OpenVPN und der Weg zurück ... nur für harte Nerven :-)

[godlaya]

Hallo Zusammen,

Ich habe erfolgreich OpenVPN auf einer entfernten Synology eingerichtet. Ich kann die entfernte Synology sowie das ganze entfernte Netzwerk anpingen.

Wähle ich mich mit Teamviewer auf einen dieser entfernten Server ein, kann ich aber nicht zurückpingen ... wie auch - der entfernte Server benutzt ja seinen eigenen Gateway.

Ich habe nun schon alle Möglichen "route add" Kombinationen auf diesem Server ausprobiert, leider bisher ohne Erfolg. Kann die Synology überhaupt als "OpenVPN Router" funktionieren?

Vielleicht hat jmd von Euch einen Tipp für mich ... hier der Netzwerkaufbau:

Mein PC 192.168.0.30 -> OpenVPNClient IP 10.8.0.6 -> Internet -> Router -> Synology OpenVPN Server IP 192.168.100.250 im Netz 192.168.100.0
Wenn ich jetzt von einem Server im Netz 192.168.100.0 versuche auf meinen PC zu gelangen finden die Pakete keinen Weg.

vg, Kai

 

[MMD*]

Hallo,

Willst du das die Clients einander "sehen" kunnen?
Wie seht der config vom Server und Client aus?

 

[fpo4711]

Hallo godlaya und willkommen im Forum,

um von der Serverseite auf die Clientseite zuzugreifen ist einiges an Handarbeit nötig. Erstens muß dem VPN-Server gesagt werden welches Netz sich auf der Clientseite befindet, das Routing auf dem VPN-Server definiert und zuletzt noch dem Clienten das er das entsprechende Netz über den VPN-Server erreichen kann. Alles in allem einiges an Handarbeit und nur durch manuelle Anpassung der Configs möglich.

Hier ist der Weg beschrieben.

Gruß Frank

 

[godlaya]

Hi MMD, Hi Frank,

erstmal danke für den Link. Ich hab mich soweit durch den Forumsbeitrag durchgearbeitet.

Leider funktioniert es noch nicht. Hier nochmal kurz die Eckdaten:

Serverseite:

Netz: 192.168.100.0
GW: 192.168.100.254
DS412+:  192.168.100.236

Clientseite

mein PC: 192.168.0.142
GW: 192.168.0.1

- ccd Verzeichnis unter /var/packages/VPNCenter/etc/openvpn ist angelegt
- admin (logt sich über OpenVPN ein) Datei im obigen Verzeichnis mit folgendem Inhalt angelegt:

iroute 192.168.0.0 255.255.255.0

- overwriteccfiles=false in radiusplugin.cnf unter /var/packages/VPNCenter/target/etc/openvpn so gesetzt
- folgender Eintrag unter der /var/packages/VPNCenter/etc/openvpn/openvpn.conf gesetzt

route 192.168.0.0 255.255.255.0
client-config-dir ccd
client-to-client

- !Was ist mit dieser Config? ---> /var/packages/VPNCenter/target/etc/openvpn/openvpn.conf
- OpenVPN Paket auf der DS per Fernwartung gestopt und wieder ausgeführt

Im Servernetz auf einem Server 192.168.100.11 folgenden route add Befehl ausgeführt:

route add 192.168.0.0 MASK 255.255.255.0 192.168.100.236 -p

Anschließend habe ich versucht von diesem Server 192.168.100.11 auf meinen PC zu pingen
- ping 192.168.0.142 --> ohne Erfolg

Dann habe ich einen tracert auf 192.168.100.142 gemacht und folgendes erhalten

tracert 192.168.0.142
Routenverfolgung zu 192.168.0.142 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  ds412p.firmendomain.local [192.168.100.236]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
... 
30     *        *        *     Zeitüberschreitung der Anforderung.

Der neue GW 192.168.100.236 wird wohl akzeptiert, aber von der DS gehts nicht weiter ...

Habt Ihr noch einen Tipp?

DMS Version: DSM 5.2-5592 Update 4

Noch eine Info: Ich wähle micht mittels OpenVPN Client auf der DS ein.

VG, Kai

 

[fpo4711]

Hallo Kai,

also einen Fehler kann ich in deiner Beschreibung nicht entdecken. Deshalb hier mal ein paar Checkpoints für dich. Alles nach aufgebauter VPN-Verbindung.

Auf der VPN-Serverseite sollten folgende Routen vorhanden sein (sofern Tunnel-Subnetz Standard 10.8.0.0) :

10.8.0.0      10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2      *               255.255.255.255 UH    0      0        0 tun0
192.168.100.0 *               255.255.255.0   U     0      0        0 eth0
192.168.0.0   10.8.0.2        255.255.255.0   UG    0      0        0 tun0

Auf der VPN-Clientseite sollten folgende Routen vorhanden sein:

10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
192.168.100.0   10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0

Und zur Sicherheit nochmals einen Blick in das File admin im ccd Verzeichnis werfen ob auch wirklich noch alles drin steht. Auf Groß-/Kleinschreibung beim Namen achten Admin ist etwas anderes als admin.

Und zu Letzt wenn alles korrekt. Z.Bsp. auf der Serverseite das Log aktivieren. Doppelkreuz vor folgender Zeile in der Config entfernen.

#log-append /var/log/openvpn.log

Sollte eigentlich durch den Start des VPN-Servers automatisch aktiviert werden. Aber zur Sicherheit auch mal checken ob das Forwarding aktiviert ist. Bei

cat /proc/sys/net/ipv4/ip_forward

sollte eine 1 rauskommen.

Gruß Frank

 

[godlaya]

Hi Frank,

bin das mal durchgegangen. Nur noch mal kurz erwähnt. Ich logge mich über meinen PC via OpenVPN Gui ein. Deswegen sieht die Routingtabelle vom Client anders aus.

Server Seite die DS412p:

DS412p> route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.100.254 0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.0.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.100.251 255.255.255.0   UG    0      0        0 eth0
192.168.5.0     192.168.100.251 255.255.255.0   UG    0      0        0 eth0
192.168.100.0   *               255.255.255.0   U     0      0        0 eth0

ich würde sagen, dass passt soweit

Clientseite mein PC

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.142     25
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     20
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    276
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    276
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    276
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.0.0    255.255.255.0   Auf Verbindung     192.168.0.142    281
    192.168.0.142  255.255.255.255   Auf Verbindung     192.168.0.142    281
    192.168.0.255  255.255.255.255   Auf Verbindung     192.168.0.142    281
    192.168.100.0    255.255.255.0         10.8.0.5         10.8.0.6     20
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.0.142    281
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    276
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.0.142    281
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    276
===========================================================================
Ständige Routen:
  Keine

könnte auch passen oder?

Das ccd Admin / admin file habe ich umbenannt aber ohne Erfolg. Ich habe auch den OpenVPN User bei der Anmeldung einmal Admin / admin geschrieben. Alle Kombinationen laufen nicht
--> Es gibt auch ein admin File auf der selben Ebene wie der Ordner ccd, diese Datei hat folgenden Inhalt

ifconfig-push 10.8.0.6 255.255.255.0

cat /proc/sys/net/ipv4/ip_forward

sollte eine 1 rauskommen. JA, 1 kommt raus

Die LOG Datei

log-append /var/log/openvpn.log

sagt folgendes:

Sat Sep 26 23:19:38 2015 OpenVPN 2.3.6 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Apr 29 2015
Sat Sep 26 23:19:38 2015 library versions: OpenSSL 1.0.1p-fips 9 Jul 2015, LZO 2.08
Sat Sep 26 23:19:38 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1195
Sat Sep 26 23:19:38 2015 WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Sat Sep 26 23:19:38 2015 RADIUS-PLUGIN: Configfile name: /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf.
Sat Sep 26 23:19:38 2015 PLUGIN_INIT: POST /var/packages/VPNCenter/target/lib/radiusplugin.so '[/var/packages/VPNCenter/target/lib/radiusplugin.so] [/var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT 
Sat Sep 26 23:19:38 2015 Diffie-Hellman initialized with 1024 bit key
Sat Sep 26 23:19:38 2015 WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate
Sat Sep 26 23:19:38 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Sat Sep 26 23:19:38 2015 ROUTE_GATEWAY 192.168.100.254/255.255.255.0 IFACE=eth0 HWADDR=00:11:32:28:c3:01
Sat Sep 26 23:19:38 2015 TUN/TAP device tun0 opened
Sat Sep 26 23:19:38 2015 TUN/TAP TX queue length set to 100
Sat Sep 26 23:19:38 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Sep 26 23:19:38 2015 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sat Sep 26 23:19:38 2015 /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sat Sep 26 23:19:38 2015 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sat Sep 26 23:19:38 2015 UDPv6 link local (bound): [undef]
Sat Sep 26 23:19:38 2015 UDPv6 link remote: [undef]
Sat Sep 26 23:19:38 2015 MULTI: multi_init called, r=256 v=256
Sat Sep 26 23:19:38 2015 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Sat Sep 26 23:19:38 2015 Initialization Sequence Completed
Sat Sep 26 23:20:16 2015 ::ffff:XXX.XXX.XXX.XXX(62109) TLS: Initial packet from [AF_INET6]::ffff:XXX.XXX.XXX.XXX:62109, sid=3be2fb9e 69078b79
Sat Sep 26 23:20:16 2015 RADIUS-PLUGIN: FOREGROUND THREAD: Auth_user_pass_verify thread started.
Sat Sep 26 23:20:16 2015 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Sat Sep 26 23:20:17 2015 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Sat Sep 26 23:20:17 2015 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false 
.Sat Sep 26 23:20:17 2015 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Sat Sep 26 23:20:17 2015 ::ffff:XXX.XXX.XXX.XXX(62109) PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Sat Sep 26 23:20:17 2015 ::ffff:XXX.XXX.XXX.XXX(62109) TLS: Username/Password authentication succeeded for username 'Admin' [CN SET]
Sat Sep 26 23:20:17 2015 ::ffff:XXX.XXX.XXX.XXX(62109) Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Sep 26 23:20:17 2015 ::ffff:XXX.XXX.XXX.XXX(62109) Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Sep 26 23:20:17 2015 ::ffff:XXX.XXX.XXX.XXX(62109) Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Sep 26 23:20:17 2015 ::ffff:XXX.XXX.XXX.XXX(62109) Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Sep 26 23:20:17 2015 ::ffff:XXX.XXX.XXX.XXX(62109) Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA
Sat Sep 26 23:20:17 2015 ::ffff:XXX.XXX.XXX.XXX(62109) [Admin] Peer Connection Initiated with [AF_INET6]::ffff:XXX.XXX.XXX.XXX:62109
Sat Sep 26 23:20:17 2015 Admin/::ffff:XXX.XXX.XXX.XXX(62109) MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Sat Sep 26 23:20:17 2015 Admin/::ffff:XXX.XXX.XXX.XXX(62109) PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Sat Sep 26 23:20:17 2015 Admin/::ffff:XXX.XXX.XXX.XXX(62109) OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_d4f3681bab5bf8c5e604d2809421550c.tmp
Sat Sep 26 23:20:17 2015 Admin/::ffff:XXX.XXX.XXX.XXX(62109) MULTI: Learn: 10.8.0.6 -> Admin/::ffff:XXX.XXX.XXX.XXX(62109)
Sat Sep 26 23:20:17 2015 Admin/::ffff:XXX.XXX.XXX.XXX(62109) MULTI: primary virtual IP for Admin/::ffff:XXX.XXX.XXX.XXX(62109): 10.8.0.6
Sat Sep 26 23:20:19 2015 Admin/::ffff:XXX.XXX.XXX.XXX(62109) PUSH: Received control message: 'PUSH_REQUEST'
Sat Sep 26 23:20:19 2015 Admin/::ffff:XXX.XXX.XXX.XXX(62109) send_push_reply(): safe_cap=940
Sat Sep 26 23:20:19 2015 Admin/::ffff:XXX.XXX.XXX.XXX(62109) SENT CONTROL [Admin]: 'PUSH_REPLY,route 192.168.100.0 255.255.255.0,route 10.8.0.0 255.255.255.0,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.8.0.6 10.8.0.5' (status=1)

--> XXX.XXX.XXX.XXX ist meine externe IP am Clientstandort
--> TLS: Username/Password authentication succeeded for username 'Admin' [CN SET] ... A vom Admin doch großgeschrieben?!
--> [Admin] Peer Connection Initiated with [AF_INET6]::ffff:XXX.XXX.XXX.XXX:62109 ... wird der PORT vielleicht von einem Router geblockt?
--> MULTI: Learn: 10.8.0.6 -> Admin/::ffff:XXX.XXX.XXX.XXX(62109)
--> MULTI: primary virtual IP for Admin/::ffff:XXX.XXX.XXX.XXX(62109): 10.8.0.6 ... Admin wieder mit großem A

VG, Kai

PS: noch eine Idee?

 

[fpo4711]

Hallo Kai,

dein Problem ist, daß das ccd File nicht verarbeitet wird. Folgende Einstellungen beeinflussen dies:

In der openvpn.conf gibt folgende Zeile an wo sich die Files für die Client-Konfiguration befinden.

client-config-dir ccd

Wenn Du dich also mit "Admin" anmeldest. Dann muß dort auch ein File mit dem Namen Admin vorhanden sein. In diesem File sollte folgendes stehen:

iroute 192.168.0.0 255.255.255.0

Wird dieses File verarbeitet, wirst Du im LOG folgende Zeile finden

OPTIONS IMPORT: reading client specific options from: ccd/Admin

darauf folgend dann auch Zeilen mit den entsprechenden Optionen.

In deinem jetzigen Fall ist dies nicht der Fall, weshalb dann auch der OpenVPN-Server nicht weiß was sich hinter dem Tunnel befindet. Das fälschlicherweise vorhandene File "Admin" auf der Ebene des ccd Ordners würde ich auch wieder löschen. Und manchmal wirkt ein Neustart der DS Wunder. Auch ist das Radiusplugin jetzt so konfiguriert das es die ccd's nicht überschreibt. Also overwriteccfiles ist völlig korrekt eingestellt. Sollte also nur noch eine Kleinigkeit mit dem cc-File sein.

Gruß Frank

 

[godlaya]

Hallo Frank,

also ...

diese Zeilen:

route 192.168.0.0 255.255.255.0
client-config-dir ccd
client-to-client

sind und waren in der openvpn.conf vorhanden :-(

Ich lösche nun das Admin File auf der Ebene von ccd und starte die DS neu.

Was ist eigentlich mit der openvpn.conf im Verzeichnis:

/var/packages/VPNCenter/target/etc/openvpn

nach dem Neustart ist es wie gehabt ... es pingt nicht ...

allerdings steht nun folgende Zeile im Log

OPTIONS IMPORT: reading client specific options from: ccd/admin

Ich habe die openvpn.conf im Verzeichnis:

/var/packages/VPNCenter/target/etc/openvpn

der openvpn.conf im Verzeichnis

/var/packages/VPNCenter/etc/openvpn

angepasst.

Der Ping funktioniert nicht ... wieso ich immer so auf icmp versessen bin ;-)
!!! Allerdings wissen die Server nun anscheinend wie der Weg zurück geht !!!, obwohl kein Routeneintrag unter den permanenten oder aktiven Routen existiert?!

Lieber Frank,
vielen Dank für Deine Hilfe ... wir sehen uns

 

[MMD*]

Hallo,

openvpn.conf im Verzeichnis /usr/syno/etc/packages/VPNCenter/openvpn ist die richtige.

 

[Ameisentaetowierer]

Ist eigentlich auf dem Client ebenfalls das forwarding aktiviert?
Habe von Windows keine Ahnung, ist aber bestimmt so ein registry-hack

 

[joha1908]

Hallo zusammen,

ich habe es Dank der Anleitungen hier hinbekommen, dass meine Client-DS mit ihrer lokalen IP-Adresse erreichbar ist.
D.h. es lassen sich jetzt bspw. Backups von der Server-DS auf die Client-DSüber die lokale IP der Client DS durchführen.

Habe aber jetzt mit anderen Clients Probleme!
Mein Aufbau sieht folgendermaßen aus:
DS am Standort A als OpenVPN-Server: lokales Netz 192.168.2.0, Tunnel-Netz 192.168.50.0.
DS am Standort B als OpenVPN-Client: lokales Netz 192.168.10.0.

Nun kann ich mich mit meinem Windows-PC vom Standort B aus als VPN-Client erfolgreich einloggen, kann aber DSM, FileStation etc. der DS vom Standort A nicht über den Browser öffnen.
Auch der Zugriff aufs Internet funktioniert nicht mehr. Vor der o.g. Änderung der Konfigurationen hat iegtnlich alles funktioniert.
SMB-Freigaben der DS vom Standort A hingegen lassen sich problemlos öffnen oder auch Anpingen der DS am Standort A funktioniert problemlos.
Logge ich mich mit dem Windows-PC auf dem OpenVPN-Server der DS bei einem Kollegen am Standort C ein, funktioniert Internet als auch der Browser-Zugriff auf seine DS.

Wo könnte der Fehler liegen?

Gruß
joha

 

[joha1908]

Tracert-Befehl an den Router im entfernten Server-Netz (192.168.2.1) vom Windows-PC aus bei aktivierter VPN-Verbindung liefert:

Routenverfolgung zu 192.168.2.1 über maximal 30 Hops

1 * 43 ms 43 ms DISKSTATION214 [192.168.50.1]
2 * * * Zeitüberschreitung der Anforderung.
....

Bis zur Server-DS im entfernten Netz komme ich, danach gehts nicht mehr weiter.
Ist das ein Nebeneffekt der veränderten Config-Files zum Ansprechen der Client-DS mit ihrer lokalen IP-Adresse?

Kann mir jemand weiterhelfen?

Danke.

 

[joha1908]

Vllt. kann mir doch einer einen Tipp geben?

 

[joha1908]

bin immer noch nicht weitergekommen :|