Nefunkční OpenVPN na Windows 7

[FrenclakCZ]

Zdravím, snažím se zprovoznit VPN server který provozuji na svém Synology NAS, který mám na veřejné IP a chci se na něj vzdáleně připojovat přes OpenVPN.
Na Iphonu s tím není problém a pomocí aplikace OpenVPN se bez problému připojím na VPN, v aplikaci stačilo pouze naimportovat VPNconfig a přihlásit se.
Problém je ten, že se mi nedaří zprovoznit připojení na VPN přes PC Windows 7. Mám stažený program Open VPN GUI a zkoušel jsem i Open VPN Connect. Postupoval jsem stejně jako když jsem se připojoval přes telefon tudíš import config souboru vyplnit udáje a když se zkusim připojit píše mi to: ERROR missing external pki alias. Nevíte někdo co s tím? Nikde jsem nic nenašel děkuji.

[Reklama]

[dvorakj]

ahoj, ukaz konfiguracni soubor
https://openvpn.net/community-downloads/
nebo dobry client je Viscosity
https://www.sparklabs.com/viscosity/

vygeneruj si hlavne 2 certifikaty.
https://openvpn.net/community-resources ... hority-ca/

v tom ovpn pod win kopirujes cely konfigurak do slozky .../config

nakonec si hlavne pridej routes do site

[FrenclakCZ]

Config soubor je vygenerovaný přes Synology NAS VPN vygeneroval se mi vlastně rar soubor, ve kterým byl tento VPNConfig, CA.crt, a soubor README ve kterém bylo napsáno ať si doplnim IP a odstranim # pred redirect-gateway def1

Takto jsem to uložil, nahrál do iphonu tam mi to jde bez problému, potom jsem to zkusil nahrát do Open VPN ve windows a pořád to píše tu chybu.

Zkoušel jsem to i přes program Viscosity, ale taky mi to nejde.
VPNConfig.ovpn zde:

dev tun
tls-client

remote moje_verejna_ip 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

</ca>

[FrenclakCZ]

Vážně nikdo neví?

[zeus]

Certifikat jsi importoval do Windows?

[FrenclakCZ]

No certifikát jsem jemom přesunul do složky ke configu... zkusím ho tedy importovat do systému, je jedno kam ho mám ukládat? Mám dát automaticky vybrat úložiště nebo manuálně vybrat umístění?

Dodatečně přidáno po 56 minutách 45 vteřinách:
Tak certifikát jsem naimportoval do windows, ale pořád to nejde připojit. Ani přes OpenVPN GUI ani přes Viscosity

[dvorakj]

config.ovpn:

client
dev tap
proto tcp-client
remote a.b.c.d 61194 # verejna IP, port das ten, co pouzivas
ca ca.crt # certifikat certifikacni autority
cert achilles-home.crt # klientsky certifikát
key achilles-home.key # klientsky klic
remote-cert-tls server
tls-client
port 61194 #das port, ktery vyuzivas
persist-tun
persist-key
cipher AES-256-CBC
reneg-sec 0
auth-nocache
auth-user-pass password.txt #ulozis si tu login a heslo
dhcp-option DNS 192.168.51.111
route 192.168.50.0 255.255.255.0 10.10.10.1 #routes do site
route 192.168.51.0 255.255.255.0 10.10.10.1
route 192.168.52.0 255.255.255.0 10.10.10.1

[FrenclakCZ]

Toto mi bohužel nefunguje, používám UDP místo TCP portu, a pořád mi to píše CERIFICATE VERIFY FAILED... Mám vlastně exportovaný self-signed-certificate na můj NAS (ca.crt) a potom mám exportované soubory z NASU tyto: cert.pem, privkey.pem, syno-ca-cert.pem, syno-ca-privkey.pem

Nevím který mám kam přiřadit co je klientský certifikát a co klientský klíč... ca.crt je můj self-signed, ten jsem dal jako ca ca.crt....

[dvorakj]

ca.crt je jen autorita, musis vygenerovat jeste klientsky certifikat. idealne novy pres easy-rsa a ten naimportovat do synology

Dodatečně přidáno po 1 hodině 5 minutách 43 vteřinách:
pres tun nejde vice klientu, pouzivej tap

[dvorakj]

pres tun nejde vice klientu, pouzivej tap