VPN Server nur von einem User erreichbar

[DesignDevil]

Hallo, ich bin neu hier und habe ein Problem mit der VPN Verbindung mehrerer Clients zum NAS (DS218+)

Grundsätzlich kann eine VPN Verbindung aufgebaut werden, aber die Konstellation die ich habe lässt immer nur EINE Verbindung zu. Ich versuche das mal zu erklären:

Es gibt ein Ladengeschäft mit 2 Rechnern. Diese sind in einem Netzwerk und über einen Modem (Breitbandkabelanbieter) mit dem Internet verbunden. (IP Bereich 192.168.0.x)

Das 2. Ladengeschäft hat ebenfalls ein Modem (gleicher Breitbandanbieter), dahinter das NAS im Netzwerk. (IP Bereich 192.168.1.x)

Die beiden Rechner im 1. Ladengeschäft können unabhängig voneinander eine Verbindung per VPN zum NAS im 2. Ladengeschäft (L2TP/IPSEC) aufbauen. Gleichzeitig geht das jedoch nicht. Ich habe schon versucht 2 Benutzer anzulegen wobei auch dann nur ein Benutzer die Verbindung aufbauen kann.

Ich habe diese Konstellation mal von unserem Büro aus (Telekom Internet Zugang) ausprobiert (2 Notebooks) und auch hier das gleiche Ergebnis. Nur einer der Notebooks kann eine VPN zum NAS aufbauen.

Hatte das schon einmal jemand? Mache ich etwas falsch? Bemerkt das NAS das die VPN vom gleichen SUB Netz aus aufgebaut wird und verweigert das???? Bei einer FritzBox wäre sowas problemlos möglich.

Wäre für Hilfe sehr dankbar.

 

[Puppetmaster]

Ich verstehe nicht, weshalb du zweimal einen VPN Tunnel öffnen willst!?

Ein VPN verbindet zwei Netzwerk miteinander. Einmal verbunden, kann doch jeder Client in den jeweiligen Netzen den Tunnel benutzen. Wozu sollte man diesen Tunnel noch einmal öffnen?

 

[mexx81]

Und mich würde mal interessieren ob Du den VPN Server vom NAS oder den VPN Server vom Synology Router verwendest. Und wenn Du eine VPN Verbindung am Client einrichtest, empfehle ich Dir sogar unterschiedliche Benutzerkonten dafür zu verwenden, aber ich muss Puppetmaster recht geben. Warum nicht gleich den Router als VPN Client verwenden?

 

[DesignDevil]

Danke für die Antworten, zu den Fragen:

Die beiden Rechner im Laden 1 sind direkt mit dem Modem (ARRIS) von Breitbandanbieter verbunden. Das Modem bietet nicht die Möglichkeit eine VPN einzurichten und einen Router gibt es hier nicht. Somit muß die VPN direkt an den Rechnern, also Clients eingerichtet werden; bzw. so sollte es realisiert werden.

Als VPN Server ist der "VPN Server vom NAS" aktiviert und eingerichtet. Unterschiedliche Benutzerkonten sind ebenfalls eingerichtet zeigen aber den gleichen Effekt als würde ich eins nehmen (wobei der VPN Server ja mehrere Verbindungen mit gleicher Anmeldung akzeptieren kann).

 

[Puppetmaster]

wobei der VPN Server ja mehrere Verbindungen mit gleicher Anmeldung akzeptieren kann

Ja, aber doch nicht mehrfach aus demselben Netz!

Wenn also Rechner1 aus Netz1 das VPN zum NAS aus Netz2 aufgebaut hat, kommt Rechner2 aus Netz1 nur über den Umweg Rechner1 auf das Netz2.

Du kannst nicht von mehr als einem Rechner in einem Netz zweimal die Verbindung in ein anderes Netz aufbauen.

 

[DesignDevil]

Nun, genau das ist die Frage bzw. auch meine Vermutung die ich gerne bestätigt hätte, nämlich das der VPN Server des NAS dies nicht kann, denn zu einer FritzBox oder einem Draytek Router ist dies möglich.

 

[mexx81]

Sicher Puppetmaster? Der Client bekommt doch dann eine DHCP IP vom VPN Server. Default ist 10.2.0.x. Client 1 bekommt 10.2.0.1 und Client 2 bekommt 10.2.0.2. Beide stellen sich dann dynamische Routen ein und fertig. Hatte nicht gedacht, dass das nicht geht? Ich nutze es aber auch nicht so. Mache VPNs nur von Router zu Router.

DesignDevil, im VPN Server gibt es einen Eintrag "Maximale Verbindung" und "Maximale Anzahl von Verbindungen vom selben Konto". Check die mal.

Dann rate ich Dir mal das VPN Log rauszuholen und zu checken. Das machst Du wenn Du kein SSH hast über das Support Paket und und dann bei Protokollerstellung den VPN Server auswählen. Die Datei die Downloadest entdecken und mit notepad++ das Log öffnen. Da könnte drin stehen, was nicht stimmt.

 

[DesignDevil]

Die maximale Verbindungszahl steht auf 20, vom selben Konto auf 10. Die Werte hab ich so hoch gesetzt, da das auch meine Vermutung war. Ich hatte da noch einen TimeOut im Verdacht (also das die Verbindungen zu lange aktiv sind und dadurch die maximale Anzahl zu hoch wäre), aber alles nicht der Fall.

Die IP Vergabe 10.2.0.1 usw. ist wie du sagst eingestellt - also eigentlich alles auf Default - und nach meiner Einschätzung müsste es gehen, es sei den der VPN Server auf dem NAS hat halt mit dieser Konstellation ein Problem.

Das Log kann ich gerade nicht einsehen, das schaffe ich erst morgen. Dann gebe ich eine Rückmeldung.

Vielen Dank erst einmal.

 

[Puppetmaster]

@mexx81: Hm, nein, beim zweiten Mal drüber nachdenken hast du vermutlich recht. Der Client bekommt ja eine eigene IP aus dem Tunnel-Netz, da sollten durchaus auch mehrere theoretisch möglich sein.

 

[tproko]

Das ist auch praktisch möglich - zumindest mit openvpn habe ich das schon öfters gemacht.

 

[blurrrr]

Bei solchen Geschichten IMMER Site2Site (direkt mit mehreren Routen) alles andere wäre auch völliger Schwachsinn... Quasi "alles" was im anderen Netz ist, soll auf das andere Netz zugreifen sollen, also was soll der Geiz - direkt die Standorte koppeln und gut ist's... Wenn es mit dem Regel-Management mit den kleinen Dingern nicht hinhaut, sei's drum, dann muss man halt was vernünftiges anschaffen und dann ist man die sorgen los, ganz einfach. 2 geschäftliche Standorte + Büro und dann noch rumkaspern, ich glaub es hackt - unwirtschaftlicher geht es ja wohl kaum noch Wenn man es direkt "ganz" vernünftig macht - so wie ich das bisher gelesen habe: 3 Standorte - werden einfach ALLE miteinander vernetzt (Site2Site) und via Firewall das Zugriffsmanagement geregelt, ganz einfache Kiste.

Entweder mit einer zentralen Schnittstelle wo sich die beiden anderen Standorte verbinden und auch das gesamte Routing drüber läuft (was schlecht wäre, wenn dieser Standort ausfällt), oder direkt pro Standort 2 Verbindungen zu den jeweiligen beiden anderen Standorten, dann ist es auch egal, wenn ein Standort offline geht, die beiden anderen bleiben voll funktionsfähig.

EDIT: Mehrfachverbindungen müssen normalerweise explizit erlaubt werden.

EDIT2: Was für Bandbreiten hast Du an den jeweiligen Standorten? Bitte gliedern nach Büro, Laden1 und Laden2

 

[DesignDevil]

@blurrrr ... wow, ganz langsam mit den jungen Pferden ;-)

Also zunächst einmal geht es um 2 Läden, nicht um 3.

Der erste "Laden" also das Büro existiert schon länger und ist das Büro eines Fussballvereins. Wie das in Vereinen so ist haben die wenig Geld zur Verfügung, somit sucht man nach der günstigsten Variante.

Dieser Verein hat eine Zweigstelle eröffnet wo man u.a. Karten kaufen kann. Der ist neu und unser Büro hat dort die Hardware (1 Drucker, 1 PC) gesponsort. Der Vereinsleiter hat einen Notebook mit dem er auf die Dateiablage sowohl vom Büro 1 wie auch Büro 2 zugreifen möchte. Der PC im Büro 2 soll ebenfalls auf die Dateiablage zugreifen können.

Mehr wird nicht benötigt. Die Anbindung ist bei beiden Standorten 25MBit DL und 5MBit UL über einen Breitbandanbieter via Modem. Am Modem können jeweils 4 Geräte angeschlossen werden. Eine Art Router ist somit eingebaut, da gibt es jedoch (LEIDER) keine Möglichkeit ein "site2site VPN" einzurichten, geschweige denn überhaupt ein VPN Zugang.

Da die NAS das ja grundsätzlich kann, haben wir auf die Anschaffung eines zusätzlichen Routers für nur diesen Zweck bis dato verzichtet. Natürlich können wir das machen, aber nochmal: Eigentlich sollte es ja funktionieren.

 

[Nomad]

Site 2 Site kann Synology aus welchen Gründen auch immer, nicht. Wäre schön aber muss nicht sein. So ist, Mitarbeiter in einer Niederlassung wählen sich je nach Bedarf individuell an den VPN Server in der Zentrale ein, durchaus nicht selten.

Damit wäre die ursprüngliche Frage auch halbwegs geklärt. Es liegt nicht am VPN Server wenn nur genau ein Nutzer sich einwählen kann.

 

[DesignDevil]

@Nomad,

naja so richtig geklärt ist das nicht. Es können sich mehrere Benutzer gleichzeitig per VPN mit dem NAS verbinden, wäre grundsätzlich gar kein Problem, sogar mit gleichen Login Daten, wenn einer in London, einer in Paris und einer in Berlin sitzt ;-) -> allerdings halt NICHT wenn die 3 im gleichen Büro sitzen - und das ist der Kern der Frage und noch nicht geklärt.

...und bevor einer fragt, ich bin noch nicht an die LOGs rangekommen...

 

[Nomad]

Ich sprach von einer Niederlassung und da sitzt in der Regel doch mehr als ein Mann.

 

[DesignDevil]

So, die Protokolle haben leider keinerlei Erkenntnis erbracht

Aber tproko schrieb er hätte das schon einmal mit OpenVPN gemacht. Daher hab ich es jetzt ebenfalls mal mit PPTP und OpenVPN getestet und siehe da, mit diesen VPN Varianten funktioniert es.

Nun weiß ich nicht ob das zur Spezifikation von L2TP/IPSec gehört, also ein gewolltes Sicherheitsfeature ist, oder aber ein Bug im NAS. Wie auch immer, mit OpenVPN kann ich und der Kunde gut leben.

Ich danke euch allen für die tolle und vor allem schnelle Hilfe/Inspiration/Denkanstösse.

 

[tproko]

Ok, aber PPTP gleich wieder deaktivieren. Das ist nicht mehr Stand der Dinge... ;-)

 

[blurrrr]

Seit.... etlichen Jahren

 

[DesignDevil]

Das ist schon klar, hatte ich nur zum Testen in Betrieb.