2 NAS mit vpnc/FB verbinden

[arfman]

Moin,

ich habe eine DS1 bei mir stehen, eine zweite DS2 an einem anderen Ort. DS2 ist hinter einem DS-Lite-Anschluss, was den Zugang hierauf von außen sehr erschwert, daher soll eine Verbindung zwischen den beiden DS mittels VPN hergestellt werden.
DS1 ist einem Netz mit Fritzbox, auf dieser ist bereits ein VPN-Zugang eingerichtet. Da ich nicht 2 VPN-Server in einem Netz laufen lassen will, und ein VPN-Server auf einer DS scheinbar von einigen als unsicher angesehen wird, habe ich mir vpnc mittels Entware auf der DS2 installiert.
Die Verbindung klappt, vpnc auf der DS2 verbindet und meine FB im Netz von DS1 meldet mir auch eine eingehende Verbindung und vergibt die übliche IP (bei mir 192.168.1.201).

Nur kriege ich keine Verbindung zur DS2 hin, weder per von der DS1 per Hyper Backup (was der eigentliche Zweck der Übung ist) noch mittels SSH oder über DSM von einem PC im Netzwerk von DS1. Firewall hab ich testweise auf beiden DS deaktiviert ohne Besserung. Die Verbindung versuche ich über die FB-VPN-Ip herzustellen.

Hat jemand ne Idee, was ich übersehe oder wie ich auf weitere Fehlersuche gehen kann?

P.S.: Die VPN-Einrichtung auf der FB funktioniert seit langem, mit meinem Handy z. B. kann ich hierüber ohne Probleme auf die smb-shares von meiner DS1 zugreifen.

 

[synfor]

Klar kannst du von den Geräten im Netz der DS1 nicht auf die DS2 zugreifen, wenn die DS2 eine Client-VPN-Verbindung zum VPN-Server im Netz der DS1 (Fritzbox) aufbaut. Du musst die DS2 das Backup holen lassen oder ein Site-to-Site VPN aufbauen.

Oder du richtest im Netzwerk der DS2 einen per IPv6 erreichbaren VPN-Server ein, und lässt die DS1 eine Clientverbindung dahin für das Backup aufbauen.

 

[arfman]

Site-to-Site VPN ist wahrscheinlich das, was ich will. Das wird mit dem normalen FB-VPN wahrscheinlich nichts. Hat jemand Erfahrung, ob diese "Ihr Heimnetzwerk mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)" für sowas benutzt werden kann?

 

[synfor]

LAN-LAN-Kopplung ist nur ein andere Name für Site-to-Site. Das Problem ist, dass das bei dir wegen DS-Lite per IPv6 passieren muss und das natürlich IPv6 auch am anderen Standort nötig ist oder du im Netz einen Vermittler brauchst. Natürlich muss das ganze dann auch noch von der VPN-Software unterstützt werden.

 

[arfman]

Hm, das wird mit dann zu kompliziert. Bevor ich noch 5 Geräte irgendwo zwischen schalte, geh ich lieber zurück zum 2. VPN-Server auf dem DS1 - damit klappt HyperBackup und wenn ich mich per SSH auf die DS1 schalte komm ich von da weiter per SSH auf die DS2.
Aber danke für die schnellen klärenden Antworten!

 

[synfor]

geh ich lieber zurück zum 2. VPN-Server auf dem DS1 - damit hat's geklappt.

Und wie und womit bekommst du dein Backup dann auf die DS2?

 

[arfman]

Die DS2 verbindet sich über DSM=>Netzwerke mit dem VPN-Server der DS1.

 

[Stationary]

Site-to-Site VPN ist wahrscheinlich das, was ich will. Das wird mit dem normalen FB-VPN wahrscheinlich nichts. Hat jemand Erfahrung, ob diese "Ihr Heimnetzwerk mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)" für sowas benutzt werden kann?

Ja, das geht, wenn beiden Enden eine Fritzbox steht. Das mache ich so, siehe Signatur.
Die 6590 hängt am Kabelanschluß mit DS-lite, die 7590 an VDSL.

 

[arfman]

Ja, das hab ich auch überlegt - aber eigentlich will ich außer der DS2 nichts aus dem zweiten Netzwerk in mein erstes lassen.
Ich hab das jetzt wie gesagt über eine OpenVPN-Server auf der DS1 geregelt.

Ich kann ehrlich gesagt auch die Sicherheitssorgen mancher nicht nachvollziehen. Wenn man den VPN der Fritzbox hackt kann man auf das gesamte Netzwerk zugreifen, wenn man den VPN der DS hackt in meinem Szenario nur auf die DS1. In beiden Szenarien kommt man ohne weitere Zugangsdaten oder noch weitere hacks aber auch nicht weiter.

 

[Stationary]

In Szenario 1 bist Du im Netz, mußt das NAS finden, und Dich noch dort hineinhacken. In Szenario 2 bist Du schon direkt auf dem NAS.

 

[arfman]

Eine DS in einem lokalen Netzwerk finden dürfte keine Hürde seien, vor allem nicht für jemanden der einen VPN hacken kann.

In meinem Fall (samba shares aktiviert) z. B. mit "# nmblookup __SAMBA__"