Über VPN am Mac auf den NAS zugreifen

[fpo4711]

hat niemand eine Idee??

Vermutlich ist es der Klassiker. Bei VPN auf der DS gilt

Subnetz Quelle ungleich Subnetz Tunnel ungleich Subnetz Ziel.

Wenn Du es zu Haus probierst ist dein Mac sowie dein VPN-Server im gleichen Subnetz was dann scheitern muß.

Gruß Frank

 

[klosoma]

Hallo Fred,

danke für Deine Rückmeldung!

Wie bereits kurz beschrieben, die VPN Verbindung funktioniert, ich vermute es liegt an dem Routing, aber irgendwie stehe ich auf dem Schlauch:-(

Meine Konfiguration:

DyskStation: 192.168.4.137:5000

VPN IP-Bereich: 10.0.0.0 - 10.0.0.255 (genau wie von "So3r3n" beschrieben)

Ich habe folgendes probiert:

(1) Öffnen Sie „Terminal“ und führen Sie den folgenden Befehl aus:
> ifconfig –a
(2) Sie sehen nun die Netzwerkverbindungen. Unter „pppX“ wird u.a. das VPN aufgeführt, inklusive den
dort definierten Gateway-Einstellungen um eine Verbindung durch das VPN zu leiten. Um nun auch
die normalen Netzwerkschnittstellen auf das VPN-Gateway zu leiten, geben Sie folgenden Befehl ein:
> sudo route add –net 192.168.X.X/16 10.10.0.50
Oder
> sudo route add –net 192.168.X.X/16 10.10.0.1

Das Ergebnis von "ifconfig –a" sieht bei mir wie folgt aus:

...
ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1396
inet 10.0.0.1 --> 10.0.0.0 netmask 0xff000000

 

[klosoma]

Hallo Frank,

danke für die Info!

Zum testen habe ich eine VPN-Verbindung über mein Smartphone aufgebaut (3G, kein WLAN), das sollte funktionieren?

Güße
Martin

 

[Pixelprophet]

Ich häng mich hier mal ran, weil mein Problem am besten hier reinpasst.

Ich habe ein VPN zu DS aufgebaut. Das funktioniert soweit. Ich Browser kann ich mich über die lokale IP nicht auf die DS verbinden. Wenn ich aber im VPN (auf dem MAC) unter Optionen das Häkchen bei "Gesamten Verkehr über die VPN-Verbindung senden" mache, kann ich mich super über die lokale IP auf die DS verbinden.

Wo liegt dabei mein Fehler?

 

[fpo4711]

Ich häng mich hier mal ran, weil mein Problem am besten hier reinpasst.

Ich habe ein VPN zu DS aufgebaut. Das funktioniert soweit. Ich Browser kann ich mich über die lokale IP nicht auf die DS verbinden. Wenn ich aber im VPN (auf dem MAC) unter Optionen das Häkchen bei "Gesamten Verkehr über die VPN-Verbindung senden" mache, kann ich mich super über die lokale IP auf die DS verbinden.

Wo liegt dabei mein Fehler?

Hallo,
Du schreibst leider nicht was für ein VPN. Aber ich vermute mal das es PPTP oder L2TP ist. In beiden Fällen musst Du wenn Du das Häkchen entfernst manuell eine Route setzen. Die Ausnahme ist OpenVPN hier kann das der Server machen.

Gruss Frank

 

[Pixelprophet]

Vielen Dank für die Antwort.
Ja. Es ist ein PPTP.
Ich bin auf dem Gebiet sagen wir mal ein Semi-DAU.
D.h. ich könnte das ganze als OpenVPN einrichten und das ganze könnte dann besser funktionieren. Das werde ich vielleicht als nächstes versuchen.
Wie kann ich im aktuellen Fall "manuell die Route setzen"?

 

[fpo4711]

Wie kann ich im aktuellen Fall "manuell die Route setzen"?

Im Terminal beispielsweise mit

sudo route add -host 192.10.2.100 192.168.1.254

oder aber

sudo route add -net 192.168.2.0 192.168.1.254 -netmask 255.255.255.0

IP's sind natürlich entsprechend anzupassen. Bin ja kein Hellseher

Gruß Frank

 

[Pixelprophet]

Wenn du mir jetzt noch sagen könntest, welcher IP welcher entspricht, wäre ich sehr glücklich. Wo muss die IP rein, die ich aufrufen will? Und welche IP ist die andere???
Sind zwar DAU fragen, aber ...

 

[fpo4711]

Hallo,

die erste IP ist im ersten Beispiel nur ein Host auf der Serverseite (Also die DS) im zweiten Beispiel das komplette Subnetz was auf der Serverseite liegen würde. Die zweite IP ist das Gateway was genutzt werden soll. In deinem Fall also die IP des PPTP-Tunnels.

Gruß Frank

 

[Pixelprophet]

Vielen vielen Dank. Das hat geholfen.
Jetzt hab ich erstmal das. Und die Sache, wie ich das permanent einrichten kann, hab ich im Netzt schon an verschiedenen Stelllen gelesen. Da scheint es ja einiges zu geben.
Aber alle haben eben bei den Befehlen wie du angefangen, aber niemand hat für den DAU erklärt, was welche IP ist. Also noch mal vielen Dank für die ausführliche Erklärung.
Vielleicht werden ich und Terminal auch noch irgendwann Freunde ...

 

[brotpeter]

Hallo zusammen,

ich habe leider auch das Problem, dass ich mich zwar per VPN mit meiner DS213j verbinden kann, jedoch der Zugriff auf die Diskstation nicht funktioniert. Also ich kann nicht über den Finder drauf zugreifen...

Grundsätzlich versuche ich folgendes:
Mein Mac ist per Hotspot mit dem Internet verbunden. Auch die VPN Verbindung steht. Dank der Hinweise auf den vorangegangen Seiten habe ich recht schnell festgestellt, dass das Routing ins Leere läuft.
Ergo habe ich die Route hinzugefügt. (sudo route add -net 192.168.2.0 -netmask 255.255.255.0 10.0.0.1)

Anschließend konnte ich problemlos die Diskstation pingen. (auch andere Gerät in meinem Heimnetz konnte ich so per Ping erreichen...)

Wenn ich über den Finder eine Verbindung herstellen möchte komme ich bis zur Auswahl des Volumes, welches ich einbinden will. Dieses wähle ich aus und das war´s dann ... weiter passiert nichts -.-
Lustigerweise sehe ich im Finder sogar die Größe des Volumes... irgendwann kommt dann der Timeout und das Volume ist nicht mehr im Finder zu sehen...

Bin langsam echt am Verzweifeln

Anbei ein paar Rand und Rahmenbedingungen:
Verbindung per VPN über PPP. Subnetz Quelle ungleich Subnetz Tunnel ungleich Subnetz Ziel -> sichergestellt!

viele Grüße
Chris

 

[fpo4711]

Hallo Chris,

ich weis nicht wo Du dich da befindest, aber ich kann mich nicht daran erinnern das im Finder bei "Verbinden mit Server" überhaupt Größenangaben standen. Jedenfalls wirst Du nicht den gleichen Komfort im Finder haben wie als wenn Du dich im lokalen Netz befindest. Denn auch der Finder findet vieles per Broadcast und das läuft nicht über VPN. Und ich hoffe mal das Du dich wirklich von ausserhalb verbindest. WLAN im heimischen Netz ist nicht ausserhalb. Hab allerdings auch keinen Mac in meiner Nähe um deine Angabe bezüglich der Größenangabe zu prüfen.

Auf jeden Fall kann ich sagen das es über Apfel-K (Verbinden mit Server) und Angabe der lokalen IP funktioniert. Je nach dem welches Filesystem Du verwendest smb: oder afp: vorne weg setzen. Beispielsweise smb://192.168.2.1

Gruß Frank

 

[brotpeter]

Hi Frank,

erstmal vielen Dank für deine Antwort!

Ich sitze aktuell im Büro ... dort bin ich per Hotspot mit dem Internet verbunden. Kann auch wunderbar surfen ...
VPN Verbindung klappt auch super. Verbindung steht und ich kann, nachdem ich die Route per Befehl nachgetragen habe, auch wunderbar in mein Heimnetzwerk pingen. In meinem Fall hat die DS die IP 192.168.2.3 ... die IP der ppp Verbindung ist 10.0.0.1 (im VPN Server auf der Diskstation hab ich diesen Adressbereich dafür auch hinterlegt bzw den Standard nicht verändert).

Die Gößengaben standen im Finder ... nicht bei "Verbinden mit Server". Kurioserweise finde ich diese Angabe auch nicht immer im Finder. Gefühlte 10mio x hab ich´s schon probiert
Als Filesystem verwende ich smb. Die Verbindung versuche ich auch immer über smb://ip_diskstation herzustellen.

Was mich verwundet ist die Tatsache, dass mir bei "Verbinden mit Server" die Übersicht der Volumes angeboten wird! Ich wähle anschließend das entsprechende Volume aus und gebe meinen Usernamen und PW an. Danach passiert nichts mehr -.-

Im heimischen Netz geht alles super. Da hab ich keinerlei Beschwerden.
Anbei noch eine Frage ... ich müsste doch, wenn ich per VPN Verbunden bin, auf die Weboberfläche der DS zugreifen können. (http://ip_diskstation:5000) Dies geht auch nicht.
Was mich weiterhin verwundert ist, dass wenn ich den Hacken "Gesamten Verkehr über die VPN Verbindung senden" setze, ich nicht mehr surfen kann. Dies sollte doch weiterhin funktionieren. Genau das macht mich stutzig. Eventuell passt meine händisch hinzugefügte Route nicht.

sudo route add -net 192.168.2.0 -netmask 255.255.255.0 -gateway 10.0.0.1
Hiermit sollte es doch eigentlich klappen.

viele Grüße
Chris

 

[fpo4711]

Eigentlich alles korrekt. Und wenn Du den Haken setzt "Gesamten ..." ist das auch mit dem Surfen klar, das würde dann über das heimische Netz laufen. Hier muß dann die DS die Pakete weiterleiten. Auch ein Gateway/DNS auf der DS eingetragen?

Die Angabe der Route ist auch völlig richtig. Was aber, ausser dem Problem mit den Freigaben, sehr verwunderlich ist, ist das Du auch auf das DSM nicht kommst. Evt. irgendwelche Firewalls aktiviert? Automatische IP-Blockierung?

Ansonsten fiele mir noch ein im Router "VPN Passthru aktiviert" oder aber das Protokoll GRE auch weitergeleitet. Falls nicht ist dann zwar das Fehlerbild das die Verbindung gar nicht klappt.

Gruß Frank

 

[brotpeter]

Ahoi,

Gatway/DNS sollte (betonung auf sollte) auf der DS hinterlegt sein.
(werde es heute Abend mal checken wenn ich wieder im heimischen Netzwerk unterwegs bin)

Ich hab auch schon an den Firewalleinstellungen der DS ein wenig "rumgespielt". Dachte das dort eventuell der Hase im Pfeffer liegt.
Ich kann mir nur vorstellen, dass die DS interne Firewall noch ein Problem darstellt.
Theoretisch kann ich diese doch komplett deaktivieren. Im internen Netz wird diese nicht benötigt (mein Router dient als Firewall ... bis auf den 1723er Port für VPN ist alles zu).

Was mir gerade aufgefallen ist:
Verwende ich Safari als Browser (sonst kommt Chrome zum Einsatz) um auf die DS Oberfläche zu kommen sehe ich, dass sobald ich per http://ip_diskstation zugreife die Weiterleitung auf die Anmeldeseite (ip_diskstation:5000/webman/index.cgi) funktioniert, die Seite aber nicht geladen wird... Genauso verhält es sich wenn ich versuche auf die Adminoberfläche des Routers zu kommen.

Jetzt wirds komisch :x

viele Grüße
Chris

Nachtrag:
ich meine ich hab des Rätsels Lösung (auch wenn diese mir nicht gefällt ... und @Frank ... der Tip mit dem Passthru war der Treffer)
Hier wird es weiter unten genau beschrieben. Siehe Hinweise zu Achtung mit PPTP VPN Servern hinter NAT Firewalls ...
Der Grund ist, das die NAT Firewall eingehende PPTP Verbindungen von außerhalb (Internet) schlicht abblockt, was eine Firewall zum Schutz ja auch tun sollte um den Benutzer und seine Rechner im lokalen LAN zu schützen !!
PPTP benutzt 2 Protokolle, einmal eine TCP 1723 Session zur Authentifizierung und Verschlüsselung und dann parallel einen GRE (Generic Route Encapsulation) Tunnel um die Benutzerdaten zu transportieren.
Solange man also diese beiden Protokolle nicht mit einer Port Weiterleitung im NAT Router/Firewall an die lokale IP Adresse des VPN Servers schickt scheitert eine PPTP Verbindung am NAT !
Nun bin ich mal gespannt ob die Wahnsinnskiste der Telekom das Protokoll unterstützt.

Nachtrag die zweite:
Der Router kanns nicht -.- bööööh

Danke für die Hinweise!

 

[fpo4711]

Hallo brotpeter,

hab nur durch Zufall deinen Nachtrag gelesen. So kann auch keiner darauf reagieren wenn Du die Posts nachträglich editierst. Was für einen Router hast Du denn? Ich benutze hier einen Speedport W920V und der kann das sehr wohl.

Gruß Frank

 

[brotpeter]

Hi Frank,

ich habe einen Speedport W921V ... der kann das wohl nicht -.-
Zumindest führen meine Recherchen im Netz über das Thema immer wieder zu dem Ergebnis.

Der w920v war mal ne Fritzbox ... der w921v ist was "anderes" :x

viele Grüße
Chris

 

[fpo4711]

Falschen Router gewählt, dann kann nur noch das helfen.

Gruß Frank

 

[brotpeter]

Der Speedport liegt btw gut in der Hand

und das gemeinste ist ja folgendes:
Ich kann den Router nicht einfach gegen ne zB ne FB tauschen. Neeeeeein ... das wäre zu leicht.
Problem ist, dass ich zusätzlich Entertain geschalten habe auf dem VDSL Anschluss, welches zwar über IP läuft aber in nem extra Netz.
Nun ist die Gretchenfrage, ob die FB das auch kann...

Muss ich mal weiter im Netz mich einlesen ... alles andere macht keinen Sinn und so wichtig ist das VPN auch nicht.
(wobei es schon sehr hilfreich wäre...)

Ich halte auf dem laufenden.

vG
Chris

 

[fpo4711]

Wie gesagt ich habe einen Speedport W 920V. Hatte ihn wegen der Fax-Funktionalität zu einer Fritzbox gemacht (7570). Und das läuft einwandfrei auch mit Entertain. Die Fritzbox 7390 macht das auch. Das wären doch schon mal zwei Alternativen.

Gruß Frank