VPN Zugriff auf DS

[wezoromax]

Hallo,

ich versuche gerade einen OpenVPN-Tunnel zu meinem NAS (DS216j) anzulegen.

Ich habe auf der NAS den VPN Server aktiviert, im Router (Speedport W724) den UDP Port 1194 freigegeben, die Konfig exportiert, dort meine Quickconnect-IP eingetragen und auf dem Client (Laptop am Mobilfunk) die Config eingelesen und mich verbunden.

Verbindung steht. Sagen Client und Server.

Jetzt... kann ich allerdings erstmal nirgends drauf zugreifen.
a) vorher im (W)LAN erstellte Netzlaufwerke funktionieren nicht (Microsoft Windows Network: der lokale Gerätename wird bereits verwendet <-- Die Fehlermeldung verwirrt mich)
b) per Browser auf die NAS zugreifen (interne IP) geht erst, wenn ich im VPN Server die Option "Clients den Server-LAN-Zugriff erlauben" aktiviere
So wie ich es verstanden habe, ist die Option aber doch eigentlich dafür da, dem Client den Zugriff auf den REST des LAN zu geben, nicht auf die NAS ?
c) Versuche ich direkt im Explorer auf die NAS zuzugreifen mittels \\MEINE_NAS\ kommt der Fehler: .... evtl. keine Berechtigung... Netzwerkadresse unzulässig
Per interner IP... geht es erst analog zu b)
d) Wechsel zwischen tun/tap device ergab keinen sichtlichen Unterschied

Ein per Mobilfunk und interner IP angelegtes Netzlaufwerk, funktioniert auch im LAN weiter. Warum funktioniert der "Name" des NAS nicht über VPN ?

 

[laserdesign]

Warum funktioniert der "Name" des NAS nicht über VPN ?

benutze mal die SuFu hier im Forum "openvpn namensauflösung"

z.B. hier lesen

 

[wezoromax]

Okay, ich hab mich ein bisschen durch Threads gewühlt, aber in denen wurde nur einmal die "fritz.box" Variante angesprochen, ohne Erklärung.

ClientA.fritz.box

Mit nem Speedport scheint die Variante so nicht zu funktionieren. Auch mit dem "passenden" DNS Suffix (bei mir: Speedport_W_724V_01011603_00_008)
Zumindest werden im Telekom Hilfe Forum viele Threads geführt, die das Problem beleuchten.

Die Option in der config des VPN wirkt eleganter,

dhcp-option DNS <IP_DER_FRITZBOX>
dhcp-option DOMAIN fritz.box

Aber wird hier zuerst die Fritzbox als DNS-Server gesetzt und dann auf die DOMAIN fritz.box verwiesen bzw. angehängt? Dann sollte das auch nicht funktionieren, weil hier ja auf eine Funktion der FB zugegriffen wird, die der Speedport nicht anbietet. (Funktioniert ja nichtmal im LAN)


Wenn ich jetzt das DNS-Server Paket installiere, übernimmt dieses dann die Funktion nur für die VPN Verbindung, solange ich sonst nirgends das NAS als DNS Server eintrage?
Ehrlich gesagt, die Einstellungsmöglichkeiten dort überfordern mich, auch aus der Hilfe wird mir nicht klar, wo ich eine kleine Tabelle anlegen könnte, die eben 3 Auflösungen beinhaltet.

Oder sollte ich die Frage im Unterforum des DNS Server Pakets stellen?

Mir bleibt die Frage: auf was kann ich zugreifen, wenn ich den Haken ""Clients den Server-LAN-Zugriff erlauben" nicht setze?

 

[Fusion]

Wenn du diese Option nicht aktivierst, kannst du aus dem entfernten Netz nur die Tunnel-IP deiner DS erreichen. Willst du IPs im LAN des VPN Servers erreichen, muss die Option gesetzt werden.
Beispiel: LAN 192.168.0.x, dort läuft auch die DS und der VPN Server, VPN Tunnel ist 10.0.0.x oder ähnlich, Entferntes LAN ist 192.168.178.x. Willst du jetzt mit einem Rechner der im 178.x Netz hängt einen anderen Rechner oder die DS die im 168.x Netz hängt erreichen, muss die Option "Clients den Server-LAN-zugriff erlauben" gesetzt/aktiv sein.

 

[wezoromax]

Also hätte ich ohne Haken, nur mit der 10.0.0.x Adresse auf die DS zugreifen können. Okay, so in der Art dachte ich es mir, nur ging es mit der 192er IP nicht, was mich verwirrt hat.

Ich glaube zum Thema DNS Server mache ich ein extra Thread auf, habe leider keine auf meinen Fall passende Anleitung gefunden.

Alles andere was ich machen wollte, verhindert leider mein (doofer) Router. DS als VPN Client mit anderem Netzwerk (evtl. andersrum und Fritzbox als OpenVPN client) und WOL aus dem Internet (Wake on WAN).
Aber auf WLAN2Go möchte ich auch nicht verzichten (Speedport W724).

 

[wezoromax]

Was ich noch nicht verstehe: okay, die Namensauflösung funktioniert nicht

Gehe ich jetzt über VPN rein, dann funktioniert aber auch die Quickconnect-Adresse (*user*.myds.eu oder so) NICHT.
Irgendwie verständlich, immerhin habe ich keine Ports (zumindest keine für TCP/HTTP oder für die Stations oder DSM verwendete wie 5000/5001). Die DS kann also ihre externe / interne IP rausschicken, an den DDNS Server, dieser kann Aufrufe an die URL an meine externe Adresse weiterleiten. Dann sollte es evtl. icht weitergehen.

Warum aber funktioniert es lokal im LAN und nicht über VPN ?
Also wieso wird da dieser URL Aufruf vom Router an die DS weitergeleitet?

 

[Fusion]

Könnte mich irren, aber ich glaube es wird erkannt, dass der QC Aufruf aus demselben Netz kommt wie die DS und deshalb wird dann für den Verbindungsaufbau zur DS auch die lokale IP verwendet.
Wenn du per VPN verbunden bist bin ich mir gerade nicht sicher, wieso. Alle Szeanarien mit Routing, Traffic-Flow die ich gerade im Kopf habe sollten theoretisch funktionieren. Ein Szenario wieso es also nicht geht ist mir noch nicht eingefallen.

 

[wezoromax]

Ja, stimmt. Natürlich mein Fehler. Ich hatte in DS noch den DNS Server manuell konfiguriert. Zumindest nehme ich an, dass es das war, ansonsten habe ich nicht viel gemacht. - doch Portfreigaben getätigt.
Was aber erst auch nicht funktioniert hat. Habe die Ports getestet (per Website) angeblich offen. Konnte aber nicht über Mobilfunk über QC oder IP zugreifen.... Aber jetzt gehts... Ich weiß echt nicht woran das lag ^^

 

[Fusion]

Falls du noch drüber stolperst kannst es ja ergänzen, wäre schon interessant.

 

[wezoromax]

Für dich hab ich eben mal das Portforwarding wieder rausgenommen... und schwupps gehts nicht mehr.
Daraus folgere ich... die Anfrage der URL geht übers VPN, dort an den Router, der gibt die DNS Anfrage raus, irgendwann sagt Quickconnect: diese IP, aber rein kommt es eben nicht ohne Portfreigabe.
In dem Fall hat der Rechner, der über VPN drin ist, ja keine IP aus dem Subnetz von Router+NAS und so kann QC da nix machen.

Im LAN kann ich jetzt nicht mehr überprüfen. Ist es evtl ein Fehler im VPN den Router Serverseitig als DNS Gateway zu benennen?

 

[wezoromax]

Was mir im Bezug zu OpenVPN aufgefallen ist: die DS generiert nur ein Zertifikat + Masterzertifikat (wenn ich es richtig verstanden habe, welches außerdem zur Verbindung gar nicht nötig ist?) - in anderen Tutorials muss man erst ziemlich umständlich Zertifikat herstellen, Private Key, Public Cert usw.
Dafür habe ich dort erstmal keine Eingabe von Zugangsdaten gesehen... Ist das dann uU inkompatibel?

Die Konf-Seite meines DD-WRT Routers sieht zum Beispiel so aus: etwas leer, und versucht auch gar nicht zu verbinden so: