Nutzung des VPNs einer anderen Synology

[Theo39]

Hallo zusammen,

ich möchte gerne NAS 'A', welches örtlich entfernt steht, in ein VPN mit zwei anderen NAS 'B' und 'C' hängen.

Bis hier bin ich gekommen:

NAS 'A' lässt einen VPN Server laufen und nimmt Verbindungen entgegen.
NAS 'B' baut einen Tunnel zu 'A' auf und ich kann meine HyperBackups laufen lassen (Ziel ist 'A')

Auf NAS 'C' läuft ebenfalls ein VPN Server, der dafür genutzt wird, von unterwegs eine sichere Verbindung 'nach Hause' zu ermöglichen.

Nun wollte ich jedoch, dass auch 'C' Daten via HyperBackup auf 'A' ablegen kann. Eine VPN Verbindung herzustellen klappt jedoch nicht, da die Meldung kommt, es liefe bereits ein VPN Server, den ich erst abschalten müsste.

Bei NAS 'B' bietet Synology mir die Option 'Anderen Netzwerkgeräten ermöglichen, Verbindungen über die Internetverbindung dieses Synology Servers herzustellen'.

Könnte ich damit mein Ziel erreichen?

Danke im Voraus,
Theo

 

[gelerio]

Wenn ich das Problem richtig verstehe, läuft auf der 'C' der VPN Server. Den musst Du zuerst deaktivieren. Synology kann nicht gleichzeitig als Server und Client sein.

 

[Theo39]

Ja und die Verbindung kann auch hergestellt werden, wenn ich entweder das Eine oder das Andere mache. Aber kann ich auch erreichen, dass ich einerseits den VPN Server von außen erreiche, damit ich eine sichere Leitung habe und andererseits trotzdem Sicherungen meiner Daten von C auf A ablegen kann?

 

[Stationary]

Eine Lösung wäre, Deine VPN-Endpunkte auf die jeweiligen Router zu legen. LAN-LAN-Kopplung und externer Zugang über VPN auf die Router gibt Dir die Möglichkeit, mehrere Netzwerke miteinander zu verknüpfen, von einem NAS auf das andere zu sichern und weiterhin Zugang von extern in Deine Netzwerke zu haben. Ich habe so vier Fritzboxen miteinander verknüpft und zwei Diskstations, die jeweils in einem der Netzwerke stehen und miteinander synchronisiert gehalten werden. Ein Backup-Job wäre so aber auch möglich.

 

[Theo39]

Danke für den Vorschlag. Ich werde sowas mal versuchen. Eine meiner Fritzboxen stellt bereits ein VPN zur Verfügung. Auf der anderen wollte ich es nicht aufziehen, da die Synology dahinter den Job gut übernehmen konnte, aber wenn es alles nicht hilft...

 

[gelerio]

Ich bevorzuge die Lösung von Stationary, aber wenn Du das VPN unbedingt mit der Syno erstellen willst, könntest Du dies mit dem L2TP (anstatt OpenVPN) tun. Wenn ich mich richtig erinnere, kann die Syno VPN-Server für OpenVPN und gleichzeitig L2TP-Client sein.

 

[the other]

Moinsen,
und dabei nicht vergessen, dass es generell eine doofe Idee ist, einen VPN Server auf einem Fileserver (den ein NAS ja originär darstellt) zu betreiben...
Mit dem Router bist du da definitiv besser beraten...(oder einen separaten VPN Server aufziehen mit Raspi etc.)

 

[Theo39]

Welchen Vorteil würde ein Pi bieten? Wenn jemand auf dem NAS aus dem VPN rauskommt, kommt er auch aus der ähnlichen Implementierung auf dem Pi raus, oder? Einmal draußen, ist man drin.

 

[Stationary]

Der Pi bietet Dir die Möglichkeit zwischen verschiedenen VPN-Verfahren/Protokollen zu wählen. Bei der Fritzbox bist Du auf IPSec IKEv1 festgelegt. Wenn Du es ohne großen Aufwand lösen willst, ist die LAN-LAN-Kopplung über vorhandene Fritzboxen die Methode der Wahl.

 

[Theo39]

Ok, verstehe ich. Aber selbst wenn die Fritzbox nur eine Methode zulässt, so bietet die Implementierung auf dem Fileserver (Synology) dir die Wahl zwischen verschiedenen Ansätzen, ähnlich dem Weg über den Pi. Auch hier müsste ich eine OpenVPN-Lösung oder Ähnliches wählen und deswegen hakt es bei mir noch, da ich den Unterschied/Vorteil nicht sehe.

 

[Stationary]

Das ist korrekt; viele hier im Forum (es gibt da auch abweichende Meinungen, klar) ziehen es aber vor, die Diskstation ihren Job machen zu lassen und den Router (oder einen dahintergeschalteten VPN-Server) seinen Job. So landet ein potentieller Eindringling nicht gleich direkt auf dem möglicherweise wichtigsten Gerät in Deinem Netzwerk.

 

[the other]

Moinsen,
der Vorteil liegt eben darin, dass du die grundlegenden Sicherheitsgepflogenheiten damit eher einhalten kannst. Auf einen Fileserver gehört kein VPN Server, da dein NAS sonst (und damit deine Daten) mit einem Fuß im Internet stehen (PWL auf NAS VPN Server)...
Auch sind die Pakete hier eher veraltet, als etwa auf dem Pi, welches imho doch besser gepflegt wird (Updates).

 

[Theo39]

Ok, danke. Besonders den Punkt mit den veralteten Paketen verstehe ich.

 

[NSFH]

Site2site VPNs mit mehreren Niederlassungen realisiere ich nur mit Routern, die sowas auch vernünftig und mit grosser Bandbreite unterstützen. Dafür muss man zwar anfangs etwas tiefer in die Tasche greifen und evtl. vorhandene Router austauschen, danach ist das Leben aber damit total easy....und sicher!
Die Syno selbst sollte ber niemals, wie schon angemerkt wurde, mit ihrem VPN Bein direkt im Internet stehen. Den Job machen andere Devices besser und sicherer!

 

[Theo39]

Ich habe noch eine Verständnisfrage:
Wenn ich von einer entfernten Synology via VPN auf eine lokale Synology zugreife, auf der ein VPN-Server läuft, dann bekommt die entfernte Synology eine 10ner Adresse. Ich kann nun von der lokalen Synology auf die Freigaben der entfernten über diese 10ner Adresse zugreifen, jedoch nicht aus/von anderen Anwendungen/Geräten heraus, die in einem 192iger Netz hängen. Gibt es hier eine Möglichkeit, dass man über die 192iger Adresse der lokalen Synology auf die entfernte Synology kommt?

Wahrscheinlich werde ich diesen Umstand umgehen, in dem ich das VPN der Fritzbox als Ziel für die entfernte Synology nehme, aber interessieren würde es mich trotzdem.

Danke.