Hallo,
Die letzten Tage habe ich viel darüber gelesen, wie man mit dem Synology openVPN Server eine Site-to-Site Verbindung einrichten kann. Vorab, ich benutze zwei DS (215j und 213j) und beide laufen zur Zeit mit DSM 5.2-5644 Update 3.
Der openVPN Server läuft auf der 215j und befindet sich im Subnet 192.168.178.0.
Der Client läuft auf der 213j und befindet sich im Subnet 192.168.2.0.
Die VPN Verbindung wird über eine dyndns Adresse aufgebaut und das funktioniert ohne Probleme, der Benutzer für die Verbindung ist "vpnuser".
Das VPN Subnet ist 10.11.12.0. Der Client bekommt nach dem Aufbau der Verbindung die dynmische IP 10.11.12.6.
Ich bin entsprechend den Anleitungen vorgegangen, welche ich auch hier im Forum gefunden hatte, z.B. diejenige von fpo4711 (z.B. http://www.synology-forum.de/showthread.html?49661-OpenVPN-2-Diskstations-Datensicherung-in-beide-Richtungen&p=395676&viewfull=1#post395676), der das auch immer sehr schön erklärt.
Wie gesagt funktioniert die VPN Verbindung und über die internen VPN IP's kann ich auch die andere DS in jeweils beide Richtungen erreichen/anpingen. Leider aber funktioniert es nicht, über die IP Adressen der jeweils eigenen Subnetze, also ich kann z.B. von der Server DS (192.168.178.12) nicht die client DS (192.168.2.100) anpingen oder darauf zugreifen.
Ich werde hier mal mein Setup und Config Dateien posten in der Hoffnung, dass jemand den Fehler erkennt Die Zeilen welche ich hinzugefügt habe markiere ich jeweils mit einem # dahinter.
/var/packages/VPNCenter/etc/openvpn/openvpn.conf auf der Server DS im Subnet 192.168.178.0
/var/packages/VPNCenter/etc/openvpn/ccd/vpnuser Datei auf der Server DS erstellt und wie folgt befüllt. Die Zeile mit "push" habe ich hier auskommentiert, weil das irgendwie nicht funktioniert hat und habe es dann in die openvpn.conf eingetragen, dann scheint der Server den route auf den client gepushed zu haben.
Nach dem Aufbau der VPN Verbindung schaut die IP Routing Tabelle in der Server DS auch nicht verkehrt aus, wobei ich etwas irritiert bin, das beim betreffenden route die 10.11.12.2 als Gateway steht. Ich meine aber Irgendwo gelesen zu haben, dass das ok ist und vom VPN Server so gemanaged wird.
Auf dem Client sieht es auch nicht so schlecht aus:
Beim openVPN Server habe ich die Option "Clients den Server-LAN Zugriff erlauben" aktiviert, habs aber auch ohne probiert).
Bei dem Client habe ich die Optionen "Standard-Gateway auf der VPN-Verbindung verwenden" und "Anderen Netzwerkgeräten ermöglichen,..." jeweils durchprobiert.
Nach jeder Konfigurationsänderung habe ich den VPN Server bzw. die DS neu gestartet.
Ich habe auch die statischen Routen in den Routern erstellt, aber hier gehts ja erst mal darum, dass ich die Client DS nicht von der Server DS aus mit der eigenen IP ihres Subnetzes (192.168.2.100) ansprechen kann.
Ich hoffe, mir kann geholfen werden
Danke schon im Vorraus!
Philippe
Die letzten Tage habe ich viel darüber gelesen, wie man mit dem Synology openVPN Server eine Site-to-Site Verbindung einrichten kann. Vorab, ich benutze zwei DS (215j und 213j) und beide laufen zur Zeit mit DSM 5.2-5644 Update 3.
Der openVPN Server läuft auf der 215j und befindet sich im Subnet 192.168.178.0.
Der Client läuft auf der 213j und befindet sich im Subnet 192.168.2.0.
Die VPN Verbindung wird über eine dyndns Adresse aufgebaut und das funktioniert ohne Probleme, der Benutzer für die Verbindung ist "vpnuser".
Das VPN Subnet ist 10.11.12.0. Der Client bekommt nach dem Aufbau der Verbindung die dynmische IP 10.11.12.6.
Ich bin entsprechend den Anleitungen vorgegangen, welche ich auch hier im Forum gefunden hatte, z.B. diejenige von fpo4711 (z.B. http://www.synology-forum.de/showthread.html?49661-OpenVPN-2-Diskstations-Datensicherung-in-beide-Richtungen&p=395676&viewfull=1#post395676), der das auch immer sehr schön erklärt.
Wie gesagt funktioniert die VPN Verbindung und über die internen VPN IP's kann ich auch die andere DS in jeweils beide Richtungen erreichen/anpingen. Leider aber funktioniert es nicht, über die IP Adressen der jeweils eigenen Subnetze, also ich kann z.B. von der Server DS (192.168.178.12) nicht die client DS (192.168.2.100) anpingen oder darauf zugreifen.
Ich werde hier mal mein Setup und Config Dateien posten in der Hoffnung, dass jemand den Fehler erkennt Die Zeilen welche ich hinzugefügt habe markiere ich jeweils mit einem # dahinter.
/var/packages/VPNCenter/etc/openvpn/openvpn.conf auf der Server DS im Subnet 192.168.178.0
Rich (BBCode):
push "route 192.168.178.0 255.255.255.0" # hinzugefügt
push "route 10.11.12.0 255.255.255.0"
dev tun
route 192.168.2.0 255.255.255.0 # hinzugefügt
management 127.0.0.1 1195
server 10.11.12.0 255.255.255.0
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh1024.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
max-clients 5
comp-lzo
persist-tun
persist-key
verb 3
#log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn
status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194
/var/packages/VPNCenter/etc/openvpn/ccd/vpnuser Datei auf der Server DS erstellt und wie folgt befüllt. Die Zeile mit "push" habe ich hier auskommentiert, weil das irgendwie nicht funktioniert hat und habe es dann in die openvpn.conf eingetragen, dann scheint der Server den route auf den client gepushed zu haben.
Rich (BBCode):
iroute 192.168.2.0 255.255.255.0
#push "route 192.168.178.0 255.255.255.0 vpn_gateway"
Nach dem Aufbau der VPN Verbindung schaut die IP Routing Tabelle in der Server DS auch nicht verkehrt aus, wobei ich etwas irritiert bin, das beim betreffenden route die 10.11.12.2 als Gateway steht. Ich meine aber Irgendwo gelesen zu haben, dass das ok ist und vom VPN Server so gemanaged wird.
Auf dem Client sieht es auch nicht so schlecht aus:
Beim openVPN Server habe ich die Option "Clients den Server-LAN Zugriff erlauben" aktiviert, habs aber auch ohne probiert).
Bei dem Client habe ich die Optionen "Standard-Gateway auf der VPN-Verbindung verwenden" und "Anderen Netzwerkgeräten ermöglichen,..." jeweils durchprobiert.
Nach jeder Konfigurationsänderung habe ich den VPN Server bzw. die DS neu gestartet.
Ich habe auch die statischen Routen in den Routern erstellt, aber hier gehts ja erst mal darum, dass ich die Client DS nicht von der Server DS aus mit der eigenen IP ihres Subnetzes (192.168.2.100) ansprechen kann.
Ich hoffe, mir kann geholfen werden
Danke schon im Vorraus!
Philippe
Zuletzt bearbeitet: