Zwei entfernte Diskstations und Surveillance Station miteinander koppeln?

[SoniX]

Hallo,

Ich habe bei mir Zuhause einige Synology Produkte. Und nun habe ich entfernt eine weitere Diskstation aufgestellt.
Auf der entfernten Diskstation soll bloß die Surveillance Station laufen. Eine Cam ist hierzu direkt mit der DS verbunden.
Das habe ich Zuhause getestet und das hatte auch funktioniert.

Ich hätte nun gerne dass sich diese entfernte Diskstation mit meinem Heimnetzwerk mittels VPN verbindet, sodass ich auf diese ganz normal zugreifen kann wie auf jede andere im eigenen Netzwerk. Ist es ein Problem wenn diese durchgehend verbunden ist? Gibt das Performanceeinbußen?

Ich habe dazu schon ein VPN Konto auf der entfernten Diskstation angelegt und im Router VPN aktiviert.
Leider habe ich keinen PC bei der entfernten Diskstation, was die Administration doch schwierig gestaltet.

Laut Synology Router sollten die verbundenen VPN Geräte die IPs 10.0.2.1, 10.2.0.2 etc bekommen.
Ich komme aber nicht auf die Surveillance Station.

Ich selbst bin nun wieder an einem dritten Ort und mittels VPN verbunden. Ist das ein Problem?
Kann man überhaupt aus einem VPN auf ein anderes VPN zugreifen?

Irgendwie ist mir das alles gerade ein wenig zu hoch.

Was muss ich genau machen?

Diskstation VPN aktivieren, VPN im Router aktivieren, Diskstation automatisch verbinden lassen, Surveillance Station Ports freigeben und an.... ja welche IP?... weiterleiten?

Kann ich einen fixe VPN IP zuweisen für die externe Diskstation? Ich habe ja mehrere Geräte im VPN welche die IP dynamisch bekommen. Für eine Portweiterleitung bräuchte ich doch aber eine fixe IP.

Oder andere Ideen?

Danke für euren Input!!

 

[TheGardner]

Schreibs immer wieder gern: Ich nutze die ganze VPN Sache an den DiskStations gar nicht, sondern habe die Router (Fritzbox) untereinander mittels deren eigenen VPN verbunden. So sehen sich die DiskStationen via IPs und sind so über Netzlaufwerke verbunden. Wahrscheinlich ginge sogar, dass entfernte Kameras direkt an die heimische Surveillance Station berichten!

Falls Du also auch Fritzboxen im Einsatz hast, meld Dich nochmal!

 

[SoniX]

Wäre ne gute Idee wenn ich Fritzboxen hätte.
Ich habe auf der einen Seite, Zuhause, einen Synology Router. Der beherrscht das auch wunderbar.

Allerdings ist auf der entfernten Seite eine Zyxel Zywall. Und da bekomme ich ohne Studium nichtmal n VPN ans laufen. Habe ich in der Vergangenheit schon öfter probiert. Diese Teile sind sowas von komplex und kompliziert, da werden selbst einfachste Aufgaben zur unlösbaren Hürde :-(

Darum dachte ich der einfachste Weg wäre wenn sich die entfernte Diskstation einfach mit meinem Router zuhause verbindet.

PS: Fast vergessen. Das entfernte Netz soll getrennt bleiben. Bloß die DS soll sich verbinden.

PPS: Ist es technisch überhaupt machbar einen Port an einen VPN Client weiterzuleiten? Also abgesehen von der dynamischen IP Geschichte.

 

[TheGardner]

Müsste machbar sein! D.h. Du musst ein VPN Netz auf Deiner Seite (DS) aufspannen, mit dem sich die entfernte DS verbinden soll! Dazu müsstest Du dann im Router (Deiner Seite) nur den entsprechenden Port durchleiten, auf dem sich die entfernte DS zur eigenen DS verbinden soll. Bei OpenVPN ist das dann 1194 (wenn mich nicht alles täuscht). Was oder ob am Zyxel etwas eingestellt wird, ist glaub ich egal, da der ja die entfernte DS aus seinem Netz funken lässt.

 

[elevator]

Ich habe versucht aus deinen Informationen folgende Darstellung zu basteln. Ist das so richtig?

 

[TheGardner]

Ist so okay, obwohl natürlich jeglicher Zugriff immer durch die Router erfolgt!

Zum Verständnis noch: Das VPN Netz wird natürlich mit einer eigenen IP Struktur aufgespannt, d.h. Deine DS ist in diesem Netz dann die 10.8.0.1 (VPN Server) und die beiden anderen Standorte bekommen dann eigene VPN IPs (z.B. 10.8.0.5 und 10.8.0.6 // Client 1 und Client 2) mit denen sie dann mit Deiner DS (und nur der) verbunden sind! Daß das Ganze durch die Router und durchs Internet geschleift wird merkt das VPN Netz an sich nicht!

 

[SoniX]

Wooow.. soviel Hilfe! Fantastisch

Ja, das Bild kommt hin. Ein Bild sagt manchmal mehr als tausend Worte.

Ich habe gestern noch gewerkelt und es irgendwie auf die Reihe bekommen. Ich glaube der Fehler lag daran dass die Surveilance Station als Standard Port 5000 nimmt, der war aber schon vergeben. Habe sie nun auf Port 9900 aktiviert und den Port an 10.2.0.1 weitergeleitet.

Dann habe ich eine Subdomain erstellt und diese per CNAME mit dem Synology Dyndienst verknüpft (die entfernte Diskstation hat keine fixe IP). Auf meinem Webserver habe ich dann mittels htaccess eine Weiterleitung der Subdomain (cam.domain.tld) auf den Port (domain.tld:9900) eingerichtet.

Eigentlich ist der Dyndienst umsonst, da sich die entfernte DS sowieso automatisch per VPN verbindet, aber ohne dem klappt es nicht.

Nun kann ich mittels Subdomain auf die Surveilance Station zugreifen. Klappt!! )

Ist IPsec als VPN okay oder sollte ich auf OpenVPN wechseln?

Und kann man der VPN DS eine fixe IP zuweisen?

Ihr seid toll! Danke!

 

[TheGardner]

Die VPN DS brauch eigentlich keine fixe IP! So wie es läuft läuft, es doch gut! Bei openVPN hättest Du wahrscheinlich den ganzen CNAME und Port Quatsch nicht gebraucht, da dort der Client sich auch zu einem DNS-Namen:1194 verbinden lässt! Und solange der VPN Server immer per DynDNS Namen irgendwo im Netz erreichbar ist, brauchts eigentlich keiner festen IPs.

 

[SoniX]

Da steige ich nichtmehr durch.

Ok, VPN DS lässt sich mittels Port 1194 direkt erreichen. Das DSM ist aber auf 5000/5001 erreichbar, die Surveilance Station auf 9900.

Auf Port 1194 würde die DS ja garnicht ansprechen, 1194 hat ja nur der Router offen.

Denkfehler?

Port 1194 kann ich auch nicht weiterleiten, der Router soll die VPN Anfrage ja annehmen.

 

[TheGardner]

Das Ganze läuft so ab:

- VPN Client verbindet sich mit VPN DS auf deren Port 1194 --> Handshake --> Verbindung hergestellt
- jetzt kannst Du mittels Browser eine Verbindung zur DS-IP auf Port 5000 oder 5001 eingeben und Dich verbinden --> Im Browser müsste nun die Login Maske der DS zu sehen sein
- gleiches gilt für die Suveillance Station auf Port 9900

die VPN Sache wird auf Netzwerkebene abgehandelt, die DS Sachen auf Browser Ebene!

Was sein könnte, dass Du noch sogenannte Routingregeln erstellen musst, dass das VPN Netzwerk zum Beispiel weiß, dass es neben dem 10.8....er VPN Netz noch ein zweites (bzw. drittes) auf 192.168.1.0 erreichen kann.
Man kann allerdings auch stumpf die VPN-IP der DS nehmen, wenn man nur die DS Oberfläche erreichen will --> http://10.8.0.1:5000 oder https://10.8.0.1:5001 (wenn die DS die VPN IP 10.8.0.1 hat).

 

[SoniX]

Stimmt. Denkfehler meinerseits.

Andererseits klappt das nur intern.
Wenn ich von extern zugreifen möchte brauche ich wieder eine Portweiterleitung.

Da ich mehrere Diststations habe, jeweils für unterschiedliche Dienste, ist Port 5001 (5000 unverschlüsselt ist dicht) schon in Verwendung.
Ich nutze also Port 9900 für die Surveilance Station. 9900 wird nun vom Router an die VPN DS weitergeleitet. Das klappt soweit auch.
Was passiert wenn ich ein zweites VPN aufspanne und die VPN DS eine andere IP Adresse bekommt hatte ich bis jetzt nicht. Dann dürfte das Konstrukt aber nichtmehr laufen.

Damit ich mir bei den Mengen an Diensten nicht die Ports merken muss nutze ich Subdomains.
Damit diese funktionieren muss ich sie im DNS Interface meiner Domain angeben.
Und dann noch eine entsprechende Weiterleitung am Webserver mittels htaccess von der Subdomain auf die Domain inkl. Port.

Komplexes Konstrukt, ich weiß. Klappt aber und ich habe noch keinen einfacheren Weg gefunden. Leider kann ich die Ports nicht direkt im DNS Interface eingeben. Das würde es vereinfachen.

 

[TheGardner]

Andererseits klappt das nur intern.
Wenn ich von extern zugreifen möchte brauche ich wieder eine Portweiterleitung.

oder ebenfalls als Client mit der VPN DS verbinden, dann nicht!

Da ich mehrere Diststations habe, jeweils für unterschiedliche Dienste, ist Port 5001 (5000 unverschlüsselt ist dicht) schon in Verwendung.

Könntest die Portweiterleitung auch so einrichten:

DS1 - 5001 <---> Router Port 50001
DS2 - 5001 <---> Router Port 50002
...
DS9 - 5001 <---> Router Port 50009

Ich nutze also Port 9900 für die Surveilance Station. 9900 wird nun vom Router an die VPN DS weitergeleitet. Das klappt soweit auch.

Wenn Du einmal per VPN in Deinem Netzwerk bist, brauchst Du den Router nicht mehr beachten. D.h. Du würdest alle Maschinen an deren Ports sehen, wenn Du nur deren VPN IPs weisst. Irgendwas mit DNS Namen und Subdomains funktioniert dann aber nur mit großem Aufwand - nämlich dem, dass Du für alles eine Portweiterleitung einrichten musst - immer mit einem anderen Port, weil Dopplungen ja nicht gehen!

Was passiert wenn ich ein zweites VPN aufspanne und die VPN DS eine andere IP Adresse bekommt hatte ich bis jetzt nicht. Dann dürfte das Konstrukt aber nichtmehr laufen.

würde ich nicht machen! Ich würde alles in ein VPN Netz bringen! Also alles und jedes muss ich bei der VPN DS anmelden! Du als User genauso (von draußen).

Damit ich mir bei den Mengen an Diensten nicht die Ports merken muss nutze ich Subdomains.
Damit diese funktionieren muss ich sie im DNS Interface meiner Domain angeben.
Und dann noch eine entsprechende Weiterleitung am Webserver mittels htaccess von der Subdomain auf die Domain inkl. Port.

Riesen Aufwand für wenig Leistung! Und haste irgendwo dann mal nen Fehler, dann suchst Du auf zig Ebenen, wieso das nicht funktioniert! Da wäre es besser alles in einem VPN Netz zu veranstalten und wenn nur Dein Rechner der Rechner ist, der auf alles schauen soll, dann dessen host Datei unter C:\Windows\system32\drivers\etc\ nach diesem Muster editieren:

10.8.0.1 Master DS
10.8.0.2 Camera1
10.8.0.3 Camera2
10.8.0.4 Camera3
10.8.0.5 DS2
10.8.0.6 DS3
10.8.0.7 GerätX
10.8.0.8 GerätY
10.8.0.9 GerätZ

Dann musste im Browser immer nur eingeben http://GerätX:5001 oder http:Camera2:9900 - wäre sowas ähnliches wie DNS oder Domainweiterleitungen - nur quasi ohne Kohle zu bezahlen! Statt GerätX oder Camera3 könnteste auch nen String wie eine subdomain eintragen, wie beispielsweise camera3.deine-domain.de
Regel ist natürlich, dass Du das Ganze nur auf Deinem Rechner veranstaltest und kein anderer das brauch um durchzusehen! Es ginge auch bei einer weiteren Person bzw. Gruppe von Personen, aber dann musst Du deren host Dateien auch anpassen bzw. immer dann Änderungen bei allen vornehmen, wenn Du es bei Dir auch getan hast!

 

[TheGardner]

Hier mal nochmal nen schneller handgemachter Überblick:



Du könntest also alle Geräte per VPN anmelden, oder aber erstellst noch Routingtabellen, in denen z.B. gesagt wird, dass das Netz 10.8.0.0 mit dem Netz (im eigenen Haushalt) 192.168.1.0 verbunden ist!

Dann könnte beispielsweise das Gerät (externe Camera1) von dem KlientPC über http://camera1.deine-domain.de:9900 erreicht werden, wenn in Deiner Hostdatei der Eintrag

10.8.0.3                  camera1.deine.domain.de

vorhanden ist!

Ich würde das nach und nach aufsetzen! Dann behältst Du den Überblick und würdest auch später bei evt. Fehlerszenarien nicht wahnsinnig werden!

Fakt ist: Sind erstmal alle externen Gerätschaften per VPN mit der MasterDS verbunden, dann ergibt sich quasi ein Netz "hinter dem Router, ABER im eigenen Haushalt" so dass Du den Router quasi nicht mehr beachten musst! Du sitzt im eigenen Haus (und das obwohl Du vielleicht grade im Urlaub in Neuseeland bist) und musst gar nicht wegen irgendwelcher Verbindungen erstmal raus ins Internet.

Mit Fritzboxen ginge das noch einfacher (ohne bzw. mit sehr wenig Hintergrundwissen) zu bewerkstelligen. Am Ende sind die Boxen aus X Haushalten alle zusammen geschlossen und Du erreichst alles über eine festgelegte IP, als wäre es in Deinem Zimmer neben Dir aufgebaut!
Machst Du dann noch den ganzen Schreibkrempel in der hosts Datei, dann fühlt sich das alles am Ende auf Deinem Rechner an, als ob Du da zig Subdomains und Namen registriert hast und über die dann halt auf alles zugreifen kannst.

 

[SoniX]

Was du dir für Mühe gibst Bin begeistert Danke hierfür.

Das VPN Konstrukt welches ich bisher hatte, ist zusammengebrochen.
Eine Weile lief es ganz gut, auch wenn ich pro Stunde zwei bis drei Neuverbindungen hatte, aber dann irgendwann verband sich die externe Diskstation nichtmehr.
Ich musste dann zum externen Netz fahren (da keine Verbindung mehr bestand) und VPN manuell anstossen.

Als ich dann in diesem Zuge vom alten VPN Server auf den neuen VPN Plus Server wechseln wollte hatte ich mir irgendwie mein komplettes Netzwerk zerschossen.
Da lief dann garnichtsmehr, nichtmal mehr das was vom VPN komplett unabhängig ist (siehe http://www.synology-forum.de/showthread.html?85284-Chaos-komplett-Router-defekt ).
Wieso kann ich bin jetzt nicht sagen. Der VPN Plus Server sollte Adressen im Bereich 10.0.0... vergeben, der Router weigerte sich daraufhin aber komplett IP Adressen, DNS Server etc zu vergeben, bei allen Geräten im Netzwerk. Das Fehlerbild war nichtssagends und umfangreich bis ich endlich bemerkt hatte dass der VPN Server daran Schuld war.

Ich könnte nun wieder den alten VPN Server nutzen, aber so richtig stabil lief das ja auch nicht.
Wieso weiß ich nicht. Es sind beide Standorte mit Kabelverbindung ausgelegt die ansich schon sehr stabil sind. An der Verbindung selbst sollte es nicht liegen.
Wenn da mal nach nem Monat was ausfällt okay, aber mehrfach jede Stunde Neuverbindungen zeigen doch irgendein Problem auf.

Mit dem hosts file klappt das eher weniger. Ich habe mehrere Geräte hier und das hostsfile auf allen Geräten gleich zu halten wäre viel Aufwand.
Und es sind auch Handys im Spiel welche über die Surveilance Station App zugreifen können sollen.

Das mit der Domain und deren Kosten ist kein Problem. Die Domain habe ich sowieso, wieso also nicht nutzen.

Ich hätte es nun auch gerne aufgezeichnet und habe es schon hier liegen, aber der Netzwerkdrucker hat wohl noch Nachwehen vom Chaos die letzten Tage und will nicht einscannen.

 

[TheGardner]

Hmm, bei der Größe des Verbunds, den Du hier machen willst, wäre ich mit Fritzboxen schon schneller weiter gekommen! Da machen praktisch die die ganze VPN Kacke unter sich aus und alle angeschlossenen Geräte werfen sich ihre Daten in drei verschiedenen Netzen hin und her.
Hab (das mal als Beispiel) hier ein ganz ähnliches System am Laufen! Eine Senioren-WG bestehend aus drei unterschiedlichen Standorten, welche alle nen Telekom Anschluss haben und mit Fritzbox ausgestattet sind. Die Fritten sind dabei alle per Fritz-VPN verbunden (was kaum Unterbrechungen erzeugt, da in den Telekom-Einstellungen mittlerweile sogar der tägliche Disconnect abgeschaltet worden ist).

Fritte 1 - Hauptstandort - Netz: 192.168.6.1
Fritte 2 - Haus 1 (14km entfernt) - Netz: 192.168.7.1
Fritte 3 - Haus 2 (60km entfernt) - Netz: 192.168.8.1

Dazu steht in jedem Haus und am Hauptstandort ein Rechner (192.168.6.10, 192.168.7.2 und 192.168.8.2), welchen die Schwestern für ihre tägliche Arbeit benutzen müssen und der mit dem Server (DiskStation 216+) am Hauptstandort (192.168.6.2) verbunden ist. Die PCs der Schwestern haben alles Netzlaufwerke welche auf den Server am Hauptstandort (192.168.6.2) gemappt sind. Programme die sie für die Krankenkassennachweise nutzen müssen, greifen ebenfalls direkt auf den Server (192.168.6.2) zu.
Dazu kommt jetzt am Hauptstandort noch ne Armada von Zig PCs (Chef, Chefin, Kind1, Kind2) aus privatem und dienstlichen Geräten (Drucker, Scanner, 4 Aussenkameras für Hof, Garageneinfahrt, Haustür und Rezeption/Theke).
Und zudem haben Chef und Chefin noch auf ihren Handys und Tablets noch Zugriff auf die Kameras und die PC-Struktur, wenn sie außerhalb auf Urlaub oder Dienstreise sind. Und meine Fritzbox (192.168.2.1) ist quasi auch noch mit von der Party, wenn ich mal irgendwas wieder in die Gänge bringen muss!

Und eigentlich muss nur eine Sache gesetzt sein: Die Internet-Verbindung muss vorhanden sein. Geht die nicht, dann müsste ich echt dorthin fahren um nach dem Rechten sehen.

Den Rest machen die Fritzboxen mit ihren 10.8.er Netzen unter sich aus! Ich kenne die Netze gar nicht bzw. muss sie benutzen, wie ich es müsste, wenn ich mit VPN-Server // DiskStation und dergleichen rumhantieren muss! Hier machen die Fritzboxen das alles unter sich aus und ich kenne nur die drei verschiedenen Häusernetze - also 192.168.6.0 , 7.0 und 8.0

 

[SoniX]

Klingt gut und einfach wartbar.

Aber würde hier so garnicht funktionieren auch wenn wir Fritzboxen hätten. Die beiden Netzwerke ansich sollen getrennt bleiben.
Das Firmennetzwerk soll nicht zugreifen können auf mein privates und umgekehrt brauche ich privat auch keinen Zugriff aufs Firmennetzwerk.

Es soll schlicht die eine DS die im Firmennetzwerk hängt von ausserhalb erreichbar sein.

Ich könnte es einfacher machen und die handvoll Ports welche die Surveilance Station braucht in der Zywall freigeben und an die DS weiterleiten.

Ein VPN wäre aber doch sicherer und sollte (!) einfacher zu handeln sein.

 

[TheGardner]

Naja gut, dann kann es nur über die VPN Lösung in der DS gehen!