VPN Netzwerk mit 3 NAS

Status
Für weitere Antworten geschlossen.

DonShawn

Benutzer
Mitglied seit
11. Jan 2016
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo liebe Synology Gemeinde,

ich habe folgendes Szenario (siehe Bild). Ich möchte gerne ein kleines Netzwerk aufbauen mit drei NAS an drei verschiedenen Standorten. Zwischen NAS1 und NAS2 besteht bereits ein OpenVPN Tunnel und ich kann auch bereits von beiden NAS die andere mit der richtigen IP ansprechen (d.h. vom Server komm ich auf die Client NAS Adresse 10.2.0.254).

1. mein erstes Problem besteht schon mal darin das ich das Netz 10.2.0.0/24 ansich nicht ansprechen kann hinter der NAS. Die NAS aber selber schon auf der Adress 10.2.0.254? Laut Tracert komm ich genau bis zur NAS2 und nicht weiter. Die Server NAS kennt aber das Netz und sendet alle Anfragen auf die richtige Tunnel Adresse. Kann mir da wer sagen was ich falsch mache?

2. Wie binde ich richtig die 3. NAS in das ganze ein? Weil die 3. NAS soll auf NAS1 und auf NAS2 zugreifen können. Und nicht über NAS1 auf NAS2 oder umgekehrt sondern wirklich wenn möglich direkt. NAS 3 sollte aber auch alle Netze (hinter NAS1 und NAS2) kennen und auch ansprechen können.

Ich weiß das ganze ist vielleicht ein wenig kompliziert aufgebaut aber so finde ich es glaub ich am besten. Weil wenn bei einer die Internet Leitung ausfällt komme ich immer noch auf die gleiche bzw. ist es auch wegen der Last aufteilung

Vielen Dank

lg
DonShawn
PS: Ich bin mit den 2 DS214se auf DSM 5.2-5644 Update 3 und mit der DS216Play auf DSM 6.0 Beta2

NAS_Aufstellung.jpg
 
Zuletzt bearbeitet:

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo und willkommen im Forum,

ich hoffe das mal richtig verstanden zu haben. Du möchtest jeweils drei Geräte (NAS) per VPN verbinden und jeweils auf die entsprechenden Subnetze von jedem NAS auf jedes andere NAS zugreifen.

Generell müssen natürlich erst einmal alle lokalen Subnetze unterschiedlich sein (ist nach deiner Abbildung ja der Fall) und auch das Tunnelsubnetz darf mit keinem identisch sein. Die IP bei NAS2 und NAS3 kommen mir schon mal spanisch vor da die sich überhaupt nicht in den lokalen Subnetzen befinden. Denke mal Du verwechselst hier schon mal die lokalen Subnetze mit dem Tunnelsubnetz. Nebenbei gesagt, das NAS dann mit der Tunnel-IP anzusprechen ist keine gute Wahl und das klingt mir ganz danach.

Eine Ausfallsicherheit das wenn eine Internetleitung ausfällt weiterhin zwei NAS erreichbar sind kannst Du nur mit drei Tunneln erreichen und das bekommst Du auf der Synology nur durch extrem tief eingreifende Änderungen hin weil die DS von Haus aus nur Server ODER Client sein kann, nicht aber beides gleichzeitig. Davon rate ich ab.

Was aber machbar ist, Du machst eine NAS zum Server und verbindest dich von den beiden anderen dann jeweils mit diesem NAS als Client. Nachteil fällt der Server aus geht nichts mehr und der Traffic von Client1 läuft immer über den Server zu Client2. Aber immerhin praktikabel und auch halbwegs einfach :) umzusetzen.

Hier ist der Weg beschrieben. Müssten dann natürlich für jeden Clienten passende ccd's angelegt werden mit den Daten der dahinterliegenden Subnetzen sowie zwei Routen in der openvpn.conf

Alternativ würde ich an deiner Stelle aber vieleicht auch eventuell einen VPN-Router in Betracht ziehen der eine VPN-Netz/Netz Verbindung zuläßt. Das läßt sich dann schmerzfreier einstellen.

Gruß Frank
 

DonShawn

Benutzer
Mitglied seit
11. Jan 2016
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo fpo4711,

vielen dank für deine schnelle Antwort. Deinen Weg habe ich schon längst befolgt weil du hast ja schon mehrere User darauf hingewiesen :eek: :eek: :eek: :eek:
Ja das mit den Subnetzen war mein Fehler. Die NAS sind natürlich im jeweiligen Subnetz angesiedelt... Gestern war schon spät für mich :) Hab die Aktuelle Version noch angehängt.
Wie ich schon geschrieben habe komme ich ja bereits mit der LAN IP 10.2.0.254 auf die Client NAS und spreche sie natürlich nicht mit der Tunnel IP da sie ja dynamisch ist. Aber mein Problem ist das ich nicht hinter die NAS ins Client VPN komme. Die Server NAS routet das ganze richtig. Aber irgendwie komme ich nicht weiter als bis zur Client NAS. Muss ich bei der Client NAS noch was einstellen oder eintragen?

Du sagtest das es zwar schwierig ist aber funktioniert mit Server + Client gleichzeitig. Gibt es dazu eine Anleitung? Ist es möglich (von Haus aus nicht) zwei VPN Tunnel auf einer NAS zu betreiben und mit Routing das Netzwerk betreiben?
Ich noch folgende Idee (siehe Bild). Wäre es so möglich das ganze zu betreiben? Kann ich auch per L2TP oder PPTP das Client Netz erreichen und die jeweilige NAS mit der Client IP ansprechen? Wenn Ja hast du dazu auch eine Anleitung?

Gruß
DonShawn

NAS_Konzept_Vorschlag.jpg
 

Anhänge

  • NAS_Aufstellung_richtig.jpg
    NAS_Aufstellung_richtig.jpg
    42,1 KB · Aufrufe: 36
Zuletzt bearbeitet:

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
2.934
Punkte für Reaktionen
337
Punkte
129
Obwohl ich glaube, dass mit ein wenig Fummelei eine DS als Server und Client verschiedener Protokolle agieren kann (zumindest bei höheren Modellen virtualisiert) möchte ich zwei Punkte in den Raum werfen:

Die SE sind extrem schwach auf der Brust, 2 verschiedene VPN Verbindungen brauchen Ressourcen
PPTP ist nicht sicher
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Aber irgendwie komme ich nicht weiter als bis zur Client NAS. Muss ich bei der Client NAS noch was einstellen oder eintragen?

Du brauchst generell natürlich eine Hin- und eine Rückroute. Kann gerade auf keine DS zugreifen. Weshalb ich mal was vermute. Evt. muß auf der Clientseite noch eine statische Route (vorzugsweise dem Router) eingetragen werden mit dem Subnetz welches sich auf der Serverseite befindet und DS als Gateway. Prüfen kannst Du das aber (sofern Du damit klar kommst mit tcpdump)

Auch sollte auf der Clientseite das ip-forwarding aktiviert sein.

Rich (BBCode):
echo 1 > /proc/sys/net/ipv4/ip_forward

Oder alternativ den VPN-Server installieren. Muß ja nicht aktiviert werden. Der aktiviert das forwarding meines Wissens bei der Installation dauerhaft. Ob das noch unter DSM6 der Fall ist weiß ich nicht.

Du sagtest das es zwar schwierig ist aber funktioniert mit Server + Client gleichzeitig. Gibt es dazu eine Anleitung?

Eine Anleitung, ausser der eigentlichen Dokumentation von openvpn, ist mir nicht bekannt. Generell müßte man dann eigene Startscripte schreiben. Als Beispiel können da ja die vorhandenen der DS dienen. OpenVPN kann man (und da braucht man nichts virtualisieren) problemlos in mehreren Instanzen mit verschiedenen Konfigurationen (Server/Client) starten. Das ist bloß nicht über die GUI möglich und letztendlich wie Iarn schon bemerkte von der Resourcen der DS abhängig. Die DS dürfte kräftiger sein als die meisten Router aber die soll ja wahrscheinlich auch noch andere Aufgaben übernehmen :)

Ist es möglich (von Haus aus nicht) zwei VPN Tunnel auf einer NAS zu betreiben und mit Routing das Netzwerk betreiben?

Klar, hab ich ja oben auch schon beschrieben. Ein Server kann diverse Clienten bedienen und diese können durch die Directive client-to-client dann auch untereinander kommunizieren. Entsprechend müssen natürlich die Routen gesetzt werden.

Wäre es so möglich das ganze zu betreiben? Kann ich auch per L2TP oder PPTP das Client Netz erreichen und die jeweilige NAS mit der Client IP ansprechen?
]

Selbst wenn Du verschiedene Protokolle verwendest bleibt das Problem das Gleiche. Alle VPN's auf der DS sind geroutet. Und keine Lösung ist hier so sicher und flexibel wie OpenVPN. Da hast Du also schon die richtige Wahl getroffen.

Vielleicht solltest Du dir erst einmal die Aufgabe stellen zwei NAS so zu konfigurieren das jeder Client des einen Netzes auf jeden Clienten des anderen Netzes zugreifen kann. Dann die zweite NAS mit diesem Server verbinden und wenn das schon mal läuft dann die Königsklasse mit Client/Server auf einer Maschine und alternativen Routen. Da glaube ich nach wie vor wird dich ein entsprechender Router eher weiter bringen.

Gruß Frank

p.s. Zu der anfänglich beschriebenen eventuell fehlenden Route einfach mal nach ccd hier im Forum suchen. Das Thema hatte wir meines Wissens schon mal.
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24
Ich denke da gibt's noch ne andere Möglichkeit.
Wen ich mich nicht irre gibt`s fur alle deine DS`en Optware, Easy Bootstrap Installer.
Dan konnte man mit tinc-vpn ein mesh-vpn machen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat