Synology: OpenVPN und Routing möglich?

snas · 27. Mrz 2015

Hallo Zusammen

Ist folgende Einrichtung mit einem Synology NAS bzw. OpenVPN möglich?

Ich möchte an einer Aussenstelle einen Synology NAS Server betreiben und das dortige Netzwerk über VPN administrieren. Dafür möchte ich den VPN Server bei mir installieren und der NAS Server (von aussen) soll ich als VPN Client auf den Server verbinden. Nun müsste der OpenVPN Client aber auch als Netzwerkrouter auftreten können damit: 1. Anfragen von meinem Netzwerk, an andere Geräte im Aussennetzwerk, über den NAS geroutet werden und 2. die anderen Geräte im Aussennetzwerk, mein Netzwerk über den NAS erreichen (statische Route).

Ich habe mich mit OpenVPN noch nicht speziell auseinander gesetzt, denke aber dass es sehr umfangreich ist. Deshalb ist es mir als erstes in den Sinn gekommen.

Danke.

Gruss,
snas

Anzeige · 27. Mrz 2015

Hallo snas,

Bücher und Hardware zum Thema gibt es bei Amazon: Synology: OpenVPN und Routing möglich?

ottosykora · 28. Mrz 2015

warum nicht den VPN Server auf der DS installieren und es dann von aussen mit VPN Clienten anrufen? So machen es zumindest meisten Leute.

snas · 28. Mrz 2015

Weil weitere Aussenstellen folgen könnten, und von der Logig her möchte man nicht mehrere VPN Server. Im grunde müsste ja beim NAS (Linux) das routing aktiviert bzw. das weiter routen zugelassen werden?!

ottosykora · 28. Mrz 2015

sicher geht es, die Clients müssen natürlich die Verbindung bei dem Server aktiv anfordern. Routing kann man setzen in der Config.

ich bin nicht sicher ob du vielleicht statt eines normalen Server Client VPN ein Bridge willst.

mezzopiano · 02. Apr 2015

snas schrieb:
Ich möchte an einer Aussenstelle einen Synology NAS Server betreiben und das dortige Netzwerk über VPN administrieren.

Eine VPN-Verbindung wird doch in der Regel genutzt, um Daten zwischen dem VPN-Server und den VPN-Clients auszutauschen. Du kommst meines Wissens nach damit also nur an freigegebene Ordner oder Laufwerke. Zum Administrieren brauche ich aber eine Konsole oder eine GUI. Ich erledige das immer per Web-Zugriff auf die DS.

Wie ottosykora schon zutreffend gesagt hat: "warum nicht den VPN Server auf der DS installieren und es dann von aussen mit VPN Clienten anrufen? So machen es zumindest meisten Leute."

Das möchte ich gleich mit einer Frage an die Foren-Experten verbinden: kann ich Konsole oder GUI per VPN erreichen?

dsmynas · 10. Apr 2015

mezzopiano schrieb:
... kann ich Konsole oder GUI per VPN erreichen?

VPN ist ein Virtuelles Privates Netzwerk - zwischen dem VPN-Klient und dem VPN-Server wird also ein sogenannter Tunnel aufgebaut, vorzugsweise verschlüsselt ... das heißt: Dein VPN-Klient, der sich mit dem VPN-Server in einem lokalen Netzwerk, von einem externen Netzwerk aus verbindet, wird virtuell in das lokale Netzwerk gestellt und kann dort alles das machen, was er auch real in dem lokalen Netzwerk machen darf. Dies würde auch die Shell und DSM betreffen, wenn diese lokal freigeben sind. Der große Vorteil ist eben, das a) nur ein Port für die VPN-Verbindung geöffnet werden muss, anstatt mehrerer Ports für mögliche Dienste und b) die Verbindung, sofern mit starken Passwörtern, Zertifikaten und/oder Algorithmen verschlüsselt, weniger Angriffsfläche bietet.

Kombinationen gehen natürlich auch, z.B. kann man die Ports 25, 143, 465, 587, 993, 995 (MailServer) und 80, 443 (WebServer) direkt vom Internet aus verfügbar machen, die Ports 22 (SSH), 5000-5001 (DSM) nur über den VPN-Tunnel zulassen. Somit hätte jeder Zugriff zu den öffentlichen Diensten, aber nur derjenige der einen VPN-Tunnel öffnen kann, hat Zugriff auf die Verwaltung der DS.

Gruß,

dsmynas