OpenVPN Konfiguration

[belfour]

Mein Setup sieht folgendermaßen aus:

Internet:
+Modem
+Airport Extreme
+Airport Express (Erweiterung WLAN)

Clients:
+Windows
+Mac Os
+iOS

Syno:
+DS 712+



Ich habe es geschafft das OpenVPN auf dem Server läuft und sich mein Iphone mit diesem verbindet.
Jetzt habe ich noch ein paar fragen zwecks Port´s und Konfiguration. Der Sinn von OpenVPN ist ja klar,
die Sicherheit von außen mit deinem Netzwerk/Server zu "spielen". Somit will ich möglichst so viele Türen
schließen wie möglich. Was aber zumindest bei meinem Router nicht möglich scheint, da das sperren von port´s
nicht vorgesehen ist. Im Internet habe ich dazu gelesen, das man dennoch ganz beruhigt sein kann, da nur Port´s
angreifbar wären die geöffnet sind. Ob das so ist, ich weiß es nicht. Vielleicht kann einer von euch mich dahingehend
ja aufklären/beruhigen.

Als nächstes wären dann meine vorhandenen Portweiterleitungen. Da ich einen eigenen Teamspeak Server über DDNS auf der Syno
habe, wollte ich wissen ob es möglich ist auch diesen von außen nur über OpenVPN zu erreichen. Klingt vielleicht paranoid, aber auch
hier sind ja nunmal Türen geöffnet, die meinen Server unter Umständen "Angreifbar" machen können. Ehrlich gesagt weiß ich nicht ob
das überhaupt mit jedem Port möglich ist. Aber vielleicht könnt ihr mich ja auch eines besseren belehren und sagt "Du musst nicht jeden
Port Foward killen".

Dann benutze ich natürlich die Synology eigenen Dienste wie DS-File usw. Diese laufen ja über QuickConnect, so das ich auch aus dem
UMTS Netz einfach nur meine Daten eingebe und schon bin ich drauf. Genauso wie ein Plex Server, wobei das eher weniger Priorität hat.
All das, soll nur noch über OpenVPN erreichbar sein. Und da ist mein Problem. Wie und was stelle ich da ein?

Ich bin über jede Hilfe dankbar!

Mfg

 

[jahlives]

leite einfach nur den OpenVPN Port am Router weiter und alle Dienste sind von aussen nur via OpenVPN erreichbar.
Es ist nie der Port selber angreifbar, sondern immer nur die Applikation dahinter.

 

[belfour]

Das klappt leider nicht, weder bei TS noch bei den DS-Diensten. Ist es denn generell so das bei dem Ovpn port alle anderen offen sind oder kann ich ihm sagen welche Dienste/Ports durch Ihn durch laufen?

 

[jahlives]

openvpn ist nur ein Port. Wenn eine ovpn Anfrage kommt, dass ist das für den Router IMMER UDP/TCP Port 1194. Erst der OpenVPN Server dahinter erkennt den inneren Request (z.B. http oder samba oder Teamspeak). Für den Router ist das alles dasselbe. Wenn du bestimmte dienste auch via openvpn nicht erreichbar haben willst, dann wirst du dich an die Firewall auf dem ovpn Server machen müssen. Denn nur der Server erkennt wie gesagt was für ein Request das überhaupt ist. Da hat der Router keine Chance

 

[belfour]

Ok. Aber dann scheint etwas mit meiner OpenVPN einstellung nicht zu stimmen. Ich kann mich zwar nach mit der Iphone app verbinden, aber über Tunnelblick funktioniert es nicht.

 

[belfour]

Also nachdem ich die .ovpn datei bearbeitet habe kann ich mich dank meines Gästenetzwerks, was einen anderen ip-adressbereich verwendet als mein normales wlan, auch per Tunnelblick verbinden. Ich kann auch auf per browser auf den DSM zugreifen, allerdings nur wenn ich die NAS-IP eingebe (was ja normal ist im eingenen Lan. Wenn ich allerdings meine DDNS Adresse eingebe, verbindet er sich nicht, obwohl soweit ich weiß alles richtig eingestellt ist. Erst wenn ich im Router den port 5001
auf die IP des NAS umleite, kann ich per DDNS drauf zugreifen. Ist allerdings nicht der Sinn der Sache mit OpenVPN. Du sagst ja der OpenVPN Server erkennt den Bedarf, kann es sein das ich da vielleicht noch was einstellen muss?

 

[fpo4711]

Das Verhalten ist völlig korrekt. Wenn Du die VPN-Verbindung hergestellt hast must Du deine DS mit der lokalen IP ansprechen. Portweiterleitung auf die DS muß nur UDP 1194 vorhanden sein.

Gruß Frank

 

[belfour]

ok. Vielleicht kommen wir der Sache schon näher. Ich habe jetzt noch mal die openvpn.ovpn datei bearbeitet. Wenn ich die Datei mit der Lokalen Ip meines NAS abspeicher, kann ich mir nur verbinden wenn ich in dem WLan mit dem gleichen IP Adressbereich bin. Speichere ich die datei allerings mit blabla.synology.me ab, kann ich mich nur im Gästenetzwerk verbinden welches einen anderen IP bereich hat. Für mich ist das Gästenetzwerk interessant um rauszufinden ob ich mich von "außen" verbinden kann. Habe ich da ne fehlerhafte Denkweise? Was ist denn jetzt richtig, die IP oder blabla.synology.me eintragen?

 

[belfour]

Hab mich jetzt noch mal ein wenig durchgelesen, vor allem zwecks der openvpn.ovpn datei. Also es muss definitiv "remote xxxxx.synology.me 1194" statt einer ip eingetragen werden. Im Router ist der 1194 weitergeleitet. Habe dieses mal mein iphone als modem genommen. Tunnelblick verbindet sich wunderbar. Kann im Netz surfen, dennoch schaffe ich es nicht auf die DSM oberfläche zu kommen. Weder mit der NAS Ip oder mit xxxxx.synology.me:5001 (https ist aktiviert).

 

[fpo4711]

Nein nicht in der openvpn die lokale IP eingeben. Sondern wie gehabt gehört da dein ...sysnology.me rein. Nur wenn Du also Dienste oder Freigaben oder auch Geräte im VPN-Server-Subnetz ansprechen willst mußt Du das mit den lokalen IP's machen.

Gruß Frank

 

[fpo4711]

Mal als Beispiel, wenn deine DS die loake IP 192.168.0.10 hätte, dann wäre der Zugriff auf die DSM-Oberfläche mit https://192.168.0.10:5001

Gruß Frank

 

[belfour]

Mal als Beispiel, wenn deine DS die loake IP 192.168.0.10 hätte, dann wäre der Zugriff auf die DSM-Oberfläche mit https://192.168.0.10:5001

Gruß Frank

Das klappt allerdings nur wenn in der Datei die ip meiner DS in die Datei eingebe. Und damit habe ich dann nur Zugriff aus meinem eigenen WLAN/Lan. a) in meinem eigenen WLAN brauche ich doch keine Sicherheit, denke ich mir zumindest und b) das bringt mir aber nicht viel wenn ich mich von außen anmelden will. Denn das klappt leider nicht. Zumindest nicht im gästenetzwerk oder UMTS. In den beiden Fällen muss ich nämlich xxxx.synology.me in die Datei eintragen. Klappt auch wunderbar, bis auf das ich nicht auf die DSM komme. Egal ob ich es mit der ip probiere, oder xxx.synology.me:5001 eingebe.

 

[fpo4711]

Nochmal - In die openvpn.conf gehört dein ...synology.me !!!

1.) Wenn Du jetzt von ausserhalb auf die DS zugreifen willst dann VPN-Verbindung aufbauen und dann mit der lokalen IP auf die DS zugreifen. wie in #11 beschrieben.

2.) Bist Du im lokalen Netz dann KEINE Verbindung aufbauen und wie gehabt mit der lokalen IP auf die DS zugreifen.

Somit funktioniert dann der Zugriff gleichermaßen von innen wie aussen nur das Du von aussen eben vorher deine VPN-Verbindung aufbauen mußt.

Wenn Punkt 1.) mit der lokalen IP nicht funktioniert hast Du wahrscheinlich deinen OpenVPN-Client nicht als Administrator ausgeführt, denn dieser setzt automatisch die Routen in das Servernetz. Hilfe gibt hier auch das Log von OpenVPN.

Gruß Frank

 

[belfour]

Jetzt läuft es. Lag wohl an den Admin rechten. Also auf die DSM Oberfläche komme ich drauf. Allerdings scheint DSFile (iphone) Probleme zu machen. Bin ich in meinem LAN klappt das einloggen über meine lokale ip. Über vpn klappt es nicht. Muss ich da was spezielles einstellen?

 

[fpo4711]

Du bist Dir sicher das Du eine funktionsfähige OpenVPN-Verbindung mit deinem iPhone hast. Das ist nämlich im Augenblick nur mit erheblich Arbeit verbunden. Im Zweifelsfall mal das Kreuz vor #redirect-gateway in der openvpn.conf entfernen.

Ansonsten werde ich das mal die nächsten Tage prüfen. Wollte das sowieso mal auf dem iPad umsetzen und habe das Warten auf 1.02 für iOS satt. Gerne geb ich Dir Bescheid. Aber ich denke mal das sollte kein Problem von OpenVPN sein. Bei DSFile läuft eigentlich alles über WebDAV und da ist mir bis jetzt kein Problem bekannt.

Gruß Frank

Edit: Mir fällt noch was ein. Im LAN kannst Du den Namen deiner DS verwenden, per VPN nur die IP. Namensauflösung sollte nicht funktionieren wenn Du nicht eine spezielle Konfiguration hast.

 

[belfour]

Leider hat das auch keinen Erfolg gebracht.
Die Anleitung zur erstellung einer iOS.ovpn habe ich aus dem "Gute Nachrichten für alle iOS und Android Nutzer, die OpenVPN nutzen wollen?" topic

remote mein.server.de 1194
client
dev tun
script-security 3
proto udp
resolv-retry infinite
nobind
auth-user-pass
cipher AES-128-CBC
comp-lzo
pkcs12 client_iphone.p12
reneg-sec 3600
pull

auch das habe ich so übernommen.

Auf deine Ergebnisse mit dem Ipad bin ich auf jeden fall gespannt!

 

[fpo4711]

Ich hab das am laufen und der Zugriff per lokaler IP funktioniert erwartungsgemäß. Allerdings sieht meine iOS.ovpn völlig anders aus. Hier mal die komprimierte Version:

dev tun
tls-client
remote deine.ddns.com 1194
pull
proto udp
script-security 2
comp-lzo
reneg-sec 8640000
auth-user-pass
setenv CLIENT_CERT 0

<ca>
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
.....
-----END RSA PRIVATE KEY-----
</key>

Gruß Frank

 

[belfour]

Funktioniert perfekt! Danke Das einzige was jetzt noch nicht so wirklich passt, die openvpn App vom iphone connected sich nach dem standby nicht und muss eben Manuel gemacht werden. Vielleicht liegt es ja an der iOS 7 Beta.

 

[fpo4711]

Funktioniert perfekt! Danke Das einzige was jetzt noch nicht so wirklich passt, die openvpn App vom iphone connected sich nach dem standby nicht und muss eben Manuel gemacht werden. Vielleicht liegt es ja an der iOS 7 Beta.

Das lese ich gern. Bei iOS7 muß ich leider passen, nutze mein iPad produktiv. Da fehlt mir wohl noch ein Spielzeug Aber es scheint in der Tat unter iOS 6 nicht so zu sein.

Gruß Frank