VPN Einrichtung - grundsätzliche Frage

[Starcraftler]

Hi,

habe gestern mit einer Fritzbox 7390 und einer DS214+ iSCSi sowie Netzlaufwerke eingerichtet und per VPN über die Fritzbox erreichbar gemacht. alles funktioniert soweit.


Nachdem ich jetzt aber gesehen habe, dass die NAS mit auch einen VPN Service bieten kann - warum sollte ich den von der Fritzbox nutzen ?

Ich habe wirklich Probleme mit den Fritzbox VPN "Progrämmchen" und finde die sehr altbacken und unflexibel.
klar ... jetzt funktionierts - aber ich bin da wirklkch schon an meine Grenzen gestoßen beim Einrichten, weils viele Fehlermeldungen auch schon in der Fritzbox produzierte die unerklärlich waren - wie zB beim Import der Konfigurationen.


Ich lese etwas von OpenVPN, IPSec etc - das wäre ja schon einmal von Vorteil an gewonnener Flexibilität !
Aber: Komme ich wenn ich explizit auf die NAS durchtunnele dann nur noch auf die NAS und kann meine anderen Verbindungen im Heimnetzwerk der Fritzbox dann vergessen ? (Habe noch einen Server den ich per WOL bei Bedarf anschalte)

wie verhält sich das ganze mit den Ports?
UDP 500 bzw. 4500 ist meiners Wissens schon von der Fritzbox selber belegt für Dienste >_> ............. kann mich auch irren

 

[Alfons403]

Hi,
Ich habe wirklich Probleme mit den Fritzbox VPN "Progrämmchen" und finde die sehr altbacken und unflexibel.

Genau deswegen nehme ich VPN von der DS.
Zuerst einmal kann man OpenVPN nehmen und auf dem Smartphone
gibst OpenVPN auch.
Mit dem Tunnel bist Du auch über die DS im lokalen Netzwerk und
kannst auf alle Teilnehmer im selben Netzwerk zugreifen.

 

[Starcraftler]

danke für die Antwort.
Das hilft mir sehr.

Apropos Teilnehmer in Netzwerk.... geht die Namensauflösung per DNS dann ?

wie du beschreibst müsste ein manuelles aufrufen per IP der einzelnen Geräte ja "von Haus aus" möglich sein.
wird dann aber \\Servername aufgelös ? Muss ich die DNSnamen manuell in der DS eintragen?

Hat jemand brauchbare Anleitungen schon mal benutzt oder kann diesbezüglich welche empfehlen?

IPsec oder OpenVPN ?

 

[Frogman]

...Ich habe wirklich Probleme mit den Fritzbox VPN "Progrämmchen" und finde die sehr altbacken und unflexibel.
klar ... jetzt funktionierts - aber ich bin da wirklkch schon an meine Grenzen gestoßen beim Einrichten, weils viele Fehlermeldungen auch schon in der Fritzbox produzierte die unerklärlich waren - wie zB beim Import der Konfigurationen.

Seit der neuen 6.05er Firmware läuft das doch direkt über die Box ohne die "Hilfsprogrämmchen". Noch nicht probiert?

 

[fpo4711]

Seit der neuen 6.05er Firmware läuft das doch direkt über die Box ohne die "Hilfsprogrämmchen". Noch nicht probiert?

Nimm mir da bitte nicht übel, aber es geht mir langsam auf den Sender permanent hier lesen zu müssen. Nimm doch eine Fritzbox. Warum nicht einfach den Forumsbereich Synology DSM Pakete / VPN-Server schliessen und einfach nur einen Titel wie "Werte Forumsteilnehmer wenden sie sich an AVM bezüglich VPN - Dieses Forum ist zwar etwas Synology-lastig dafür bitten wir aber uns zu entschuldigen".

Es gibt nämlich durchaus auch Punkte gegen die Fritzboxlösung per IPSec. Aus eigener Erfahrung kann ich beispielsweise sagen (ja gelegentlich nutze ich das auch) ist die Lösung in keinster Weise so transparent wie der VPN-Server auf der DS und auch nicht so zuverlässig beim Verbindungsaufbau. Mehr möchte ich dazu nicht zum besten geben ist schon in anderen Threads besprochen worden und auch in anderen Foren die sich mit AVM beschäftigen zu lesen (Ja, die soll es wirklich geben).

@Starcraftler

Ich kann Dir nur OpenVPN ans Herz legen. Hier ist erstens die Problematik mit NAT-Routern nicht vorhanden und auch das Routing hervorragend gelöst. Desgleich wie Du schon angesprochen hast, kann man hier einen DNS in der Konfig angeben sodas auch die Namensauflösung mit dem Zielnetz funktioniert.

Hier mal ein Zusammenfassung der einzelnen VPN-Lösungen die die DS anbietet.

Gruß Frank

 

[Alfons403]

danke für die Antwort.
Apropos Teilnehmer in Netzwerk.... geht die Namensauflösung per DNS dann ?

Das liegt natürlich dann an der Konfig im Netzwerk, wenn auf dem Client
die Ip des lokalen DNS eingetragen ist sollte die Auflösung auch funktionieren.

 

[b1tchnow]

@fpo4711: Ruhig, Brauner! Es ist nicht jeder ein Experte!

@all: Ich hab da auch noch eine Frage. Wenn ich das VPN zur Fritz!Box einrichte, habe ich ja Zugriff auf das gesamte Heimnetz dahinter. Wenn ich das VPN der DS verwende, komme ich nur auf die DS, oder?

 

[fpo4711]

Wenn ich das VPN der DS verwende, komme ich nur auf die DS, oder?

Nein, Du kommst in das Netzwerk. Deshalb heißt es ja auch Virtual Private Network

Gruß Frank

 

[b1tchnow]

Nein, Du kommst in das Netzwerk. Deshalb heißt es ja auch Virtual Private Network

Hmm... dann verstehe ich VPN über DS noch nicht, denn wenn meine DS einen VPN-Endknoten bildet, wie schafft sie es dann meine Berechtigung auf das gesamte Heimnetz auszuweiten? Sollte da der Router nicht irgendwie informiert werden? Wie kann ein einzelnes Endgerät eine Berechtigung auf ein ganzes Netz ausweiten, ohne dass der Netzverwalter - der Router - mit einbezogen wird?

 

[Frogman]

Nimm mir da bitte nicht übel, aber es geht mir langsam auf den Sender permanent hier lesen zu müssen. Nimm doch eine Fritzbox.

Nimm's mir mal auch nicht übel - aber der TE hat bereits eine Fritzbox im Einsatz und lediglich über den umständlichen Weg der Einrichtung, wie er zuvor mit dem Zusatzprogramm notwendig war, geklagt. Mitnichten geht es hier also darum, jemandem die Nutzung einer Fritzbox aufzuschwatzen.
Und Deine Meinung über die VPN-Lösung der Fritzbox sei Dir als Experte unbelassen - nicht jeder teilt allerdings Deine Einschätzung und ebensowenig Deine Erfahrung im Hinblick auf Transparenz und Stabilität!
Abgesehen davon sei an dieser Stelle auch einmal an den noch bestehenden Bug des Synology-VPN-Servers erinnert in Zusammenhang mit dem Einsatz eigener SSL-Zertifikate, wo in den exportierten Dateien die Zwischen- bzw. Rootzertifikate händisch ergänzt werden müssen, damit der Client eine geschlossene Kette erkennt.

 

[fpo4711]

Hmm... dann verstehe ich VPN über DS noch nicht, denn wenn meine DS einen VPN-Endknoten bildet, wie schafft sie es dann meine Berechtigung auf das gesamte Heimnetz auszuweiten? Sollte da der Router nicht irgendwie informiert werden? Wie kann ein einzelnes Endgerät eine Berechtigung auf ein ganzes Netz ausweiten, ohne dass der Netzverwalter - der Router - mit einbezogen wird?

Netzwerk hat erst mal nichts mit Berechtigungen zu tun und der Router verwaltet das auch nicht. Sondern der Router macht das was der Name aussagt nämlich routen von a nach b. Im beste des Falles übernimmt er noch eine Namensauflösung. Deine Netzwerkpakete die Du per VPN schickst verlasssen, sofern nicht selbst für die DS bestimmt, den VPN-Server am Endpunkt in das lokale Netz.

Einzig wenn auch der VPN-Client aus dem Servernetz erreichbar sein soll sollte der Router mit eingebunden werden um allen anderen Geräten auch den Zugriff auf den Clienten über den VPN-Server zu geben.

Gruß Frank

 

[b1tchnow]

Also muss ich mir den VPN-Server nicht als Endknoten, sondern mehr als Gateway in das lokale Netz vorstellen?

Ich würde mein VPN gerne auch dazu benutzen, in unsicheren WLANs mit meinen mobilen Endgeräten auf das Internet zuzugreifen.

Geht das überhaupt mit dem VPN-Server auf der DS, denn dieser müsste dann ja die Pakete dann wieder ins Internet weiterleiten?

 

[fpo4711]

Also muss ich mir den VPN-Server nicht als Endknoten, sondern mehr als Gateway in das lokale Netz vorstellen?

Ich würde mein VPN gerne auch dazu benutzen, in unsicheren WLANs mit meinen mobilen Endgeräten auf das Internet zuzugreifen.

Geht das überhaupt mit dem VPN-Server auf der DS, denn dieser müsste dann ja die Pakete dann wieder ins Internet weiterleiten?

Genau richtig erkannt. Und wenn Du alles über den VPN-Server schicken willst dann ist das auch kein Problem. Beispielsweise in der Config von OpenVPN das Doppelkreuz for redirect-gateway entfernen und nicht vergessen die Option für den DNS einzutragen. Sonst läuft zwar der gesammte Traffic über das VPN aber die Anfragen an den DNS nach wie vor über das unsichere Netz (Angriffsmöglichkeit)

Gruß Frank

 

[fpo4711]

Geht das überhaupt mit dem VPN-Server auf der DS, denn dieser müsste dann ja die Pakete dann wieder ins Internet weiterleiten?

Das geht, da für hat er ja schließlich das Standard-Gateway auf der DS.

 

[b1tchnow]

Danke für die Hilfe, jetzt wird gedanklich auch ein Schuh draus.

 

[Starcraftler]

haiaiai ein Gebashe

@fpo4711: Habe bereits eine Fritzbox und mir war, wie Frogman richtig gelesen hat das ganze zu blöd einzurichten, da auch mit internen Fehlern in der Fritzbox beim Import der cfg's verbunden. Ich habe ja gefragt, ob es nicht klüger wäre das ganze auf der DS zu machen. Und du siehst ja auch, dass anderen Leuten wie b1tchnow das ganze Konstrukt mit der DS als Netzwerk-Gateway nicht klar war. Das liegt aber auch an der unzureichenden Dokumentation von Synology..... Jetzt mit deinen Ausführungen ist es uns klarer geworden - danke vielmals dafür

@Frogman: du hast mein Anliegen richtig verstanden
@b1tchnow: gut - dann hast du also das gleiche Anliegen wie ich - können uns ja zusammen tun und im Nachgang vielleicht sogar eine Anleitung schreiben für noch Unwissendere nach uns

@all:
D.h. ihr ratet mir an dieser Stelle zu OpenVPN auf der DS.
Wir müssen einen Bug noch beachten bzgl selbst ausgestellten Zertifikaten (?) - wer das Thema findet möge es doch bitte verlinken.

Wie heißt die Option des VPN genau, wenn alle Anfragen über die DS, weiter übe den Router durch mein privates Internet fließen sollen? oder hat das keinen Namen (also nicht redirect gateway)?

Was muss ich in der VPN Option als DNS eintragen ? Mein Standardgateway (DSL Router / Fritzbox), welches die Namenstranslation macht?

 

[Frogman]

...Wir müssen einen Bug noch beachten bzgl selbst ausgestellten Zertifikaten (?) - wer das Thema findet möge es doch bitte verlinken.
...

Hab's oben in Post #10, wo ich das erwähnt hatte, verlinkt.

 

[fpo4711]

Wie heißt die Option des VPN genau, wenn alle Anfragen über die DS, weiter übe den Router durch mein privates Internet fließen sollen? oder hat das keinen Namen (also nicht redirect gateway)?

Tja, aber genauso heißt die bei OpenVPN und zwar mit Bindestrich. Wirf einen Blick in die config die dir der VPN-Server zur Verfügung stellt und sie wird dir direkt ins Auge springen. Doppelkreuz davor entfernen und fertig. Bei allen anderen wird man nur eine Aussage treffen können wenn Du dein Betriebssystem und das gewünschte VPN nennst. Also beispielsweise "Standard-Gateway für Remotenetzwerk verwenden" bei PPTP und Windows.

Gruß Frank