Zwei Standorte - Synology DiskStation DS213J NAS - Gemeinsamer Zugriff

[davidii]

Hallo zusammen,

ich stehe grad vor folgender Situation:

Unser kleine Firma hat zwei Standorte (2 kleine Büros). Im Hauptbüro möchte ich gerne ein Synology DiskStation DS213J installieren. Diesen einzurichten, dass in dem Netzwerk dieses Büros die Mitarbeiter Zugriff auf ein gemeinsames Laufwerk und jeweils ein eigenes Laufwerk/Ordner haben, ist kein Problem. Doch wie bekommt das zweite Büro Zugriff auf den NAS? Auch die Mitarbeiter aus dem zweiten Büro sollen Zugriff auf das gemeinsame Laufwerk und jeweils ein eigenes Laufwerk/Ordner erhalten.
Das ganz muss natürlich absoluter sicher sein, weil es sich um vertrauliche Daten handelt.
Performancetechnische sollte es keine Probleme geben, da beide Standorte über eine VDSL50 Leitung verfügen. Als Router stehen auf beiden Seiten Speedport w723v zur Verfügung.
Mir schweben ein paar Ideen vor wie, VPN (hier weiß ich allerdings nicht wirklich wie ich es umsetzen soll), FTP (FTP als Laufwerk einbinden, aber wie sicher ist diese Variante?!)...
Absolutes plus wäre, wenn man auch vom Home Office Zugriff auf den NAS bekommen könnte.
Über Tipps, Ratschläge oder Anregungen wäre ich sehr dankbar!

Gruß

 

[fpo4711]

Hallo,

prinzipiell ist der weg per VPN (und ich meine damit openVPN) der sicherste. Hinzu kommt hierbei das die Daten dann eigentlich auch nirgendwo extern gespeichert würden. FTP ist das unsicherste Verfahren von allem. Ohne zusätzliche Massnahmen wie (S)FTP oder VPN-Tunnel würden hier die Daten unverschlüsselt übertragen.

Dann kommt es darauf an was Du bereit bist dafür auszugeben bzw. welchen Aufwand Du reinstecken willst? Wenn Du den einfachen aber teuren Weg wählen willst, kauf Dir zwei Router von Draytek (ca. 200€) dann ist das mit ein paar klicks erledigt.

Nun kommen wir zu der harten Tour. Wenn Du beide Standorte (Netze) verbinden möchtest sind mehrere Sachen nötig.

1.) Beide Subnetze müssen unterschiedlich sein.
2.) openVPN Verbindung von Standort 1 (Client) auf Standort 2 (Server) einrichten.
3.) Statische Route auf Router 1 über DS1 für Netz 2 einrichten.
4.) openVPN Server an Standort 2 einrichten. Hier muß ein spezielles Verzeichnis für Clientkonfigurationen eingerichtet werden. Nur auf der Konsole möglich.
5.) iroute in diesem Verzeichnis setzen.
6.) Statische Route auf Router 2 über DS2 für Netz 1 einrichten.

Du siehst da wäre doch einiges zu tun. Solltest Du dich aber durch alles durchgekämpft haben, kann dann (sofern der Zugriff das zuläßt) jeder Netzwerkteilnehmer auf das jeweils andere Netzwerk zugreifen.

Du schreibst leider nicht wie groß die Datenmenge ist, vieleicht wäre ja auch die CloudStation oder ähnlich eine Alternative.

Gruß Frank

Edit: Ja ich weiß das ist nur ein grober Abriss. DDNS einrichten, Zertifikat exportieren/importieren etc. fehlt.

 

[davidii]

Danke für die Antwort.
Also ein Zugriff auf das jeweilige Netzwerk ist nicht notwendig.
Es sollte einfach nur einen gemeinsamen Ordner geben.

Das mit VPN klingt ja nicht grade einfach.
Gibt es nicht die Möglichkeit, dass nur der Standort, in dem das NAS nicht steht, einen direkten VPN Tunnel zur NAS aufbaut?

Als ich von FTP Lösung gesprochen habe, sprach ich natürlich von SFTP mit SSL/TLS Verschlüsselung. Wäre die Idee denn sicher? Ich habe allerdings noch keine Möglichkeit gefunden einen SFTP als Netzwerklaufwerk in Windows einzubinden. Dies gelingt nur mit einem "normalen" FTP.

 

[fpo4711]

Prinzipell haben die zwei DS Verbindung wenn Du ein VPN aufbaust. Nur wenn Du auch von einem Clienten darauf Zugriff haben willst, dann sind entsprechende Routen bzw. Konfigurationen nötig. Wenn Du nur auf eine Freigabe in der Hauptstelle von beiden Zugriff (aber nicht umgekehrt) haben willst, dann geht es auch etwas einfacher.

Standort1 hat die Freigabe auf die alle zugreifen sollen.

1.) Standort 1 - VPN-Server einrichten auf DS1
2.) Standort 2 - VPN-Client eirichten auf DS2
3.) Standort 2 - Statische Route zu Netz1 über DS2 auf Router2 eintragen.

Eingerichtete DDNS falls keine festen IP's vom Provider vorhanden mal vorausgesetzt.

Ups, lese gerade an dem zweiten Standort ist wohl gar keine zweite DS vorhanden oder?

Gruß Frank

 

[davidii]

richtig nur ein DS vorhanden.
Auf diesen sollen beide Standorte zugreifen können. Aber wirklich nur Zugriff auf einen Ordner.

 

[Rabe01]

Hallo davidii,

wenn du nur den Zugriff aus Standort2 haben möchtest, reicht openVPN in Zusammenhang mit Dynamischen DNS aus.
Hier denke ich muss halt jeder Client aus Standort2 einen Tunnel aufbauen. Mir ist nicht bekannt, dass die Speedports einern Tunnel untereinander aufbauen können.

Du hast an jedem Tunnel Ende einen Endpunkt, welcher den Tunnelaufbau und das Routing übernimmt.
Auf der einen Seite kann das die Syno übernehmen, auf der anderen Seite ist das der jeweilige Client.
Falls du den Tunnel also Standortbezogen aufbauen willst, kommst du nicht um ein zusätzliches Gerät an Standort2 rum, welches den Tunnel aufbaut und das Routing übernimmt.

Gruß Rabe

 

[fpo4711]

Na gut, dann auf die simple. Auf der DS den VPN-Server aktivieren. DDNS an Standort1 mal vorausgesetzt. Zertifikat und Konfiguration exportieren. Auf den Clienten eine Clientsoftware für openVPN installieren. z.Bsp. Viscosity (gibt es für Mac und Windows). Hier dann Zertifikat und Konfiguration importieren und als Serveradresse die DDNS angeben. Fertig.

Wichtig ist auf jeden Fall. Beide Netze müssen unterschiedliche Subnetze haben.

Gruß Frank

 

[fpo4711]

Und noch vergessen auf dem Speedport an Standort 1 muß eine Portweiterleitung von Port 1194 zur DS Port 1194 und dem Protokoll UDP eingetragen werden.

Gruß Frank

 

[davidii]

ok, danke das klingt super!
Ich bin ziemlicher Neuling auf dem VPN Gebiet. Eine doofe Frage:
Wenn im Standort 2, der ja dann der Client sein wird, die openVPN Software installiert ist. Muss diese bei jedem Start des Rechners geöffnet werden und sich verbinden? Laufen dann zwei "Netzwerke" paralell auf diesem Rechner? Also einmal das Netzwerk welches das Internet "liefert" etc. und dann einmal das VPN?
Und wenn die VPN Verbindung läuft, dann kann ich den gemeinsamen Ordner einfach als Netzlaufwerk auf dem Rechner in Standort 2 einbinden oder?

 

[fpo4711]

Bei der Lösung vom Synology VPN-Server sind schon die Routen in der Config korrekt gesetzt das nur der Traffic der zum NAS geht über das VPN läuft. Der Rest Surfen etc. läuft dann weiterhin über dein Standard-Gateway sprich deine VDSL-Verbindung. Es sei denn Du wünschst das anders, dann kannst Du auch alles über diesen Tunnel schicken wenn Du das Doppelkreuz vor #redirect-gateway in deiner openvpn.conf entfernst.

Je nach dem welche Clientsoftware Du verwendest, kann sich diese auch automatisch mit dem VPN beim Start verbinden.

Und Du befindest Dich nur immer in einem Subnetz. Es ist aber eine Route zur der DS im anderen Netz definiert. Deshalb ist es auch so wichtig das sich Client und Server in unterschiedlichen Subnetzen befinden, sonst würde das Routing nicht funktionieren.

Gruß Frank

 

[davidii]

ok. genauso soll es sein, dass alle andere außer die Verbindung zum NAS nicht über die VPN Verbindung läuft.
Was genau meinst du, wenn du von Subnetz sprichst? Den Standardgateway?

gibt es dazu vlt ein gutes Tutorial ?

 

[fpo4711]

Und wenn die VPN Verbindung läuft, dann kann ich den gemeinsamen Ordner einfach als Netzlaufwerk auf dem Rechner in Standort 2 einbinden oder?

Ja allerdings mit der entsprechenden IP der DS also beispielsweise \\IP_der_DS\Freigabename

Gruß Frank

 

[fpo4711]

Oh, das geht ja bis zu den Grundlagen. Ich denke mal das würde hier den Rahmen sprengen. Aber zur DS gibt es dieses Wiki.

Und auch Matthieu hat sich mit dem Inoffizellen Handbuch mal viel Mühe gegeben.

Gruß Frank

 

[davidii]

hmm danke...

darf ich trotzdem noch zwei fragen stellen?
Gibt es auch eine openVPN Freeware? Viscosity kostet ja.
Und wenn ich mit openVPN eine Verbindung aufbaue, bleibt die eigentlich Netzwerkverbindung inkl. Internet unangetastet oder?

 

[davidii]

kann mir jemand einen kostenlosen openVPN Client empfehlen?!

 

[fpo4711]

Gibt es auch eine openVPN Freeware?

Direkt auf der openVPN Webseite.

Und wenn ich mit openVPN eine Verbindung aufbaue, bleibt die eigentlich Netzwerkverbindung inkl. Internet unangetastet oder?

Wenn Du das Doppelkreuz vor dem #redirect-gateway in der openvpn.conf drin lässt dann ja, ansonsten läuft dann alles über den Tunnel.

Gruss Frank

 

[davidii]

auf der openVPN Seite läd er dann "Privatetunnel" runter. Dort muss ich dann nach der Installation einen Account anlegen. ist das richtig?

 

[Rabe01]

Nein, das ist auf der OpenVPN Seite etwas verwirrend. Du musst http://openvpn.net/index.php/open-source/downloads.html eingeben um den passenden Download zu finden.
Einen zusätzlichen Account benötigst du nicht.

Vielleicht schaust du dir, falls du dafür Zeit hast mal http://wiki.freifunk.net/OpenVPN_Howto und http://de.wikipedia.org/wiki/Virtual_Private_Network an, da werden ein paar Dinge noch einmal genauer erklärt.

Gruß Rabe

 

[davidii]

Na gut, dann auf die simple. Auf der DS den VPN-Server aktivieren. DDNS an Standort1 mal vorausgesetzt. Zertifikat und Konfiguration exportieren. Auf den Clienten eine Clientsoftware für openVPN installieren. z.Bsp. Viscosity (gibt es für Mac und Windows). Hier dann Zertifikat und Konfiguration importieren und als Serveradresse die DDNS angeben. Fertig.

Wichtig ist auf jeden Fall. Beide Netze müssen unterschiedliche Subnetze haben.

Gruß Frank

Darf ich dich nochmal fragen, von welchen beiden Netzen du sprichst? Meinst du die unterschiedlichen Standorte oder die Netze an einem Standort?

 

[fpo4711]

Hallo,

ich meine das Subnetz auf der Clientseite und das Subnetz auf der Serverseite. Diese sollten unterschiedlich sein, wie beispielsweise 192.168.0.0/24 und 192.168.1.0/24

Gruß Frank