OpenVPN Weboberfläche der Diskstation nicht erreichbar

[lumprich]

Hallo Zusammen,

ich habe hier eine Synology DS 414+ mit der aktuellen DSM 5.2. Auf der Diskstation habe ich mir den VPN-Server (OpenVPN) eingerichtet und einen separaten User erstellt. Die VPN Verbindung habe ich über ein Laptop (Linux) hergestellt wobei ich ein Tablet als Hotspot nutze, um eine andere öffentliche IP zu erhalten.
Die VPN-Verbindung kann ich aufbauen (sehe ich in den Logs der DS). Das Pingen auf die vom Server vergebene IP 10.8.0.6 sowie auf die IP der DS im LAN 192.168.20.98 funktionieren.

Ich benötige die VPN-Verbindung nur zu Fernwartungszwecken, um auf die Weboberfläche der DS zuzugreifen. Leider endet der Versuch mit einem Time Out. Ich komme also nicht auf die Weboberflache um mich dort dann als Admin anzumelden.Der separate User ist nicht Mitglied in der Administratorgruppe.

Hier mal die OpenVPN-Config.

Anhang anzeigen openvpn.txt

Hat jemand eine Idee, woran es liegen könnte?

Vielen Dank

Mike

 

[godlaya]

Hallo,

funktioniert der Zugriff auf die Webgui aus dem internen Netzwerk?

Hast Du unter Systemsteuerung -> Sicherheit -> Firewall die Webdienste freigegeben? (Verwaltungsprogrammoberfläche Port 5000)

Hast Du dem Internet-Router vor der Synology eine Portweiterleitung eingetragen? (Port 5000)

Gibst du beim Öffnen der Verwaltungsoberfläche den Port am Schluss der URL mit an? (http://xyz.abc.xx:5000)

vg, Kai

 

[lumprich]

Hallo Kai,

der Zugriff auf die Webgui funktioniert im internen Netzwerk mit der der Eingabe der URL http://192.168.20.98:5000 problemlos. Wobei dann auf den Port 5001 (https) durch die DS weitergeleitet wird.
Der Port 5000 ist in der Firewall der DS freigeschaltet. Versuchsweise habe ich die Firewall auch mal abgeschaltet (alle Zugriffe erlauben -> wenn keine Regel zutrifft).
Im Router habe ich nur den Port 1194 UDP auf die DS weitergeleitet. Wenn ich den Port 5000( TCP oder UDP ?) auf die DS weiterleite, ist der Datenverkehr dann noch durch den Tunnel gesichert oder übertrage ich dann nicht unverschlüsselt?

Mike

 

[godlaya]

Hey Mike,

1194 ist für OpenVPN UDP.

Du musst wenn ein Redirect von 5000 zu 5001 eingetragen ist, diese beiden (5000 TCP und 5001 TCP) jeweils als Portforwarding in deinem Router zur DS eintragen.

Zudem bitte 5000 und 5001 in der DS FW freigeben.

Unterschied zwischen TCP und UDP ist eine Fehlertoleranz für IP-Pakete, UDP hat keine

vg, Kai

 

[lumprich]

Hallo Kai,

dann werde ich die Ports mal noch öffnen.
Die Kommunikation ist aber weiterhin geschützt durch den Tunnel, wenn die Ports geöffnet sind?

Mike

 

[godlaya]

Hey,

nein, wenn Du die Ports am Router öffnest, sind diese offen.

Wenn Du Dich mit VPN auf die DS schaltest, kannst Du diese über Ihre interne IP erreichen oder etwas im internen Netzwerk machen.

Ich hatte eben einen Denkfehler.

Generell sollte Port 1194 UDP reichen, wenn Du Dich per VPN aufschaltest, kannst Du die DS über Ihre interne IP erreichen. Auf der DS muss aber 5000 und 5001 freigegeben sein.

DU ----> internet (VPN) ------> DS (interne IP z.B. 192.168.50.25)

Anschließend kannst Du wenn VPN steht, die DS über http://192.168.50.25:5000 oder https://192.168.50.25:5001 erreichen.

! Also nur 1194 UDP (OpenVPN) auf dem Router und sonst nix öffnen.

vg, Kai

 

[fpo4711]

Hallo,

Du musst wenn ein Redirect von 5000 zu 5001 eingetragen ist, diese beiden (5000 TCP und 5001 TCP) jeweils als Portforwarding in deinem Router zur DS eintragen.

Ich sags mit Verlaub mal ganz klar. Was befähigt dich eigentlich einen solchen Blödsinn von dir zu geben? Wenn wie vom TE vorgesehen per OpenVPN auf die DS zu Fernwartungszwecken zugegriffen werden soll, dann ist einzig und allein nur eine einzige Portweiterleitung nötig. Nämlich UDP 1194. Mehr nicht! Alles andere würde die VPN-Lösung ad absudrum führen.

Die DS sollte nach erfolgreichem Aufbau der VPN-Verbindung unter ihrer lokalen IP (sofern im VPN-Server Zugriff auf Server-LAN aktiviert ist) ansprechbar sein. Also beispielsweise

http://192.168.20.98:5000

oder alternativ je nach Konfiguration die Variante per https

https://192.168.20.98:5001

Wenn dem nicht so ist, hat das sicherlich andere Hintergründe. Zur Sicherheit möchte ich mal ein paar Sachen abklopfen. Du testest wirklich den Zugriff von extern? WLAN im heimischen Netz ist nicht extern. Du befindest dich in einem anderen Subnetz? Für VPN auf der DS gilt Subnetz-Client ungleich Subnetz-Tunnel (Dynamische IP bei Synology genannt) ungleich Subnetz-Server.

Und zu guter Letzt noch. Eventuell irgendwelche Sicherheitssoftware am Start die vieleicht den Zugriff auf die DS blockieren könnte oder aber ein Adresskonflikt das Du vielleicht ein ganz anderes Gerät zwar pingst aber dieses dann natürlich keine Weboberfläche hat. Sprich also auch gar nicht die DS ist.

Gruß Frank

 

[godlaya]

Hey Frank,

nur die Ruhe, ich hatte ja geschrieben, dass ich einen Denkfehler hatte, und anschließend das richtige gepostet.

vg, Kai

 

[fpo4711]

Da haben sich die Beiträge überschnitten konnte deine Korrektur noch nicht lesen. Aber bei solchen Aussagen reagiere ich einfach alergisch weil hiermit unbedarfte Anwender ins Unglück getrieben werden.

Gruß Frank

 

[godlaya]

Hallo Frank,

verständlich ... kann Dir auch nicht sagen wo sich mein Hirn gerade befand ;-)

vg, Kai

 

[lumprich]

Hallo,



Ich sags mit Verlaub mal ganz klar. Was befähigt dich eigentlich einen solchen Blödsinn von dir zu geben? Wenn wie vom TE vorgesehen per OpenVPN auf die DS zu Fernwartungszwecken zugegriffen werden soll, dann ist einzig und allein nur eine einzige Portweiterleitung nötig. Nämlich UDP 1194. Mehr nicht! Alles andere würde die VPN-Lösung ad absudrum führen.

Die DS sollte nach erfolgreichem Aufbau der VPN-Verbindung unter ihrer lokalen IP (sofern im VPN-Server Zugriff auf Server-LAN aktiviert ist) ansprechbar sein. Also beispielsweise

http://192.168.20.98:5000

oder alternativ je nach Konfiguration die Variante per https

https://192.168.20.98:5001

Wenn dem nicht so ist, hat das sicherlich andere Hintergründe. Zur Sicherheit möchte ich mal ein paar Sachen abklopfen. Du testest wirklich den Zugriff von extern? WLAN im heimischen Netz ist nicht extern. Du befindest dich in einem anderen Subnetz? Für VPN auf der DS gilt Subnetz-Client ungleich Subnetz-Tunnel (Dynamische IP bei Synology genannt) ungleich Subnetz-Server.

Und zu guter Letzt noch. Eventuell irgendwelche Sicherheitssoftware am Start die vieleicht den Zugriff auf die DS blockieren könnte oder aber ein Adresskonflikt das Du vielleicht ein ganz anderes Gerät zwar pingst aber dieses dann natürlich keine Weboberfläche hat. Sprich also auch gar nicht die DS ist.

Gruß Frank

Hallo Frank,

ich habe jetzt das ganze Szenario noch einmal durchgespielt. Auf meinem Laptop (Linux) habe ich die VPN-Verbindung eingerichtet. Das Laptop geht über ein Tablet, was einen WLAN Hotspot (Zugang D1 Congstar) bereitstellt, in das Internet. Somit habe ich ein komplett anderes Netz. Die VPN-Verbindung kann ich aufbauen, kontrolliert habe ich das Ganze am PC -> DSM -> Verbindungsprotokoll VPN-Server.
Die DS kann ich vom Laptop aus anpingen, das funktioniert. Bei der Eingabe der URL http://192.168.20.98:5000 passiert nichts (Warten auf.....).
Der Haken bei "Clients den Server-LAN-Zugriff erlauben" ist gesetzt

Versuchsweise habe ich mal die Adresse meines VDR vom Laptop aus aufgerufen, dabei wird ein Teil der Benutzeroberfläche geladen und dann geht es nicht weiter. Ich könnte mir vorstellen, das der Provider vielleicht etwas unterbindet. In den nächsten Tagen will ich ganze Sache mal von einem richtigen Internetanschluß testen.

Meine Netzwerkkonfiguration sieht wie folgt aus:

DSL -> Telekom Hybridrouter -> Vigor Router -> LAN mit DS IP 192.168.20.98
LTE

Der Telekomrouter kombiniert meine DSL-Leitung mit einer LTE-Leitung (SIM im Gerät), die bei Bedarf zugeschaltet wird. Der WAN -Anschluß der Vigors hängt an einem LAN-Anschluß des Telekomrouters. Die Routerkaskade nutze ich, da ich früher nur ein DSL-Modem hatte und der Vigor bedeutend mehr kann als der Telekomrouter. Auf beiden Geräten ist eine Portweiterleitung eingestellt (1194 UDP Telekomr.->Vigor->DS).

Irgendwelche Sicherheitssoftware habe ich nicht intstalliert und einen Adresskonflikt kann ich ausschließen, da die IP im LAN funktioniert.

Solltest du noch Angaben benötigen, gib bescheid.

Gruß Mike

 

[heavy]

Hallo Mike wenn du so eine Konfig (router Kaskade) hast und auch noch openVPN verwendest, was konfigmäßig auch nicht gerade einfach ist, versuche doch erstmal eine verbindung über PPTP aufzubauen, denn dort ist der interne zugriff standard mäßig aktiv und wird auch von allen endgeräten unterstütz. Und wenn das geht, dann kannst du ja auf openVPN wechseln, du weißt aber dass es prinzipiell bei richtiger konfig geht.

 

[lumprich]

Hallo Zusammen,

das Problem mit der DS und Open-VPN ist gelöst. User heavy hatte den richtigen Richer. Das Problem ist meine Routerkaskade. Dort wo die DS später einmal steht, gibt es nur einen Router.

Was mich noch interessieren würde, gibt es eine Möglichkeit die Verschlüsselung zu erhöhen? Soweit ich gelesen habe, nutzt der Openvpn-Server eine 1024bit Verschlüsselung. Ein Schlüssel mit 2048bit oder 4096bit Länge wäre sicherlich auf Dauer besser. Ich hoffe, ich bringe hier nichts durcheinander.

Vielen Dank an Alle
Mike