VPN - Einrichtung und diverse Fragen

[Ghost108]

Hallo zusammen,

ich benötige Hilfe bei dem Thema VPN

IST-Situation:

• Habe zuhause eine Synology NAS stehen, welche hinter einer Fritzbox steht (Die Fritzbox, sowie die NAS könnten als NAS Server dienen)
  --> Fritzbox: Cisco IPSec
  --> NAS: PPTP, OpenVPN, L2TP-Dienste
• Endgeräte: iPhone, Macbook, Windows Laptop

SOLL

• Alle Endgeräte sollen via VPN von extern auf das lokale Heimnetzwerk zugreifen können
• Die VPN Verbindung soll nur dann genutzt werden, wenn es eine Verbindung zum lokalen Heimnetzwerk ist, alles andere soll am Tunnel vorbeigehen
• Die VPN Verbindung soll eigentlich immer aktiv sein (bin kein Freund vom manuellen aktivieren / deaktivieren)

Ich hoffe Ihr könnt mich hier Schritt für Schritt unterstützen.

Hier habe ich mir noch eine weitere Frage gestellt. Wenn ich mit meinem Macbook unterwegs bin, nutze ich grundsätzlich mein iPhone als Hotspot.
Wie verhalten sich beide Geräte, wenn auf dem iPhone VPN aktiv ist, sowie auf dem Macbook und ich eine Verbindung zum lokalen Netzwerk aufbaue?
Läuft der Traffic dann vom Macbook > VPN Tunnel > iPhone Hotspot > VPN Tunnel?

Schon mal vielen Dank für eure Unterstützung.

 

[Kurt-oe1kyw]

zuhause eine Synology NAS stehen, welche hinter einer Fritzbox steht (Die Fritzbox, sowie die NAS könnten als NAS Server dienen)

aha ,
sollte der Satz nicht lauten: "Die Fritzbox, sowie die NAS können als VPN Server dienen"?

auf dem iPhone VPN aktiv ist, sowie auf dem Macbook und ich eine Verbindung zum lokalen Netzwerk aufbaue?
Läuft der Traffic dann vom Macbook > VPN Tunnel > iPhone Hotspot > VPN Tunnel?

N.m.W. erfolgt der Aufbau immer vom "Endgerät", also vom zugreifenden Clienten auf den VPN Server, egal was sich auch immer dazwischen befinden mag.

Ich nutze das Paket VPN Server auf der DS, dort gibt es die Möglichkeit eine Datei zu exportieren und nur jene Geräte welche diese Datei besitzen/installiert haben können eine VPN Verbindung aufbauen.
Ich persönlich nutze allerdings nicht die ganzen VPN-"Geschichten" von den Clienten, sondern habe mir das Programm OpenVPN auf den jeweiligen Geräten installiert. Das funktioniert soweit problemlos bei mir.
Für dich müsste es dann halt die iphone Variante sein <klick>

Eine gute Erklärung welche mir damals geholfen hat <klick> , nur als Ziel dient das eigene NAS und die dort vorhandene Konfigurationsdatei für die Verbindung. Ich will ja in mein Netzwerk daheim.

Zwei wichtige Dinge!
1. das einwählende Netzwerk darf nicht die gleiche IP haben wie dein Netzwerk daheim!
Wenn du also von Auswärts von 192.168.1.1 kommst und daheim ebenfalls 192.168.1.1 verwendest dann wird es u.U. nicht funktionieren.
Da sich die meisten Fremdnetze und deren Admins wehren wenn du ihre IP Adressen ändern willst, ist es einfach sein Netzwerk daheim umzustellen

2. In den Optionen VPN Server auf der DS, da gibt es die Einstellung "Clients den Server-LAN-Zugriff erlauben", hier musst du den Haken setzen, sonst klappt deine Verbindung auch nicht.

Ansonsten in groben Schritten:
OpenVPN am handy/Laptop installieren und die Konfigurationsdatei von deinem VPN-Server von deinem NAS importieren auf die Zugriffsgeräte.
VPN Server Paket auf der DS installieren und "Konfigurationsdateien exportieren" anklicken, diese importierst du dann auf deine "Zugriffsgeräte".
Im VPN Server auf der Synology unter Privilegien noch die Rechte vergeben welcher User VPN nutzen darf und welche "Art/Version" davon, einfach die Haken in die entsprechenden Spalten setzen.
Entsprechenden Port (1194) vom OpenVPN-Dienst im Router entsprechend weiterleiten, falls du die Verbindung "OpenVPN" verwendest.
Viel mehr ist da im Grunde nicht.

 

[tproko]

Wie immer hat Kurt schon alles sehr gut zusammengefasst.
Das mit dem immer vom "Endgerät" seh ich auch so. Beim Wlan Hotspot am iPhone bringt es dir nichts, wenn du im VPN bist. Wenn muss der MAC seperat ins VPN.

Die VPN Verbindung soll nur dann genutzt werden, wenn es eine Verbindung zum lokalen Heimnetzwerk ist, alles andere soll am Tunnel vorbeigehen

Dazu bietet openvpn durchaus die Möglichkeiten (Stichwort redirect-gateway def1). Leider ist die DSM GUI da sehr eingeschränkt.
Ich weiß jetzt nicht mehr, wie der Default Wert da bei DSM/Synology ist bezüglich redirect-gateway und push routes.
Bei mir läuft OpenVPN sowieso mit ganz eigener Config, eigenen Client-Certs etc. über Syno.

Also grundsätzlich ist alles möglich, was der OpenVPN Standard hergibt... nur musst du mit SSH auf dein NAS und dort die openvpn config selber anpassen und dann den Server zB. übers GUI stoppen/starten zum Reload.

Die openvpn-Config Datei findet man unter /usr/syno/etc/packages/VPNCenter/openvpn (oder so ähnlich, bei mir läufts jetzt schon am Syno Router und der Pfad ist da etwas anders).

 

[Ghost108]

najaaaa, auf dem iPhone möchte ich deshalb vpn haben, damit mein iPhone auch eine VPN Verbindung aufbauen kann wenn es mal gerade nicht als HotSpot dient.

 

[tproko]

Ja das klappt auch. Am besten mit der App OpenVpn.
Nur für deinen MAC benötigst du dann trotzdem die eigene Vpn Verbindung.

 

[Ghost108]

sooo, habe es soweit versucht.

1. VPN auf der NAS installiert, openVPN aktiviert, dem jeweiligen Benutzer das Recht gegeben und den Port jeweils in der NAS / Fritzbox Firewall freigegeben. Sie die folgenden Settings soweit richtig?



2. Die Konfigdatei exportiert und in der mac Software "Tunnelblick" importiert. (habe vorher in der Konfig Datei meine DDNS Namen der NAS eingetragen)

3. VPN Verbindung erfolgreich hergestellt, dabei kam allerdings vorweg folgende Meldung:


4. Dann mal einen PING Test gemacht:



Im ersten Abschnitt ping ich die IP von google an (8.8.8.8) > KLAPPT !
im zweiten Abschnitt ping ich die IP meiner Fritzbox zuhause an > KLAPPT NICHT !

Da wären wir schon bei meinem ersten Problem



Anbei der Inhalt meiner VPN Config:

dev tun
tls-client

remote HIER_STEHT_DER_DDNS_MEINER_NAS HIER_DER_OPENVPN_PORT

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher BF-CBC

auth SHA1

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
xxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxx
-----END CERTIFICATE-----
</ca>

 

[ikorbln]

Hallo,

Ich habe auch so einen Aufbau.

Die DS steht hinter der Fritzbox. Alle nötigen Ports sind zur DS freigegeben.
Das VPN in der Fritzbox muss aus sein (Bei angelegten Fritzbox-Benutzern das VPN Häkchen in den Einstellungen entfernen).

Ich nutze den IPSec/LPTP Server, da die meisten Clients das Protokoll beherschen.
Der Serverdienst läuft immer, also somit nix manuell zu starten.
Das IPhone / Android können sich auf Anhieb verbinden, bei Windows 10 ist ein Registryeintrag notwendig, da Windows 10 VPN-Server hinter NAT-Routern im Standard nicht mag.

Windows 10 kann man einstellen ob es alle Daten durch den Tunnel schicken soll oder nur die "Lokalen Netzdaten".
Beim IPhone weiss ich es gerade nicht 100% aber das sendet, glaube ich, immer alles durch den Tunnel.

 

[tproko]

Also die Settings sind veraltet:
cipher BF-CBC
auth SHA1

Da ist der syno default mit sha512 besser. Würde ich zurückstellen.

Sagt tunnelblick, dass die Verbindung aufgebaut werden konnte?

Hast du auf deiner Fritzbox den Openvpn Port weiter geleitet?
Ich würde an deiner Stelle beim NAS per SSH die openvpn Conifg ändern und kurzfristig mal das vpnlog einschalten (ist auskommentiert), VpnServer neustarten und nach dem connect Versuch mal in /var/log/openvpn.log reinschauen.

 

[Ghost108]

sha512 ist leider nicht verfügbar



Ja, Verbindung zur NAS ist da, zeigt mindestens die NAS an, dass mein Client verbunden ist:

 

[Ghost108]

UPDATE:
Ich komme per Browser ober die lokale NAS IP auf die Weboberfläche.
Aber so ganz richtig kann es nicht sein

 

[Kurt-oe1kyw]

Wenn das tatsächlich der Eintrag ist, dann musst du diesen schon mit deinen Daten ersetzen
Auf dem Bild steht:

remote HIER_STEHT_DER_DDNS_MEINER_NAS HIER_DER_OPENVPN_PORT oder meinst du damit das sind schon deine Daten?

Egal wie auch immer dort muss stehen

remote leerzeichen ddns leerzeichen 1194

ddns ohne http und ohne www.

edit:
ah gerade gesehen du bist ja schon mit deinem Netzwerk verbunden, der VPN Tunnel steht ja bereits.
Wo ist jetzt genau dein Problem?

Du bist bereits in deinem Netzwerk, jetzt kannst du dich mit dem einwählenden Gerät so darin bewegen als ob du zu Hause wärst.

 

[Ghost108]

ja, da stehen natürlich die richtigen daten. sonst würde die VPN Verbindung auch nicht hergestellt werden
Aber trotzdem scheint es nicht sauber zu laufen

 

[Kurt-oe1kyw]

ja hab ich gerade gesehen, es läuft ja, wo hakt es denn jetzt?

Du tippst im einwählenden Gerät unter Netzwerk die IP Adresse von einem deiner Geräte im Netzwerk an und wirst dorthin verbunden

 

[Ghost108]

habe den VPN Tunnel am Macbook aktiv.
Mit meinem Macbook bin ich aktuell unterwegs - nicht im LAN

Komme via NAS IP auf die Weboberfläche.
Wenn ich aber die NAS IP oder die Fritzbox anpinge, erhalte ich keine Antwort.
Komme auch nicht mit der Fritzbox IP auf deren Oberfläche.

Kann somit auch keinen traceroute machen, um zu prüfen, ob mein Macbook fürs LAN den Tunnel nimmt und für alles andere am Tunnel vorbei geht.

 

[Kurt-oe1kyw]

hmmmmm, ja sri da fehlt mir an der Stelle das Wissen und die Erfahrung da ich keinen Mac besitze, mal schauen was die Mac User dazu sagen.
Aber grundsätzlich schaut das bei mir so wie bei dir aus, ich sehe unter "Verbindungsliste" den User welcher über den VPN Tunnel verbunden ist und wie lange die Verbindung schon besteht. Wie gesagt mit windows Clienten, bzw. Android

 

[Ghost108]

okay, Versuche es jetzt mal via Windows
hier wurde noch die Verschlüsselung der VPN Verbindung bemängelt.
Allerdings steht mir sha512 nicht zur verfügung - was soll ich da nehmen?

 

[Kurt-oe1kyw]

bei mir steht das genau so wie auf deinem Bild im Beitrag #6 gezeigt von dir.


Der Eintrag "SHA512" ist da, du musst aber ganz hinunterscrollen ans untere Ende der Liste, der dritte Eintrag dann vom unteren Ende der Liste!

 

[Ghost108]

oje übersehen - alles klar steht jetzt auf SHA512
Mit Windows PC schaue ich mir noch mal an

 

[tproko]

So, habe jetzt wieder mal einen PC vor mir. SHA512 hast du ja schon gefunden, und für die Verschlüsselung würde ich AES256 empfehlen.

Nachdem die Verbindung schon steht, blockieren dich da evt. Firewalls? Falls du auf da Fritzbox oder NAS Firewall am laufen hast, kurz mal deaktivieren um diese als Fehlerquelle auszuschließen.

 

[Ghost108]

mit der Firewall war eine gute Idee.
Habe diese jetzt temp. ausgeschaltet und siehe da - PING funktioniert und ich kann via traceroute sehen, das alles, was zum LAN gehört durch den Tunnel geht und der rest dran vorbei.

Was muss ich denn bei der Firewall hinterlegen?
Habe die Firewall so eingestellt, das grundsätzlich alle eingehende Verbindungen blockiert werden soll, bis auf die Ausnahmen, die ich deklariert habe.
Was muss ich denn noch zu den Ausnahmen hinzufügen ?