Synology DS923+

Das sollte passen.

Kannst du hier noch deine Konfiguration posten?

Bitte ganz dringend deine URL unkenntlich machen und außerdem nur bis zur Zeile mit auth-user-pass kopieren.

Was du noch probieren kannst:
Dass wir im Kurs eine Raute (#) vor das pull gesetzt haben, lag an einer Inkompatibilität. Möglicherweise wurde diese aber behoben. Du kannst daher noch testen, das # wieder zu entfernen. Deine Fehlermeldung lässt darauf schließen, dass das pull benötigt wird.

Die zweite Zeile kommt mir falsch vor.

Der Anfang sollte so aussehen:

dev tun
tls-client

remote ******* 1194

Und in diesem Fall das pull auch wieder auskommentieren.

@Stefan: ich habe leider genau die gleiche Fehlermeldung.
URL unkenntlich gemacht; Pull hier auskommentiert, ohne # leider ebenfalls ohne Erfolg.

///

dev tun
tls-client

remote XXXX 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

#pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

# Clients running OpenVPN 2.4 and higher will automatically upgrade from AES-256-CBC to AES-256-GCM without any configuration changes.
cipher AES-256-CBC
auth SHA512

///

Hallo Freddy,

welche Versionen nutzt du?

DSM, Betriebssystem, OpenVPN Client?

Ich kriege es bei mir leider nicht nachgestellt, bei mir funktioniert mit genau dieser Konfiguration alles wunderbar (macOS, OpenVPN 3.4.3)

Hi @Stefan,
erstmal danke für deinen schnellen Support!

DSM 7.2.1-69057 Update 2
iOS
Client: 3.4.1

@Freddy @Idefix

Ich habe etwas in der Dokumentation von OpenVPN gelesen. Könnt ihr mal in die erste Zeile der Config „client“ schreiben? Der Anfang sähe dann so aus:

client

dev tun
tls-client

Ich vermute, dass das das Problem ist.

@Stefan
Leider nein.
„Connection Timeout“

Das heißt aber, dass deine Konfiguration nun akzeptiert wurde!
Das Connection Timeout ist ein „neues“ Problem. Vermutlich lässt deine Firewall den Port nicht durch. Achtung: Nicht nur an die Firewall in der Synology denken, sondern auch an das Port-Forwarding im Router.

Die bekannte Fehlermeldung erscheint nicht mehr. Statt dessen kommt beim Start der Verbindung eine „Eieruhr“ in Openvpn, anschließend das kommunizierte „Connection Timeout“

@Stefan
Allerdings kommt es zu dem gleichen Problem, wenn ich das Profil im mobilen Netz versuche zu aktiviere. Da hängt dann ja kein Router zwischen (?).

Doch, du möchtest ja vom mobilen Netz über deinen Router auf deinen NAS.

Die nächsten Punkte zu prüfen wären:

  • Was für einen Router hast du und hast du den Port 1194 dort konfiguriert?
  • Hast du die Synology-Firewall richtig konfiguriert? Zum Testen gern einmal ausschalten.

Ich bin scheinbar ebenfalls nicht in der Lage, meine Fritz!Box entsprechend zu konfigurieren. Ich will schließlich kein Scheunentor öffnen. Dazu kommt die Sonderlocke Fritz!Box. Hilft hier Video-Anruf mit Stefan Lachner — Digitalisierung mit Kopf ?

Hi Stefan,
sorry stimmt - ich taste mich voran.
Ich habe einen TP-Link (Deco) - die entsprechende Maske habe ich gefunden.
Diensstyp? Würde ich DNS auswählen?
Ansonsten muss ich eine interne IP-Adresse wählen (Adresse der Synology) sowie einen internen (Auswahl 1074?) und externen Port (?).
Bin ich auf dem richtigen Weg?

Hier ist eine Anleitung vom Hersteller der FritzBox:

(Abschnitt 2 ist relevant).

Mir wäre es lieber, wir könnten das direkt hier im Forum klären. Das kostet dich nichts und am Ende hätten alle etwas davon.

Ich kenne das Webinterface nicht, aber es ist kein DNS. Es wäre UDP.

Als internen und externen Port würde ich den gleichen nehmen, nämlich den, den du in deiner Konfiguration nutzt.

@all: Den Diensttyp kann man augenscheinlich frei lassen. UDP ist im Feld „Protokoll“ zu pflegen.

@Stefan: in den Feldern „Interner“ und „externer“ Port habe ich jetzt den Port 1194 genannt. Da ich die ganze Zeit deiner Anleitung gefolgt bin, gehe ich davon aus, dass damit mein System auf Basis deiner config aufgebaut ist.

Fehlermeldung (bald habe ich alle zusammen :wink: : „User authentication failed.“

Dann bist du jetzt noch einen Schritt weiter :wink: Jetzt scheint dein Benutzername und / oder Passwort falsch zu sein, das du bei OpenVPN nutzt.