"Netzwerklaufwerk in VPN von außen" konfigurieren

Status
Für weitere Antworten geschlossen.

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Moin,

Ich habe eine Netzwerklaufverbindung wo ich ein Ordner von der DSM zugreifen kann. Wenn ich allerdings von außen zugreifen möchte, wollte ich nachfragen, ob ich bei der VPN-Konfiguration die dynamische IP Adresse ändern muss um in das gleiche Netz zukommen. Denn so wie es jetzt aussieht, funktioniert das nicht.

Ist die Überlegung richtig?

Wie folgt sieht es nun aus:

VPN dynamische IP: 10.8.0.1

Die letzte Zahl lässt sich nicht ändern, warum? Ich würde z. B. 10.20.30.3 den VPN Server liegen lassen.

Meine Lokale Adresse: 10.20.30.1
1=fritzbox
2=DSM 218play
Rest=DHCP

Muss ich alles in das gleiche Netz einbinden? VPN-Server + Meine Netzwerkadressen?

Wenn ich einen Denkfehler habe, korrigiert mich bitte aber mein Ziel ist es auf ein Windowslaufwerk von außen erreichbar zu machen.
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Ich verstehe nicht genau was du meinst aber bei der Anbindung des Netzlaufwerks habe ich bei mir einfach die lokale IP der DS angegeben. VPN Client Config ist natürlich auf die externe IP Adresse des Routers(Fritze) eingestellt im Falle von direkter ipv4 Verbindung mit dem Server(DS).. Lokale Adresse der DS ist bei dir in der Fritzbox fest eingestellt?
Achja, NICHT den Netznamen der DS (\\diskstation) etc. verwenden über VPN. Das funktioniert nicht laut Forum. Stattdessen die lokale IP deiner DS direkt also etwa \\192.168.123.123\home

P.S. Warum nutzt du ein Class A Subnet? Würde nicht ein Class C "Heimnetz" mit 192.168.x.x ausreichen?
 

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Es ist ja so, dass ich von außen(nicht zu Hause) auch auf meine Fritzbox und auf meine DS komme, per lokale IP, wie 10.20.30.1 (fritz), 10.20.30.2 (DS) aber mein Netzwerklaufwerk funktionier nicht, wenn ich nicht zu Hause bin.

Das ist mein Hauptproblem und ich weiß nicht wo der Fehler liegt.

Ich nutze das C Sub wegen der Übeschneidung anderer Netze, weil ich ein mal gelesen habe, dass es dort Komplikationen geben kann, wenn ich z. B. ein fremdes Anmeldeformular von der DS habe.
 

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Ich hab das Problem gelöst, der Netzwerkname wird nicht erkannt aber ich habe \\10.20.30.2\x eingegeben und nun funktioniert es.
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Super, die Sache mit dem Netzwerknamen ist mir auch aufgefallen beim Anbinden via OpenVPN. IP geht ohne Problem :)
 

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Gibs dafür eine Erklärung, warum der Name nicht erkannt wird? Ich dachte die Auflösung der Adresse geht mit Hilfe einer DNS. Denn ich bin doch im lokalen Netzwerk und die DNS wird doch von der DS übernommen oder? Muss man sich erst ein DNS Server einrichten?, wie die fritzbox das hat?(Router)
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Naja nen DNS Server brauchst nicht gleich einrichten. Ich habe auf jedem Windows Client einfach die lokale IP der DS fest in die Hosts-Datei eingetragen, etwa

192.168.123.123 meinediskstation

Ein Netzlaufwerk über die lokale IP statt DNS-Namen einzubinden ist ja auch keine große Sache. Eine lokale IPv4 kann man sich noch gut merken.
Welchen VPN Server nutzt du denn? OpenVPN? IPsec? PPTP? Probier mal in der Konfig die Google DNS einzustellen ( 8.8.8.8 ). Welches Client-Betriebssystem und Version?
In älteren OpenVPN Clients für Windows 10 gabs nen bekannten DNS Bug.
Bei Windows mal IPv6 abschalten wenn es nicht gebraucht wird, denn Windows bevorzugt standardm#ßig IPv6 vor IPv4.
Quelle: https://www.computerbase.de/forum/threads/dns-aufloesung-ueber-openvpn-funktioniert-nicht.1608070/
 
Zuletzt bearbeitet:

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Ich benutze die openvpn auf der DS und hab auf meinen Windows(10) PC, Laptop und paar smartphones ebenfalls den Client VPN.

Mein lokaler DNS ist natürlich die Fritzbox (10.20.30.1)
Der DNS in der Fritzbox habe ich die ipv6: 2606:4700:4700::1111 und ipv4 1.1.1.1

Der externe DNS hat doch damit gar nichts zutun, wüsste nicht welche Anspielung du meinst.
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Ja ich nutze auch OpenVPN Server und Client auf Windows und bei mir das gleiche - Netzwerkname funzt über VPN nicht. Mit einem einfachen Eintrag in die HOSTS-Datei ist das Problem in einer Minute gelöst. Ggf. für andere Geräte im Netzwerk mehrere Einträge.
https://praxistipps.chip.de/hosts-datei-bearbeiten-in-windows_1307
Du hast ja nur 2 Windows Geräte bei denen du das machen musst. Smartphones verbinden sich problemlos oder? Wüsste nicht wozu man auf Smartphones ein Netzlaufwerk einbinden sollte / ob das überhaupt geht wenn es von Synology die ganzen mobile Apps gibt. Die stellt man halt einmal ein mit der lokalen IP sofern man kein QuickConnect nutzt.
 

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Funktioniert das nicht in der openconfig, wo man das einfach anpassen kann? Ich denke das es nur eine kosmetische Sache ist.
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Meines Wissens nicht. Ist auch keine kosmetische Sache. DNS-Server auf der NAS wäre auch ne Möglichkeit, ist aber noch komplizierter.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Openvpn kann das, die Synology GUI beim Openvpn Server leider nicht.
Ihr müsst beim openvpn die DNS Router auf den Client pushen.

Dafür entweder am Server den folgenden Befehl in die openvpn Config adden (damit passiert es automatisch für die Clients und so mache ich es auf meinem Syno Router):
Rich (BBCode):
push "dhcp-option DNS 10.20.30.1"

Bzw. in der Client Config geht es angeblich auch, kann ich aber nicht bestätigen:
Rich (BBCode):
dhcp-option DNS 10.20.30.1

Siehe zB. hier. Wo der DNS Server läuft spielt keine Rolle, man muss es hier einfach als OpenVPN Option konfigurieren und damit sollte es dann auch klappen!

Die Config am Server liegt unter /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
richtig, deswegen habe ich das gar nicht erst angesprochen. Um die openvpn server config auf der DS zu editieren muss man sich m.W. als root in das DSM einloggen, mit einem SSH Client wie PuTTY. Und dann die openvpn config mit nem linux text editor in der konsole editieren. Erfordert Konsolen-Kenntnisse und man kann mit adminrechten verdammt viel zerschießen inkl. gesamtes DSM.
Wenn man bash kann und weiß was man tut, warum nicht.
 
Zuletzt bearbeitet:

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ja man kann sich auch sein Windows bei Unkenntnis zerschießen.
In diesem Fall wär wohl kaputt machen des VPNs möglich, was sich mit deinstallieren und neu installieren des Pakets wohl auch einfach lösen lassen würde.

Anyway: der Weg über Client Config benötigt keine Serveranpassung oder sonstige Kenntnisse. Einfach mal probieren.
 

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Das pushen (dhcp-option DNS 10.20.30.1) in der config im Client funktioniert leider nicht, bzw. hat mein Client keine Reaktion gezeigt zur fritzbox. Er erkennt weiterhin nur die IP, statt den Netzwerknamen. Den VPN Server auf der DS werde ich nicht editieren - dazu fehlen mir erhebliche Grundkenntnisse. Danke sehr für den kritischen Hinweis.

Trotzdem danke für die Hilfe aber ich hatte vorher vermutet, dass es einfach von statten geht.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Grundsätzlich muss man VPN erlauben, dass du im Netzwerk bzw. aufs NAS kommst (Setting im OpenVPN und zusätzlich könnte auch die Firewall blockieren). Das dürfte bei dir passen, sonst ginge es mit der IP nicht.
Evt. blockiert aber die NAS Firewall fürs VPN noch den Zugriff auf den DNS (=Fritzbox).

Aber das sind alles nur Vermutungen, immer schwer sowas von außen zu beurteilen. Du kannst ja ggf. noch ausprobieren, ob bei deaktivierter Firewall dann doch die DNS Auflösung ginge.
Wenn du es wirklich rausfinden möchtest, dann per Linux/Windows Rechner ins VPN connecten, dann DNS kontrollieren, NSlookup auf den Hostname etc.
 

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Also die Firewall habe ich von der DS ausgeschaltet, wegen der Performance und ich verlasse mich da einfach auf die Fritzbox.

Ich werde noch ein bisschen rumprobieren, ob ich es hinbekomme.

Desweiterin habe ich ein Fehler im Log von der VPN. (Windows 10 VPN Client)

Code:
Sun Nov 11 18:05:01 2018 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Sun Nov 11 18:05:01 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Nov 11 18:05:01 2018 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Sun Nov 11 18:05:01 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Nov 11 18:05:01 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]ip zensiert:1194
Sun Nov 11 18:05:01 2018 UDP link local (bound): [AF_INET][undef]:1194
Sun Nov 11 18:05:01 2018 UDP link remote: [AF_INET]ip zensiert:1194
Sun Nov 11 18:05:01 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Nov 11 18:05:03 2018 [chipsy.myds.me] Peer Connection Initiated with [AF_INET]ip zensiert:1194
Sun Nov 11 18:05:04 2018 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Nov 11 18:05:04 2018 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Nov 11 18:05:04 2018 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sun Nov 11 18:05:04 2018 open_tun
Sun Nov 11 18:05:04 2018 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{5C9AB51E-3532-49BA-9A18-AEB1C9E2F568}.tap
Sun Nov 11 18:05:04 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {5C9AB51E-3532-49BA-9A18-AEB1C9E2F568} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Nov 11 18:05:04 2018 Successful ARP Flush on interface [10] {5C9AB51E-3532-49BA-9A18-AEB1C9E2F568}
Sun Nov 11 18:05:04 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun Nov 11 18:05:09 2018 Initialization Sequence Completed

Was läuft hier falsch?
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
steht ja im Grunde im Log drin. Die Option auth-nocache verhindert das Speichern von Passwörtern im Cache. (In der Client Config ergänzen). Kontrolliere im DSM die Einstellungen vom OpenVPN Server. Anscheinend ist die Verschlüsselung zu schwach eingestellt. Hab bei mir AES-256-CBC und bei Authentifizierung SHA512 eingestellt. Das sind sichere Werte.
 

dideldei

Benutzer
Mitglied seit
30. Jun 2018
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Hallo,

also erstmal hat er mich nach deiner Einstellung komplett rausgeworfen und hat mich lokal ausgesperrt mit der IP Sperre. Die DSM hat sich bestimmt aufgehangen. Ein schöner Vorführeffekt - oder? :)

Wie dem auch sei, es ist alles wieder in Ordnung und hab die config von dir angepasst und das Profil aktualisiert (exportiert).

Code:
Sun Nov 11 19:34:30 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Nov 11 19:34:30 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sieht schon mal etwas sauberer aus. Ich habe das Passwort aber nicht gespeichert und die erste Meldung verstehe ich nicht, weil das Zertifikat auch in der Config ist.

Er ist aber auch empfindlich...
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat