VPN, die Erste: Verbindung steht, und nun???

Status
Für weitere Antworten geschlossen.

chrimu

Benutzer
Mitglied seit
06. Jul 2010
Beiträge
159
Punkte für Reaktionen
18
Punkte
18
Servus,

Wahrscheinlich steh ich ganz blöd auf dem Schlauch, aber ich suche mir einen Wolf - erfolglos. Netzwerken über ein normales private-LAN hinaus ist bisher auch meine Sache nicht...

Ich hab ein LAN in Belgien (192.168.1.x an D-Link DSL 2740B [Skynet] mit einer DS 110j). Hier (D) habe ich ein LAN (192.168.0.x an Netgear WNR1000 [Alice] mit einer DS 108j). In B habe ich nun VPN Center installiert (10.0.0.0), TCP 1723 auf die DS freigegeben, und mich von hier aus darauf verbunden (PPTP), die Verbindung steht - sagt mein Win7.

Aber jetzt, was nur...? Das einzige was ich (ausser 192.168.0.x hier in D) erfolgreich anpingen kann ist 10.0.0.0. Unter der Adresse kommt auch die 110j im Browser hoch. Aber im Adressbereich 192.168.1.x in B, d.h. auf die anderen dortigen Rechner zugreifen, geht gar nix.

Die Firewall auf der DS ist leer, und auf "if no rule, allow".

Ich vermute fast es hat was mit Routen zu tun, aber jetzt endet mein Latein auch schon. Kann mir jemand auf die Sprünge helfen?

Schönen Sonntag,

Chrimu
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Schau doch mal was dein Windows 7 unter den Routen erhalten hat
Code:
route print
dort müsste es eine Route für das entfernte Subnetz geben, die auf die 10-er IP als Gateway zeigt. Wobei ich bin mir jetzt gar nicht sicher ob dein Vorhaben mit deiner Art VPN überhaupt geht. Ist das nicht ein Point-to-Point-Protokoll? Bin mir ned sicher ob man über ein solches Protokoll ein ganzes Subnetz zugänglich machen kann. Mit OpenVPN geht das sicher, mit PPTP bin ich ned sicher.
Für den Fall, dass du dir OpenVPN anschauen willst, würde ich dir empfehlen nicht das Paket von Synology zu benutzen. Es gibt OpenVPN auch via ipkg und damit hat man wesentlich mehr Möglichkeiten für Einstellungen. Allerdings muss man das auf der Kommandozeile erledigen (in unserem Wiki haben wir mehr zum Thema)
 

chrimu

Benutzer
Mitglied seit
06. Jul 2010
Beiträge
159
Punkte für Reaktionen
18
Punkte
18
Dank'Dir! Route Print ergibt:
Rich (BBCode):
===========================================================================
Interface List
 52...........................Beersel LAN
 32...00 ff 15 c5 ad 1a ......TeamViewer VPN Adapter
 12...40 61 86 f6 4f 4b ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 10...00 00 00 00 00 00 00 e0 Microsoft Teredo Tunneling Adapter
 16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 24...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.23     20
         10.0.0.0        255.0.0.0         10.0.0.0         10.0.0.1     21
         10.0.0.1  255.255.255.255         On-link          10.0.0.1    276
    109.130.86.50  255.255.255.255      192.168.0.1     192.168.0.23     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link      192.168.0.23    276
     192.168.0.23  255.255.255.255         On-link      192.168.0.23    276
    192.168.0.255  255.255.255.255         On-link      192.168.0.23    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.0.23    276
        224.0.0.0        240.0.0.0         On-link          10.0.0.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.0.23    276
  255.255.255.255  255.255.255.255         On-link          10.0.0.1    276
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 12    276 fe80::/64                On-link
 12    276 fe80::2520:471b:5d96:f8ab/128
                                    On-link
  1    306 ff00::/8                 On-link
 12    276 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
Sind zwar für mich böhmische Dörfer, aber 192.168.1. sehe ich auch nicht... Von daher die Frage ob man im entfernten Router etwas anmelden müsste

Nun, andererseits, wenn man mit PPTP eh nicht weiter als auf den VPN-Server-DS kommt, dann sollte ich das vielleicht hier abbrechen, und anderweitig versuchen. Du hast demnach den Eindruck mit openVPN ginge es?

Gruss, C.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ich habe nicht nur den Eindruck dass es mit OpenVPN geht, ich weiss es auch :) Mache ich bei mir auch so und ich kann alle meine Server im entfernten LAN via OpenVPN erreichen. Allerdings nutze ich nicht das Synology VPN Paket, sondern habe OpenVPN via ipkg installiert und eingerichtet. Das ist einige Anpassungsarbeit auf der Konsole, aber danach sollte es so funzen wie du es haben willst
 

_TokTok_

Benutzer
Mitglied seit
18. Nov 2007
Beiträge
1.310
Punkte für Reaktionen
0
Punkte
0
Site-to-Site VPNs sind sowohl mit OpenVPN als auch mit PPTP möglich. Wenn ich das aber richtig verstanden habe, ist das Synology-Paket aber nur dafür da, einzelne Clients (nicht ganze Netzwerke) mit dem entfernten Netzwerk zu verbinden.
Ping mal 10.0.0.1, das müsste die entfernte DS sein
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Wenn das mit PPTP auch gehen sollte, dann könnte der TS mal probieren im Client eine Route für das entfernte Netz einzutragen
Code:
route add -net 192.168.1.0 mask 255.255.255.0 10.0.0.1
ich hoffe ich habe die Synthax für route von Windows getroffen ;-) 192.168.1.0 wäre das entfernte LAN und 10.0.0.1 der Gateway. Dann bräuchte es im entfernten LAN (am besten auf dem Router) eine Route für 192.168.0.0/255.255.255.0 mit Gateway LAN IP der DS. Wenn es nicht geht die Route auf dem Router einzurichten, dann kann man auch direkt in den Clients mit dem route Kommando eine anlegen
 

chrimu

Benutzer
Mitglied seit
06. Jul 2010
Beiträge
159
Punkte für Reaktionen
18
Punkte
18
Dank'Euch!

Ich hab's erst nochmal mit openVPN aus dem Center probiert, allerdings scheint das - trotz eurer Routingratschläge - tatsächlich nur auf die entfernte DS, und nicht auf das angeschlossene entfernte LAN zu routen. So be it.

Mein Fernziel war, beide LANs über einen VPN-Tunnel effektiv zusammenzulegen. Ob das mit IPKG-openVPN, und vor allem mit meinen rudimentären Netzwerk- und Linuxkenntnissen machbar ist, da muss ich nochmal drüber schlafen. Als Alternative hatte ich mir schon überlegt zwei Router anzuschaffen, die das standardmässig als Feature mitbringen. Wenn Ihr sowas schonmal auf die eine oder andere Art gemacht habt - Bin logischerweise für jeden Tipp dankbar.

Gruss, Chrimu
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Side2Side wird so nicht machbar sein, da auf den synos Bridging im Kernel nicht aktiviert ist.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
dementsprechend auf beiden Seiten Router anschaffen die das können. Fritz, Netgear und diverse andere können das.

Gruß Götz
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64

amarthius

Super-Moderator
Teammitglied
Mitglied seit
03. Jun 2009
Beiträge
6.816
Punkte für Reaktionen
33
Punkte
174
schad... hab gedacht genau das ginge mit dem neuen "VPN-Paket" hm...
Melde doch deinen Wunsch an Synology :)
Wobei ich mir sicher bin, dass sie das VPN Paket noch ausbauen werden. Stichwort: Zertifikate.
Sie buhlen ja um den Einsatz der NASe in Unternehmen.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
installiert doch ipkg OpenVPN, dann kann man auf der Serverseite alles erreichen :)
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
alles ausser Bridging ;)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Ja, das geht (siehe Anleitung im Wiki :)), aber side-to-side ist (da es Bridging benötigt) nicht möglich.
 

_TokTok_

Benutzer
Mitglied seit
18. Nov 2007
Beiträge
1.310
Punkte für Reaktionen
0
Punkte
0
Ja, das geht (siehe Anleitung im Wiki :)), aber side-to-side ist (da es Bridging benötigt) nicht möglich.

Steh ich jetzt auf dem Schlauch? Site-to-Site muss ja nicht zwingend bridged bedeuten.
Ich habe ein routed VPN (OpenVPN) zwischen verschiedenen Diskstations und kann jeden Client aus den beteiligten Netzwerken erreichen.
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Wenn ein Client von Netz A mit VPN zu Netz B verbunden ist, kannst Du mit Client A ins Netz von B zugreifen, von Netz B aber nicht ins Netz von Client A ;) Kurz gesagt, Du kannst ein ganzes Netzwerk per VPN mit einem anderen verbinden, aber dann geht nur eine Seite. Mit Bridging bridgest Du jeweils das TAP Interface mit dem ETH Interface, und OpenVPN bridget so gesagt die zwei TAP Interfaces. Das ergib dann ein bridget Netz ;)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@TokTok
solange die Clients am OpenVPN angemeldet sind ist es kein Problem. problematisch wird es erst wenn du Clients in netz erreichen willst, die selber aber keine OpenVPN Clients sind. Auf der Serverseite (entferntes LAN mit OpenVPn Server) geht das relativ einfach mittels Routen. Problematisch wird es wenn einer dieser Clients im entfernten Netz einen Client in deinem lokalen Netz erreichen will (beide nicht openvpn). Das bräuchte dann die Serverseitige Bridge, auch Broadcasts z.B. für die Netzwerkumgebung brauchen die Bridge
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
Melde doch deinen Wunsch an Synology :)
Wobei ich mir sicher bin, dass sie das VPN Paket noch ausbauen werden. Stichwort: Zertifikate.
Sie buhlen ja um den Einsatz der NASe in Unternehmen.
ja, hab ich längst getan (vor 6 Monaten oder so?!). Zertifikate will ich überdies auch!

....
und eben....
alles ausser Bridging ;)
Das wäre mir fast das wichtigste Feature! An meinen beiden Standorten per NAS die Netzwerke verbinden.... mal sehen obs das auch noch gibt.
 

chrimu

Benutzer
Mitglied seit
06. Jul 2010
Beiträge
159
Punkte für Reaktionen
18
Punkte
18
Servus,

Dank'Euch für die rege Diskussion! Hat (sogar) auch dem "TS", also mir, zu einigem Erkenntnisgewinn verholfen. :rolleyes:

Ich habe mich inzwischen ob der verbleibenden Unsicherheiten (site-to-site ja/nein), sowie meines fehlenden Konsolen- und Linuxwissens halber für die Anschaffung zweier Fritzboxen entschieden um meine beiden LANs zu verbinden (was ja mein eigentliches Ziel war). Die können das "out of the box", und sind dafür gemacht, und meine DS's können sich ihren Speicher für ihre jeweiligen Kernkompetenzen freihalten.

Inzwischen kann ich sagen "der Drops ist gelutscht", so dass ich denen, die sowas (site-to-site) brauchen diese Art Lösung nur emfehlen kann. Finanziell, ja - 2 Router halt (gibt's aber im Zweifelsfall ja auch 2.Hand), Zeitaufwand war hingegen minimal, d.h. ich kann mich jetzt in aller Ruhe...

...mit Konsole, Linux und Rsync beschäftigen. ;)

Gruss, Chrimu
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat