DS213J als VPN-Client

[kayrodesign]

Hallo zusammen,

da ich zu Hause hinter einem DS-Lite Tunnel von Unitymedia sitze und mir der externe Zugriff auf meine Diskstation über Port-Forwarding somit verwehrt bleibt, würde ich das Problemchen gerne via VPN lösen. Ich möchte meine Diskstation also als VPN-Client einrichten und somit extern verfügbar machen.

Von einem Arbeitskollegen habe ich einen VPN-Server gestellt bekommen, hierfür habe ich folgende Dateien erhalten:

- vpn_server.conf
- vpn_server_static.key

Ich habe beide Dateien in den folgenden Verzeichnissen abgelegt:

- Config-File: /usr/syno/etc/packages/VPNCenter/openvpn
- Key-File: /usr/syno/etc/packages/VPNCenter/openvpn/keys

Anschließend über den Shell-Befehl "openvpn --config vpn_server.conf" OpenVPN gestartet. Allerdings zeigt mir die DS auch nach einem Reboot unter ifconfig keinen Tunnel an. Anschließend habe ich es mal über den Assistenten in der Web-Oberfläche probiert, hier sagt er mir jedoch, dass das Zertifikat ungültig sei. Außerdem bin ich mir auch nicht sicher, welchen Usernamen und Passwort ich dort eingeben muss.

Mein Config-File sieht wie folgt aus:

remote xxxxx
dev tun
ifconfig xx.x.x.x xx.x.x.x
secret vpn_server_static.key

comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key

user xxxxx
group xxxxxx
daemon

Habt ihr eine Ahnung was ich falsch mache?


Vielen Dank für die Hilfe & viele Grüße,
Jan

 

[Ameisentaetowierer]

Bei deinem Problem kann ich dir leider nicht helfen.
Aber mich interessiert, wie der Zugriff von "aussen" dann funktionieren soll.
Du brauchst doch dann noch einen Prozess auf dem VPN-Server, der Anfragen vom Server an die DS weiterleitet.
Da wüßte ich grade nicht, womit man das hinbekommt.

Ich würde an deiner Stelle eine ssh Verbindung mit Rück-Tunnel (reverse ssh tunnel) zum VPN-Server machen.
Da habe ich zwar gerade kein fertiges Beispiel parat, bin mir aber sicher, es schonmal benutzt zu haben.

 

[kayrodesign]

Das geht doch mit der Quick-Connect Funktion von Synology auch. Ich kann mir nicht vorstellen, dass die das großartig anders machen.

 

[Ameisentaetowierer]

Quickconnect hatte ich ganz vergessen.
Aber sollte das dann nicht auch ohne den VPN-Server funktionieren?

 

[kayrodesign]

Ja klar geht es auch damit, aber über VPN hat man halt wesentlich mehr Vorteile:

- Zugriff über eigene Domain aufs NAS (genau das möchte ich machen)
- Anonymität
- Wesentlich bessere Performance, die Quickconnect Funktion ist leider echt langsam

Kann es sein, dass man bei dem OpenVPN auf der DS ein anderes Config-File braucht? Der Assistent wird doch sehr wahrschenlich auch nichts anderes machen, als ein Config-File schreiben und das in den entsprechenden Verzeichnissen ablegen.

 

[Ameisentaetowierer]

Technisch geht die QC Verbindung doch immer über Synology, oder?
Also nix mit eigener Domain.
Und die Performance wird dann auch nicht besser.
Wobei ich gelesen habe, dass QC nur zum Verbindungsaufbau den Weg über Synology nimmt.

 

[kayrodesign]

Ja, dass man mit QC keine eigene Domain nutzen kann ist mir klar, genau deswegen will ich meine DS ja über den Tunnel nach extern erreichbar machen, dann kann ich meine DS auch unter der eigenen DOmain verfügbar machen.

Wenn ich mich jetzt z.B. via QC auf meine DS aufschalte, dann kommt direkt eine Meldung mit dem Hinweis "Dass ich über meine QC-ID auf meine DS zugreife, ich doch bitte das Portforwarding einrichten soll, da es so zu Leistungseinbußen kommen kann." - Portforwarding geht bei mir aber wegen des DS-Lite Tunnels nicht. Das ist ja meine Problematik.

 

[Ameisentaetowierer]

Womit wieder die 1. Frage kommt, wie der VPN Server die Weiterleitung machen soll.....

 

[kayrodesign]

Wenn das nicht funktionieren sollte, warum sollte Synology dann die Funktion bereitstellen seine DS als VPN-CLient einzurichten? Das macht in meinen Augen keinen Sinn, wenn ein VPN-Server keine Anfragen an die DS weiterleiten kann. Immerhin bin ich ja bestimmt nicht der Erste, der seine DS als VPN-Client nutzen will.

 

[joku]

Das macht in meinen Augen keinen Sinn, wenn ein VPN-Server keine Anfragen an die DS weiterleiten kann.

Hallo, der VPN Server ist dazu da,
seinen Clients einen "gesicherten" Zugang zu den internen Netz bereitzustellen.

Was Du möchtest, ist das wer via dem VPN Server auf einen Client zugreifen darf.

Gruß Jo

 

[kayrodesign]

Anscheinend geht das was ich vor habe mit einem DS-Lite Anschluss so oder so nicht. Ich bin gerade auf der AVM Seite auf folgenden Eintrag gestoßen:

Dabei sind nach aktuellem Stand der Technik allerdings keine einkommenden IPv4-Verbindungen aus dem Internet auf die FRITZ!Box oder das Heimnetz möglich. Es ist derzeit also nicht möglich, VPN-Verbindungen zur FRITZ!Box herzustellen, wenn diese an einem Internetzugang mit dem Verfahren DS-Lite betrieben wird.

AVM unterstützt die Entwicklung des Port Control Protocols (PCP), mit dem einkommende IPv4-Verbindungen, und damit auch VPN-Verbindungen zur FRITZ!Box, über DS-Lite möglich sein werden.

Ich werde mal schauen was Unitymedia zu der Nutzung von PCP sagt. Aber trotzdem Danke für eure Unterstützung!

 

[joku]

Hallo, vielleicht hilft Dir hier die #5. Gruß Jo

 

[kayrodesign]

Danke für den Link joku!

Eine andere Möglichkeit wäre der Einsatz eines Portmappers:

www.feste-ip.net/dslite-ipv6-portmapper/universelle-portmapper/

Hat jemand von euch Erfahrungen damit? Klappt das wirklich so "problemlos" wie auf der genannten Seite beschrieben?

 

[joku]

Eine andere Möglichkeit wäre der Einsatz eines Portmappers:

Hallo, hast Du schon mal versucht mit der IPv6, die Du hast auf Dein Netz zuzugreifen ?
http://[Präfix+Sufix]:Port
Wenn Du bei myfritz.net bist gibt es IPv4 und/oder IPv6,
hast Du da schonmal das mit dem 1234abcdyxz.myfritz.net versucht ?

Gruß Jo

 

[kayrodesign]

Jop, das habe ich schon probiert, allerdings ohne Erfolg. Ich habe mich bei myfritz angemeldet und unter den myfritz-Freigaben mein NAS mit einer HTTP-Freigabe hinterlegt.

Wenn ich allerdings den Link "blabla123.myfritz.net" öffne bekomme ich einen Timeout.

 

[joku]

Wenn ich allerdings den Link "blabla123.myfritz.net" öffne bekomme ich einen Timeout.

Hmm, da solltest Du auf die FritzBox gelangen
Hast in Deinem Netzt IPv6 aktiv ?
mit http://[Präfix+Sufix]ort
Präfix ist der erste Teil
zB 2001:0db8:85a3:08d3:1319:8a2e:0370:7347
und Sunfix ist der Teil von dem Gerät wo Du hin möchtest.

Sonst fällt mir dazu leider nichts weiter ein.

Gruß Jo

 

[kayrodesign]

Ja, auf meine Fritzbox komme ich von außen über myfritz - aber nicht an mein NAS, welches ich ihn den myfritz-Freigaben hinterlegt habe. In meinem Netz ist IPv6 aktiv, ich habe allerdings keine Ahnung, warum ich mein NAS über die myfritz-Freigabe nicht erreiche.

 

[joku]

Ja, auf meine Fritzbox komme ich von außen über myfritz - aber nicht an mein NAS,

Na das ist doch schon mal was
Da sollte das VPN der FritzBox auch funktionieren.
Um auf die Diskstation zu gelangen, die IPV6, nur den ersten Teil,
also 4 Teile mit dem : und den Rest von der Diskstation benutzen.

http://[Präfix+Sufix]:Port
die eckigen Klammen sind wichtig, damit Du : port auch benutzen kannst.

Das ganze wird besser, wenn ein DDNS Updater auf der Diskstation das ganze IPv6 macht

Gruß Jo

 

[joku]

unter den myfritz-Freigaben mein NAS mit einer HTTP-Freigabe hinterlegt.

Unter FritzBox / Internet / Freigaben / IPv6 ?
das hier ?


die Interface-ID ist der Sunfix.

Gruß Jo

 

[kayrodesign]

Oh super, das hört sich gut an. Wenn ich zu Hause bin, werde ich das Ganze direkt mal testen und dann berichten.

Habe ich das richtig verstanden: http://[Präfix der Fritzbox + Sufix der DS]ort (In dem Fall 80 für HTTP).

Nachtrag: Ja, genau da habe ich meine DS hinterlegt bzw. das macht die myfritz-Freigabe automatisch, sobald man eine neue myfritz-Freigabe anlegt.