Verständnisfrage zu VPN in Verbindung mit UMTS-Router

[hwh-systemtechnik]

Hi,
folgendes habe ich vor: in meiner Werkstatt habe ich kein DSL, aber einen PC mit Windows XP. Zuhause habe ich DSL und eine DS713+ und eine FritzBox7390. Ich habe nun günstig eine Mobile Datenflat erworben, und mir dafür einen Huwei UMTS-Router bestellt (kommt die Tage). Ich möchte gerne, den Werkstatt PC per UMTS-Router über VPN an meine DS713+ verbinden, und so vom Büro auf meine Freigaben zuhause zugreifen können. Der Zugriff ins Internet des Werkstatt-PCs kann ruhig komplett über die mobile Verbindung laufen, braucht also nicht über den VPN Tunnel. Weiter möchte ich aber von zuhause aus über den VPN Tunnel per remote console auf den Werkstatt PC zugreifen.

Nun die Frage aller Fragen: geht das prinzipiell ?

 

[X5_492_Neo]

ich glaube nicht mal VPN funktioniert via UMTS! ich meine darüber mal was gelesen zu haben! denn der Router kann sich ja auch keine DDNS zulegen, was im Prinzip ja Voraussetzung dafür ist!

 

[hwh-systemtechnik]

Hi Neo,
das ist klar, dass der UMTS-Router keine dyndns Adresse bekommen kann... aber der Weg ist ja anders.... am umts-router hängt ja der WinXP-PC, und eben der soll per VPN-Client eine VPN-Verbindung öffnen, zur DS im DSL, die hat den dyndns! Der Weg ist schon Absichtlich so gewählt, vom UMTS-Netz ausgehend eine VPN-Verbindung zue DSL-DS713+, das sollte doch gegen, schliesslich kann ich so ja auch alle IPs im Internet erreichen...

 

[Matthieu]

Probier erst mal ob du mit dem Vertrag eine VPN-Verbindung aufbauen kannst. Bei o2 bspw. hatte ich keine Probleme, bei der Telekom hingegen nur Ärger. Die blockieren gefühlt das halbe Internet.

MfG Matthieu

 

[hwh-systemtechnik]

ich habe Vodafdon bestellt, aber noch nicht da. Also Vorbereitung habe ich zuhause in der 713+ mal den VPN Server als L2TP/IPsec eingerichtet, und der Zugriff mit meinem auch Vodafon Adnroid Handy klappt problemlos und auf Anhieb. Aber weder unter win7 (nach der Anleitung "Herstellung einer Verbindung zum Synology VPN Server mit einem Windows-PC oder Mac") noch unter XP klappt. Soweit mein Stand...

 

[fpo4711]

Hallo,

@Matthieu Ich würde mal sagen falsche VPN-Variante gewählt.

Die Verbindung auch per UMTS sollte funktionieren. Ich würde hier allerdings OpenVPN wählen und nicht IPSec wegen Schwierigkeiten bei IPSec. Siehe Link. Sofern der Client auf der UMTS Seite liegt, sollte das funktionieren. Habe sowohl Vodafone als auch t-online bereits in der Anwendung gehabt. Definitiv über Vodafone lief es jedenfalls. Zu t-online müßte ich meine Kollegen befragen, hab da aber auch nichts negatives auf dem Radar.

Der umgekehrte Weg also UMTS auf der Serverseite ist eher zum scheitern verurteilt weil hier die Mobilfunkanbieter häufig lokale ipV4-Adressen vergeben und somit das Routing nicht funktioniert. Also von aussen nicht zu erreichen.

Und zu deinen Tests von den PC's aus hier liegt wohl das Problem darin, das Du dies eben aus dem heimischen Netz versuchst. Hier kann dann das Routing nicht funktionieren. Also wenn, dann immer von Extern testen. Und der übliche Leitspruch Subnetz-Client ungleich Subnetz-Tunnel ungleich Subnetz-Server.

Und zu guter Letzt. Je nach UMTS Versorgung ist hier teilweise die Performance jämmerlich. Ist sicherlich Standortabhängig und kann dann eben nur im Test ermittelt werden.

Gruß Frank

 

[hwh-systemtechnik]

Hi, dann werde ich mal OpenVPN testen. Welchen Client nehm ich denn da am besten für XP und welchen für win7 ?

Ich hatte die L2TP/IPsec eingerichtet, weil die im Synologie Support Portal mit dem Android Handy so schön beschrieben ist, und ja auch direkt funktionierte...

Mir gehen gerade 1000 Fragen durch den Kopf. Ich will ja von zuhause, also vom DSL her, per remote console über die stehende VPN Verbindung auf den Werkstatt PC zugreifen. Aber mein DSL macht doch eine Zwangstrennung 1x am Tag... hast du eine Ahnung, wie ich die dann sicher abbrechende VPN Verbindung wieder AUTOMATSCH aufgebaut bekomme, oder geht das gar von ganz alleine...

Wenn ich von zuhause dann remote console mache, hat der Werkstatt PC dann diese komische 10-10-0-xyz ip ? Und der VPN Server leitet die Anfrage dann aus meinem 168.178.0.xxx Heimnetz weiter... ich staune gerade darüber wie das wohl geht... warum die Fritzbox das nicht routet...

 

[fpo4711]

Hallo,

hab zwar kein XP mehr in der Anwendung aber ich glaube die Clienten laufen auch unter XP. Wenn Du es preiswert haben willst dann ist OpenVPN GUI eine Wahlmöglichkeit. Direkt von der OpenVPN Seite zu laden. Mein Favorit ist Viscosity gibt es auch für Mac und Windows ist aber kostenpflichtig. Bei Viscosity kann eine Verbindung automatisch beim Systemstart aufgebaut werden.

Die IP aus dem Bereich 10.0.0.0 ist der IP-Bereich des Tunnels. Bei Anwahl erhällt hier jeder Client eine eigene IP für seinen Tunnel. Von der Clientseite kannst Du die Geräte auf der Serverseite direkt mit ihren lokalen IP's ansprechen hier brauchst Du nicht die IP's des Tunnels nutzen. Für den umgekehrten Fall mußt Du dem Server mitteilen welches Netz sich hinter dem VPN-Tunnel befindet und eine entsprechende Route (iroute) in der Config eintragen. Geht auch, ist aber mit einiger Handarbeit verbunden, da hier dann auf dem VPN-Server ein ccd-Verzeichnis für die Clientkonfiguration erstellt werden muß und in der Fritzbox eine statische Route gesetzt werden muß. Das ist zwar aufwendiger aber auf jeden Fall verläßlicher als den PC mit der Tunnel-IP anzusprechen da sich die ja ändern kann.

Ob sich Viscosity auch automatisch wiederverbinden kann, kann ich jetzt gerade nicht prüfen.

Gruß Frank

 

[hwh-systemtechnik]

wouw, was für eine umfassende Antwort, danke.

"Für den umgekehrten Fall mußt Du dem Server mitteilen welches Netz sich hinter dem VPN-Tunnel befindet und eine entsprechende Route (iroute) in der Config eintragen."

Du meinst hier den VPN-Server auf der DS713+ ?

Also für einen ersten Test würde auch gehen, den Client mit beispielsweise 10.0.0.1 von meinem lokalen DSL Netz aus anzusprechen, und dazu müsste in meiner Fritzbox nix eingetragen werden ?

"Ob sich Viscosity auch automatisch wiederverbinden kann, kann ich jetzt gerade nicht prüfen."

Es darf was kosten, ich wäre dir Dankbar, wenn du das mit dem Wiederverbinden testen kannst, das ist unverzichtbar für mich.

Werner

 

[fpo4711]

Für den umgekehrten Fall mußt Du dem Server mitteilen welches Netz sich hinter dem VPN-Tunnel befindet und eine entsprechende Route (iroute) in der Config eintragen.
Du meinst hier den VPN-Server auf der DS713+ ?

Genau.

Also für einen ersten Test würde auch gehen, den Client mit beispielsweise 10.0.0.1 von meinem lokalen DSL Netz aus anzusprechen, und dazu müsste in meiner Fritzbox nix eingetragen werden ?

Wenn Du das von der DS aus machst dann nicht. Solltest Du das von einem Client in deinem Netz auf der VPN-Serverseite machen dann müßte hier beispielsweise auf dem Clienten oder aber auf der Fritzbox eine statische Route eingegeben werden die im sagt das das Netz 10.0.0.0 über die IP deiner DS zu ereichen ist.

Unter Windows beispielsweise

route ADD 10.8.0.0 MASK 255.255.255.0 <IP_deiner_DS>

Es darf was kosten, ich wäre dir Dankbar, wenn du das mit dem Wiederverbinden testen kannst, das ist unverzichtbar für mich.

Muß mal sehen ob ich später dazu komme. Gebe Dir dann bescheid.

Gruß Frank

 

[hwh-systemtechnik]

Danke dir... auf der Fritzbox eine statische Route eingeben habe ich gefunden. Was es alles gibt...

Werner

 

[Matthieu]

@Matthieu Ich würde mal sagen falsche VPN-Variante gewählt.

Weder OpenVPN noch PPTP oder L2TP/IPSec funktionieren über Mobilfunk nicht (über WLAN vom gleichen Gerät aus hingegen schon).

MfG Matthieu

 

[fpo4711]

Weder OpenVPN noch PPTP oder L2TP/IPSec funktionieren über Mobilfunk nicht (über WLAN vom gleichen Gerät aus hingegen schon).

Man soll ja nie nie sagen. Aber komisch finde ich das schon. Hab mal kurz über mein iPhone den Zugriff per Mobilnetz (Vodafone) geprüft. Sowohl L2TP/IPSec als auch PPTP funktionieren jedenfalls einwandfrei. Und das sind ja sogar die eher problematischen Protokolle. Router ist hier ein gefritzter Speedport. Für OpenVPN war ich jetzt zu faul für das Gehampel mit den Zertifikaten auf dem iPhone. Denke aber das sollte wohl auch gehen.

@TE
Viscosity arbeitet so wie ich es dachte. Es versucht wenn es vom Server keinen Ping erhällt nach 1 Minute jeweils ein Reconnect. Ist auch so in der Serverconfig definiert. Denke mal der Client versucht es dann bis sonstwann. Hab ihn jedenfalls nach 15 Minuten und somit 15 Versuchen erlöst.

Gruß Frank

 

[hwh-systemtechnik]

OpenVPN habe ich gerade auf Android getestet. Das geht sowohl über WLAN, also auch über Mobilfunk. Beim Wechsel während einer stehenden VPN Verbindung von wlan auf Mobilfunk reconnected er sogar. Also stimmt deine Aussage dahingehend nicht...

Werner

 

[fpo4711]

Also stimmt deine Aussage dahingehend nicht...

Welche Aussage?

Frank

 

[hwh-systemtechnik]

Viscosity arbeitet so wie ich es dachte. Es versucht wenn es vom Server keinen Ping erhällt nach 1 Minute jeweils ein Reconnect. Ist auch so in der Serverconfig definiert. Denke mal der Client versucht es dann bis sonstwann. Hab ihn jedenfalls nach 15 Minuten und somit 15 Versuchen erlöst. Gruß Frank

Danke. Sehr nett... hab den client downgeloaded und installiert. Irgendwie versteh ich es aber nicht ganz, ist das ein reiner OpenVPN Client ? Ich finde nicht, wo ich Benutzernamen und Passwort angeben muss...

Mit dem Android Handy habe ich nach einlesen der von der DS generierten Dateien openvpn.ovpn und ca.crt problemlos die VPN Verbindung öffnen können. Mit diesem Client blick ich nicht durch...

 

[hwh-systemtechnik]

Welche Aussage?
Frank

Zumindest OpenVPN funktioniert sowohl übers Handynetz, also mit ausgeschaltetem WLAN. Damit kann die VPN Verbindung hergestellt werden.

Der Satz: Das geht sowohl über WLAN, also auch über Mobilfunk. sollte eigentlich heissen: Das geht sowohl über WLAN, ALS auch über Mobilfunk.



Werner

 

[hwh-systemtechnik]

Ich bekomme leider auf win7 weder den OpenVPN GUI Client ans laufen, die openvpn.ovpn habe ich editiert, meinen DDNS Namen eingetragen und zusammen mit ca.crt in den config Folder von openVPN kopiert. Aussserdem meckert win7 ständig am OpenVPN rum, das hätte bekannte Probleme etc...

Auch bei Viscosity habe ich die beiden Dateien eingebunden, geht auch nicht.

Bei beiden Lösungen werde ich nicht zur Eingabe von Benutzernamen/Passwort aufgefordert, da ist doch was faul... die Android Löung funktioniert, da habe ich auch Benutzernamen/Passwort eingeben können.

Helft mir Jungens...

 

[hwh-systemtechnik]

Ich habe die Verbindung mit Viscosity hinbekommen, als ich den Menüpunkt "Koniguration aus OpenVPN GUI" importieren gemacht habe. Wie genau ich das geschafft habe ist mir allerdings ein Rätsel... jedenfalls war unten rechts in der Taskleiste das ICON von Viscosity , als ich verbinden gemacht habe, kam das Fester wo ich benutzer/Passwort eingeben konnte, und zack, er ist Verbunden. Kapiert habe ich aber nix... smile...

Frage: muss zwingend OpenVPN GUI installiert sein, damit Viscosity funktioniert ?
Wieso bekomme ich das mit OpenVPN GUI nicht hin, nur als Lernobjekt...?

 

[fpo4711]

Der Satz: Das geht sowohl über WLAN, also auch über Mobilfunk. sollte eigentlich heissen: Das geht sowohl über WLAN, ALS auch über Mobilfunk.

Alle VPN-Lösungen von Synology sind geroutet. Die funktionieren je nach WLAN selbstverständlich alle auch über WLAN. Wenn Du das aber in deinem heimischen WLAN machst dann funktioniert gerade noch der Verbindungsaufbau. Aber dann erzeugst Du netzwerktechnisch Chaos. Das ist wie verkehrt herum durch eine Einbahnstrasse fahren. Es geht.

Bei OpenVPN ist es ganz korrekt das Du nach Benutzername/Passwort gefragt wirst. Das sind die Angaben deiner Benutzer die auf den VPN-Server zugreifen dürfen. Das Privileg muß natürlich auch im VPN-Server aktiviert werden.

Und vieleicht könntest Du mal den Satz "Aussserdem meckert win7 ständig am OpenVPN rum, das hätte bekannte Probleme etc..." beim ausführen. In beiden Fällen schreiben die Clienten ein Log der Auskunft gibt was los ist. Bei OpenVPN GUI muß dies per "Als Administrator ausführen" gestartet werden. Rechte Maustaste und dann über das Kontext Menü oder aber in den Eigenschaften entsprechendes Häkchen setzen. Ein Windowsbenutzer mit Adminrechten reicht nicht!

Gruß Frank