NAS für kleines Unternehmen (bis 10 Mitarbeiter)

[tujay]

Danke für die Infos. Mache mich gleich dann wieder an "die Arbeit"

Eine Frage...

Kann ich es auch so hinbekommen, dass ich wenn ich zuhause arbeite am Laptop ein Netzlaufwerk x: habe welches quasi meine Synology Ordner im Büro sind?
Danke und VG

 

[Fusion]

Wenn du per VPN verbunden bist, kannst du genau das machen, ein Netzlaufwerk.

Ohne VPN muss man z.B. webDAV nutzen.

 

[Andy+]

Das würde ich nicht machen, wenn Du keine aussergewöhnliche Bandbreite über das Internet hast. Dann synchronisierte lieber zwischen dem Server und lokal. Ich bin sehr oft an anderen Orten unterwegs und arbeite, wo es geht mit BTsync

https://getsync.com/platforms/desktop/
https://help.getsync.com/hc/en-us/articles/206215185

denn damit hast Du einen Puffer, da das Internet im Grunde unzuverlässig ist. In speziellen Umgebungen arbeite ich noch mit ownCloud, im Grunde auch wieder als Puffer. Denn eine Erkenntnis habe ich gewonnen: der direkte Zugriff über VPN und soll dieser flüssig sein geht nur über eine entsprechend hohe Bandbreite und die hast Du leider nicht immer.

 

[tujay]

Ok, das werde ich als Alternative in betracht ziehen. Danke!

Allerdings würde ich es gerne dennoch einmal hinbekommen

Habe nun OpneVPN eingestellt, den Client runtergeladen und mit dem Client die Verbindung hergestellt. Nun steht die Verbindung aber als NLW kann ich es nicht einbinden (xxx.ddns.net).
Ohne OpenVPN, also normales LAN klappt die Einbindung als NLW...

Jemand ne Idee?

 

[Fusion]

Du musst die lokale IP deiner DS verwenden, wenn du per VPN verbunden bist.
Eventuell noch im OpenVPN server "Clients den Server LAN Zugriff erlauben aktivieren".

Probierst du das gerade im selben LAN wie die DS? Da macht ein VPN überhaupt kein Sinn.

 

[tujay]

Habs versucht. Also anstatt xxx.ddns.net habe ich dann \\192.168.1.7\freigabe_xx
eingegeben.... Geht net

 

[Fusion]

Kannst du bitte mal genau schreiben, welchen Einstellungen aktiv sind, was du von wo testest, welche IPs die jeweiligen Netze haben,.... alle wichtigen und unwichtigen Details, sonst stochern wir hier im Nebel. Danke.

 

[tujay]

Also:

Heimnetz:
192.168.1.1 = Router
192.168.1.7 = Synology (No-IP = xxx.ddns.net)

OpenVPN mit dem IP Bereich = 10.8.0.0 - 10.8.0.255

Am Laptop OpenVPN konfiguriert und mit der GUI verbunden. Verbindung steht auch und wird protokolliert.

Im WinCMD nun als NLW beide Optionen getestet xxx.ddns.net\freigabe_xx oder 192.168.1.7\freigabe_xx

funtioniert beides nicht. Für den Test habe ich mit dem Hotspot des Handys im O2 Netz verbunden damit ich nicht im gleichen LAN bin.

Wenn ich im Lan bin, kann ich ein normales NLW verbinden!

Und noch eine Frage... Wie schwer ist es denn nun eigentlich für jemanden der die xxx.ddns.net kennt und bei sich ins OpenVPN eingibt das ganze zu knacken und somit auf meine Synology zuzugreifen!?

 

[Kurt-oe1kyw]

Im Regelfall gar nicht, denn wenn du alles richtig eingestellt hast, sollte der User nur mit seinem Usernamen und Passwort Zutritt erhalten und da auch nur auf jene Bereiche wo du für ihn die Freigaben definiert hast in DSM für die Diskstation.

Bezüglich NLW verbinden:
Schalt mal kurz die Firewall von win und, falls vorhanden, Virenschutzprogramm ab am Laptop.
Wenn es dann geht, wieder einschalten und die Einstellungen der Firewall mit den notwendigen Freigaben für den Zugriff erlauben.

 

[Andy+]

Da Du für die DS eine OpenVPN mit dem IP Bereich = 10.8.0.0 - 10.8.0.255 hast, befindet sich nach extern auch die DS darin. Im VPN-Server kannst die offene Verbindung dann sehen und an dieser musst Du Dich orientieren.

 

[Fusion]

Hast du die Option "Clients den Server LAN Zugriff erlauben" eingeschaltet im VPN server?
Welches DNS / Gateway wird dir von OpenVPN am Client angezeigt?
Kommt du auf die DS via der Tunnel-IP 10.8.0.1?

 

[tujay]

Also... ich habe keine Ahnung wieso, aber nun gehts, wenn ich die "192.168.1.7" benutze wenn ich per OpenVPN verbunden bin. Wie gesagt, keine Ahnung wieso

Nun aber nochmal zu der Sicherheit. Wozu ist diese Zertifikat Datei? Afaik brauchte ich die gar net!? Im Prinzip kann doch nun jeder meine xxx.ddns.net nehmen und "rumprobieren"!?

Bin mir irgendwie noch nicht so wirklich sicher, ob ich alles richtig und sicher konfiguriert habe!?

 

[Kurt-oe1kyw]

Noch mal, im Normalfall nicht.
Bevor der Tunnel sich öffnet, sollte ein Fenster aufgehen wo du dich mit Benutzername und Kennwort anmelden musst.
Solange dieser Name und Kennwort dem "Besucher" nicht bekannt ist, kann er nicht auf die DS zugreifen und selbst nach erfolgreicher Anmeldung sollte der User nur jene Ordner sehen können wo du die Freigaben in der DS für die Ordner definiert hast für diesen User.

 

[tujay]

Ok, danke!

Und das normale surfen, welches ich ja auch kann läuft aber über die normale WLAN Verbindung und nicht auch über die OpenVPN Verbindung!?

Und was hat es nun mit diesem Zertifikat auf sich!?

 

[Kurt-oe1kyw]

Kann ich dir nicht beantworten, ich habe beide Dateien, wie in diversen Anleitungen erklärt wurde, auf den Clienten übertragen.
Danach konnte ich aber immer noch nicht das NLW einbinden.

Auf der Fehlersuche habe ich dann durch Nachlesen festgestellt, dass die beiden Netze nicht ident sein dürfen, also habe ich eines davon umgestellt.
Letztendlich war dann noch die Firewall am blockieren, als das Problem auch gelöst war, konnte der Client von seinem Netzwerk auf die DS hier bei uns zugreifen, aber nur auf seinen dafür freigegebenen persönlichen Ordner.

Ich bin aber absoluter Laie, eventuell können dir die Netzwerkspezialisten genauer sagen wozu die .crt Datei genau gebraucht wird.

 

[tujay]

Ok, danke Dir. Ich weiß auch bis jetzt noch nicht, wieso es heute dann aufeinmal ging mit dem NLW

 

[Andy+]

OpenVPN ist deshalb so Userfreundlich, weil auf der Server- und Clientseite jeweils eine miteinander gepaarte Datei verwendet wird. Ein zusätzliches Zertifikat braucht man dafür nicht. Vielleicht hast Du das bei einer anderen der drei Möglichkeiten gesehen?

 

[Fusion]

Zumindest unter DSM 5.2.
In der openvpn.zip (Konfigurationsdaten exportieren unter VPN Server > Einstellungen > OpenVPN) enthält eine ca.crt.
Das ist das intermediate Zertifikat des Standard oder des dem OpenVPN Server zugeordneten Zertifikats.
Ebenfalls enthalten ist das ca_bundle.crt, das enthält das root CAs der zertifizierenden Stelle und das Intermediate.

Solange die root CA etc auf dem zugreifenden Client (z.B. Android key store, windows key store, ...) vorhanden ist, kommt man ohne aus.
Wenn man aber z.B. das Standard Zertifikat von Synology verwendet braucht man die Beilagen, um eine sauber geprüfte Zertifikatskette zu bekommen.

 

[tujay]

Ok, Danke!

Ja, ich meinter das Zertifikat aus dem exportierten Ordner aus dem DSM.