OpenVPN Problem

FFopp · 14. Apr 2017

Hallo zusammen

Ich wollte auch von ausserhalb meines Hauses auf meine DS414 zugreifen können und mir deshalb ein VPN Netz einrichten. Bis jetzt habe ich folgendes gemacht:

1. Die Synology hat eine fixe interne IP (192.168.1.105)
2. DDNS (username.synology.me) eingerichtet, es wird eine externe IP angezeigt und der Status ist auf "normal" (unter Systemsteuerung, Externer Zugriff).
3. Port 1194 (VPN) und 548 (Mac Dateidienste) weitergeleitet. Ich habe dies sicherheitshalber auf der Synology und dem Router eingestellt. Wenn man auf "Verbindung testen" klickt, zeigt die Synology "ok" an.
4. VPNServer auf der Synology installiert und OpenVPN aktiviert.
5. Konfigurationsdatei von VPNServer heruntergeladen und die IP durch username.synology.me ersetzt, dann gespeichert
6. Diese Konfigurationsdatei in Tunnelblick geöffnet und versucht eine Verbindung zum VPN aufzubauen. Vorher bin ich in ein vom Smartphone erstelltes WLAN Netz (um einen externen Zugriff zu simulieren).

Bei Punkt 6 reklamiert Tunnelblick, dass sich die IP nicht geändert habe, sprich das die VPN Verbindung nicht geklappt hat. Ich kann auch mit 192.168.1.105 nicht aufs NAS zugreifen.

Hat jemand von euch eine Idee, wo der Fehler liegt? Habe ich vielleicht einen wichtigen Schritt ausgelassen?
Ich war gestern mehrere Stunden damit beschäftigt, habe dann aber doch irgendwann aufgegeben :-(

Gruss

Anzeige · 14. Apr 2017

Hallo FFopp,

Bücher und Hardware zum Thema gibt es bei Amazon: OpenVPN Problem

Fusion · 14. Apr 2017

Woran es gerade scheitert kann ich dir nicht sagen, aber ein paar Ratschläge

- klassische LAN Dateidienste (SMB/CIFS/AFP/NFS) gehören nicht ins Internet geöffnet (abgesehen davon, dass sie meist eh nicht routing-fähig sind). Da bin ich fast schon froh, dass viele Internet-Provider diese Ports in ihren Netzen filtern.
- "sicherheitshalber doppelt eingestellt" ist Unsinn. Bitte nur an einer Stelle konfigurieren. Entweder die Syno die Einträge im Router automatisch vornehmen lassen, oder besser nur im Router von Hand die Einträge machen. Viel hilft viel / doppelt hält besser ist hier fehl am Platz und sorgt eher für Probleme, als das es sie löst.
- Gerät per Tethering (Smartphone WLAN Access Point) verbinden und Zugriff von extern ist nicht simuliert sondern ein realer Test (ist zwar nur Semantik, aber ...)

Welche Einstellungen hast du im OpenVPN Server getätigt?
Welches IP-Netz ist für das VPN-Netz vorgegeben? 10.8.0.0?
Welches IP-Netz benutzt das Smartphone für sein WLAN Access Point? Zufällig ebenfalls 192.168.1.0?
-> Das Netz in dem sich der zugreifende Client aktuell befindet, das VPN-Transfernetz und das Zielnetz in dem der VPN server steht müssen verschieden sein!
Ändert sich die IP Anzeige von z.B. wieistmeineip.de, wenn du im LAN/WLAN bist bzw. dann via Smartphone?

FFopp · 14. Apr 2017

Danke für deine Antwort und Tipps!

1)Was genau meinst du mit "klassische LAN Dateidienste (SMB/CIFS/AFP/NFS) gehören nicht ins Internet geöffnet (abgesehen davon, dass sie meist eh nicht routing-fähig sind)."? Meine Idee war ja, dass ich übers VPN reingehe und es sich somit wie ein lokales Netz verhält.
2)habe es auch nur an einer Stelle probiert, das hat auch nicht geklappt. Deshalb habe ich es mal an beiden rein. Ich kann es aber beim Router wieder rausnehmen...
3)ja, ok da habe ich mich schlecht ausgedrückt, aber das war mir schon klar ;-)

Bei den OpenVPN Server Einstellungen habe ich eigentlich alles so gelassen wie es automatisch eingestellt wurde: IP 10.8.0.1, Port 1194, Protokoll: UDP, BF-CBC, SHA1 und "Komprimierung auf der VPN-Verknüpfung verwenden" ist angeklickt.
Der Hotspot (Handy) hat eine andere IP (192.168.43.1) als der Router wenn ich mich über LAN verbinde (192.168.1.1)
Ja, die IP ändert sich wenn ich via LAN bzw. mobiler Hotspot ins Internet gehe.

Ich kenne mich mit Netzwerken leider echt schlecht aus, darum auch meine Frage...

NasQ · 14. Apr 2017

FFopp schrieb:
Hallo zusammen

Ich wollte auch von ausserhalb meines Hauses auf meine DS414 zugreifen können und mir deshalb ein VPN Netz einrichten. Bis jetzt habe ich folgendes gemacht:

1. Die Synology hat eine fixe interne IP (192.168.1.105)
2. DDNS (username.synology.me) eingerichtet, es wird eine externe IP angezeigt und der Status ist auf "normal" (unter Systemsteuerung, Externer Zugriff).
3. Port 1194 (VPN) und 548 (Mac Dateidienste) weitergeleitet. Ich habe dies sicherheitshalber auf der Synology und dem Router eingestellt. Wenn man auf "Verbindung testen" klickt, zeigt die Synology "ok" an.

Nimm Port 548 raus, das benötigst du nicht. Wie Fusion sagte wird es ohnehin nicht funktionieren, da solche Dateidieste meist nicht über Routergrenzen funktionieren.
Selbst wenn es gehen WÜRDE, wäre dieser Ansatz sicherheitstechnisch Schwachsinn, weil du den Dienst ja dadurch am VPN vorbei frei gibst, also keinen Schutz hast.

4. VPNServer auf der Synology installiert und OpenVPN aktiviert.
5. Konfigurationsdatei von VPNServer heruntergeladen und die IP durch username.synology.me ersetzt, dann gespeichert
6. Diese Konfigurationsdatei in Tunnelblick geöffnet und versucht eine Verbindung zum VPN aufzubauen. Vorher bin ich in ein vom Smartphone erstelltes WLAN Netz (um einen externen Zugriff zu simulieren).

Bei Punkt 6 reklamiert Tunnelblick, dass sich die IP nicht geändert habe, sprich das die VPN Verbindung nicht geklappt hat. Ich kann auch mit 192.168.1.105 nicht aufs NAS zugreifen.

Die Tunnelblick-Meldung sagt dir nur, dass sich die "externe IP Adresse" nicht verändert hat. Das bedeutet nicht, dass die VPN Verbindung nicht geklappt hat. Das bedeutet nur, dass nicht sämtlicher Traffic übers VPN geht und du noch mit der "normalen" IP Adresse surfst. Das ist aber nicht unbedingt schlimm. Zugriff auf dein VPN-Netz und das LAN dahinter hast du trotzdem.

Hat jemand von euch eine Idee, wo der Fehler liegt? Habe ich vielleicht einen wichtigen Schritt ausgelassen?
Ich war gestern mehrere Stunden damit beschäftigt, habe dann aber doch irgendwann aufgegeben :-(

Gruss

Hast du bei der VPN Konfiguration den Haken bei "LAN Zugriff freigeben" oder so gesetzt?

FFopp schrieb:
Danke für deine Antwort und Tipps!

1)Was genau meinst du mit "klassische LAN Dateidienste (SMB/CIFS/AFP/NFS) gehören nicht ins Internet geöffnet (abgesehen davon, dass sie meist eh nicht routing-fähig sind)."? Meine Idee war ja, dass ich übers VPN reingehe und es sich somit wie ein lokales Netz verhält.
2)habe es auch nur an einer Stelle probiert, das hat auch nicht geklappt. Deshalb habe ich es mal an beiden rein. Ich kann es aber beim Router wieder rausnehmen...

Würde es eh nur im Router konfigurieren und nicht in der Syno. Die ist dafür an sich nicht zuständig.

3)ja, ok da habe ich mich schlecht ausgedrückt, aber das war mir schon klar ;-)

Bei den OpenVPN Server Einstellungen habe ich eigentlich alles so gelassen wie es automatisch eingestellt wurde: IP 10.8.0.1, Port 1194, Protokoll: UDP, BF-CBC, SHA1 und "Komprimierung auf der VPN-Verknüpfung verwenden" ist angeklickt.
Der Hotspot (Handy) hat eine andere IP (192.168.43.1) als der Router wenn ich mich über LAN verbinde (192.168.1.1)
Ja, die IP ändert sich wenn ich via LAN bzw. mobiler Hotspot ins Internet gehe.

Ich kenne mich mit Netzwerken leider echt schlecht aus, darum auch meine Frage...

Fusion · 14. Apr 2017

Noch zur Ergänzung er VPN Einstellungen.
Bitte auf AES-256-CBC für Verschlüsselung und SHA256 für Auth (oder vergleichbare) gehen. Bin ja schon froh, dass man dies inzwischen via GUI machen kann (musste man seither direkt in der Server config auf der Konsole vornehmen: Hatte da mal vor 10 Monaten oder so ein Ticket zu erstellt, hoffe das hat mit zur Änderung beigetragen). Für die Standardmäßigen BF-CBC und SHA1 gibt es schon funktionierende theo/praktische Angriffs-Szenarien. Verstehe ich nicht, dass Syno, wenn sie schon auf die 2-Faktor Anmeldung (Stichwort Client-Zertifikat) verzichten nicht wenigstens beim Rest schauen, dass sie möglichst up-to-date sind was (sicherere) Voreinstellungen angeht.

Im Normalfall läuft oft auch nur der Verkehr, der explizit für Adressen im VPN-Server Netz gedacht ist durch das VPN. DNS Anfragen, Surfen (google suche, youtube etc) und anderes laufen noch über die gerade aktuelle Verbindung die das Gerät zum Internet hat.
Will man sämtlichen Verkehr durch das VPN leiten kann man die Option "redirect-gateway def1" oder ähnlich in der config Datei anpassen, bevor man sie im Client importiert.
Dann sollte wirklich alles durch den VPN-Tunnel laufen.
Passen dann auch die restlichen Einstellungen, würde man beim surfen (also z.B. beim Vesuch von wieistmeineip.de) diesselbe Ursprungs-IP (die öffentliche IP des Routers bei dir zu Hause) zu sehen bekommen, egal ob man im lokalen LAN/WLAN oder von extern via VPN an dieses angebunden ist.

Edit:
Genau, Clients den Server-LAN Zugriff erlauben, muss ebenfalls in den OpenVPN Servereinstellungen aktiv sein, wenn du vom Client aus auf die IPs (192.168.1.x) in LAN des OpenVPN-Servers oder das Server-Gerät selbst zugreifen können willst.

NasQ · 14. Apr 2017

Tja, was soll ich über die Syno Konfigurationen sagen... darum nutze ich das VPN auch nicht. Desweiteren wird sämtlicher Traffic aus dem VPN Tunnel auf die Syno-IP ge-Source-NATted. Natürlich sehr bequem, und Server, die Traffic aus Fremdnetzen nicht annehmen oder anders behandeln (wie zB. eine Fritzbox, die intern nur Passwort verlangt, aber extern Username und Passwort, aber auch nur, wenn remote verwaltung aktiv ist) meckern dann nicht rum. Aber schön find ich das auch nicht.