OpenVPN 2 Diskstations, Datensicherung in beide Richtungen

Tom80

Benutzer
Mitglied seit
06. Okt 2015
Beiträge
137
Punkte für Reaktionen
2
Punkte
18
Hallo nicht ich,

Ja, wollte die ganze Zeit auch OpenVPN verwenden, hab es aber nicht geschafft eine Verbindung aufzubauen.
Aber heut ist es mir nun gelungen, werde jetzt mal die Anleitung durcharbeiten.

Danke

Gruß Tom
 

Tom80

Benutzer
Mitglied seit
06. Okt 2015
Beiträge
137
Punkte für Reaktionen
2
Punkte
18
Hat alles funktioniert!
Danke für die Anleitung

Gruß Tom
 

Tom80

Benutzer
Mitglied seit
06. Okt 2015
Beiträge
137
Punkte für Reaktionen
2
Punkte
18
Ich habe mich wohl zu früh gefreut, einmal konnte ich die DS auf der anderen Seite mit ihrer lokalen IP ansprechen, aber jetzt geht es nicht mehr :(
Hab mich genau an die Anleitung gehalten, die Datei unter ccd wurde auch nicht geändert.

Bei der anderen DS ist mir aufgefallen das unter dem VPN-Server unter OpenVPN bei Dynamischer IP 10.8.0.1 statt meines Wissens 10.8.0.0 steht.
Macht das etwas aus?
Jemand eine Idee, was noch falsch sein kann?

Gruß Tom
 

funzel1607

Benutzer
Mitglied seit
16. Jan 2013
Beiträge
36
Punkte für Reaktionen
1
Punkte
8
Hallo zusammen,

zur Situation: Ich betreibe eine DS an einem Unity IPv4 Anschluss, welche VPN Server ist (1. Netz, 192.168.186.0/24). Meine Backup DS (Client) steht in einem anderen Netzwerk (2. Netz, 192.168.0.0/24) hinter einer Fritzbox von Unity an einem DS-Lite IPv6 Anschluss. Ich lasse somit die Backup DS als Client gegen mein Haupt-NAS via DynDNS verbinden und starte auf dem Haupt-NAS zyklische Backup-Jobs. Soweit so gut.
Nun möchte ich ein anderes System aus dem 2. Netz von außen erreichbar machen, was nicht via DynDNS geht, da es ein DS-Lite Anschluss ist. Daher die Idee den "Umweg" über mein Haupt-NAS.

ich bin ebenfalls nach der ausführlichen Anleitung aus #8 vorgegangen und habe soweit alles hinbekommen. Ich erreiche somit von einem Client aus Netz 1 einen anderen Client aus Netz 2 unter seiner IP.

Sobald ich nun jedoch von einem x-beliebigen Client einen OpenVPN aus einem externen Netz, z.B. Mobilfunk, gegen den Server laufen lasse, verbindet er sich und ich habe Zugriff auf das 1. Netz, jedoch brechen damit alle Verbindungen zum 2. Netz ab. Sowohl für den 3. Client aus dem Mobilnetz als auch alle anderen Clients aus dem 1. Netz.

Erst wenn ich den Tunnel vom Backup-NAS neu verbinde, klappt die Verbindung wieder so lange, bis ich einen weiteren Client per VPN verbinde.
Hat jemand eine Idee woran das liegt?

Danke im Voraus!
 

funzel1607

Benutzer
Mitglied seit
16. Jan 2013
Beiträge
36
Punkte für Reaktionen
1
Punkte
8
Ich habe gerade selbst herausgefunden woran es lag. Ich habe nicht nur für den User des Client NAS ein File unter "ccd" angelegt, sondern auch für die anderen OpenVPN User.
Hier lag der Fehler! Seitdem ich alle Files der anderen User gelöscht habe, läuft es auch, wenn sich weitere User per VPN einwählen.
 

Simiii

Benutzer
Mitglied seit
20. Aug 2014
Beiträge
23
Punkte für Reaktionen
0
Punkte
0
Hallo in die Runde,

bei mir läuft alles soweit, dank dieser Anleitung. Wir haben 3 Clienten und einen Server an 4 unterschiedlichen Orten, die per openVPN miteinander verbunden sind.

Die Adressierung klappt soweit von allen Clienten und dem Server einwandfrei. Die lokale IP-Adresse des Servers ist erreichbar.

Ich muss ja in der /var/packages/VPNCenter/etc/openvpn/openvpn.conf über "route" das Clienten Subnetz eingeben. Kann ich dort auch mehrere Subnetze unserer Clienten (für unsere anderen Orte) angeben? Wenn ja, wie trag ich das ein? :)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
917
Punkte
424
Du kannst einfach weitere Zeilen mit route Einträgen hinzufügen.
 

Webkueche

Benutzer
Mitglied seit
17. Aug 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
NAS sehen sich gegenseitig nicht

Entschuldigt, dass ich dieses alte Thema noch einmal hervorhole, aber auf Teufel komm raus bekomme ich die site-to-site OpenVPN-Verbindung nicht hin. Bisher habe ich die Fritzbox-Standortkopplung genutzt, doch dies ist leider nun nicht mehr möglich (liegt nicht in meiner Hand).

Das Setting:

DS 916+ mit IP 192.168.178.2 am Router 192.168.178.1 als OpenVPN Server (10.8.0.x)
DS 214j mit IP 192.168.1.2 am Router 192.168.1.1 als VPN Client (bekommt 10.8.0.6)

Meine Einstellungen auf dem Server: https://imgur.com/a/maUeX Die Ports 500, 4500 und 1701 sind an das NAS freigegeben.

Meine /var/packages/VPNCenter/etc/openvpn/openvpn.conf ist

Rich (BBCode):
push "route 192.168.178.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun
route 192.168.1.0 255.255.255.0
client-config-dir ccd
client-to-client

management 127.0.0.1 1195

server 10.8.0.0 255.255.255.0

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target$
client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 33124
cipher AES-256-CBC
auth SHA512

unter /var/packages/VPNCenter/etc/openvpn/ccd liegt eine Datei mit dem Namen des users und folgendem Inhalt

Rich (BBCode):
iroute 192.168.1.0 255.255.255.0

overwriteccfiles habe ich auf false gesetzt und die Datei wurde auch nach mehrfachem Verbinden und Neustarten des Servers nicht überschrieben

Auf beiden Geräten ist die Synology-Firewall aus und ich habe beide Geräte nach der Config-Änderung mehrfach rebooted.

Der Client ist wie folgt konfiguriert: https://imgur.com/a/2aqol

Der Client baut auch brav die VPN-Verbindung auf, aber die Geräte sehen sich gegenseitig nicht! Ich kann in keine Richtung das andere Gerät anpingen. Wenn ich per SSH auf den NASsen das jeweils andere NAS anpingen will, passiert nichts. Ebenso kann bspw. CloudSync keine Verbindung zum anderen NAS aufbauen.

Was kann ich hier noch tun? Ich bin mit meinem Latein am Ende.

Vielen Dank im Voraus für Eure Hilfe!


Edit: Hier noch die Ausgaben des route Befehls:

Server:
Rich (BBCode):
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         speedport.ip    0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
192.168.1.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

Client:
Rich (BBCode):
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
BLABLA.dip0. fritz.box       255.255.255.255 UGH   0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.178.0   10.8.0.5        255.255.255.0   UG    0      0        0 tun0
 
Zuletzt bearbeitet:

Webkueche

Benutzer
Mitglied seit
17. Aug 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Des Rätsels Lösung. Ich hatte, in der Annahme die Sicherheit zu erhöhen, die Verschlüsselungsverfahren verändert. Dumme Idee: Mit der Standardeinstellung "BF-CBC" funktioniert es auf Anhieb :eek:
 

joha1908

Benutzer
Mitglied seit
13. Aug 2014
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,
dank der Anleitung habe ich es hinbekommen, dass ich mit einem Windows-PC aus dem Client-Netz die Server-DS im entfernten Server-Netz mit deren lokalen IP-Adresse ansprechen kann (DSM, SMB-Freigaben).
Allerdings kann ich keine anderen Geräte im entfernten Netz ansprechen, bspw. funktionieren nicht: Windows-Remotedesktopverbindung, Ping (auch nicht die Server-DS), http/https (Router) usw.
Ein tracert und PathPing zeigen, dass die Anfragen bis zur Client-DS durchgehen, danach aber nicht weiterkommen.
Warum kann ich aber die Server-DS überhaupt erreichen?

Verbinde ich mich allerdings mit dem Windows-PC aus dem entfernten Netz seperat über OpenVPN mit der Server-DS kann ich die anderen Geräte ansprechen.

kann mir jemand weiterhelfen?

Danke.

Gruß
Joha
 

joha1908

Benutzer
Mitglied seit
13. Aug 2014
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
... ein weiteres Problem habe ich auch mit dem Cloud Station Share Sync:

auf der VPN-Client-DS ist der CloudStation-Server aktiviert und die VPN-Server-DS über CloudStation Share Sync als Cloud-Client verbunden - hierbei wird die VPN-Client-DS mit ihrer lokalen IP angesprochen.
Das funktioniert auch solange, bis es zur nächtlichen Zwangstrennung kommt. Beim erneuten automatischen Verbinden erhält die VPN-Client-DS eine neue IP im VPN-Netz und (trotz der o.g. VPN-Konfigurationen) funktioniert der Share Sync nicht mehr richtig. Laut Status steht die Verbindung, aber es synct nicht mehr.
ShareSync.PNG

Trenne ich die VPN-Verbindung und verbinde manuell erneut, funktioniert der Cloud Sync wieder.
Woran kann das liegen?
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24

joha1908

Benutzer
Mitglied seit
13. Aug 2014
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Weder mit BF-... noch mit AES-... ändert sich was.

Woran könnte es denn liegen?
 
Zuletzt bearbeitet:

joha1908

Benutzer
Mitglied seit
13. Aug 2014
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Also, das erste Problem mit dem Ansprechen der anderen Geräte über die Client-DS war eine Firewall-Einstellung.

Der zweite Punkt ist immer noch unklar:
Beim automatischen Neuverbinden der Client-DS mit der VPN-Server-DS zeigt Cloud Station Share Sync zwar an, dass die DSen verbunden sind, aber es synct nicht.
Wird die VPN-Verbindung manuell gekappt und im Anschluss neu verbunden, läuft der Sync wieder....
 

joha1908

Benutzer
Mitglied seit
13. Aug 2014
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Keiner eine Idee?

Der Cloud Station Client auf der VPN-Server-DS synct nach einer Neuverbindung der VPN-Client-DS nicht mehr, obwohl der Status "Verbunden" angezeigt wird.
 

Tweety

Benutzer
Mitglied seit
22. Jan 2013
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Ein toller Beitrag, er hat mir sehr geholfen ein Site-to-Site VPN auf OpenVPN Basis zu erstellen bei zwei inkompatiblen Routern (die selbst miteinander kein VPN aufbauen können).
Trotz des Alters der Beiträge. Vielen Dank @fpo4711 und @nicht ich !!
 

joha1908

Benutzer
Mitglied seit
13. Aug 2014
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

bei mir lief die Verbindung über Open VPN und Cloud Station Sync über die lokale Client-IP über längere Zeit einwandfrei.
Der VPN-Server läuft auf der DS_1 am Standort A. Der Cloud Station Server läuft auf der DS_2 am Standort B. Der Cloud Station Server der DS_2 ist auf der DS_1 mit der lokalen IP von Standort B angebunden.

Nun habe ich seit kurzem eine weitere DS (DS_3) am Standort B. Diese ist auch über Open VPN mit der VPN-Server-DS (Standort A) verbunden - hat aber mit dem Cloud Station Sync zwischen DS_1 und DS_2 nichts zu tun.
Sobald DS_3 auch eine VPN-Verbindung mit DS_1 aufbaut, bricht der Cloudstation-Sync zwischen den beiden anderen Diskstations (DS_1 und DS_2) ab --> Keine Verbindung
Die VPN-Verbindungen bleiben aber bestehen.

Hat einer eine Idee, was das Problem hier sein kann?

Grüße
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
917
Punkte
424
Nein, ich nicht.

Eventuell ein Problem, wenn sich die DS 2 und 3 am Standort B die selbe öffentliche IPv4 teilen.

Eventuell mal probieren die eine mit openvpn und die andere mit ipsec/l2tp anzubinden, ob das Problem dann weiterhin besteht.
Ansonsten bleibt nur Suche und Analyse von VPN und Linux Logs um Verdächtige zu finden.

Und auch mal Synology Ticket aufzumachen, was die dazu sagen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat