Feste VPN IPs ohne große Änderungen...

[JayKoBa]

Hallo in die Runde!

Ich habe eine Synology bei einem bekannten aufgestellt, soll stabil und !einfach! OpenVPN anbieten.
Alles fix eingerichtet, läuft... Einen Tag später:Fehlermeldung, die virtuellen IPs haben sich vertauscht, Synchronistation läuft nicht mehr... Grrr..
Auf der Suche nach einer Lösung habe ich dann eine Lösung mittels IP Bindung an den CN im Zertifikat gefunden.
Wir hatten vorher für jeden User ein Zertifikat, eigene CN, da ging das. Aber nu mit Synology?
Ich habe via GUI nicht einen Weg gefunden immer die gleichen IPs an den Client zu vergeben (da gehört es eigentlich rein...).

Wie bekomme ich die IPs bei duplicate CN immer gleich verteilt?

Die cfg des Server kann ich anpassen, möchte das aber eigentlich vermeiden.
Das soll ein selbstläufer werden (ich habe keine Lust alle paar Monate alles zu flicken weil Synology ein Update rausgebracht hat)
Gibt es einen Weg das über den Client.ovpn zu lösen bzw. hat jemand einen guten Vorschlag?

Ich danke für Eure Hilfe!
Gruß
Jakob

 

[laserdesign]

Hallo und willkommen hier im Forum,

Fehlermeldung, die virtuellen IPs haben sich vertauscht, Synchronistation läuft nicht mehr...

diese "virtuellen IP's" sind doch die Tunnel-Endpunkte, du musst mit der lokalen IP zugreifen.
Oder verstehe ich dich falsch??

 

[JayKoBa]

Hi Laserdedign!

Auf 2 Clients laufen Dienste die sich unterhalten müssen. Also versuchen A mit B eine Verbindung über 10.8.xx.xx aufzubauen und wenn B lustig ist baut er zu A eine Verbindung auf (natürlich auch 10.8.xxx).
Die 10.8.xx.xx wechselt beim erneuten verbinden (stumpfes DHCP, wer zuerst kommt malt zuerst).
Die echten internen "Class C" IPs bekomme ich nicht angesprochen, sollte doch auch nur fuktionieren wenn ich das Routing in das komplette Netz der Seite mit der Synology zulasse? Das ist nicht gewünscht, Tunnel soll Clients miteinander verbinden.

Nun kann ich mit irgendeiner Variable wie DNS arbeiten (wäre meine nächste Baustelle) oder ich bekomme Synology VPN dazu den Clients immer die gleiche IP zuzuweisen. Leider kann man nicht mal eben so beim Interface eine feste IP hinterlegen.
Die Synology stellt ja per GUI nur ein Userzertifikat aus, damit ist das binden der IP an den CN der Zertifikates ein Problem (zumindest per GUI und die Lösung soll schön Klicki Klicki leicht werden .

Danke und Gruß

 

[fpo4711]

Hallo,

(zumindest per GUI und die Lösung soll schön Klicki Klicki leicht werden .

um dieses Mal gleich kurz zu beantworten. Geht so nicht.

Um dein Vorhaben zu realisieren muß die Config des Servers manuell angepaßt werden. Auch alle in ein gemeinsames Netz zu legen ist nur per Bridging möglich und das wäre schon die höchste Kunst auf der DS. Prizipiell würde ich Dir empfehlen der DS und den Clienten feste IP's zu geben und sie dann über diese anzusprechen.Daran denken alle müssen sich in unterschiedlichen Subnetzen befinden.Von der Client zur Serverseite ist das erst mal auch kein Problem, funktioniert auch über die normale Config und Bedienung per GUI. Sollen aber die Clienten untereinander und auch von der Serverseite ansprechbar sein, geht das eben nur mit manueller Anpassung. Dann kannst Du nach Wunsch auch mit Clientzertifikaten arbeiten. Da wären aber auch noch ein paar weitere Anpassungen nötig denn normalerweise wird dies per Serverzertifikat und auth per user/pass auf der DS geregelt.

Hier sind die Schritte beschrieben.

Gruß Frank

 

[JayKoBa]

Hi Frank!

Um dein Vorhaben zu realisieren muß die Config des Servers manuell angepaßt werden
Ok, das habe ich befürchtet, Ding der Unmöglichkeit, aber gut....

Auch alle in ein gemeinsames Netz zu legen ist nur per Bridging möglich und das wäre schon die höchste Kunst auf der DS.
Warum sollte die DS das nicht schaffen?

Prizipiell würde ich Dir empfehlen der DS und den Clienten feste IP's zu geben und sie dann über diese anzusprechen.
Ok, und wie verpuhle ich der Büchse das DHCP geschichte ist und ich nun manuell den Ton angebe ohne Bindung der User an eigene Zertifikate (deine Anleitung beschreibt das ccd Verfahren, da keine eigenen Zert`s ist das aussen vor)?

Es würde mir im Notfall auch schon reichen sie per DNS ansprechen zu können, aber auch da schlagen alle Tests fehl...
Es muss doch eine Möglichkeit geben OpenVPN auf der Synology feste IPs bei den Clients zu erreichen, ohne das ich auf der Shell rumfingern muss!?...

Ich danke dir Frank
Gruß Jakob

 

[fpo4711]

Warum sollte die DS das nicht schaffen?

Die DS schafft das schon. Da hier einige Anpassungen nötig werden, die dann die GUI der DS unbrauchbar machen würde ich mal sagen:
Du schaffst das nicht
Den eine echte Bridge die dafür nötig wäre ist nicht unkompliziert. Da haben sich schon einige und nicht nur bei der Konfiguration sondern auch später im Betrieb die Ohren gebrochen.

Ok, und wie verpuhle ich der Büchse das DHCP geschichte ist und ich nun manuell den Ton angebe ohne Bindung der User an eigene Zertifikate (deine Anleitung beschreibt das ccd Verfahren, da keine eigenen Zert`s ist das aussen vor)?

Bei der Config per ccd hat jeder Client dann eine eigene Konfiguration in der hinterlegt ist welches Netz sich auf der anderen Seite befindet. Schliesslich muß ja die DS auch wissen was auf Clientseite für ein Netz vorhanden ist damit sie eventuell dafür vorgesehene Pakete auch dort hin routet. Haben die Clienten feste IP's (spriche lokale IP's und ich meine hier nicht die IP's der Tunnelendpunkte) ist weder ein DHCP oder eine IP-Vergabe nötig. Möglich

Es würde mir im Notfall auch schon reichen sie per DNS ansprechen zu können, aber auch da schlagen alle Tests fehl...

Willst Du sie mit ihrem Namen ansprechen, mußt Du einen DNS-Server betreiben in dem alle eingetragen sind und den auch alle abfragen. Auch dafür gibt es eine Konfigurationsmöglichkeit

push "dhcp-option DNS x.x.x.x"

Es muss doch eine Möglichkeit geben OpenVPN auf der Synology feste IPs bei den Clients zu erreichen, ohne das ich auf der Shell rumfingern muss!?...

Zum widerholten Mal. Geht ohne Anpassungen der Config nicht. Die eigentliche (lokale) IP des Clienten oder Servers ändert sich nämlich bei einem Verbindungsaufbau gar nicht. Es ändern sich nur die IP's der Tunnelendpunkte. Und die werden so vergeben wie sie reinkommen. Das ist nach aktueller Konfiguration eher zufällig als kalkulierbar. Aber wie alles per OpenVPN funktioniert kann man hier nachlesen.

Gruß Frank

 

[MMD*]

Hallo,

Fur feste tunnel IP`s konnte dies funktionieren:

In:

/usr/syno/etc/packages/VPNCenter/openvpn

steht

openvpn.conf

Mach davon eine Kopie und nenne ihm:

openvpn.conf.user

OpenVPN neu starten.

Jetzt kann man nicht mehr uber die weboberflache Einstellungen machen.


Verbinde ein OpenVPN Client zum Server und nach paar Minuten Verbindung wieder trennen.

Wenn ich mich nicht irre findet man jetzt eine Datei mit Name vom Client in: (Hab ich nämlich auch)

/usr/syno/etc/packages/VPNCenter/openvpn

In diese Datei steht

ifconfig-push 192.168.168.3 255.255.255.0 (Ist ein Beispiel, ich benutze topology subnet statt net30)

was dafür sorgt dass deine Client die tunnel IP 192.168.168.2 kriegt
Funzt bei mir geraume zeit so.


Ich bin mir nur nicht 100% sicher ob openvpn.conf.user die "Ursache" ist für die Client Dateien oder irgendeine andere Anpassung die ich gemacht habe.
Ist dir vielleicht ein versuch wert.

Bin kein Deutscher aber hoffe ihr habt's verstanden

 

[JayKoBa]

Hi Frank und MMD*!

Kurz zu MMD*:
Grundsätzlich ist deine Idee für mein Problem wohl nicht hilfreich, es soll "Klicki klicki" leicht sein, dennoch interessanter Ansatz. Das klingt so als würde man die Synology wieder zum reinen Linux degradieren um dann die Funktionen von OpenVPN ein zu bauen...
Danke für die Idee, dennoch in diesem Fall wohl nicht hilfreich. Sollte das funktionieren, bin ich mir ziemlich sicher, beim nächsten Syno Update ist die Anpassung flöten.

Nun zu Frank:
"Zum widerholten Mal. Geht ohne Anpassungen der Config nicht. Die eigentliche (lokale) IP des Clienten oder Servers ändert sich nämlich bei einem Verbindungsaufbau gar nicht. Es ändern sich nur die IP's der Tunnelendpunkte."
I know.... Ich spiel mit OpenVPN auf Linux schon rund 10Jahre rum, feste IP etc. kein Thema und genau deswegen wundert es mich, dass in der Syno keine Funktion dafür vorgesehen ist die Clients statisch anzusprechen.
Denke ich z.B. an die Astaro, bei der kann sich jeder angelegte Benutzer auf der Oberfläche anmelden und seine Config inkl. seines persönlichen Zertifikats herunterladen, also sein persönliches Install.Paket. Warum nicht so bei der Syno?

Willst Du sie mit ihrem Namen ansprechen, mußt Du einen DNS-Server betreiben in dem alle eingetragen sind und den auch alle abfragen. Auch dafür gibt es eine Konfigurationsmöglichkeit
Ja, da will ich hin... Mir ist sch.... egal ob ich meinem Bekannten mit DNS Adressen oder IPs arbeiten lassen, hauptsache er hat eine statische Methode seine Clients zu erreichen.
Ich habe auch schon an DNS Server gedacht. Aber was soll ich bei dem DNS Server hinterlegen?
Nehmen wir an ich setze einen DNS Server auf der Syno auf, soll ich dann die DNS Namen die ich hinterlege auf die lokalen IPs umsetzen? (Die wären ja schon statisch, nur erreiche ich die lokalen IPs leider nicht => Liegt denke ich am Routing)
Was ich aus deinem anderen Beitrag zum "OpenVPN Option Clients den Server-LAN-Zugriff erlauben" entnehmen konnte, man kann bei der OpenVPN App von der Syno sowieso nicht sicherstellen das der Client sich kein Route verpasst.
Also kann ich die Funktion auch gleich aktivieren. Nun stellt sich mir nur die Frage, erreichen sich danach die Clients mit der lokalen IP? Dann wäre mein Problem ja schon Geschichte... (Bis jetzt fing die Syno an zu spinnen wenn ich zum testen den Verkehr ins Lan zugelassen habe)...

Danke euch!
Gruß Jakob

 

[fpo4711]

Hallo,

das wird hier langsam absurd.

Das klingt so als würde man die Synology wieder zum reinen Linux degradieren um dann die Funktionen von OpenVPN ein zu bauen...

OpenVPN war schon IMMER eine Lösung die über eine rein textbasierte Config gesteuert wird. Und ich bin mal so dreist zu behaupten, das wird auch immer so sein. Und falls Du es noch nicht erkannt hast die DS läuft mit Linux.

Ich spiel mit OpenVPN auf Linux schon rund 10Jahre rum, feste IP etc. kein Thema

Na dann sollte es doch kein Thema sein, nimm eine Config deiner Spielereien kopier sie auf die DS und fertig. Was ist daran so schwierig wenn Du dich ja bestens auskennst. Denn auch alle GUI's unter Linux erzeugen im Endergebnis nur eine Config und gegebenfalls noch Zertifikate.

und genau deswegen wundert es mich, dass in der Syno keine Funktion dafür vorgesehen ist die Clients statisch anzusprechen.

Das ist eben von Haus aus auf der DS nicht vorgesehen. Eine GUI (egal von wen und auf welchem System) die alle Optionen von OpenVPN abdeckt gibt es bis Dato nämlich nicht. Wenn Du dir das wünschst wäre es bestimmt eine gute Idee das mal Synology per Feedback Formular mitzuteilen. Sollten genügend User hier Interesse zeigen, könnte ich mir vorstellen das dies vieleicht in der Zukunft umgesetzt werden könnte.

Denke ich z.B. an die Astaro, bei der kann sich jeder angelegte Benutzer auf der Oberfläche anmelden und seine Config inkl. seines persönlichen Zertifikats herunterladen, also sein persönliches Install.Paket. Warum nicht so bei der Syno?

Und auch Sophos hat hier keine Lösung die einfach alle Optionen zuläßt. Für Spezialitäten müssen auch hier durch einen Admin Textfiles angepaßt werden. Komfortabel ist das nur in der Paketzusammenstellung für den Clienten. Aber wenn dir Sophos da so gut gefällt dann nimm es doch bitte. Nebenbei hast Du aber auch vergessen, das Du hier eine Security-Appliance mit einem NAS für Privatkunden vergleichst. Und so nebenbei die Clientsoftware von Sophos / Astaro ist eine Eigenentwicklung von denen.

Was ich aus deinem anderen Beitrag zum "OpenVPN Option Clients den Server-LAN-Zugriff erlauben" entnehmen konnte, man kann bei der OpenVPN App von der Syno sowieso nicht sicherstellen das der Client sich kein Route verpasst.
Also kann ich die Funktion auch gleich aktivieren. Nun stellt sich mir nur die Frage, erreichen sich danach die Clients mit der lokalen IP? Dann wäre mein Problem ja schon Geschichte... (Bis jetzt fing die Syno an zu spinnen wenn ich zum testen den Verkehr ins Lan zugelassen habe)...

Ich denke mal bei dir ist einiges schief. Wenn dieser Haken aktiviert wird, wird einzig und allein ein "push route ...." mit den Daten zum Serversubnetz in die Config eingefügt. Da kann die Syno nicht anfangen zu spinnen höchstens der Client (Oder Nutzer der davor sitzt ) Denn den Server (also die Syno) läßt diese Zeile völlig kalt.

Gruß Frank

 

[JayKoBa]

Hallo Frank!

Wir drehen uns hier wirklich auf der Stelle...

Kurz noch einmal zur Problemstellung. Ich habe OpenVPN mit festen IPs rausgeschmissen (was fast ein Jahrzenht fehlerfrei lief) und durch eine Syno ersetzt. Da es nicht eine meiner DS´en ist, der Mensch der sie bedienen soll kaum Ahnung von IT hat, will ich es ihm einfach und mir stabil aufsetzen. Auf der GUI kann der gute Mann noch Fehler suchen, auf der Shell nicht.
Mein einziges Problem, ich muss automatisierte Prozesse ablaufen lassen, drum benötige ich untereinander Hausnummern um den Client auf der Gegenstelle ansprechen zu können.
Da es per GUI wohl so nicht möglich ist, suche ich nun den Weg mit der geringsten Modifikation.

Nach meinem Durchblick durch die Möglichkeiten mit der Syno würde ich sagen: Für jeden Zertifikate generieren und die Server cfg um einen Eintrag erweiter, dass sie die IPs aus einer Liste nimmt.
Dann nur die Frage, CA auf der Syno nutzen oder ziehe ich die CA komplett raus? Überklatscht die Syno die Änderungen?

Besten Dank
Gruß Jakob