OpenVPN auf der Synology DiskStation

[LordZed]

Hi! Ich habe mir jetzt auch OpenVPN eingerichtet... habe jetzt allerdings ein kleines Problem! Folgender Stand:
- OpenVPN Server läuft
- OpenVPN Client kann sich verbinden
- Client bekommt IP und die Push-Befehle werden auch durchgeführt (ich kann die gepushte Route finden!)

Nun wollte ich über VPN auf meinen Router zuhause zugreifen und habe in den Browser "192.168.1.1" eingegeben. Hier bekommt er keine Antwort. Auch lässt sich die Adresse nicht anpingen. Kann mir vllt. einer helfen wo das Problem liegt?

 

[ubuntulinux]

was sagt ein traceroute?

 

[LordZed]

Das gibt sehr schnell auf:
1 10.8.0.1 (10.8.0.1) 161.685ms 140.648ms 129.872ms
2 * * *
[...]

Was mich hier jetzt wundert: Wenn ich mir die routen anzeigen lasse, dann gehen die als Gateway über "10.8.0.5" obwohl doch "10.8.0.1" der Gateway sein müsste... glaube da ist der Fehler und ich muss nochmal die Konfig anschauen... kann mir einer sagen, wo hier die Konfig nicht stimmt, dass die Routen über 10.8.0.5 gehen?:

port 1194
proto udp
dev tun

ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/server.crt
key /opt/etc/openvpn/easy-rsa/keys/server.key
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
push "redirect-gateway"

keepalive 10 120
comp-lzo

persist-key
persist-tun
status openvpn-status.log

verb 3
daemon

 

[ubuntulinux]

die Route stimmt schon so. Ich geh davon aus dass Du in deinem Router die statische Route nicht angelegt hast. Nach deiner DS kann nix mehr weitergeroutet werden (dein Router bekommt eine Anfrage von 10.8.0.x und weiss nicht wohin, das sagst du ihm mit der statischen Route)

gruss, ubuntulinux

 

[LordZed]

die Route stimmt schon so. Ich geh davon aus dass Du in deinem Router die statische Route nicht angelegt hast. Nach deiner DS kann nix mehr weitergeroutet werden (dein Router bekommt eine Anfrage von 10.8.0.x und weiss nicht wohin, das sagst du ihm mit der statischen Route)

gruss, ubuntulinux

Hm... damit könntest du recht haben... allerdings wüsste ich gerade auch nicht, wie ich in meinem Alice-Router eine statische Route eintragen soll... ist der VPN-Plan nun also für die Katz!? ^^

 

[ubuntulinux]

Zumindest auf die DS kannst Du (mit der IP 10.8.0.1) zugreifen Um welchen Router handelt es sich genau?

gruss, ubuntulinux

 

[LordZed]

Zumindest auf die DS kannst Du (mit der IP 10.8.0.1) zugreifen Um welchen Router handelt es sich genau?

gruss, ubuntulinux

Alice IAD WLAN 3231

Das ich auf die DS komme ist schonmal gut! Jetzt kann ich schonmal die AudioStation sicher mit meinem Android nutzen (da die Android-App leider kein HTTPS kann )

Das mit der Route erklärt auch, wieso ich gerade trotz eingestellter "192.168.x.x" Adresse meiner DS mich mit der AudioStation connecten kann... der weiß halt, wo er mit dem 10.8.x.x hin muss

 

[ubuntulinux]

schau mal hier:
http://192.168.1.1/web.cgi?controller=Network&action=actionIndexNewStaticRoute

Da solltest Du diese anlegen können.

 

[LordZed]

schau mal hier:
http://192.168.1.1/web.cgi?controller=Network&action=actionIndexNewStaticRoute

Da solltest Du diese anlegen können.

Das ist ja der Hammer! Die Seite finde ich so garnicht! Auf meiner "LAN"-Seite vom Router ist oben der Reiter garnicht da... ein Firmware-Fehler? ^^ Oder sind das versteckte Features, die ich irgendwo finden kann!?

 

[ubuntulinux]

Also funktionierts (mit der Route)? Weiss nicht ob das ein Fehler ist, hab das durch google rausgefunden

gruss ubuntulinux

 

[LordZed]

Also funktionierts (mit der Route)?

Leider nein! Das Traceroute spuckt nochimmer das selbe aus! Ich habe die folgende Route eingetragen und den Router auch mal durchgestartet (man weiß ja nie ):

Ziel: 10.8.0.0/24
Next: 192.168.1.101
Interface: br0 (hier konnte ich noch ppp1 auswählen, hat es aber auch nicht getan!)

Es scheint mir, dass das statische Routing nicht funktioniert... wenn ich versuche ein Trace zu meinem über OpenVPN angebundenen Client zu machen komme ich bis zum Router und nicht weiter...

 

[ubuntulinux]

mach mal von einem PC, der nicht im VPN ist, ein traceroute auf 10.8.0.1. Bei mir sieht das etwa so aus:

C:\Users\user>tracert 10.8.0.1

Routenverfolgung zu 10.8.0.1 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  router.lan.***.ch [192.168.5.1]
  2    <1 ms    <1 ms    <1 ms  10.8.0.1

Ablaufverfolgung beendet.

C:\Users\user>

 

[LordZed]

Bei mir so:

Routenverfolgung zu 10.8.0.1 über maximal 30 Abschnitte
  1     5 ms     4 ms     3 ms  alicebox [192.168.1.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.

Ich muss hier morgen weiter machen! Muss jetzt los! Es scheint aber am statischen Routing zu liegen. Wenn ich meinem PC eine statische Route direkt über die DS verpasse, dann funktioniert VNC über VPN nämlich 1A! Das war ja eigentlich das Ziel Und das aufrufen der DS, was es ja auch tut! Klappt also erstmal... werde morgen weiter gucken! Einziger Nachteil wie es jetzt ist: Alle anderen Internetverbindungen tun es nicht, da die getunnelt werden! Lässt sich aber im OpenVPN bestimmt auch umkonfigurieren, dass nur 10.8.0.0 und 192.168.0.0 über VPN gehen! Aber genug für heute! Melde mich morgen wieder

 

[ubuntulinux]

redirect gateway muss raus in der serverconfig wenn Internet weiterhin über die normale Leitung gehen soll. Versuch mal, DS und Router zu rebooten, denke, dann ist das Problem gelöst..

gruss ubunutlinux

 

[Wessix]

Meine Configs

Hi hier nun endlich meine Configs, sorry bin auf Achse
@ TokTok und ubuntulinux
Das mit der 2 Configdatei hatte ich gefragt um Temporär halt doch über udp 1194 zugreifen zu können, da ich diese Woche unterwegs bin und nur Fernzugriff habe. So könnte ich dann darüber udp 443 einrichten:

hier mein openvpn.conf auf dem Server für meine 1194 Verbindung die geht:

port 1194
proto udp
dev tun

ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/server.crt
key /opt/etc/openvpn/easy-rsa/keys/server.key
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client
#Hier die Route des lokalen Netzes eintragen (meist 192.168.0.0 oder 192.168.1.1)
push "route 192.168.2.0 255.255.255.0"
#Hier einen DNS eintragen (zB IP des Routers oder 62.2.24.162 (cablecom dns))
push "dhcp-option DNS 192.168.2.1"
push "redirect-gateway"

keepalive 10 120
comp-lzo

persist-key
persist-tun
status openvpn-status.log

verb 3
daemon

und hier die Client config:

client
dev tun
proto udp
remote abc.dyndns-server.com 1194

resolv-retry infinite
nobind
persist-key
persist-tun

remote-cert-tls server
ca "C:\\programme\\openvpn\\config\\keys\\ca.crt"
cert "C:\\programme\\openvpn\\config\\keys\\client1.crt"
key "C:\\programme\\openvpn\\config\\keys\\client1.key"

comp-lzo
verb 3

so jetzt würde ich das ganze nur noch gerne mit Port 443 hinbekommen.


Grüße Wessix

 

[_TokTok_]

hast du mal die 443 Portweiterleitung vom Router zur DS rausgenommen?

 

[Wessix]

Kommen dann die Leute denn noch auf meine Webseite?
War letzte Woche wie schon gesagt unterwegs.
Gruß Wessix

 

[LordZed]

redirect gateway muss raus in der serverconfig wenn Internet weiterhin über die normale Leitung gehen soll. Versuch mal, DS und Router zu rebooten, denke, dann ist das Problem gelöst..

gruss ubunutlinux

Das entfernen des redirect-gateway Befehls hat schonmal geholfen, so dass ich jetzt wieder trotz aufgebautem VPN ins Internet komme. Schade ist nur, dass die Internetverbindung leider nicht über's VPN getunnelt wird. Trotz eingerichteter Route auf meinem heimischen Alice-Router über die versteckte Seite und mehrfachen Restarts von Router und DS nutzt er die dort eingerichtete Route leider nicht...

 

[jahlives]

Installier doch auf dem OpenVPN-Server eine Proxy Software z.B. squid. Dann kannst du im Browser des Clients als Proxy die VPN-IP deines OpenVPN-Servers angeben und der Internettraffic geht durchs OpenVPN auch wenn du den redirect gateway nicht drin hast

 

[LordZed]

Installier doch auf dem OpenVPN-Server eine Proxy Software z.B. squid. Dann kannst du im Browser des Clients als Proxy die VPN-IP deines OpenVPN-Servers angeben und der Internettraffic geht durchs OpenVPN auch wenn du den redirect gateway nicht drin hast

Bringt leider das Problem mit sich, dass ich anscheinend auf meinem Android nicht so problemlos einen Proxy einrichten kann :-D Ich glaube, dass ich das noch garnicht gesagt hatte, dass mein Client 'nen Android-Phone ist, oder? ^^