VPN wird verbunden, kann aber keine Rechner erreichen

[frogger]

Hallo!

Ich habe auf meiner DS411 mit dem neuesten DSM 4.1 und aktuellem VPN-Server ein kleines VPN-Problem.

VPN-Verbindung per PPTP klappt, ich bin verbunden, allerdings kann ich die DS sowie auch weitere Rechner im entfernten Netz nicht erreichen.
Versucht wurde es von einem MacBook Pro.

IP-Bereich beim Macbook: 192.168.150.x
IP-Bereich der DS: 192.168.178.x

Was muss ich noch einstellen, damit ich die DS per VPN erreichen kann?




Nachtrag: Per 10.0.0.0 kann ich die DS erreichen, aber ich kenne VPN auch so, dass ich die IP-Adresse vom Heimnetz verwenden kann. Auch möchte ich andere Rechner im Heimnetz per IP erreichen.

 

[Ap0phis]

Keine Ahnung, was der unter Punkt "Manuelle DNS verwenden" bedeutet, aber der scheint neu, und ist bei mir nicht aktiviert.
Mit ansonnsten genau diesen Einstellungen erreiche ich alle meine internen Ip´s so wie´s sein sollte.

 

[frogger]

Ich habe den Haken auch mal raus genommen. Bringt leider keine Änderung...

Muss ich am Client noch irgendwas wegen Gateway oder DNS-Server einstellen?

 

[Ap0phis]

Diesen Thread kennst du: http://www.synology-forum.de/showthread.html?20936-Deutschsprachige-VPN-Anleitung-zu-VPN-Center ?
Lies dir aber auch bitte die nachfolgenden Beiträge kurz durch. Da ist ein kleiner Übersetzungsfehler in der Anleitung.

 

[Puppetmaster]

Nachtrag: Per 10.0.0.0 kann ich die DS erreichen, aber ich kenne VPN auch so, dass ich die IP-Adresse vom Heimnetz verwenden kann.

Das macht mich jetzt stutzig. Was meinst du denn damit genau? Wo willst du eine andere Adresse als 10.0.0.0 nutzen?

 

[frogger]

Ja, die Anleitung kenne ich. Sieht hier soweit so gut aus.

@Puppetmaster:
Ich möchte auch andere Rechner im Entfernten Netz per IP-Adresse ansprechen, zB. für VNC oder RDP. Ich erreiche aktuell die DS mit der 10er IP, aber nicht mit der IP, die die DS im entfernten Netz hat. Auch die anderen Rechner im entfernten Netz sind nicht pingbar. Netz des MacBooks: 192.168.150.x Netz der DS und der anderen Rechner: 192.168.178.x

Ich habe das nun auch mal mit Tunnelblick probiert. Hier leider dasselbe. Verbindung wird ohne Probleme hergestellt, ich kann aber keine anderen Rechner erreichen.

Log von Tunnelblick:
2012-10-19 09:47:37 *Tunnelblick: OS X 10.8.1; Tunnelblick 3.2.8 (build 2891.3099)
2012-10-19 09:47:37 *Tunnelblick: Attempting connection with ds411; Set nameserver = 1; monitoring connection
2012-10-19 09:47:37 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start ds411.tblk 1337 1 0 3 0 49 -atDASNGWrdasngw
2012-10-19 09:47:37 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.2.1/openvpn --cd /Library/Application Support/Tunnelblick/Shared/ds411.tblk/Contents/Resources --daemon --management 127.0.0.1 1337 --config /Library/Application Support/Tunnelblick/Shared/ds411.tblk/Contents/Resources/config.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SLibrary-SApplication Support-STunnelblick-SShared-Sds411.tblk-SContents-SResources-Sconfig.ovpn.1_0_3_0_49.1337.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d -atDASNGWrdasngw --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d -atDASNGWrdasngw --up-restart
2012-10-19 09:47:38 *Tunnelblick: openvpnstart message: Loading tun.kext
2012-10-19 09:47:38 *Tunnelblick: Established communication with OpenVPN
2012-10-19 09:47:38 *Tunnelblick: Obtained VPN username and password from the Keychain
2012-10-19 09:47:38 OpenVPN 2.2.1 i386-apple-darwin10.8.0 [SSL] [LZO2] [PKCS11] [eurephia] built on Aug 10 2012
2012-10-19 09:47:38 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
2012-10-19 09:47:38 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2012-10-19 09:47:38 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2012-10-19 09:47:38 LZO compression initialized
2012-10-19 09:47:38 UDPv4 link local (bound): [undef]:1194
2012-10-19 09:47:38 UDPv4 link remote: 80.1xxxx:1194
2012-10-19 09:47:38 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2012-10-19 09:47:40 [Snake_Oil_CA] Peer Connection Initiated with 80.1xxxxx:1194
2012-10-19 09:47:42 TUN/TAP device /dev/tun0 opened
2012-10-19 09:47:42 /sbin/ifconfig tun0 delete
ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
2012-10-19 09:47:42 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
2012-10-19 09:47:42 /sbin/ifconfig tun0 10.8.0.6 10.8.0.5 mtu 1500 netmask 255.255.255.255 up
2012-10-19 09:47:42 /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d -atDASNGWrdasngw tun0 1500 1542 10.8.0.6 10.8.0.5 init
2012-10-19 09:47:44 *Tunnelblick: Flushed the DNS cache
2012-10-19 09:47:44 WARNING: potential route subnet conflict between local LAN [192.168.150.0/255.255.255.0] and remote VPN [192.168.150.0/255.255.255.0]
route: writing to routing socket: File exists
add net 192.168.150.0: gateway 10.8.0.5: File exists
add net 10.8.0.0: gateway 10.8.0.5
add net 10.8.0.1: gateway 10.8.0.5
2012-10-19 09:47:44 Initialization Sequence Completed
2012-10-19 09:47:44 *Tunnelblick client.up.tunnelblick.sh: No network configuration changes need to be made.
2012-10-19 09:47:44 *Tunnelblick client.up.tunnelblick.sh: Will NOT monitor for other network configuration changes.

 

[goetz]

Hallo,

2012-10-19 09:47:44 WARNING: potential route subnet conflict between  local LAN [192.168.150.0/255.255.255.0] and remote VPN  [192.168.150.0/255.255.255.0]
route: writing to routing socket: File exists
add net 192.168.150.0: gateway 10.8.0.5: File exists

das entfernte Netz wird auch als 192.168.150.0 identifiziert, warum auch immer. Somit ergibt sich ein Routingkonflikt.
Was ergibt denn auf der DS

route
iptables -t nat -nL
ifconfig

Gruß Götz

 

[frogger]

Hier die Ausgabe. Wie ist denn das standard-root-Passwort der DS? den iptables-Befehl konnte ich nicht ausführen.

login as: admin
admin@192.168.178.48's password:


BusyBox v1.16.1 (2012-09-26 03:28:29 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

ds411> route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
default fritz.box 0.0.0.0 UG 0 0 0 eth0
ds411> iptables -t nat -nL
modprobe: chdir(2.6.32.12): No such file or directory
iptables v1.4.2: can't initialize iptables table `nat': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
ds411> ifconfig
eth0 Link encap:Ethernet HWaddr 00:11:32:10:E6:72
inet addr:192.168.178.48 Bcast:192.168.178.255 Mask:255.255.255.0
inet6 addr: fe80::211:32ff:fe10:e672/64 Scope:Link
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:474089148 errors:0 dropped:0 overruns:0 frame:0
TX packets:1456609728 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:532
RX bytes:1167349410 (1.0 GiB) TX bytes:1423343532 (1.3 GiB)
Interrupt:11

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:4268759 errors:0 dropped:0 overruns:0 frame:0
TX packets:4268759 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:372109558 (354.8 MiB) TX bytes:372109558 (354.8 MiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

ds411>

 

[frogger]

hab das Passwort gefunden. Hier die iptables-Ausgabe:


ds411> iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.8.0.0/24 0.0.0.0/0
MASQUERADE all -- 10.0.0.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ds411>

 

[largo1965]

Hallo,

ich habe auch das Problem das ich eine VPN Verbindung auf meinem Macbook zwar herstellen kann aber dann die Diskstation nirgends auswählen kann.
Ich hatte gelessen das man im Finder auf mit Server verbinden gehen soll, aber egal was ich dort eingebe ich bekomms nicht hin...
Habs jetzt schon stundenlang versucht und so langsam echt am verzweifeln, sowohl über pptp und openvpn.

Kann mir irgendjemand bitte helfen, benötigt ihr irgend eine weitere Angabe von mir?

 

[Alienskin]

Hallo,

was bei mir geholfen hat war ein Eintrag in der Routingtabelle von meinem MacBook. Ich hatte hier eine PPTP Verbindung. Sollte aber keinen Unterschied darstellen. Kannst Du es mal testen? Eventuell hilft es:

1. Starte ein Terminal
2. ifconfig -a
Dann müsstest Du Deine Verbindungen angezeigt bekommen. Es wird vermutlich nur eine gegeben die die 10er Adresse bekommen hat. Bei mir war es ppp1.
3. Die Routinginformation mit "sudo route add -net 192.168.178 -interface ppp1" eintragen. Du musst Dein admin Passwort eingeben. Ich gehe davon aus, dass Deine DS eine Adresse im 192.168.178 Netz hat. Dann werden alle Anfrage die an dieses Netz gehen durch dieses ppp1 (VPN Interface) geroutet.

Damit hat es funktioniert. Ich werde mir mal hier ein Applescript schreiben, dass diesen Eintrag bei Verbindung automatisch macht, außer es gibt bessere Ideen

Viele Grüße

 

[bvrulez]

Hi,

ich habe ein ähnliches Problem. Bin auf Arbeit im Netzwerk 192.168.1.X und baue eine PPTP-Verbindung zur DS in meinem Heimnetzwerk 192.168.10.X auf.

Dort kann ich den Haken setzen bei "ganzen Traffic über PPTP senden".

Nun kann ich die Weboberfläches meines Routers im Heimnetzwerk erreichen.

Jetzt möchte ich per VNC auf meinen Mac im Heimnetz zugreifen. Dort ist Bildschirmfreigabe bzw. Entfernte Anmeldung aktiviert. Verbindung ist aber nicht möglich. Möglicherweise ist der Mac im Ruhezustand.

Mit der App WakeOnLan versuche ich meinen iMac zuhause aufzuwecken. Das funktioniert jedoch auch nicht. Seine IP wird gar nicht discovered.

Wo könnte der Fehler liegen?

Vielen Dank für Eure Hilfe!

Grüße,
Ben

 

[Puppetmaster]

Meines Wissens nach werden keine Broadcasts über ein VPN übertragen. Die wirst du aber vermutlich benötigen, wenn du mit WakeOnLan einen Rechner aufwecken willst.

Von daher wird das wohl nichts werden mit WOL über VPN.

 

[bvrulez]

ja, von sowas hab ich auch schon gehört. allerdings haben das leute wohl auch schon hinbekommen. man weiß viel zu wenig über diese protokolle etc...:/ danke trotzdem! ben

 

[fpo4711]

ja, von sowas hab ich auch schon gehört. allerdings haben das leute wohl auch schon hinbekommen. man weiß viel zu wenig über diese protokolle etc...:/ danke trotzdem! ben

Doch man weiß recht viel über diese Protokolle. Hier mal ein Zitat des englischen Artikel (Der ist um längen besser als der deutsche für alle fachlich Interessierten) zu MagicPaket "May not work outside of the local network" Es geistern nur viele Märchen durchs Internet. Ein Magic-Paket (WOL) wird per Broadcast an alle versendet und beinhaltet die MAC-Adresse. Broadcasts auf dieser Ebene können den Router (ohne spezielle Manipulation) und das VPN nicht passieren. Ein Magic-Paket bekommst Du somit nicht über das VPN. Die Alternative ist, dich wenn die Verbindung aufgebaut ist, auf beispielsweise deinen Router per Webinterface zu wählen und z.Bsp. bei der Fritzbox dann auf den entsprechenden Button zu klicken.

Gruß Frank

 

[bvrulez]

ja, also laie weiß man zu wenig. danke für die detaillierte antwort. ich habe leider nur einen alice 4122 router, der kann sowas nicht. außerdem wird beim WOL für mac unter dem reiter discovery der router im heimnetzwerk auch gar nicht angezeigt/gefunden. die gefundenen IPs sind nur die 10.0.0.2 (glaube ich), also der eingang vom VPN-tunnel an meinem rechner im fremdnetzwerk. alle anderen IPs sind im fremdnetzwerk auf arbeit oder noch merkwürdigere a la 10.32.X.X.

gruß,
ben

 

[fpo4711]

Dann nimm doch anstelle des Routers die DS um das MagicPaket zu schicken. Auf der Konsole beispielsweise

wol <MAC-Adresse des Mac>

Ich glaube auch im Kopf zu haben das es sogar ein Paket für WOL auf der DS gab. Glauben heißt ja bekanntlich nicht wissen

Gruß Frank

 

[bvrulez]

ich hab die konsole noch nie benutzt. ist das ssh? hatte vor mich damit auseinander zu setzen. ich öffne auf dem mac die konsole, logge mich auf der DS ein und schicke das wol ab? probiere ich. ein eigenes wol-paket habe ich nicht gefunden, vielleicht isses woanders mit drin. aber dann müsste man sich ja am DSManager anmelden, das wollte ich übers internet nicht zulassen. danke dir vielmals! gruß, ben

 

[joku]

ein eigenes wol-paket habe ich nicht gefunden,

"wol.spk" - Andere PCs und DiskStations per Webinterface wecken

Gruß Jo

 

[fpo4711]

"wol.spk" - Andere PCs und DiskStations per Webinterface wecken

Gut das wir wenigsten einen haben der sich auskennt

ich öffne auf dem mac die konsole, logge mich auf der DS ein und schicke das wol ab?

Hab ich jetzt was falsch verstanden? Ich denke Du willst den Mac wecken? Wie soll das denn jetzt gehen. Der Mac schläft doch noch vor sich hin da wirst Du dich dann auch nicht per Konsole rauf wählen können. Ist aber eine schöne Idee

Ich denke mal das Paket was Dir joku empfohlen hat, dürfte wohl genau die Lösung für alle nicht-konsolen-liebhaber sein.

Gruß Frank