OpenVPN 2 Diskstations, Datensicherung in beide Richtungen

[Tom80]

Hallo nicht ich,

Ja, wollte die ganze Zeit auch OpenVPN verwenden, hab es aber nicht geschafft eine Verbindung aufzubauen.
Aber heut ist es mir nun gelungen, werde jetzt mal die Anleitung durcharbeiten.

Danke

Gruß Tom

 

[Tom80]

Hat alles funktioniert!
Danke für die Anleitung

Gruß Tom

 

[Tom80]

Ich habe mich wohl zu früh gefreut, einmal konnte ich die DS auf der anderen Seite mit ihrer lokalen IP ansprechen, aber jetzt geht es nicht mehr
Hab mich genau an die Anleitung gehalten, die Datei unter ccd wurde auch nicht geändert.

Bei der anderen DS ist mir aufgefallen das unter dem VPN-Server unter OpenVPN bei Dynamischer IP 10.8.0.1 statt meines Wissens 10.8.0.0 steht.
Macht das etwas aus?
Jemand eine Idee, was noch falsch sein kann?

Gruß Tom

 

[funzel1607]

Hallo zusammen,

zur Situation: Ich betreibe eine DS an einem Unity IPv4 Anschluss, welche VPN Server ist (1. Netz, 192.168.186.0/24). Meine Backup DS (Client) steht in einem anderen Netzwerk (2. Netz, 192.168.0.0/24) hinter einer Fritzbox von Unity an einem DS-Lite IPv6 Anschluss. Ich lasse somit die Backup DS als Client gegen mein Haupt-NAS via DynDNS verbinden und starte auf dem Haupt-NAS zyklische Backup-Jobs. Soweit so gut.
Nun möchte ich ein anderes System aus dem 2. Netz von außen erreichbar machen, was nicht via DynDNS geht, da es ein DS-Lite Anschluss ist. Daher die Idee den "Umweg" über mein Haupt-NAS.

ich bin ebenfalls nach der ausführlichen Anleitung aus #8 vorgegangen und habe soweit alles hinbekommen. Ich erreiche somit von einem Client aus Netz 1 einen anderen Client aus Netz 2 unter seiner IP.

Sobald ich nun jedoch von einem x-beliebigen Client einen OpenVPN aus einem externen Netz, z.B. Mobilfunk, gegen den Server laufen lasse, verbindet er sich und ich habe Zugriff auf das 1. Netz, jedoch brechen damit alle Verbindungen zum 2. Netz ab. Sowohl für den 3. Client aus dem Mobilnetz als auch alle anderen Clients aus dem 1. Netz.

Erst wenn ich den Tunnel vom Backup-NAS neu verbinde, klappt die Verbindung wieder so lange, bis ich einen weiteren Client per VPN verbinde.
Hat jemand eine Idee woran das liegt?

Danke im Voraus!

 

[funzel1607]

Ich habe gerade selbst herausgefunden woran es lag. Ich habe nicht nur für den User des Client NAS ein File unter "ccd" angelegt, sondern auch für die anderen OpenVPN User.
Hier lag der Fehler! Seitdem ich alle Files der anderen User gelöscht habe, läuft es auch, wenn sich weitere User per VPN einwählen.

 

[Simiii]

Hallo in die Runde,

bei mir läuft alles soweit, dank dieser Anleitung. Wir haben 3 Clienten und einen Server an 4 unterschiedlichen Orten, die per openVPN miteinander verbunden sind.

Die Adressierung klappt soweit von allen Clienten und dem Server einwandfrei. Die lokale IP-Adresse des Servers ist erreichbar.

Ich muss ja in der /var/packages/VPNCenter/etc/openvpn/openvpn.conf über "route" das Clienten Subnetz eingeben. Kann ich dort auch mehrere Subnetze unserer Clienten (für unsere anderen Orte) angeben? Wenn ja, wie trag ich das ein?

 

[Fusion]

Du kannst einfach weitere Zeilen mit route Einträgen hinzufügen.

 

[Simiii]

Perfekt. Danke. Nun läuft alles wie gewünscht

 

[Webkueche]

NAS sehen sich gegenseitig nicht

Entschuldigt, dass ich dieses alte Thema noch einmal hervorhole, aber auf Teufel komm raus bekomme ich die site-to-site OpenVPN-Verbindung nicht hin. Bisher habe ich die Fritzbox-Standortkopplung genutzt, doch dies ist leider nun nicht mehr möglich (liegt nicht in meiner Hand).

Das Setting:

DS 916+ mit IP 192.168.178.2 am Router 192.168.178.1 als OpenVPN Server (10.8.0.x)
DS 214j mit IP 192.168.1.2 am Router 192.168.1.1 als VPN Client (bekommt 10.8.0.6)

Meine Einstellungen auf dem Server: https://imgur.com/a/maUeX Die Ports 500, 4500 und 1701 sind an das NAS freigegeben.

Meine /var/packages/VPNCenter/etc/openvpn/openvpn.conf ist

push "route 192.168.178.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun
route 192.168.1.0 255.255.255.0
client-config-dir ccd
client-to-client

management 127.0.0.1 1195

server 10.8.0.0 255.255.255.0

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target$
client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 33124
cipher AES-256-CBC
auth SHA512

unter /var/packages/VPNCenter/etc/openvpn/ccd liegt eine Datei mit dem Namen des users und folgendem Inhalt

iroute 192.168.1.0 255.255.255.0

overwriteccfiles habe ich auf false gesetzt und die Datei wurde auch nach mehrfachem Verbinden und Neustarten des Servers nicht überschrieben

Auf beiden Geräten ist die Synology-Firewall aus und ich habe beide Geräte nach der Config-Änderung mehrfach rebooted.

Der Client ist wie folgt konfiguriert: https://imgur.com/a/2aqol

Der Client baut auch brav die VPN-Verbindung auf, aber die Geräte sehen sich gegenseitig nicht! Ich kann in keine Richtung das andere Gerät anpingen. Wenn ich per SSH auf den NASsen das jeweils andere NAS anpingen will, passiert nichts. Ebenso kann bspw. CloudSync keine Verbindung zum anderen NAS aufbauen.

Was kann ich hier noch tun? Ich bin mit meinem Latein am Ende.

Vielen Dank im Voraus für Eure Hilfe!


Edit: Hier noch die Ausgaben des route Befehls:

Server:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         speedport.ip    0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
192.168.1.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

Client:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
BLABLA.dip0. fritz.box       255.255.255.255 UGH   0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.178.0   10.8.0.5        255.255.255.0   UG    0      0        0 tun0

 

[Webkueche]

Des Rätsels Lösung. Ich hatte, in der Annahme die Sicherheit zu erhöhen, die Verschlüsselungsverfahren verändert. Dumme Idee: Mit der Standardeinstellung "BF-CBC" funktioniert es auf Anhieb

 

[joha1908]

Hallo zusammen,
dank der Anleitung habe ich es hinbekommen, dass ich mit einem Windows-PC aus dem Client-Netz die Server-DS im entfernten Server-Netz mit deren lokalen IP-Adresse ansprechen kann (DSM, SMB-Freigaben).
Allerdings kann ich keine anderen Geräte im entfernten Netz ansprechen, bspw. funktionieren nicht: Windows-Remotedesktopverbindung, Ping (auch nicht die Server-DS), http/https (Router) usw.
Ein tracert und PathPing zeigen, dass die Anfragen bis zur Client-DS durchgehen, danach aber nicht weiterkommen.
Warum kann ich aber die Server-DS überhaupt erreichen?

Verbinde ich mich allerdings mit dem Windows-PC aus dem entfernten Netz seperat über OpenVPN mit der Server-DS kann ich die anderen Geräte ansprechen.

kann mir jemand weiterhelfen?

Danke.

Gruß
Joha

 

[joha1908]

... ein weiteres Problem habe ich auch mit dem Cloud Station Share Sync:

auf der VPN-Client-DS ist der CloudStation-Server aktiviert und die VPN-Server-DS über CloudStation Share Sync als Cloud-Client verbunden - hierbei wird die VPN-Client-DS mit ihrer lokalen IP angesprochen.
Das funktioniert auch solange, bis es zur nächtlichen Zwangstrennung kommt. Beim erneuten automatischen Verbinden erhält die VPN-Client-DS eine neue IP im VPN-Netz und (trotz der o.g. VPN-Konfigurationen) funktioniert der Share Sync nicht mehr richtig. Laut Status steht die Verbindung, aber es synct nicht mehr.


Trenne ich die VPN-Verbindung und verbinde manuell erneut, funktioniert der Cloud Sync wieder.
Woran kann das liegen?

 

[MMD*]

Dumme Idee?
Bitte lesen:
https://community.openvpn.net/openvpn/wiki/SWEET32

 

[joha1908]

Weder mit BF-... noch mit AES-... ändert sich was.

Woran könnte es denn liegen?

 

[joha1908]

Also, das erste Problem mit dem Ansprechen der anderen Geräte über die Client-DS war eine Firewall-Einstellung.

Der zweite Punkt ist immer noch unklar:
Beim automatischen Neuverbinden der Client-DS mit der VPN-Server-DS zeigt Cloud Station Share Sync zwar an, dass die DSen verbunden sind, aber es synct nicht.
Wird die VPN-Verbindung manuell gekappt und im Anschluss neu verbunden, läuft der Sync wieder....

 

[joha1908]

Keiner eine Idee?

Der Cloud Station Client auf der VPN-Server-DS synct nach einer Neuverbindung der VPN-Client-DS nicht mehr, obwohl der Status "Verbunden" angezeigt wird.

 

[Tweety]

Ein toller Beitrag, er hat mir sehr geholfen ein Site-to-Site VPN auf OpenVPN Basis zu erstellen bei zwei inkompatiblen Routern (die selbst miteinander kein VPN aufbauen können).
Trotz des Alters der Beiträge. Vielen Dank @fpo4711 und @nicht ich !!

 

[joha1908]

Hallo zusammen,

bei mir lief die Verbindung über Open VPN und Cloud Station Sync über die lokale Client-IP über längere Zeit einwandfrei.
Der VPN-Server läuft auf der DS_1 am Standort A. Der Cloud Station Server läuft auf der DS_2 am Standort B. Der Cloud Station Server der DS_2 ist auf der DS_1 mit der lokalen IP von Standort B angebunden.

Nun habe ich seit kurzem eine weitere DS (DS_3) am Standort B. Diese ist auch über Open VPN mit der VPN-Server-DS (Standort A) verbunden - hat aber mit dem Cloud Station Sync zwischen DS_1 und DS_2 nichts zu tun.
Sobald DS_3 auch eine VPN-Verbindung mit DS_1 aufbaut, bricht der Cloudstation-Sync zwischen den beiden anderen Diskstations (DS_1 und DS_2) ab --> Keine Verbindung
Die VPN-Verbindungen bleiben aber bestehen.

Hat einer eine Idee, was das Problem hier sein kann?

Grüße

 

[joha1908]

Kennt jemand das Problem?

 

[Fusion]

Nein, ich nicht.

Eventuell ein Problem, wenn sich die DS 2 und 3 am Standort B die selbe öffentliche IPv4 teilen.

Eventuell mal probieren die eine mit openvpn und die andere mit ipsec/l2tp anzubinden, ob das Problem dann weiterhin besteht.
Ansonsten bleibt nur Suche und Analyse von VPN und Linux Logs um Verdächtige zu finden.

Und auch mal Synology Ticket aufzumachen, was die dazu sagen.