OpenVPN auf der DS (nicht gleich ausrasten)

Status
Für weitere Antworten geschlossen.

BerndZ

Benutzer
Mitglied seit
21. Apr 2009
Beiträge
56
Punkte für Reaktionen
0
Punkte
0
Hallo Jungs,

bitte nicht gleich ausrasten wegen der Frage. Es geht um folgendes ich wollte gern OpenVPN oder ein anderen Server auf der DS laufen lassen der in der Lage ist eine VPN verbindung anzunehmen. Nun werden alle sagen ja toll du Trottel "ipkg openvpn" und gut.

Problem ist bei mir geht IPKG nicht. (Erklär ich jetzt nicht warum, hab ich mich schon viel zu viel beschäftigt damit -.-)

Also müsste der VPN Server irgendwie "so" installierbar sein. Gibts da was?
 

thedude

Benutzer
Mitglied seit
30. Nov 2009
Beiträge
2.244
Punkte für Reaktionen
2
Punkte
84
Genau. Lass Dir bei IPKG helfen. Das geht "normal" echt einffach.

gruss
dude
 

BerndZ

Benutzer
Mitglied seit
21. Apr 2009
Beiträge
56
Punkte für Reaktionen
0
Punkte
0
Naja es war so bei mir das ich IPKG installiert habe, auch den richtigen Prozessor gewählt, install lief ziemlich gut durch. Dann war es so das die DS nach jedem Start erstmal gute 7 bis 10 min. Auf der HDD rum gesucht hat und dann erst fertig mit Booten war. Eine Neuinstallation war zwecklos (also von ipkg) da blieb mir dann nur noch das Platt machen der Firmware. Da hatt ich mich so satt das neu einzurichten das ich IPKG nie wieder probiert habe. Allerdings war das noch unter DSM 2.1 weis nicht was unter 2.2 passieren würde. Ein anderer User hatte das Problem auch, er hatt nach mehreren Tagen es mit dem Support zusammen hinbekomm. Was der Fehler genau war konnte er mir nicht sagen. Wäre nice wenn noch jemand eine Idee hat.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ich verwende ipkg schon seit Urzeiten der DS. Als ich meine erste DS gekauft habe (war glaub ich noch ne 6-er Firmware) funzt es schon problemlos.
Das lange Booten könnte von einem Filesystemcheck her kommen. Eventuell konnte /opt beim Herunterfahren nicht ausgehängt werden und die DS hat die Platte als "dirty" markiert, was einen Check nachsichziehen kann.
Der User thedude hat mal ein kleines unmount Script geschrieben, das das Aushängen von /opt erzwingt. Such mal hier im Forum
Btw: Wesentlich zuverlässiger als OpenVPN ist eine Lösung von Router zu Router (beide Router müssen dazu natürlich VPN unterstützen). Vorteil dabei ist v.a. dass du bei den Clients gar nix einstellen musst. Für die Clients ist eine Router-Router-Lösung vollkommen transparent
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
die langen Bootzeiten in Zusammenhang mit mount ist auf einigen Plattformen bekannt. Eine Lösung wurde ja bereits mit dem script angesprochen. Eine andere betreibe ich auf meiner DS-106. Mount von /volume1/opt wird durch einen Symlink ersetzt und Ruhe ist, ipkg funktioniert auch mit dem Symlink.

Gruß Götz
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hallo,
die langen Bootzeiten in Zusammenhang mit mount ist auf einigen Plattformen bekannt. Eine Lösung wurde ja bereits mit dem script angesprochen. Eine andere betreibe ich auf meiner DS-106. Mount von /volume1/opt wird durch einen Symlink ersetzt und Ruhe ist, ipkg funktioniert auch mit dem Symlink.

Gruß Götz
Funzen alle Anwendungen mit dem Symlink korrekt? Es gibt doch sicher welche, die einen Link nicht mögen.

Gruss

tobi
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Funzen alle Anwendungen mit dem Symlink korrekt? Es gibt doch sicher welche, die einen Link nicht mögen.

Der Apache will gerne für Symlinks konfiguriert sein, sonst mag er sie nicht so ;)

Itari
 

mkl0815

Benutzer
Mitglied seit
23. Sep 2009
Beiträge
138
Punkte für Reaktionen
0
Punkte
0
Das Problem beim openvpn ist nicht der VPN-Server, den könnte man sicher auch "von Hand" bauen. Das Problem sind die Kernel-Module (tun,tap), die für den aktuell auf der DS laufenden Kernel benötigt werden. Ohne die Module läuft nämlich nix. Leider ändert sich die Kernel-Version so ziemlich mit jedem Update und die ipkg-Pakete hängen immer etwas hinterher.
Ich hatte bisher noch keine Zeit, es mal mit dem Cross-Compiler zu versuchen, die Module selbst zu bauen.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Der Apache will gerne für Symlinks konfiguriert sein, sonst mag er sie nicht so ;)

Itari
An den Häuptling habe ich gar nicht gedacht, sondern mehr Sachen wie z.B. Mailboxen im Kopf gehabt. Gelinkte Mailboxen geben üble Effekte (smtp wie pop/imap)
 

mkl0815

Benutzer
Mitglied seit
23. Sep 2009
Beiträge
138
Punkte für Reaktionen
0
Punkte
0
Gelinkte Mailboxen geben üble Effekte (smtp wie pop/imap)
Nicht, wenn die sie in einem Verzeichnis liegen, bei dem das übergeordnete Verzeichnis ein Symlink ist. Hab das gerade erst auf einem Server gemacht, der eine eigene kleine Partition für "/var" hatte und der dann mit dem "/var/spool/mail/" ein wenig überfordert war. Jetzt liegt das spool unter /home/spool und /var/spool ist ein Symlink drauf. Das gab weder bei den User-Crontabs noch bei den Mails Probleme.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
Funzen alle Anwendungen mit dem Symlink korrekt? Es gibt doch sicher welche, die einen Link nicht mögen.

Gruss

tobi
meine Aussage bezieht sich jetzt nur auf die ipkg Installation. Ich habe 131 Pakete installiert und keinerlei Probleme mit dem Symlink von /volume1/opt nach /opt.
Das oftmals verwendete mount in den Medienordner ist eine andere Baustelle, ich brauche es nicht.

Gruß Götz
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Nicht, wenn die sie in einem Verzeichnis liegen, bei dem das übergeordnete Verzeichnis ein Symlink ist. Hab das gerade erst auf einem Server gemacht, der eine eigene kleine Partition für "/var" hatte und der dann mit dem "/var/spool/mail/" ein wenig überfordert war. Jetzt liegt das spool unter /home/spool und /var/spool ist ein Symlink drauf. Das gab weder bei den User-Crontabs noch bei den Mails Probleme.
Mailbox !== Mailspool ;)
Ich meinte die Mailboxen und deren Inhalte unter ~/.Maildir. Versuch mal mit einem anderen lokalen User als dem Mailboxeigentümer an die Emails ranzukommen. Wenn du einfach die Mailbox ins Home des anderen User verlinkst, dann hast du ein Problem mit neuen Emails die unter diesem anderen Benutzer empfangen werden. Die Emails werden ohne Gruppenrechte angelegt und damit hat der originale Benutzer keinen Zugriff mehr drauf.
Wenn du einfach Gruppenrechte auf Maildir gibst, dann sagt der Dovecot adieu, aber erst nachdem der Postfix Server schreiend abgestürzt ist ;)
Spätestens wenn du der index Datei der Mailbox Gruppenrechte geben willst ist sense. Das siehst du dann daran, dass verschobene Emails verschwinden weil die index Datei nicht aktualisiert wird, solange Gruppenrechte drauf sind.
 

BerndZ

Benutzer
Mitglied seit
21. Apr 2009
Beiträge
56
Punkte für Reaktionen
0
Punkte
0
Um die Freaks heir mal kurz zu unterbrechen, also soll ich einfach nochmal versuchen IPKG zu installieren?


Die Router zu Router Lösung wird nicht gehen, a.) nimmt mein Router kein VPN an, max. weiterleitung

b.) will ich mich mit dem Iphone in die VPN einloggen

Aber trozdem danke für den Vorschlag
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
ja, installier ipkg und stelle dann auf Symlink um.

Gruß Götz
 

mkl0815

Benutzer
Mitglied seit
23. Sep 2009
Beiträge
138
Punkte für Reaktionen
0
Punkte
0
IPhone und OpenVPN geht glaub ich nicht, denn (außer evtl. per Jailbreak). mein IPhone kann zumindest nur "L2TP", "PPTP" und IPSec. OpenVPN ist aber zu IPSec nicht kompatibel und die anderen Protokolle sind eh proprietär und mittlerweile auch unsicher. Wenns das IPhone sein soll, müßtest Du OpenSwan oder FreeSwan oder StrongSwan installieren, das ist eine IPSec-Implementierung. Aber auch hier sind spezielle Kernel-Module notwendig.
Dazu kommt, das die IPhone-IPSec Implementierung "Cisco"-kompatibel ist, hier muß man bei den Zertifikaten sehr genau aufpassen was in den einzelnen "Tags" steht. Dazu gabs mal einen Artikel im Linuxmagazin.
 

BerndZ

Benutzer
Mitglied seit
21. Apr 2009
Beiträge
56
Punkte für Reaktionen
0
Punkte
0
Was ist den an PPTP so verkehrt? Das Iphone hat auch ohne Jailbreak unter Einstellungen schon VPN Konfiguration. Aber meins ist eh gebraked, ansonsten ist die Kiste ja total sinnlos XD

Hab mir mal noch den Fred zur langen Boot Dauer mit IPKG durch gelesen. Das durch IPKG die Mount nicht richtig ausgehangen wird und beim Boot ein quotecheck entsteht verstehe ich ja noch, aber was macht der Symlink? Und wie richte ich den ein?
 
Zuletzt bearbeitet:

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
aber was macht der Symlink? Und wie richte ich den ein?
die meisten IPKG Installationen mounten /volume1/opt bzw /volume1/@optware nach /opt. Ein Symlink ist eine Verknüpfung, so daß /opt nach /volume1/opt bzw /volume1/@optware zeigt.
Umstellung kommt auf Deine DS an, Du hast uns Dein Modell bisher nicht genannt.

Gruß Götz
 

BerndZ

Benutzer
Mitglied seit
21. Apr 2009
Beiträge
56
Punkte für Reaktionen
0
Punkte
0
@goetz

Achso Thx!

Ist eine DS107
 

mkl0815

Benutzer
Mitglied seit
23. Sep 2009
Beiträge
138
Punkte für Reaktionen
0
Punkte
0
Was ist den an PPTP so verkehrt? Das Iphone hat auch ohne Jailbreak unter Einstellungen schon VPN Konfiguration. Aber meins ist eh gebraked, ansonsten ist die Kiste ja total sinnlos XD
Ich habe ja auch nicht geschrieben, das das iPhone kein VPN kann, sondern das es zu OpenVPN nicht kompatibel ist. An PPTP ist nichts verkehrt, aber hier ging es ja um OpenVPN und das geht nun mal nicht.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat