VPN Client an LAN 2 verfügbar machen

[LDSign]

Hallo und frohes Neues

Ich habe bei mir ein VPN zwischen zwei Diskstations (Server-Client) eingerichtet:

A: DS1513 als VPN Server (offizielles OpenVPN-Paket) - IP 192.168.188.36
B: DS710 als VPN Client - IP 10.8.0.6

Das funktioniert soweit ganz gut - die Verbindung nutze ich, um 1x am Tag ein Remotebackup von A nach B zu machen. Dabei spreche die DS710 direkt aus der DS1513 heraus per 10.8.0.6 an.

Ich habe nun versucht, die entfernte DS710 in meinem internen Netzwerk über die LAN 2-Schnittstelle verfügbar zu machen (so dass ich z.B. von den PCs aus auf das Web-UI der DS710 zugreifen kann).

Tja, ich kapier es nicht. Das müsste doch über eine statische Route gehen - könnt Ihr mir da helfen?

Danke und viele Grüße,
Frank

 

[Fusion]

Du brauchst da keine extra LAN Schnittstelle, das gibt meist mehr Probleme als das es hilft.

Eventuell kannst du auch mal drüber nachdenken einfach Client und Server zu vertauschen. Also die DS710 als Server. Je nach weiteren Anforderungen löst das dein Problem vielleicht schon komplett mit GUI-Mitteln alleine.

Ansonsten mal:
http://www.synology-forum.de/showth...-erforderlich“&p=340153&viewfull=1#post340153
http://www.synology-forum.de/showthread.html?70995-OpenVPN-kein-Zugriff-auf-LAN

 

[LDSign]

Hallo

Danke für deine Antwort.

Vertauschen geht leider nicht, da sich die DS710 an einem kastrierten DS-Lite-Anschluss befindet. Die DS1513 hängt an einem vollwertigen IPv4-Anschluss mit statischer IP. Also ist die Reihenfolge leider vorgegeben

Ich hatte halt die Hoffnung, dass es irgendwie möglich ist eine ungenutzte Schnittstelle der DS1513 so zu routen, als ob die "VPN" DS710 tatsächlich physisch am Switch hängen würde.

Über die GUI alleine wäre natürlich schön, da ich jetzt nicht unbedingt der Netzwerkspezi bin Deswegen verwirren mich Deine Links auch mehr als dass sie helfen

Gruß,
Frank

 

[LDSign]

Hier mal die Konfiguration der ganzen Geschichte:

 

[Fusion]

Wie gesagt, die zweite LAN würde ich mal wieder ausschalten. Das sorgt eher für Probleme, wenn das Geräte mit mehreren IPs im selben Netz hängt.
Das was du dir vorstellst, habe ich so noch nie gesehen, aber vielleicht gibt es ja noch einen Guru, der das doch irgendwie kann.

Um von den Rechnern im Server Netz auf die GUI der VPN-Client DS zu kommen wird es denke ich ohne Kommandozeile nix werden.

Kannst du mal kurz die Netzangaben nachreichen bitte?
Servernetz
192.168.188.0/24
255.255.255.0
Clientnetz
???

Die IPs aus dem Transfernetz 10.8.0.x zu nehmen sollte man normal vermeiden, da sich die auch mal ändern können, während man die IPs in den zwei LANs normal statisch hält.

 

[LDSign]

Hätte nicht gedacht, dass ein Server-Client-VPN zwischen 2 Diskstations zu ungewöhnlich ist

Also, LAN 2 hab ich mal wieder abgestöpselt.

Das Clientnetz lautet:

192.168.189.0 (DS710 IP: 192.168.189.24 per DHCP)
255.255.255.0

Also die VPN-Transfer-IP sollte man nicht als Ziel für das Remote-Backup nehmen? Bisher habe ich je keine andere. Dafür benötige ich das korrekte Routing ins LAN der DS1513, oder?

 

[Fusion]

VPNs sind nicht ungewöhnlich und auch die Zugriffe ins jeweilige andere Netz nicht. Für die Umsetzung in der DSM GUI aber halt teilweise schon.
Ich habe 2 Netze via Fritzbox-VPN gekoppelt, bin also hier nicht so gut bewandert. Hoffe @fpo4711 oder ein(e) andere(r) Syno-VPN Kenner meldet sich noch dazu.

Die VPN-Transfer-IP ist unschön, aber geht ja in deinem Fall.
Die schöne Lösung sind aber Routen. Dann kann man die jeweiligen Devices direkt mit ihrer IP die sie in ihrem lokalen Netz haben ansprechen.
Die Option in der GUI: Clients den Server LAN Zugriff erlauben sorgt dafür, dass der VPN Client auf die IPs 192.168.188.x im Server Netz zugreifen kann. Das schließt aber z.B. andere Rechner im Client Netz nicht mit ein, denke ich.
Die Option vom Server aus auf die IPs im Client Netz zuzugreifen geht nur auf der Kommandozeile via Route. Hattest du Spaßes halber mal probiert die Sicherung nach 192.168.189.24 zu machen anstatt 10.8.0.6?
Meinem Verständnis nach sollte das nicht gehen. Und andere Geräte im Server Netz schließt das vermutlich auch nicht ein (die gehen ja normal über dein Router/Gateway ins Netz). Da müßte man eventuell auf jedem Rechner noch eine separate Router anlegen damit die wissen wo es lang geht.

Willst du im Client Netz nur auf die DS oder auch auf andere Geräte?

 

[LDSign]

Die Kopplung beider Fritzboxen war auch zunächst mein erster Ansatz. Leider hat das nicht zum Erfolg geführt. Die Verbindung wurde aufgebaut und sofort wieder beendet (IKE 3 Server Error). Ich vermute, dass die Fritzen nicht für den Server-Client-Betrieb geeignet sind (geht bei mir ja nicht anders), sondern nur LAN-LAN Koppelung (die ja auch im WEB-UI vorgesehen ist). Selbst AVM konnte mir da leider nicht helfen.

Deshalb der "Umweg" über die beiden Diskstations - funktioniert ja auch beim Backup. Im Prinzip ist das sogar besser, da ich mit dem LAN (bzw. den anderen Geräten außer der DS710) auf der Client-Seite nichts zu tun habe/haben will. Es geht nur darum, quasi die DS710 vollständig auf der Server-Seite zu integrieren. Dazu gehört halt auch der Zugriff auf das WEB-UI der DS710 um diese zu administrieren. Momentan behelfe ich mir noch mit dem Teamviewer - ist halt blöd, da dieser halt immer erst auf der Client-Seite gestartet werden muss.

Sicherung auf die Client-IP (192.168.189.24) geht nicht - nur auf 10.8.0.6.

Also ich bin weiterhin ratlos

 

[Fusion]

Client-LAN sollte genauso wie LAN-LAN Kopplung möglich sein.
http://avm.de/service/vpn/praxis-ti...-verbindung-von-fritzbox-zu-fritzbox-lan-lan/
Aber wenn dir nicht mal AVM weiterhelfen konnte wieso die Serverseite die Verbindung gleich wieder trennt .... mmmh. Da spielt natürlich eventuell auch DDNS etc mit rein, oder Firmware, oder Provider
... http://www.ip-phone-forum.de/showthread.php?t=277554 . Einer der Gründe wieso ich IPsec nicht so mag. na ja, anderes Problem.

Man könnte vielleicht von hinten durch die Brust ins Auge. Webserver auf der 1515 per proxypass, proxypass reverse eine URL auf die Tunnel-IP umbiegen, wenn der 710 webserver dort lauscht.

Aber erstmal warten bis sich vielleicht einer der Experten mit einem passenden Routeneintrag und Ort meldet.
Wenn ich Zeit habe schaue ich mir das später auch nochmal an, dann kann ich dir es vielleicht auch sagen. Aber jetzt aus dem Stehgreif ins blaue ... lieber nicht.

 

[LDSign]

Ok, prima. Aber keine Eile - das Wichtigste nämlich das Backup läuft ja bereits. Die Sache hier ist die Kür

Vielen Dank für Deine Hilfe

 

[Fusion]

ok. Also erster Versuch. https://forums.openvpn.net/topic9465.html sollte auf Methode 2 hinauslaufen die dort erwähnt ist.
Du willst von einem Host in Netz A und mit einem VPN-Server-Host der nicht mit dem Gateway (Router) identisch ist auf das gegenüberliegende Netz zugreifen.

Ich würde also mal probieren auf deinem Rechner folgende 2 Routen einzutragen. Hängt jetzt von Betriebssystem ab, wo/wie das geschieht.
route add 192.168.189.0 mask 255.255.255.0 gw 192.168.188.36
route add 10.8.0.0 mask 255.255.255.0 gw 192.168.188.36
Damit sollte der Rechner dann wissen, dass wenn er 192.168.189.24 verlangt, wo er diesen finden kann.

Edit:
Eventuell muss man die erste Route auch noch in die openvpn server config auf der DS eintragen. Dann funktioniert vielleicht auch die Client-LAN IP für die Sicherung anstatt nur dem Tunnel-Endpunkt.
route 192.168.189.0 mask 255.255.255.0
/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
Bitte vorsichtig sein und backups von conf Dateien anlegen, bevor du sie änderst.

Oder alternativ Methode 3, die Routen in die Fritzbox auf der Server-Seite eintragen.

 

[LDSign]

So, habe mich mal durchgearbeitet und leider kein Erfolg gehabt

Methode 2 sieht nach den Einträgen so aus:



Leider kein Lebenszeichen von der DS710 (per ping und per Browser auf Web-UI).

Methode 3 kann ich bei den "neuen" Fritzen nicht vollständig durchführen, da kein Telnet-Zugang für iptables. In der Web-UI gibt es nur die Möglichkeit "statische Routen" definieren

Hätte nicht gedacht, dass das so kompliziert ist.

Nochmal ganz naiv gefragt: Kann man nicht irgendwie die DS1513 "interne VPN DS710 (10.8.0.6)" auf das "LAN 2"-Interface der DS1513 "umbiegen" und dieser dann mittels der Fritze per DHCP eine IP aus dem Pool des Server-Netzes zuteilen. So hätte ich mir das eigentlich vorgestellt. Damit wäre es dann so, als ob "LAN 2" bei der DS1513 tatsächlich eine DS710 wäre. Also theoretisch lässt sich das gut durchdenken

Viele Grüße,
Frank

 

[Fusion]

Hast du Methode 2 jetzt mit oder ohne setzen der Route in der 1515 vpn-server config gemacht? Falls ohne, würde ich es nochmal mit probieren. Vielleicht ist das nötig, damit die 1515 auch weiß wo die Anfrage vom Rechner hin soll.

 

[fpo4711]

Hallo,

wenn nur die Routen gesetzt werden, wird dies nicht zum Erfolg führen. OpenVPN da selbst muß auch wissen welches Netz sich auf der Clientseite befindet. Es ist immer sowohl ein "route ...." als auch ein "iroute ...." nötig.

Vorgang ist hier beschrieben.

Den letzten Teil mit den statischen Routen auf dem Router kannst Du dir sparen wenn nur die DS auf die Clientseite zugreifen soll. Wäre nur nötig wenn auch alle Geräte von der Serverseite auf alle Geräte der Clientseite zugreifen sollen.

Gruß Frank

 

[LDSign]

Guten Morgen

Der zusätzliche Eintrag in der vpn-server config hat leider auch nicht zum Erfolg geführt

Ich gehe jetzt mal eine ganz andere Lösung an:

So wie ich das verstanden habe, gäbe es das Thema mit dem Routing nicht, wenn der Client die VPN-Verbindung direkt mit einem Router aufbauen würde. Das ist bei mir ja daran gescheitert, dass die Fritzbox auf der Serverseite abschmiert, sobald die IPSec-Verbindung aufgebaut wurde (s.o.). OpenVPN kann die Fritzbox ja leider nicht...

Also habe ich jetzt kurzerhand mal einen RT1900ac bestellt. Für diesen gibt es ja OpenVPN als Paket und ich wollte mich eh mal nach einer Alternative umsehen, da die Möglichkeiten der Fritzbox bzgl. DNS und DHCP leider sehr beschränkt sind. Bin mal gespannt ob das mit dem RT1900ac besser ist...

Ich berichte

Gruß,
Frank

Übrigens hatte ich bis vor wenigen Tagen - quasi als Forschungsprojekt - Sophos UTM 9 (mit Home License) auf einer Vyatta 1600 laufen. Damit konnte ich tatsächlich die Route so umbiegen, dass alles so läuft wie gewünscht - also Zugriff auf die DS710 von der Serverseite aus. So aus dem Kopf heraus habe ich den VPN-Pool der DS1513 auf mein internes Netz geNATet und dann auf dem DNS manuell einen Hostnamen für die DS710 vergeben. Das hat wie gesagt gut funktioniert. Das Teil ist raus geflogen, da mir der Stromverbrauch von knapp 60W zu hoch war und ich die erweiterten Funktionen eigentlich nicht benötige. Also falls alle Stricken reißen, würde ich die UTM wieder in Betrieb nehmen. Nur das muss ja mit dem SOHO-Kram ja auch irgendwie gehen

 

[fpo4711]

Hallo,

hab zwar nirgends einen RT1900ac in der Anwendung aber soviel ich weiß ist die Lösung auf diesem Router identisch mit der der DS. Wenn Du dem Link in #14 gefolgt bist und alle Schritte umgesetzt hast funktioniert das auch. Ich denke mal da hast Du wohl irgendwo einen Fehler gemacht.

Gruß Frank

 

[LDSign]

Ich habe jetzt nochmal Schritt für Schritt Deine Anleitung befolgt. Die DS710 lässt sich leider nicht über die Client-IP von der Serverseite aus ansprechen. Bin mir sicher, dass die Einträge in den confs stimmen...

...aber...

Ich habe jetzt die statische Route in der Fritzbox hinbekommen Ich kann nun die DS710 auf der Serverseite (außerhalb der DS1513) über die VPN-IP ansprechen. Das reicht mir erstmal So wie es scheint, wird die VPN IP auch immer gleich vergeben.

Kann man eigentlich dem DNS der Fritzbox einen Hostnamen für die VPN-IP "10.8.0.6" beibringen? Bei der UTM ging das...

Auf jeden Fall Danke an Euch beide

Viele Grüße,
Frank

 

[fpo4711]

Also ich kann dir nur versichern das ich das mehrfach in der Anwendung habe und das funktioniert. Der häufigste Fehler ist das Vergessen das Radiusplugin zu hindern die ccd's zu überschreiben. Das kann man aber einfach prüfen, dann ist nach einem Verbindungsaufbau ein anderer Inhalt als iroute .. drin. Oder aber der Benutzername ist falsch geschrieben. "admin" und "Admin" sind zwei paar verschiedene Schuhe. In OpenVPN kann man auch ein Log aktivieren worin man dann ganz genau sehen kann was passiert oder aber sich per telnet auf die Managementconsole wählen.

Wenn Du aber mit der Tunnel-IP leben kannst auch gut. Die wird aber mit Sicherheit nicht immer gleich sein. Sie wird bei der ersten Verbindung zwar immer die .6 sein. Wenn aber beispielsweise eine zweite Verbindung aufgebaut wird ist es dann schon die .10 Das kann auch im normalen Betrieb passieren wenn z.Bsp. eine Störung auftritt und der Client z.Bsp. die Verbindung versucht wieder neu aufzubauen. Hier ist es dann häufig so das der Server immer noch den alten Tunnel als belegt ansieht und somit die nächste verwendet wird. Wie schon gesagt muß nicht - kann aber und ist somit nicht zuverlässig. Wäre also für mich keine Option

Gruß Frank