Zugang über Proxy - welche Möglichkeiten?

[heinzwilhelm]

Hallo zusammen,

seit einer Woche bin ich stolzer Besitzer einer DS 213+. Ich habe lange Zeit versucht, einen Server über einen MacMini zu betreiben, hier gab es immer wieder Probleme z.B. mit dem Time Machine Backup, so dass ich mir dann nach einiger Recherche die Synology gegönnt habe. Die Einrichtung hat auch gut funktioniert und ich bin begeistert von der DS. Die DS 213+ hängt hinter einer FritzBox 7240 an einer Airport Extreme. Wir sind ein reiner Apple Haushalt und greifen mit diversen Mac´s und iOS Geräten darauf zu. Funktioniert auch alles tadellos.

Seit Tagen/Nächten bin jedoch auf der Suche nach einer Lösung für folgendes Problem (ich habe glaube ich hunderte von Forenbeiträgen dazu gelesen und blicke nicht mehr durch). Wie komme ich über unser Firmennetzwerk auf die DS? Das Firmennetzwerk läuft über einen Proxy und alle Ports außer 80, 8080 und 443 sind gesperrt. Mit unserem Admin habe ich schon gesprochen, weitere Ports dürfen nicht aufgemacht werden, sonst hat er nichts dagegen und hilft mir auch gerne weiter. Ich hatte erst versucht in der FritzBox den Port 8080 weiterzuleiten auf 5000, funktioniert nicht. Wenn ich die diversen Forenbeiträge richtig verstehe, ist die einzige Möglichkeit über open vpn. Eine open vpn Verbindung habe ich auch mittlerweile über den Mac hinbekommen, getestet über Hotspot Funktion Iphone, also nicht im Heimnetz. Jetzt hänge ich an der Modifizierung der open vpn Datei. Wenn ich es richtig verstehe, muss ich in der Konfigurationsdatei auf TCP umstellen und auf den Port 443 umleiten. Ich weiß jedoch nicht, wie ich an die Konfigurationsdatei des DS open vpn Servers herankomme. In den Wikis steht zwar etwas von Telnet, die Verbindung habe ich auch hinbekommen zur DS, aber dann blicke ich nicht mehr durch.

Ich wäre Euch sehr dankbar, wenn Ihr mir erstmal sagen könntet, ob ich auf dem richtigen Weg bin oder ob es vielleicht noch eine andere Lösung gibt? Wenn der beschriebene Lösungsansatz richtig ist, bitte um Info, wie ich auf die Konfig Datei der DS komme und was ich da wo eintragen muss. Auf dem Mac nutze ich Tunnelblick und komme klar. Auf dem Ipad/Iphone nutze ich open vpn und hier zeichnet sich wie in einem anderen Beitrag beschrieben ja wohl auch eine Lösung ab.

Danke vorab.

 

[Quertz]

Hallo,

du hast das schon soweit richtig verstanden.
Ich habe in der Firma ein ähnliches Problem und habe im Router daheim den Port 443 auf den Port 1194 der DS weitergeleitet. Wenn ihr eine einigermaßen intelligente Firewall habt, die TCP und UDP auseinanderhalten kann, wirst Du auch nicht darum herumkommen, OpenVPN (sowohl auf dem Client, also MAC oder PC, als auch auf dem Server, also DS) auf TCP umzustellen:
Die Datei dazu ist /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
Ich habe mit vi als Editor nach der dritten Zeile "proto tcp" eingefügt.

Bei mir sieht dann der Anfang der Datei so aus:

push "route 192.168.17.0 255.255.255.0"
push "route 10.0.8.0 255.255.255.0"
dev tun
proto tcp
...

Danach muss der VPN-Server (z.B. in der Paketverwaltung) gestoppt und neu gestartet werden.

Für den Client muss die xxx.ovpn Datei geändert werden:
Habe eine Zeile mit "proto tcp-client" hinzugefügt und eine weitere mit "port 443"

Das war's (glaube ich).

Viel Erfolg!

Gruß
Thomas

PS: Solche Änderungen überleben normalerweise kein Firmwareupdate der DS. Was ein VPN-Server Paketupdate angeht habe ich keine Erfahrung.

 

[heinzwilhelm]

Hallo Thomas,

danke für die Antwort.

Ich komme nicht an die Config Datei der DS ran. Verbindung mit Telnet steht, nur wenn ich dann die Zeile /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf eingebe kommt die Meldung Permission denied, ich bin als admin angemeldet. Wo liegt denn der Fehler, das andere scheint soweit klar zu sein.

Danke noch mal.

Gruß
Jörg

 

[joku]

die Meldung Permission denied, ich bin als admin angemeldet. Wo liegt denn der Fehler

Hallo Jörg, am Benutzer
Nicht admin, sondern root und das Passwort vom admin.

Gruß Jo

 

[heinzwilhelm]

Hallo Jo,

habe ich eben versucht, einloggen funktioniert auch, doch wenn ich /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf eingebe kommt wieder permission denied. Irgendwie hänge ich da fest.

Gruß
Jörg

 

[joku]

doch wenn ich /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf eingebe kommt wieder permission denied.

Hallo Jörg, Thomas hat zum bearbeiten den vi benutzt.
vi /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
Vorsicht ! bitte im wike nachlesen !
Der Bildschirmeditor vi

Gruß Jo

 

[Quertz]

nur wenn ich dann die Zeile /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf eingebe kommt die Meldung Permission denied, ich bin als admin angemeldet. Wo liegt denn der Fehler, das andere scheint soweit klar zu sein.

Lies im Wiki mal die Basics zu vi! Ich glaube, da sind die wichtigsten Befehle gelistet.
Du kannst mit cd /usr/syno/etc/packages/VPNCenter/openvpn in das Verzeichnis wechselten und dann mit vi openvpn.conf die Datei zum Editieren öffnen.
Gruß Thomas
EDIT: Da gab's wohl mit dem Beitrag direkt vor mir eine Überschneidung.

 

[heinzwilhelm]

Hallo,

danke für die geduldige Hilfe. Ich glaube, dass ich mich langsam der Lösung annähere. Die Änderung der Server Config hat funktioniert über vi. Die Client Datei habe ich auch geändert und hier hakt es glaube ich noch, ich habe folgende Einstellungen in der Client Datei:


dev tun
tls-client
proto tcp-client
port 443
http-proxy 10.49.1.253 80
remote (meine DDNS....) 1194
pull
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass

und erhalte folgende Fehlermeldung aus der Log Datei von Tunnelblick:

LZO compression initialized
2013-06-14 11:51:57 Attempting to establish TCP connection with 10.49.1.253:80 [nonblock]
2013-06-14 11:51:58 TCP connection established with 10.49.1.253:80
2013-06-14 11:51:58 HTTP proxy returned bad status
2013-06-14 11:51:58 SIGTERM[soft,init_instance] received, process exiting
2013-06-14 11:51:58 *Tunnelblick: Flushed the DNS cache

 

[Quertz]

Hallo,
in der Zeile

remote (meine DDNS....) 1194

sollte die 1194 herausgenommen werden. Du willst ja gerade nicht Port 1194 ansprechen sondern 443. Und der Port 443 wurde ja schon weiter oben definiert.

Zu

http-proxy 10.49.1.253 80

kann ich nix sagen. Habe ich bei mir nicht.


Ebenso habe ich

reneg-sec 0

mit einem # auskommentiert.

Ist die Weiterleitung im Router von Port 443 auf Port 1194 der DS eingestellt?

Gruß
Thomas

 

[Puppetmaster]

Ich hatte erst versucht in der FritzBox den Port 8080 weiterzuleiten auf 5000, funktioniert nicht.

Was heißt "funktioniert nicht"?
Wenn der Port 8080 wirklich offen ist sollte das gehen. In meiner Firma ist es genau dasselbe und es geht.
Was bekommst du denn für eine Fehlermeldung wenn du dann mit http://domain.deiner.ds:8080 zugreifst?

 

[heinzwilhelm]

Hallo,

ja, den Port 443 habe ich in der FritzBox weitergeleitet. Nachdem ich die von Dir empfohlenen Änderungen vorgenommen habe, bekomme ich folgende Meldung:

HTTP proxy returned bad status
2013-06-14 12:49:47 SIGTERM[soft,init_instance] received, process exiting

Gruß Jörg

 

[heinzwilhelm]

Was heißt "funktioniert nicht"?
Wenn der Port 8080 wirklich offen ist sollte das gehen. In meiner Firma ist es genau dasselbe und es geht.
Was bekommst du denn für eine Fehlermeldung wenn du dann mit http://domain.deiner.ds:8080 zugreifst?

Hier kam der Anmeldedialog und dann bin ich auf die Photo Station gekommen. Kann es gerade nicht mehr nachvollziehen, da ich die Weiterleitung wieder deaktiviert habe.

 

[Quertz]

HTTP proxy returned bad status
2013-06-14 12:49:47 SIGTERM[soft,init_instance] received, process exiting

Mit Proxies kenne ich mich nicht wirklich aus.
Ich gehe davon aus, dass Du die Proxy-IP-Adresse und Port-Nummer von Eurem Admin bekommen hast, oder?
Evtl. würde ich die Zeile mit dem Proxy einmal auskommentieren (mit #), vielleicht geht es ja auch ohne.

Gruß
Thomas

 

[Puppetmaster]

Hier kam der Anmeldedialog und dann bin ich auf die Photo Station gekommen.

Dann scheint's doch schonmal zu funktionieren.
Ich wüßte jetzt erstmal keinen zwingenden Grund warum das nicht funktionieren sollte.

 

[fpo4711]

Hallo heinzwilhelm,

es sieht so aus das der Proxy HTTP CONNECT verhindert. Dies ist in Firewall/Proxy Umgebungen durchaus üblich. Das solltest Du mit eurem Admin klären. Ansonsten ist wohl der einfache Weg per Portweiterleitung meist die einzige Möglichkeit da halbwegs funktionstüchtig durch zukommen.

Gruß Frank

 

[heinzwilhelm]

Hallo Frank,

so langsam befürchte ich auch, dass ich leider die Segel streichen muss. Portweiterleitung wird der Admin nicht machen, hat große Sicherheitsbedenken.

Gruß Jörg

 

[fpo4711]

Ich meinte das wie Puppetmaster schon beschrieben hat mit den vorhandenen Ports per HTTP und der entsprechenden Oberfläche der DS.

Gruß Frank

Edit: HTTP CONNECT ist für den VPN-Tunnel zwingend nötig.

 

[fpo4711]

Probieren könntest Du auch aus der Firma mal den Testrechner von Synology aufzurufen.

Link

Dann weißt Du wie weit dich der Proxy eventuell einschränkt. Falls das funktioniert, sollte der Rest auch von Dir zu konfigurieren sein.

Gruß Frank

Oh sorry, das war geistiger Durchfall. Sehe gerade das Synology auch für den Testrechner den Port 5000 nutzt.

 

[heinzwilhelm]

Guter Hinweis. Leider wird keine Verbindung hergestellt. Time out - Port 5000 ist dicht.

Gruß Jörg

 

[Quertz]

Edit: HTTP CONNECT ist für den VPN-Tunnel zwingend nötig.

Wenn ich das richtig verstehe, ist es aber nicht wirklich praktisch, den auf Port 443 zu blocken, oder? Dann dürften HTTPS Verbindungen doch auch nicht mehr gehen?!
Ganz zu Anfang schrieb heinzwilhelm, dass Port 443 (sowie 80 und 8080) offen sei(en).

Gruß
Thomas