OpenVPN-Verbindung

[tobias4511]

Hallo,

ich habe bereits eine OpenVPN-Verbindung zu meiner DS 112 erfolgreich hergestellt mit einem Notebook über mobiles Internet (UMTS).
Nun komme ich nicht auf die freigegebenen Ordner.
Ein Ping an die lokale IP der DS ist auch nicht erfolgreich.
An meiner Fritzbox 7390 habe ich natürlich eine Portweiterleitung des UDP-Portes 1194 zu meiner DS eingerichtet.

Was mache ich falsch???

Grüße

Tobias

 

[fpo4711]

Könntest Du uns vieleicht ein paar mehr Informationen geben. Hast Du das Konfigurationsfile vom "Synology VPN Server" genommen? Mit welchem openVPN-Client greifst Du auf die DS zu. Wie testest Du die Verbindung? Falls Du das jetzt gerade über dein WLAN versuchst könnte das vieleicht schon der Fehler sein, da die wenigsten Router ein "NAT-Loopback" zulassen. Ansonsten hier noch einmal die Schritte bei einer Windows Installation:

1. Install OpenVPN client on Windows
*An OpenVPN client on Windows is called OpenVPN GUI.
*Download it from http://openvpn.net/index.php/open-source/downloads.html and install the client.
*The default installation directory is C:\ProgramFiles\OpenVPN.

2. Run OpenVPN GUI as administrator.

3. Edit openvpn.ovpn and replace YOUR_SERVER_IP with public IP of your DiskStation.
*If your DiskStation is behind a router, replace YOUR_SERVER_IP with the router's IP.
*Remove # before "redirect-gateway" to route all client traffic (including web-traffic) through this VPN Server.

4. Put ca.crt and openvpn.ovpn into the config subdirectory under OpenVPN directory
(ie. C:\Program Files\OpenVPN\config\).

Gruß Frank

 

[tobias4511]

... und wieder hat mir dieses Forum innerhalb kürzester Zeit geholfen!!!! Super Sache!!
Ich hatte nur übersehen, das Doppelkreuz vor "redirect-gateway" in der .ovpn-Datei zu entfernen. Alles andere hatte ich genau nach dieser Anleitung schon gemacht.
Jetzt klappt alles einwandfrei.

Vielen Dank Frank!!

Grüße

Tobias

 

[emerq]

Hallo tobias4511,

ich habe seit einigen Tagen auch ein Synology NAS (DS413) und bin nun auch an dem Thema VPN Verbindung von außerhalb angelangt.
Gestern hatte ich über meine FritzBox die Portweiterleitung für Port 5001 und Port 80 getestet um auf die DSM Zugriff zu erreichen. Funktioniert einwandfrei.

Jetzt bin ich mir nicht ganz sicher ob ich das Thema VPN so richtig verstanden habe.

Ich installiere VPN auf der DS413. Jetzt muss ich in meiner FritzBox neben den aktuellen Portweiterleitungen noch den Port 1194 auf die Diskstation weiterleiten.
Erstelle den OPENVPN wie es hier http://www.synology.de... steht.
Also vergebe z.B. 10.8.0.0
Nach dem ich das gespeichert habe exportiere ich das Zertifikat und muss dann die openvpn.ovpn anpassen.
Und genau hier ist noch meine Frage, muss hier dann die externe IP vom Router rein oder meine DYNDNS Adresse? xxxx.synology.me ?

Weiterhin muss ich dann einfach dieses Zertifikat in einen OPENVPN Client oder eine mobile APP einfügen.
Dann Verbindung aufbauen und Passwort + PW eines Users eingeben.

Verstehe ich das richtig wenn die VPN Verbindung steht, dass ich mich dann im LAN befinde und und somit die Portweiterleitungen sämtlicher Dienste auf der FritzBox unnötig sind?
Ich hoffe du/ihr könnt mir da ein wenig auf die Sprünge helfen

 

[tobias4511]

Hallo, die externe IP des Routers ändert sich i.A. nach einer bestimmten Zeit.
Daher ist es sinnvoll die DYNDNS-Adresse in der ovpn-Datei anzugeben.
Diese wird ja ständig mit der tatsächlichen externen IP des Routers aktualisiert.
Wenn die VPN-Verbindung steht hast Du Zugriff auf alle in deinem lokalen Netzwerk freigegebenen Ordner und kannst Dateioperationen durchführen, als wärst Du über WLAN/LAN mit dem Heimnetz verbunden.
Die anderen Portfreigaben sind natürlich notwendig, falls Du z.B. per FTP Filme streamen willst (FTP nutzt den Port 21, daher muss er auch an die DS weitergeleitet werden), die Audiostation mit deinem iDevice nutzen möchtest oder andere Sachen machen möchtest. Das hat mit VPN nichts zu tun.

Viele Grüße

 

[cyorps]

Ich gehe davon aus, dass dir dein Provider keine statische IP für deinen Anschluß zuweist. Dann musst deine dyndns-Adresse angeben. Damit ist dem openvpn-Client bekannt ist, wie er den Server erreicht, mit dem der den Tunnel aufbauen soll.

Verstehe ich das richtig wenn die VPN Verbindung steht, dass ich mich dann im LAN befinde und und somit die Portweiterleitungen sämtlicher Dienste auf der FritzBox unnötig sind?

Jaein. Denn Du befindest dich bei der Standardkonfiguration mit der aufgebauten Verbindung nicht Lan sondern nur auf der DS selbst. Ja, die Portweiterleitungen für Dienste auf der DS sind in diesem Fall egal, da über diesen Tunnel sich der Client und die DS direkt unterhalten.

 

[emerq]

Erstmal Danke für eure schnellen und guten Antworten

Die anderen Portfreigaben sind natürlich notwendig, falls Du z.B. per FTP Filme streamen willst (FTP nutzt den Port 21, daher muss er auch an die DS weitergeleitet werden), die Audiostation mit deinem iDevice nutzen möchtest oder andere Sachen machen möchtest. Das hat mit VPN nichts zu tun.
Viele Grüße

Ich dachte wenn ich mit dem VPN verbunden direkt auf das NAS verbunden bin kann ich auf alle Dienste (DSM, FTP usw.) zugreifen? (Sofern diese natürlich aktiviert sind)
Weil eben die externe Verbindung komplett durch den Tunnel geroutet wird?
--> *Remove # before "redirect-gateway" to route all client traffic (including web-traffic) through this VPN Server.

 

[goetz]

Hallo,

Ich dachte wenn ich mit dem VPN verbunden direkt auf das NAS verbunden bin kann ich auf alle Dienste (DSM, FTP usw.) zugreifen?

das ist schon richtig so. Wenn niemand anders Zugriff von extern ohne VPN benötigt brauchst Du auch keine weiteren Ports (außer 1194) weiterleiten.

Gruß Götz

 

[emerq]

Wie habt ihr denn das ganze gelöst?

Eigentlich macht es ja Sinn nur den gewünschten Datenverkehr, sprich alles was z.B. auf Port 5001 läuft zur Anmeldung am DSM im LAN daheim durch den Tunnel zu leiten.
Und den Rest, gerade den web-traffic zum surfen einfach direkt ohne den Umweg über den heimischen Router zu gehen.
Aber das scheint ja nicht zu funktionieren. Sobald der VPN verbunden ist läuft alles über den VPN aufs LAN und dann über den Router raus.

Denn da wäre bei mir der Flaschenhals mit nur ~500-600 kbit/s Upload und knapp 2000kbit/s Download...

 

[tobias4511]

Ja, wenn man über VPN verbunden ist, hat man auf alle aktivierten Dienste Zugriff. Wenn man aber z.B. DS-File oder DS-Audio nutzen möchte, muss man eben die entsprechenden Ports weiterleiten (es seit denn man nutzt dafür das langsamere Quickconnect).

 

[cyorps]

Jetzt bin ich verwundert. Hast du diesen Tunnel schon in Betrieb? Denn meiner Erinnerung nach, sah die Standardkonfiguration des OVPN über dieses Synology-Paket so aus, dass nur die DS selbst angesprochen wird und der OVPN-Server NICHT als Gateway fungiert. Wenn das jetzt anders sein sollte, musst du wohl Openvpn über ipkg installieren, konfigurieren und nutzen.

 

[goetz]

Hallo,

Wenn man aber z.B. DS-File oder DS-Audio nutzen möchte, muss man eben die entsprechenden Ports weiterleiten

wenn das mobile Gerät auch OpenVPN kann trägt man bei DS-Audio und Konsorten die lokale IP der DS ein, kein offener Port nötig.

Gruß Götz

PS: wenn man den Punkt "*Remove # before "redirect-gateway" to route all client traffic (including web-traffic) through this VPN Server." weg läßt sollte der normale Internetverkehr nicht über den heimischen Router laufen

 

[tobias4511]

Leider kann das iPhone/iPad kein OpenVPN, jedenfalls nicht ohne Jailbreak/Cydia. somit müssen in diesem Fall die entsprechenden Ports weitergeleitet werden.

 

[fpo4711]

Hallo,
scheinbar reden hier einige aneinander vorbei, weshalb ich mal versuchen will etwas Licht ins Dunkel zu bringen. Die Standardkonfiguration von Synology/ VPN-Server/ openVPN sieht vor, das einfach das Standard Gateway auf den VPN-Tunnel gelegt wird. Dies geschieht mit dem Befehl

redirect-gateway

in dem clientseitigen Configfile "openvpn.conf".

Somit werden dann alle nicht zum eigenen Subnetz gehörenden Pakete durch den Tunnel geleitet. Dies ist die schnellste und einfachste Lösung. Aktiviere ich diese Möglichkeit nicht, kann ich zwar einen Tunnel aufbauen, kann aber damit nichts anfangen da der gesamte Netzwerkverkehr weiterhin über mein Standard-Gateway abgewickelt wird. Somit ist also auch die entfernt verbundene DS (noch) nicht zu erreichen. Es werden ja die Pakete welche an diese gehen sollen über mein Standard-Gateway geschickt.

Um jetzt meinen gesamten Netzverkehr weiterhin über das Standard-Gateway zu schicken und nur das Subnetz der entfernten DS zu erreichen muß ich eine Route definieren. Zuerst den oben genannten redirect auskommentieren. Dies geschieht entweder in der clientseitigen openvpn.conf mit dem Befehl (muß natürlich an eure IP's angepaßt werden):

route 192.168.0.0 255.255.255.0

oder aber in dem serverseitigen Script "server.conf" mit

push "route 192.168.0.0. 255.255.255.0"

Soll nun auch in das dahinter liegende Netz geroutet werden sind zusätzlich Definitionen mit "iroute" nötig. Eine weitere Installation über IPKG ist hier nicht nötig, sondern nur gegebenenfalls das Anpassen der server.conf.

Gruß Frank

 

[emerq]

@ cyorps

Nein ich habe den Tunnel noch nicht aktiv, bisher ist nur der VPNServer auf der DS413 installiert.
Ich werde den Traffic also komplett über den Tunnel laufen lassen wie es in der Readme eben steht --> "*Remove # before "redirect-gateway" to route all client traffic (including web-traffic) through this VPN Server."

Alles andere ist mir alles ein wenig zu aufwendig. Gerade aktuell da ich mich ja erst in das Thema einarbeite.

Beim Thema DS File, Photo & Co muss ich mir erst überlegen ob ich den externen Zugriff überhaupt benötige.
Wenn ja werde ich es wie schon von tobias4511 in Post#13 erwähnt über die Ports freischalten und den OPENVPN auslassen.

 

[emerq]

So, ich hatte gestern noch kurz Zeit mal den VPN über mein Netbook und einem UMTS Stick zu testen.
Habe das Zertifikat eingespielt und die openvpn Datei mit meiner Router Adresse angepasst.

Das "#" vor redirect-gateway habe ich bei den verschiedenen Versuchen einmal stehen lassen und eben auch mal gelöscht.

Die Verbindung kommt laut OPENVPN Programm zustande und wir aktiv gekennzeichnet.
Eine 10.8.0.x Adresse bekommt das Netbook auch. Aber leider hakt es wohl am Gateway. Ich kann nichts pingen was hier im LAN ist.

Das hier kommt dann mehrmals in der Log/Status Anzeige von OPENVPN
Der angeforderte Vorgang erfordert erh”hte Rechte.
Tue Dec 11 22:20:58 2012 ERROR: Windows route add command failed [adaptive]: returned error code 1
Tue Dec 11 22:20:58 2012 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert [status=5 if_index=18]
Der angeforderte Vorgang erfordert erh”hte Rechte.
Tue Dec 11 22:20:58 2012 ERROR: Windows route add command failed [adaptive]: returned error code 1
Tue Dec 11 22:20:58 2012 Initialization Sequence Completed


Edit#1: Windows Firewall ist deaktiviert.
Edit#2: Könnte wohl daran liegen, dass ich den openvpn client nicht explizit mit "run as administrator" laufen lasse.

 

[joku]

Könnte wohl daran liegen, dass ich den openvpn client nicht explizit mit "run as administrator" laufen lasse.

Hallo, als Administrator ausführen, das solltest Du schon machen Gruß Jo

 

[emerq]

Ich habe es nun als Admin laufen lassen.
Bin nun einen Schritt weiter, leider aber nicht am Ziel.

Wed Dec 12 19:30:21 2012 WARNING: potential route subnet conflict between local LAN [10.8.0.4/255.255.255.252] and remote VPN [10.8.0.0/255.255.255.0]
Wed Dec 12 19:30:21 2012 Initialization Sequence Completed

Ich habe dann ein wenig über diese Meldung gelesen werde jedoch nicht wirklich schlau.
Habe es zum Test mal nach einem anderen Beitrag geändert. Und zwar auf dem VPNServer auf der DS413 die IP auf 192.168.100.0 geändert.
Meine Diskstation ist im Standard Netz der FritzBox 192.168.178.x

Wed Dec 12 19:51:57 2012 WARNING: potential route subnet conflict between local LAN [192.168.100.4/255.255.255.252] and remote VPN [192.168.100.0/255.255.255.0]
Wed Dec 12 19:51:57 2012 Initialization Sequence Completed

PS: Alle Versuche über UMTS Stick von Vodafone und ebenfalls zum Test über mein WLAN.

 

[joku]

Alle Versuche über UMTS Stick von Vodafone und ebenfalls zum Test über mein WLAN.

Hallo, funktionierts es den über wlan ? Gruß Jo

 

[emerq]

Nein, gestern lief es auch nicht per WLAN.
Ist mir leider ein Rätsel.
Ich baue doch die Portweiterleitung über Port 1194 der FritzBox (192.168.178.1) direkt zur Diskstation auf.
In der VPNServer Konfiguration trage ich dann eine IP für den VPN Bereich ein, am einfachsten genau die die er vorgibt dachte ich Also 10.8.0.0
Nach meiner Suche über Google gestern habe ich dann wie ihr oben in Post #18 sehen könnt auch mal 192.168.100.x versucht als VPN Bereich.

Und jetzt scheint es doch genau da irgendwo zu hängen. Die Diskstation bzw die VPN Software darauf "findet" kein Gateway ( in dem Fall meine FritzBox, oder ist da nochmal ein anderes Gateway was das Routing zwichen VPN und LAN macht?!)