OpenVPN auf der Synology DiskStation

[Wessix]

hi hab jetzt mal wie TOKTOK gesagt und im Howto von BS beschrieben das ganze übers Webinterface von BS eingetragen.
Wenn ich jetzt folgedes engebe bekomme ich:

~ #route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
217.0.118.45    *               255.255.255.255 UH    0      0        0 ppp_1_32                                                                                                              _1
192.168.2.0     *               255.255.255.0   U     0      0        0 br0
default         217.0.118.45    0.0.0.0         UG    0      0        0 ppp_1_32                                                                                                              _1

Sieht richtig aus oder ?

Grüße Wessix

 

[Sascha_R]

... Habe Das OpenvPN jetzt auf der DS laufen - ist wahrscheinlich eh besser als auf dem Speedport oder?...

Wenn deine DS die VPN-Server Funktion übernimmt, dann muß du einen Port auf die DS weiterleiten, sprich ein Loch in die Hardwarefirewall deines Routers reißen und sämtliche Pakete die durch dieses Loch kommen landen direkt auf deiner DS. Meiner Meinung nach wäre es besser wenn du kein Loch in deine Firewall reisen würdest sondern jede Verbindung am Router / Hardwarefirewall enden läßt und von da aus an den enstprechenden Empfänger routest.

 

[_TokTok_]

Du hast keine Route eingetragen.

Gib mal folgendes im WebInterface von BitSwitcher unter Administration>Custom Script ein:
route add -net <OpenVPNSubnetz>/24 gw <IPderDS>
OpenVPN Subnetz ist z.B. 10.10.10.0, IP der DS ist z.B. 192.168.2.100

Ich hab den OpenVPN Server auf Port 443 laufen und brauche deshalb gar keine Firewall-Regel (Port Forwarding). Weiterer Vorteil: Wenn Du in Firmennetzwerken, Flughafen oder Internet Cafe bist, ist der Standard OpenVPN Port meist blockiert, 443 aber meist offen.

Poste mal bitte Deine Config-Files, sonst ist das nur Stochern im Nebel

 

[Wessix]

Ok mach ich, wie oben gesagt, eine Verbindung bekomme ich schon. komm auch z.B. auf den DSM der Diskstation jetzt gehts vielleicht darum das zu optimieren.

Also erstmal die Configs:
Auf der DS: openvopn.conf

port 1194
proto udp
dev tun

ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/server.crt
key /opt/etc/openvpn/easy-rsa/keys/server.key
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client
#Hier die Route des lokalen Netzes eintragen (meist 192.168.0.0 oder 192.168.1.1)
push "route 192.168.2.0 255.255.255.0"
#Hier einen DNS eintragen (zB IP des Routers oder 62.2.24.162 (cablecom dns))
push "dhcp-option DNS 192.168.2.1"
push "redirect-gateway"

keepalive 10 120
comp-lzo

persist-key
persist-tun
status openvpn-status.log

verb 3
daemon

Client Config:

client
dev tun
proto udp
remote <Adresse mienes Dyndns Accounts> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

remote-cert-tls server
ca "C:\\programme\\openvpn\\config\\keys\\ca.crt"
cert "C:\\programme\\openvpn\\config\\keys\\client1.crt"
key "C:\\programme\\openvpn\\config\\keys\\client1.key"

comp-lzo
verb 3

Bei <Adresse meines Dyndns Accounts steht natürlich die richtige Adresse drin.

Brauchst du ncoh weitere Infos


Was meinst du zu der Äußerung von Sasch_R? Wenn es sicherer ist, dann würd ich mir das auf dem Router nochmal anschauen jetzt wos mit der DS halbwegs geht.

Das mit dem Port werd ich wohl auch auf 443 ändern. Macht Sinn.

Grüße Wessix

 

[Wessix]

ok, jetzt funktioniert es soweit dass ich die ganzen ips z.B. Webinterface des Routers, DSM, Pyload Webinterface etc. in meinem Heimnetzwerk im browser des entfernten Rechners aufrufen kann, nicht schlecht.
Eigentlich brauche ich mit solch einem Zugang ja dann außer den Ports 80 und 443 am Router nix mehr aufzumachen oder? Ich kann ja auf die Photostation Pyload etc. vom Vpn aus zugreifen? Was echt cool ist weil man dann auch im DSM arbeiten kann ohne ständig Bruteforce Attacken zu bekommen? oder Blick ichs nicht richtig?

Sorry für evtl. doofe Fragen

Grüße Wessix

 

[_TokTok_]

Ich komm irgendwie nicht mehr ganz mit, auf welchem Port läuft das jetzt? Hast Du die statischen Routen? Der OpenVPN-Client ist selbst im lokalen Netz oder kommt der tatsächlich von außen?

Gib mal

echo 1 > /proc/sys/net/ipv4/ip_forward

auf der Kommandozeile der DS ein

 

[Wessix]

So, nachdem ich gestern und heute unterwegs war: es funktioniert, habs vom Zug aus übers Handy-Netz und Laptop getestet. Hab auch Rausgefunden dass ich die Freigaben als Netzlaufwerke einbinden kann und dann Zugriff darauf habe.
Mein obiger Beitrag war vielleicht missverständlich, hätte dazuschreiben müssen dass ich dei entsprechenden Programme Pyload etc. in der Firewall nur für den Zugriff aus dem lokalen Netzwerk freigegeben habe.
Ich hab deinen Code bei BS eingegeben scheint ja funktioniert zu haben. Nun muss ich nur noch auf Port 443 umstellen. Hast du zufällig noch ne Idee wegen der reconnect Geschichte? Wäre klasse wenn ich das wieder hinbekommen könnte.
Auf alle Fälle mal vielen Dank für die Hilfe soweit. Super ich bin wie immer beigeister vom Forum

 

[Wessix]

hi ich nochmal

Kann es sein das im Wiki für OpenVPN unter Server automatisch starten in der Zeile:

/opt/sbin/openvpn –daemon –cd /opt/etc/openvpn –config openvpn.conf

ein Fehler ist und es eigentlich zwei -- vor dem daemon sein müssten also so

/opt/sbin/openvpn -–daemon –cd /opt/etc/openvpn –config openvpn.conf

Wenn ja werde ichs ändern.

Grüße Wessix

 

[ubuntulinux]

ja, das mit 2x - stimmt. Die Anleitung war vorher in meinem Forum, wahrscheinlich ist hier beim C&P etwas schief gelaufen.

 

[Wessix]

Hi, ok hab das geändert.
Könnte sich jemand mit mehr Ahnung wie ich, oder der den Fehler sieht
nochmal das Startscript für automatisches starten anschauen. Bei mir funktioniert es nicht wirklich. Ich muss alerdings Sonntag außer Haus und würde meine DS nur ungern die ganze Zeit laufen lassen.
Kann man das evtl. auch mit so ner |start |stop |restart Funktionalität anpassen.

Vielen Dank im Vorruas

 

[ubuntulinux]

Bei mir sieht das Script so aus:

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward

if ( [ ! -c /dev/net/tun ] ) then

if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

if ( !(lsmod | grep -q "^tun") ); then
insmod /lib/modules/tun.ko
fi

if [ -n "`pidof openvpn`" ]; then
/bin/killall openvpn 2>/dev/null
fi

/opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config openvpn.conf
# [EOF]

gruss ubuntulinux

 

[Wessix]

oh man, da gehören überall doppelstriche hin ok!
ist das wegen der Daemon Option so?

und ich Probier und such schon den Aal


Hoffentlich tuts nun ...

 

[Wessix]

Du hast keine Route eingetragen.

Gib mal folgendes im WebInterface von BitSwitcher unter Administration>Custom Script ein:
route add -net <OpenVPNSubnetz>/24 gw <IPderDS>
OpenVPN Subnetz ist z.B. 10.10.10.0, IP der DS ist z.B. 192.168.2.100

Ich hab den OpenVPN Server auf Port 443 laufen und brauche deshalb gar keine Firewall-Regel (Port Forwarding). Weiterer Vorteil: Wenn Du in Firmennetzwerken, Flughafen oder Internet Cafe bist, ist der Standard OpenVPN Port meist blockiert, 443 aber meist offen.

Poste mal bitte Deine Config-Files, sonst ist das nur Stochern im Nebel

Muss ich denn außer in der openvpn.conf auf dem server :

proto tcp-server
port 443

und auf dem client:

proto tcp
port 443

noch was ändern?

Mit UDP und Port 1194 tuts tadellos, stell ich um nicht mehr

 

[_TokTok_]

UDP und Port 443 tut nicht?

 

[Wessix]

ne irgendwie nicht.
da hab ich aber am router noch eingestellt dass dieser port an die DS weitergeleitet wird wegen https.

 

[_TokTok_]

Poste bitte nochmal die beiden configs, Du hast das proto tcp und proto tcp-server aber schon geändert, oder?

 

[Wessix]

Ja mach ich, leider muss ich mich erst um die verreckte heizung meiner eltern kümmern.
Noch ne frage: könnte ich noch ne 2e opnenvpn.conf z.b. mit dem namen openvpntcp.conf im /opt/etc/openvpn verzeichnis erstellen und einen 2 aufruf in meiner S20openvpn unter /opt/etc/init.d eintragen, sodass ich zur not die udp 1194 verbindung nutzen kann? Ich meine irgendwie sowas gelesen zu haben dass für jede conf ein server erstellt wird
Gruß wessix

 

[_TokTok_]

Das geht schon, dann hast Du quasi zwei Instanzen. Macht das Sinn?

 

[jahlives]

@ubuntulinux
Nie Probleme mit deinem Startscript gehabt? Oder ist das kein automatisches Startscipt? ;-)

 

[ubuntulinux]

Nein läuft alles Liegt in /opt/etc/init.d/