Wie auf das VPN Gerät zugreifen?

[ElaCorp]

Hallo,

ich will aus der Hauptwohnung mit dem NAS auf die Kamera der Ferienwohnung zugreifen.

HauptWohnung
- Synology Router 6600 mit OpenVPN
- NAS mit WireGuard im Docker
- Synology Surveillance Station

Ferienwohnung
- externes Wifi
- mein kleiner VPN Router
- Kamera die mit dem kleinen Router verbunden ist. Geht. Auch die App zeigt das Bild.
- Wohin verbinden? OpenVPN? Oder eher WireGuard?
- Als Server, oder als Client?

Ich hab das mal mit dem Docker versucht. Die Verbindugn klappte. So konnten alle geräte darüber laufen. Aber ich konnte damals nicht aus der
Surveillance Station auf die CAM in der Ferienwohnugn zugreifen. Vermutlich weil im Docker die IP anders war oder so.

Deswegen habe ich nun im Router das VPN Packet aktiviert. Was sagt ihr. Wie macht man das nun?

 

[ElaCorp]

Mhh, ich habe nun die Kamera in das FerienWohnung VPn Router Wifi reingebracht. Es bekommt in. der App die gleiche IP wie als wäre es in meiner HauptWohnung. Obwohl es in dem anderen Wifi ist. Das kann Sinn machen. Aber die SS die bereits die Kamera kennt und auch zugreifen kan. Sieht sie nicht. Alles über WireGuard in diesem Docker. Kann es sein, dass Sie ab da , eine andere IP hat? geht das überhaupt?



Edit: Ich kann ja sogar in dem FerienhausVPNRouter Wifi auf meine SS zugreifen. Aslo die tunnelt das durch.

Und dann schaut das alles so aus:


EDIT2:
Seltsam, aber in dieser Ansicht ist folgend eIP angezeigt. Ich glaube ehr, dass diese stimmt.
Aber in der SS, kan nicht darauf zugegriffen werden. 216

 

[ElaCorp]

Und nun hab ich versucht OpenVPN zu verwenden. Aber das bekomme ich nicht einmal zum laufen.



Das Log vom FerienWohnung VPN Router sagt:

Tue Feb 25 18:44:39 2025 daemon.warn ovpnclient[842]: DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
Tue Feb 25 18:44:39 2025 daemon.notice ovpnclient[842]: OpenVPN 2.5.7 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Tue Feb 25 18:44:39 2025 daemon.notice ovpnclient[842]: library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
Tue Feb 25 18:44:44 2025 daemon.warn ovpnclient[842]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Feb 25 18:44:44 2025 daemon.warn ovpnclient[842]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Feb 25 18:44:44 2025 daemon.notice ovpnclient[842]: TCP/UDP: Preserving recently used remote address: [AF_INET]77.22.233.223:1194
Tue Feb 25 18:44:44 2025 daemon.notice ovpnclient[842]: UDP link local (bound): [AF_INET][undef]:1194
Tue Feb 25 18:44:44 2025 daemon.notice ovpnclient[842]: UDP link remote: [AF_INET]77.22.233.223:1194
Tue Feb 25 18:45:45 2025 daemon.err ovpnclient[842]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Feb 25 18:45:45 2025 daemon.err ovpnclient[842]: TLS Error: TLS handshake failed
Tue Feb 25 18:45:45 2025 daemon.notice ovpnclient[842]: SIGHUP[soft,tls-error] received, process restarting
Tue Feb 25 18:45:45 2025 daemon.warn ovpnclient[842]: WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
Tue Feb 25 18:45:45 2025 daemon.warn ovpnclient[842]: DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
Tue Feb 25 18:45:45 2025 daemon.notice ovpnclient[842]: OpenVPN 2.5.7 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Tue Feb 25 18:45:45 2025 daemon.notice ovpnclient[842]: library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
Tue Feb 25 18:45:50 2025 daemon.warn ovpnclient[842]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Feb 25 18:45:50 2025 daemon.warn ovpnclient[842]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Feb 25 18:45:50 2025 daemon.notice ovpnclient[842]: TCP/UDP: Preserving recently used remote address: [AF_INET]77.22.233.223:1194
Tue Feb 25 18:45:50 2025 daemon.notice ovpnclient[842]: UDP link local (bound): [AF_INET][undef]:1194
Tue Feb 25 18:45:50 2025 daemon.notice ovpnclient[842]: UDP link remote: [AF_INET]77.22.233.223:1194

und ich würde sagen, das die Ports damals beim einrichten automatisch freigegeben wurden. Oder?
Weil in dem manuellen Fenster hab ich den Port 1194 nicht manuell freigegeben.

 

[NSFH]

Von der Performance her würde ich ich immer Wireguard vorziehen.
ABER VPN Server und Client sind am besten im Router aufgehoben und nicht auf einem Fileserver. Du schreibst nirgendwo was dein kleiner VPN Router in der Ferienwohnung kann.
Da vermutlich die Technik in der Ferienwohnung immer läuft, würde ich diese als VPN Server laufen lassen. Mit dem Client w zu Hause wählst du dich dann nur bedarfsweise ein.

Die IP Bereiche der beiden LANs die du verbindest müssen immer unterschiedlich sein!
Der IP Cam in der Ferienwohnung würde ich eine feste P geben, damit du jederzeit direkt auf sie zugreifen kannst und sicher bist die richtige IP zu haben.

 

[ElaCorp]

Hallo @NSFH . Danke für deine Unterstützung. WireGuard habe ich halt nur im Docker auf der Synology hinter dem Synology Router. Da kommt ich nicht aus dem NAS rein. Das funktioniert. Aber ich kann nicht auf den Client dort zugreifen.

Es handelt sich um den: GL.iNet GL-MT300N-V2 (Mango)


Beachte bitte, das ich auf das Ferienhaus Wifi - AdminWebinterface keinen Zugriff habe. Ich kann mich damit verbinden. Deswegen sagten mir Menschen, dass der Router einen VPN machen muss. Soll ich versuchen, dort den OpenVPN Server einzurichten.
mhhh

EDIT: ChatGPT sagt mir, dass die OpenVPN Config Datei stark veraltet ist. -.-
EDIT2: Eventuell geht es auch nicht, weil ich jetzt für das einrichten in der HauptWohnung bin.
Der VPNRouter ist sozusagen in dem Netzwerk der Hauptwohnung. =X

 

[NSFH]

Natürlich solltest du erst mal den Open VPN Server einrichten. Wenn du von zu hause aus nicht drauf kommst musst du wohl hinfahren.
Wichtig: Dort musst du entweder eine feste IP haben oder mit dem Router DynDNS nutzen, ansonsten weiss dein Synology Router nicht mit welcher IP er sich in der Ferienwohnung verbinden soll. Vorteil wenn der Server dort ist, du kannst dich mit jedem beliebigen VPN Client dort anmelden, egal wo du bist. Musst nur die Zugangsdaten kennen.
Hast du dagegen zu Hause eine feste IP müsste man es genau umgekehrt machen. Das würde ich eher suboptimal bewerten.

Was auch möglich wäre, dass du gar nicht mit Client Server arbeitest sondern das VPN im Modus Lan2Lan betreibst. Dann sind beide ständig verbunden.

 

[Kachelkaiser]

Soweit ich das sehe, kann der kleine VPN-Router doch einen WireGuard-Server aufsetzen. Das würde ich echt bevorzugen. Dort dann jeweils von der Hauptwohnung aus eine Verbindung herstellen.

https://docs.gl-inet.com/router/en/3/tutorials/wireguard_server/

 

[NSFH]

Probiere es aus.........
Du musst ja auf der Syno kein Wireguard einrichten! Es reicht wenn du es dann als Client auf dem PC oder Smartphone machst.

 

[ElaCorp]

@Kachelkaiser und @NSFH Darf ich die Information hinzufügen, dass ich keinen Zugriff auf das Wifi in der Ferienwohnung habe. "externes Wifi" bedeutet für mich "extern, von jemanden anders." Sonst hätte ich das alles ganz anders machen können.

Deswegen habe ich hier im Forum, gelesen, man soll solch einen VPN Router verwenden. Der kann ja gerade eine VPN von sich nach außen aufbauen.

Falls ich es noch nicht ausreichen verstanden habe. Dann sagt ihr, es würde gehen, dass ich den WireGuard SEVER auf dem VPN Router in der Ferienwohnung aktiviere. Wie genau verbindet sich dann die Synology Servicelance Station aus der Hauptwohnung mit der Kammera in dem Netzwerk des VPNRouters? Wie komm ich von der Hauptwohnung, in das WireGuard Netzwerk drüben? Dafür müssten doch Ports im "externen Wifi" offen sein, oder?

Danke, dass ihr euch einsetzt. Ich weiß das sehr zu schätzen. Und versuche vieles, um mein serh individuelles Ziel zu erreichen.

 

[plang.pl]

Wie genau verbindet sich dann die Synology Servicelance Station aus der Hauptwohnung mit der Kammera in dem Netzwerk des VPNRouters?

Über den VPN-Tunnel, der zwischen beiden Routern besteht (Site to Site VPN) zum Bleistift

 

[NSFH]

Ich verstehe dein "externes" Wifi nicht.
Hast du dort keinen eigenen Internetanschluss sondern nutzt das WiFi eines Dritten?
Wenn dem so ist kannst du dort keinen VPN Server betrieben sondern nur einen Client, der sich per zB Wireguard in dein Heimnetz einwählt.
ABER dann benötigst du eine feste IP oder einen DynDNS Zugang zu deinem Heimnetz, denn man muss dem Gerät in der Ferienwohnung ja eine fixe Adresse zuweisen können, damit es sich verbinden kann. Die Verbindungsaufnahme kann also immer nur aus der Ferienwohnung heraus erfolgen.
Zu Hause musst du dann entweder im Router oder in der Syno den VPN Server laufen lassen. Vorzugsweise immer im Router.

 

[Nivea_de]

Noch ein Gedanke: Du solltest falls die Ferienwohnung nicht nur von dir betreten wird, auch die juristische Seite der Überwachung beachten.

 

[NSFH]

Warum eigentlich der Aufwand mit der Surveillance Funktion der Syno? Brauchst du wirklich ein Livebild?
Ich habe im Wohnmobil eine Cam mit Bewegungsmelder installiert. Wenn sich da bei Abwesenheit was tut sendet die Cam per Mail einige Bilder was völlig ausreichend ist.

 

[ElaCorp]

Darf ich es nochmal versuchen?

VideoAntwort:
https://youtu.be/j9dVCE3F-5o?si=WsSEXBmyvF9VGcfh


EDIT: Um Missverständnis zu vermeiden. Sowohl eine Speicherkarte, oder die Cloud-Funktion des Anbieters gehen sofort. Nun möchte ich das verbessern. Eigenes NAS verwenden, weil es schon da ist.
Und ja, wir stellen ein DSGVO Schild mit Kamera Symbol beim Eingang auf. =D
Das blau weiße, eventuell habt ihr das schon mal gesehen.
Und ja, der Hotel / Ferienhaus Anbieter hat auch Kammeras aufgestellt. =D Steht auch so im Mietvertrag drin. Eventuell kennt ihr das von AirBnB.

 

[ElaCorp]

Noch ein Gedanke: Du solltest falls die Ferienwohnung nicht nur von dir betreten wird, auch die juristische Seite der Überwachung beachten.

Haben wir. DSGVO Schild. Ich kann deine Irritation verstehen. Ein Neuer, ungewöhnlicher Umgang. Würdest du sagen dass es gegen deutsche Gesetze verstößt? Wir sind dabei, dies besonders rechtssicher zu machen. Öffentlich und transparent.

 

[NSFH]

habe mir im Schnelldurchlauf dein Video angesehen. Auf so eine Idee dass per utube zu machen muss man auch erst mal kommen. Aber nett!

So wie ich es jetzt verstanden habe hast du mit deinem Wifi Router einen Zugang zum Hotelnetzwerk und kommst so aus deiner Ferienwohnung ins Internet,
Das Problem könnte sein, was ich in vielen Hotels selbst erlebt habe, dass auch die VPN Ports durch die Firewall des Hotels geblockt sind. Du könntest dort sicher mal nachfragen, ob zB Wireguard oder VPN möglich ist. Das würde eine potentielle Problemstelle ausräumen.
Eine Lösung gäbe es dafür trotzdem: SSLVPN. Das funktioniert immer, weil es über den HTTPS Port 443 läuft. Leider kann das nicht jeder Router.

Über eines muss du dir auch im klaren sein: Der Aufbau der VPN Verbindung kann nur von der Ferienwohnung aus initiiert werden. Dafür benötigst du für zu Hause eine feste IP oder DynDNS, damit der VPN Client in der Ferienwohnung überhaupt weiss wo er sich anmelden kann.

Die Option mit der Fritzbox gefällt mir. Diese kann wenn du keine feste IP hast via AVM DynDNS machen und ist getrennt vom restlichen Netzwerk. Vorausgesetzt das Hotel lässt Wireguard zu wäre das eine saubere Verbindung, wenn du dann noch das NAS mit Firewall entsprechend schützt. Aus der Fritz auf einen zweiten LAN Port der Syno gehen und darüber den Connect zur Cam aufbauen.