Netzlaufwerk verbinden über VPN zweier versch. LAN / Subnetze

[DynTom66]

Hallo Forum,
ich habe echt einige Zeit der Recherche und Testerei gebraucht, um mit einem Freund, der ein Qnap hat, eine VPN-Verbindung zu realisieren. Wir haben unsere Medienbibliothek zusammengeschmissen und somit gleichzeitig ein Backup, das ist die Idee.
Die Fritzbox-Verbindung funktioniert endlich und leuchtet bei beiden grün.

Er hat 100/50 und ich 25/5 Mbps im Down- bzw. Upload, real erreichen wir leider nur ca. 1 MB/s.

Per http://192.168.178.100 komme ich auf sein NAS (Netzwerkname colonia), kann mich einloggen und auf sein freigegebenes Laufwerk "mulitmedia" gehen. Das Gleiche geht auch anders herum: Er kommt auf meins (http://192.168.77.100) und kann sich einloggen.
Wir können über Drag 'n Drop Dateien über den Browser austauschen, aber über einen Filemanager wie z.B. den Total Commander ist das schon eleganter, weil man auch synchronisieren kann.

Nun zur recht einfachen Frage:

Wir schaffen es beide nicht, sein oder mein freigegebenes Laufwerk auf dem NAS über Win-10 Netzlaufwerk zu verbinden, weil die Subnetze Probleme machen.
(Natürlich immer mit "unter einem anderen Benutzernamen anmelden")
Wie müsste das korrekterweise lauten?

Haben von mir (Subnetz 77) zu ihm schon alles durchprobiert, denke ich:
\\192.168.178.100\multimedia oder \192.168.178.100\multimedia
\\192.168.178.100\colonia\multimedia oder \192.168.178.100\colonia\multimedia

Umgekehrt in meine Richtung (von 178 zu 77) geht es auch nicht.
Auch Weglassen der IP geht nicht (sollte auch nicht, da verschiedene LANs)

Was machen wir falsch? Muss der Name des NAS angegeben werden? Ist "\\" am Anfang richtig oder doch "\". IP weglassen und mit Eintrag in der hosts Datei arbeiten?
Ist die Firewall trotz VPN aktiv?

Danke für Eure Antworten!

 

[blurrrr]

Ist die Firewall trotz VPN aktiv?

Eine Firewall ist entweder AN oder AUS (mit VPN hat das nix zu tun und mit "trotz" noch viel weniger), also guck das mal lieber alles durch bzgl. vorhandener Regeln auf den involvierten NAS-Geräten (sofern die Firewall eingeschaltet ist) ?

 

[Uwe96]

Bei 5 Mbit Upload finde ich 1 MByte schon verdammt viel. dürften eigentlich höchsten 600 KByte sein.

 

[NSFH]

Ich gehe mal davon aus (hoffe!!!) dass in beiden Synos die Firewall aktiviert ist. Wenn dem so ist müsst ihr auch gegenseitig sowohl für das eigene als auch das entfernte LAN SMB (Windows Dateidienste) freischalten! Die Firewallregel so anlegfen, dass nur diese beiden IP-Ranges funktionieren, noch besser wäre es da mit den IPs der Zugriffsrechner zu arbeiten und alles andere vom jeweils anderen LAN blocken.

 

[DynTom66]

Eine Firewall ist entweder AN oder AUS (mit VPN hat das nix zu tun und mit "trotz" noch viel weniger), also guck das mal lieber alles durch bzgl. vorhandener Regeln auf den involvierten NAS-Geräten (sofern die Firewall eingeschaltet ist) ?

... war so gemeint: Es würde mich wundern, wenn die Firewall noch HINTER dem VPN aktiv in den Datenverkehr eingreift, da nach meinem technischen Verständnis das VPN einen verschlüsselten Tunnel ermöglicht.

 

[DynTom66]

Bei 5 Mbit Upload finde ich 1 MByte schon verdammt viel. dürften eigentlich höchsten 600 KByte sein.

Wenn ER mir etwas auf das NAS schiebt, ist es 25Mbps Upload von seiner Seite und 25Mbps Download von meiner Seite.
Ansonsten hättest Du natürlich recht.

 

[DynTom66]

Ich gehe mal davon aus (hoffe!!!) dass in beiden Synos die Firewall aktiviert ist. Wenn dem so ist müsst ihr auch gegenseitig sowohl für das eigene als auch das entfernte LAN SMB (Windows Dateidienste) freischalten! Die Firewallregel so anlegfen, dass nur diese beiden IP-Ranges funktionieren, noch besser wäre es da mit den IPs der Zugriffsrechner zu arbeiten und alles andere vom jeweils anderen LAN blocken.

Ok, dann wurstelt die Firewall also tatsächlich noch hinter dem verschlüsselten VPN-Tunnel herum? Das war mir nicht bewusst.
Ja, wir haben beide eine, aber bevor ich da jetzt Freigaben mache, leben wir lieber mit der Browserlösung.

Wäre aus Deiner Sicht denn dann \\192.168.178.100\multimedia die richtige Ansprechweise des Netzlaufwerkes?

Danke erst einmal!

 

[NSFH]

ja so müsste das funktionieren!
Hängt euch ans Telefon und schaltet zeitgleich mal testweise die Firewall der Synos aus. Dann logge dich mal mit diesem Pfad ein.
Wenn ihr das firewalltechnisch absichert spricht nichts gegen eine Verwendung von SMB via VPN.

 

[blurrrr]

Es würde mich wundern, wenn die Firewall noch HINTER dem VPN aktiv in den Datenverkehr eingreift

Bisse lustig oder wat? Meinste n Verkehrspolizist auf einer Kreuzung regelt nur den Verkehr in eine Richtung? Beim VPN wird auch ein virtuelles Interface auf den Geräten erzeugt. Auf was greifen Firewallregeln zurück? ....achja, "ein Interface" oder "alle" (ein Schelm, wer da jetzt Rückschlüsse ziehen würde). Was wurde im gleichen Kontext noch gesagt? Achjo, Firewall ist entweder "an" oder "aus", also so tue er einfach wie ihm direkt schon anfangs gesagt wurde ?

Btw Du musst nicht meinen, dass die Pakete bis zur Unendlichkeit verschlüsselt bleiben. Nur "im" Tunnel greift die Verschlüsselung des VPNs. Sobald die Pakete den Tunnel wieder verlasse, ist auch nichts mehr mit der Verschlüsselung des VPNs (gutes Beispiel dafür wären z.B. Site-2-Site-VPNs).

 

[DynTom66]

Bisse lustig oder wat? ...

... eher Anwender und wenig erfahren mit VPNs, Netzlaufwerken und Firewalls, also versuche ich ja gerade am Anwendungsfall zu lernen.
Firewalls sind auf beiden Seiten im Win10 aktiv, aber nicht im NAS.
Brauche ich die im NAS überhaupt, wenn ich von extern gar nicht zugreife, sondern nur über VPN?
Auch denke ich, dass uns das Webinterface reicht und wir auf die Netzlaufwerke lieber verzichten, ehe wir (vor dem Hintergrund dessen, dass wir da keine Experten sind) Ausnahmeregeln in die Firewalls reinbasteln.

Was würdest Du empfehlen?

 

[blurrrr]

Alles gut, hat sich vermutlich schlimmer angehört, als es gemeint war. Bin eh der Meinung, dass es keine dummen Fragen gibt, maximal dumme Antworten ?

Wenn ihr eure Medienbibliothek zusammenwerfen wollt (inkl. Abgleich), welche ja wohl auf den jeweiligen NAS-Geräten liegt, macht es allerdings wenig Sinn, wenn ihr das VPN über eure Clients abwickelt, oder wie habt ihr das so vor?

So rein vom Verständnis her - die beiden NAS-Geräte sollten sich doch im besten Fall automatisch synchronisieren (2-Wege), damit ihr beide immer den gleichen Stand bzgl. der Sammlung habt, oder nicht? Zugreifende Clients sollten dann ja auch egal sein, da jeder Client auch immer nur auf das jweils "lokale" NAS zugreift. Von daher sind eigentlich die beiden einzigen Geräte, welche "wirklich" miteinander reden müssen, die beiden NAS-Geräte. Da könntet ihr euch es auch einfach machen und einfach die beiden NAS-Geräte via VPN miteinander verbinden. Dann können auch die Clients nicht an das jeweils andere NAS (die haben da ja theoretisch auch nix verloren, sondern greifen dann immer nur auf das eigene NAS zu).

Was die Firewall angeht, so würde ich das dann - egal ob Tunnel oder nicht - immer nur auf das maximal nötigste beschränken. Das wäre in eurem Fall dann die Synchronisation (vermutlich rsync bzw. 873/TCP (unverschlüsselt, ist aber egal, geht eh durch den VPN-Tuennel)). Somit entfällt dann auch das händische hochladen von irgendwelchen Dingen mit Zugriff auf das Remote-NAS. Das machen die NAS-Geräte dann einfach direkt untereinander.

EDIT: Oftmals hilft auch einfach nur ein Blatt Papier und ein Stift. Ihr wisst ungefähr was ihr wollt. Einmal grob skizzieren und dann überlegen, was "wirklich" notwendig ist - immer nach dem Motto: So wenig wie möglich, soviel wie nötig.

 

[DynTom66]

So rein vom Verständnis her - die beiden NAS-Geräte sollten sich doch im besten Fall automatisch synchronisieren (2-Wege), damit ihr beide immer den gleichen Stand bzgl. der Sammlung habt, oder nicht? ...

Das hilft mir sehr, vielen Dank! Habe mir tatsächlich auch schon das ganze im Kopf skizziert und habe mir gedacht, dass die Clients bzw. PC's gar nicht nötig sind, weil beide NAS ein vollständiges OS besitzen und dann untereinander können müssten. Eine 1:1. Sync mit einem Verzeichnis "Neue_Filme" wäre da der richtig Ansatz. Ich schaue mir das in den nächsten Tagen einmal näher an - falls es hakt, belästige ich Euch nochmal.

PS: Ich finde es toll, dass man hier so gute Hilfe bekommt und mache das tatsächlich ebenfalls in anderen Bereichen, die ich selbst sehr gut beherrsche.

 

[blurrrr]

Vermutlich schlichtweg Karma und so...

Für einen 2-Wege-Sync gibt es mehrere Möglichkeiten - CloudStation-Gedöns, Drive (sollte es "glaube ich" auch können, nutze es aber nicht), "synchronisierten gemeinsamen Ordner" (ganz unten in der Systemsteuerung, wohl die einfachste Lösung, da auch nix extra installiert werden muss) und dann zum Schluss noch rsync via Script (wobei die anderen Lösungen teilweise auch einfach nur auf rsync aufbauen (wenn nicht sogar alle)). Sicherlich gibt es bestimmt auch noch andere Möglichkeiten, aber das war so die kurze grobe Variante

Wünsche gutes Gelingen! ??