Zwei DiskStations per VPN verbinden

Status
Für weitere Antworten geschlossen.

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Nur zum Verständnis:
Syno1 hast du als VPN Client eingerichtet und Syno2 als VPN Server?
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Ja genau. Hatte ich zu Anfang genauer erklärt falls Du gucken möchtest.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Auf beiden Synos für den test die Firewall deaktiviert?
Ich nehme an IP V6 nutzt du sonst gar nicht, das würde ich erst mal deaktivieren.
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Ja die Firewall´s sind deaktiviert.

Eingeschaltet ist der DOS-Schutz und Schutz gegen Spectre und Meltdown

Das mit IPV6 kann ich gerne mal machen.
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Sind die Einstellungen richtig?

dev tun
tls-client

remote xxxxx.myDS.me 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass


Hier kommt natürlich noch das Zertifikat !!!!
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Passt alles, würde noch nach "auth-user pass" folgende Zeilen hinfügen.

auth-nocache
verify-x509-name <DOMAIN> name
remote-cert-tls server

Da läuft es dann bei mir rund mit null Warnung.
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Okay. Danke schon einmal. Werde ich so übernehmen. Für Domain muss ich vermutlich etwas eintragen, oder?

Unterm Strich frage ich mich jetzt allerdings, was mache ich falsch das es nicht funktioniert? Kann man vielleicht irgendwo in einem Protokoll nachschauen was der Fehler ist? Ich weiß wirklich nicht weiter was ich noch probieren soll.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Kannst du denn von aussen mit einem normalen Client auf den VPN Server zugreifen?
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Okay.Also es erstmal so zu testen, daran hatte ich noch nicht gedacht. Also habe ich es über mein Handy getestet und man glaubt es kaum, es funktioniert. Also der VPN-Server funktioniert. Also kommt die Syno1 aus irgendwelchen gründen nicht raus. Das Handy schon.

Danke für die Idee zum testen. Werde morgen nochmal ein wenig rum probieren warum die Syno nicht raus kommt.
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Warum auch immer, nachdem ich nochmal eine VPN-Verbindung erstellt habe und diese ohne Import von .ovpn-Datei funktioniert es. Allerdings bricht die Verbindung ständig ab und baut sich dann wieder auf.

Kann mir jemand sagen, wie ich das mit den IP´s einstellen muss,damit es so wie bei der FB zu FB funktioniert? Da konnte ich problemlos auf die Weboberfläche der entfernten Syno zugreifen.
Toll wäre auch wenn es geht Netzwerkzugriff zu bekommen. Kann mir da vielleicht jemand helfen?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
AFAIK wird das nicht gehen. Du kannst mit dem DIREKTEN TUNNEL zwischen den NASs auf die Geräte zugreifen. Um auf deine restliche Netzwerkstruktur zuzugreifen würdest du ja einen Router benötigen, der den Verkehr im Netzwerk routet. Du bist aber auf deinem NAS eingewählt. Wenn also die Verbindung genau so instabil laufen sollte wie zuvor mit den Fritzen, dann stimmt irgendwas generell scheinbar nicht. Und mit VPN via Fritzbox könntest du eben (je nach Konfiguration) auf dein gesamtes Netzwerk (je nach Konfiguration) zugreifen. In besseren openVPN Servern ist dazu auch noch mehr Konfiurationsmöglichkeit vorhanden, das geht so aber meines Wissens nach nicht mit deinem Setting.

Alternative für 30 Euro: n Raspi, darauf n openVPN Server. PWL auf den Raspi VPN-Server fürs gewünschte VPN Protokoll. Konfigurieren. Sollte laufen und macht vielleicht ne stabilere Verbindung möglich (mehr Power und Möglichkeiten der Konfiguration inklusive).

Grüßle
the other
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wenn deine Verbindung auch so immer wieder abbricht und du keinen weiteren Switch verwendest würd ich mal die Fritzbox austauschen. Das Abbruchproblem hast du ja auch bei Fritz-2-Fritz!
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Darf ich fragen, wie das mit dem direkten Tunnel funktioniert? Was oder wofür ist das IPv6 Tunneling. Meinst du das?

Ich muss noch mal eben etwas erläutern: Also die FB bricht immer mal wieder ab, aber erst nach Stunden. Danach spinnt das WLAN und Telefonie. Dagegen die Verbindung von Syno2Syno nach ca. 30 Sekunden, baut wieder auf und das gleiche wieder. Beim Anmeldevorgang geht die CPU-Auslastung der Anmelde-Syno auf 99% hoch. Aber das kann ja eigentlich nicht daran schuld sein, den beim Abbruch ist die Auslastung längst wieder runter.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
na, wenn ich all die Beiträge im Thread richtig verstanden habe, dann baust du doch eine direkte VPN Verbindung (Tunnel) zwischen den NAS auf. Das meinte ich, nicht zwischen den Routern...
Und wie gesagt, wenn das ganze immer wieder abbricht, dann scheint ja irgendwas nicht so ganz korrrekt zu laufen. Da das auch bei der Verbindung via Fritzbox passiert, scheint es mit einer der beiden Probleme zu geben...

Dein Tunnel geht eben direkt von Nas zu Nas, um das restliche Netzwerk zu erreichen musst du entweder den VPN Server konfigurieren (push route) oder auf einen Router legen, der dich dann durch das distanzierte Heimnetz routet, zusätzlich ggf. den Traffic regeln und ggf. Firewallregeln anpassen. Einfach so geht das nicht, nach meinem Kenntnisstand zumindest.
Grüßle
the other
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Lieben Dank. Ich glaube ich werde dann erstmal AVM anschreiben warum die FB immer auf Störung geht.

Kann natürlich gut sein, das es an der FB liegt das die Syno die Verbindung ebenfalls verliert.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
ist leider etwas her bei mir mit der Synology openVPN Anwendung...wenn du dort den Haken bei "Clients den Server-LAN-Zugriff erlauben" setzt, dann müsste es eigentlich gehen, auf das Netzwerk dahinter zuzugreifen. Sorry für die Fehlinfo...

Grüßle
the other
 

Titty-Twister

Benutzer
Mitglied seit
09. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Danke. Ja das habe ich bereits aktiviert.

Kann mir jemand sagen wie das mit der Dynamischen IP eingestellt wird. Also ich meine ob man es an seinen IPBereich anpassen muss?

Was muss ich für den IPV6 Präfix eintragen?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Entweder du nutzt IP4 oder 6, aber vermeide Zwitter! Das bringt einige Router komplett aus dem Konzept.
 

tomtom00

Benutzer
Mitglied seit
23. Sep 2011
Beiträge
430
Punkte für Reaktionen
0
Punkte
0
Darf ich fragen, wie das mit dem direkten Tunnel funktioniert? Was oder wofür ist das IPv6 Tunneling. Meinst du das?

Ich muss noch mal eben etwas erläutern: Also die FB bricht immer mal wieder ab, aber erst nach Stunden. Danach spinnt das WLAN und Telefonie. Dagegen die Verbindung von Syno2Syno nach ca. 30 Sekunden, baut wieder auf und das gleiche wieder. Beim Anmeldevorgang geht die CPU-Auslastung der Anmelde-Syno auf 99% hoch. Aber das kann ja eigentlich nicht daran schuld sein, den beim Abbruch ist die Auslastung längst wieder runter.

Ich habe seit einigen Monaten das gleiche Problem. Vorher funktionierte meine OpenVPN Verbindung zwischen zwei Synology knappe 2 1/2 Jahre ohne Probleme. Nun geht es schon etwas länger nicht mehr. Ich komme aber leider erst jetzt dazu mir das ganze mal anzusehen. Interessanterweise funktionieren VPN-Verbindungen vom Rechner ganz normal und laufen auch stabil.

Wo werden denn die Logs gespeichert, vielleicht steht dort ja etwas genaueres?

/Edit: Ok, gefunden, die Logs liegen in /var/logs und dann wohl in "messages"? Wie kann ich mir die anschauen? Wenn ich via WinSCP drauf bin und mir die Datei ansehen möchte, erhalte ich ein Permission Denied (bin als "admin" agemeldet).

//Edit2: Ok ich habe gerade gesehen, das in der Protokollierung "Disconnected by Server" steht.
Ich habe mal auf dem Server in den openvpn.log geschaut:

hu Dec 26 16:15:43 2019 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Thu Dec 26 16:15:44 2019 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Thu Dec 26 16:15:44 2019 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false
.Thu Dec 26 16:15:44 2019 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) TLS: Username/Password authentication succeeded for username 'MeinUser' [CN SET]
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1572', remote='link-mtu 1544'
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher BF-CBC'
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) WARNING: 'auth' is used inconsistently, local='auth SHA256', remote='auth SHA1'
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384
Thu Dec 26 16:15:44 2019 ::ffff:142.24.132.48(51338) [MeinUser] Peer Connection Initiated with [AF_INET6]::ffff:142.24.132.48:51338
Thu Dec 26 16:15:44 2019 MeinUser/::ffff:142.24.132.48(51338) MULTI_sva: pool returned IPv4=10.2.0.6, IPv6=2XXX:XXX:x:779c::1000
Thu Dec 26 16:15:44 2019 MeinUser/::ffff:142.24.132.48(51338) PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Thu Dec 26 16:15:44 2019 MeinUser/::ffff:142.24.132.48(51338) OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_06184663edfcb5a1387f35403d071bb4.tmp
Thu Dec 26 16:15:44 2019 MeinUser/::ffff:142.24.132.48(51338) MULTI: Learn: 10.2.0.6 -> MeinUser/::ffff:142.24.132.48(51338)
Thu Dec 26 16:15:44 2019 MeinUser/::ffff:142.24.132.48(51338) MULTI: primary virtual IP for MeinUser/::ffff:142.24.132.48(51338): 10.2.0.6
Thu Dec 26 16:15:44 2019 MeinUser/::ffff:142.24.132.48(51338) MULTI: Learn: 2XXX:XXX:XXXX:XXXX::1000 -> MeinUser/::ffff:142.24.132.48(51338)
Thu Dec 26 16:15:44 2019 MeinUser/::ffff:142.24.132.48(51338) MULTI: primary virtual IPv6 for MeinUser/::ffff:142.24.132.48(51338): 2XXX:XXX:XXXX:XXXX::1000
Thu Dec 26 16:15:47 2019 MeinUser/::ffff:1142.24.132.48(51338) PUSH: Received control message: 'PUSH_REQUEST'
Thu Dec 26 16:15:47 2019 MeinUser/::ffff:142.24.132.48(51338) send_push_reply(): safe_cap=940
Thu Dec 26 16:15:47 2019 MeinUser/::ffff:142.24.132.48(51338) SENT CONTROL [MeinUser]: 'PUSH_REPLY,ifconfig-ipv6 2XXX:XXX:XXXX:XXXX::1000/64 2XXX:XXX:XXXX:XXXX::1,route 192.168.2.0 255.255.255.0,route 10.2.0.0 255.255.255.0,dhcp-option DNS 8.8.8.8,route-ipv6 2000::/3,tun-ipv6,tun-ipv6,route 10.2.0.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.2.0.6 10.2.0.5' (status=1)
Thu Dec 26 16:15:47 2019 MeinUser/::ffff:142.24.132.48(51338) Connection reset, restarting [0]
Thu Dec 26 16:15:47 2019 MeinUser/::ffff:142.24.132.48(51338) SIGUSR1[soft,connection-reset] received, client-instance restarting
Thu Dec 26 16:15:47 2019 RADIUS-PLUGIN: BACKGROUND ACCT: No accounting data was found for MeinUser,::ffff:142.24.132.48:51338.
Thu Dec 26 16:15:47 2019 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_DISCONNECT status=0


Kann es an den oberen Warnungen bzgl. der Inkonsistenzen geben? Ich weiß auch gar nicht woher die kommen?! Beide Synos sind auf dem neusten Stand was das DSM angeht (DS213+ und DS 114)
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat