OpenVPN auf Synology DS212j

[cyorps]

Dein verwendeter OpenVPN-Client feiert in 2 Monaten seinen sechsten Geburtstag. Wenn schon nicht der 2.2.2er, könntest du auf deinem Rechner zumindestens mal ein Update auf den 2.2.1er machen und damit testen? Denn inzwischen dürftest du serverseitig mindestens mit der 2.2.0er Version arbeiten.

 

[HarryPotter]

Ja habs gemerkt und aufdatiert, nun akzeptiert er den Parameter.
Aber der Rest bleibt gleich. Ins Internet komme ich damit auch nicht mehr.

 

[HarryPotter]

Protokoll sieht jetzt so aus:;

Tue Jun 26 18:50:23 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Tue Jun 26 18:50:28 2012 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Jun 26 18:50:28 2012 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Jun 26 18:50:28 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Jun 26 18:50:28 2012 LZO compression initialized
Tue Jun 26 18:50:29 2012 UDPv4 link local (bound): [undef]:1194
Tue Jun 26 18:50:29 2012 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Tue Jun 26 18:50:29 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Jun 26 18:50:29 2012 [Snake_Oil_CA] Peer Connection Initiated with xxx.xxx.xxx.xxx:1194
Tue Jun 26 18:50:31 2012 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{D87A6ECB-F743-4DBE-A3B9-46A01A71A952}.tap
Tue Jun 26 18:50:31 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.10/255.255.255.252 on interface {D87A6ECB-F743-4DBE-A3B9-46A01A71A952} [DHCP-serv: 10.8.0.9, lease-time: 31536000]
Tue Jun 26 18:50:31 2012 Successful ARP Flush on interface [28] {D87A6ECB-F743-4DBE-A3B9-46A01A71A952}
Tue Jun 26 18:50:36 2012 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
Tue Jun 26 18:50:36 2012 Initialization Sequence Completed

 

[ubuntulinux]

Du liegst mit VPN sowie ohne im selben Subnetz.

 

[jahlives]

[LEFT][COLOR=#333333]Tue Jun 26 18:50:36 2012 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
[/COLOR][/LEFT]

also mit einem 1-er Sub bist du recht oft vor dem gleichen Problem. Du solltest nicht im lokalen LAN und im remote LAN dasselbe Sub nutzen. Da ist der Ärger eigentlich immer vorprogrammiert ;-)

 

[HarryPotter]

Heisst das ich kanns im LAN gar nicht testen?

 

[jahlives]

Heisst das ich kanns im LAN gar nicht testen?

jein Testen kannst du es schon, aber du kannst nicht sicher sagen ob es bei einem Problem am Routingkonflikt oder an den OVPN Konfig liegt. Das Problem ist, dass der Server eigentlich zwei Routen für deine LAN-IP am Client hat: einmal könnte der Server den Traffic via ovpn Tunnel schicken und einmal direkt. Wenn also der Server ein Paket für deinen LAN IP bekommt, woher soll er wissen ob dieses Paket in den Tunnel oder direkt raus soll? Das ist dann nicht mehr eindeutig für den Server und damit prädestiniert für Konflikte. Ich vermute bei dir passiert in etwa das folgende: Du schickst deinen http Traffic via ovpn an den Server. Da sollte in jedem Fall klappen. Dann bekommt die DS eine Antwort für diese Pakete und muss entscheiden wie die wieder zu dir zurückkommen. Das Problem liegt darin, dass deine "externe" IP, also diejenige die der OVPN-Server sehen kann, im selben Subnetz wie der Server ist. Damit besteht in jedem Fall eine Route, aber die ist nicht via den Tunnel, sondern direkt. Also schickt dein Client via Tunnel raus und bekommt aber die antwort direkt zurück --> das verwirft jede Firewall

 

[HarryPotter]

Also gut, ich habe von einer DS eines Kunden via Internet auf meine DS verbunden, mit OpenVPN. Genau dasselbe. Die Verbindung steht, IP der Kunden DS ist 10.8.0.6, bei mir 10.8.0.0.

Aber ich kann nicht auf meine DS zugreifen. Wollte einen Backupjob erstellen, gebe als Ziel 10.8.0.0 ein, findet er aber nichts. Mach ich dasselbe per PPTP, geht das problemlos.

 

[Niemand2006]

Kann es vielleicht sein das ich keine VPN Verbindung bekomme weil ich es auch im selben Subnetz habe?

 

[ubuntulinux]

10.8.0.0 ist eh die NetID. Keine Ahnung, was Synology da bastelt.

 

[Niemand2006]

Hatte zuerst das PPTP versucht und das ging so einfach. Da hatte ich mir dann gedacht das es auch so einfach mit OpenVPN funktioniert, jetzt bin ich langsam am verzeifeln weil es nicht geht. Hate vielleicht noch jemand eine Idee an was es liegen kann?