VPN Server

[tobias90]

Hi,

ich möchte mir gerne einen VPN Server einrichten und überlege jetzt ob ich dafür lieber meine DS nehmen soll oder einen passenden Router kaufen sollten.

Nutze eine DS 211j, alternativ hatte ich an folgenden Router gedacht: TP-Link TL-WR1043ND, mit der DD-WRT Firmware soll dann ja auch ein VPN Server möglich sein.
Ist das Einrichten auf der DS sehr aufwändig und funktioniert das zuverlässig? Müsste dann ja wieder über die Kommandozeile erfolgen? Denn für den fürs Packetmanagement habe ich noch nichts gefunden.

 

[Trolli]

Synology bastelt an einem VPN-Paket für die DiskStations, derzeit im Beta-Stadium. Das ist wohl die einfachste Lösung. Beachte bitte, dass Du dafür dann auch die neue Beta-Firmware für Deine DS benötigst.

-> Synology Beta Program

 

[amarthius]

Da ich genau vor dem gleichen Problem stand. Mal ein kurzes Statement:

Die Einrichtung auf einem WR1043ND ist im Vergleich zur DS relativ simpel. Daher hab ich genau diese Variante die ganze Zeit genutzt. Seit gestern gibt es von Synology nun die besagte Beta. Testweise habe ich nun das Paket installiert und in 10 Minuten war ein OpenVPN und auch PPTP Server eingerichtet. So wie es aussieht, wird damit OpenVPN von meinem Router fliegen. Beachte, aber das die DS dann über die Ports (1723 und 1194) vom Internet aus erreichbar ist! Es kann schon Sinn machen die Geschichte auf dem Router umzusetzen.

 

[tobias90]

Das VPN-Paket von Synology klingt recht interessant, möchte aber eigentlich keine Beta nutzen. Weiß jemand wie lange es von der Beta zur Final bei Synology etwa dauert? Die Beta scheint ja erst gestern erschienen zu sein.

Wenn du meinst die Einrichtung am WR1043ND wäre sehr einfach, würde ich den vielleicht so lange verwenden, überlege eh mir einen neuen Router zu kaufen. Am Router funktioniert VPN auch zuverlässig und schnell?

 

[amarthius]

Das VPN-Paket von Synology klingt recht interessant, möchte aber eigentlich keine Beta nutzen. Weiß jemand wie lange es von der Beta zur Final bei Synology etwa dauert? Die Beta scheint ja erst gestern erschienen zu sein.

Wenn du meinst die Einrichtung am WR1043ND wäre sehr einfach, würde ich den vielleicht so lange verwenden, überlege eh mir einen neuen Router zu kaufen. Am Router funktioniert VPN auch zuverlässig und schnell?

Schnell im Sinne von "Was deine Uploadleitung hergibt". Bei DSL 160000, sind es leider nur 100kB/s, was aber ausreichend ist zum surfen und kleinere Daten nachsehen.

Sehr einfach ist sie nicht. Also sehr einfach ist die Einrichtung mit der neuen Synology Beta, da nur ein paar Klicks in der GUI gemacht werden müssen und dann nur die Portfreigabe im Router erfolgt.

Hier die Anleitung für DD-WRT VPN:
http://www.dd-wrt.com/wiki/index.php/VPN_%28the_easy_way%29_v24%2B

Bei DD-WRT musst du halt auch eine Firmware finden die für dich Stable ist. Aktuell nutze ich die letzte FW vom 24/12/2010. Hatte letzte Woche die neueste installiert und 2 WLAN-Clients liesen sich nicht mehr dazu bewegen sich im WLAN einzuloggen. Komischerweise funktionierte es mit 2 anderen Clients reibungslos. Erst der Downgrade zur alten Firmware schaffte Abhilfe.

 

[ubuntulinux]

WR1043ND und die empfohlene Firmware funktioniert bei mir (sehr viele Netzwerkgeräte) sehr gut.

Wegen dem Syno OpenVPN: Wie funktioniert das eigentlich? Braucht das eine statische Route? Oder geht es mit NAT? Wenn es nämlich mit NAT gehen würde, wäre es nur halb so gut, weil man nicht vom lan aus auf die clients zugreifen könnte.

Ich selber empfehle immernoch OpenVPN auf der Synology (selber installieren mittels IPKG). Da hat man immernoch am meisten Möglichkeiten.

Gruss,
ubuntulinux

 

[jahlives]

Etwas scheint mir auch noch wichtig: Step-by-Step Anleitungen sind zwar etwas nettes. Nur sollte ein User sich auch der möglichen Risiken von OpenVPN bewusst sein. Damit kann man sein System auch öffnen wie ein Scheunentor. Desweiteren ist die Implementation von OpenVPN seitens Synology nicht gerade sehr auf Sicherheit bedacht. So ist diese OpenVPN Implementation nicht gegen DOS-Attacken geschützt, was sich relativ einfach umsetzen liesse. Auch der Verzicht auf Clientzertifikate spricht nicht gerade für die Sicherheit.
Ich würde auch jedem User weiterhin empfehlen OpenVPN via ipkg zu installieren. Man hat damit viel mehr Möglichkeiten...

 

[_TokTok_]

Was kann man denn alles bei der DS-Variante konfigurieren? Gibt´s da ne Übersicht?

 

[Matthieu]

Was kann man denn alles bei der DS-Variante konfigurieren? Gibt´s da ne Übersicht?

Gibt eine Anleitung auf Englisch und bald auch Deutsch da kann man das recht gut nachlesen.

MfG Matthieu

 

[_TokTok_]

Gibt eine Anleitung auf Englisch und bald auch Deutsch da kann man das recht gut nachlesen.

MfG Matthieu

Ja, die hab ich gelesen. Wenn das alles war, ist das ja eher ein Witz...

 

[Matthieu]

Ja, die hab ich gelesen. Wenn das alles war, ist das ja eher ein Witz...

Synology eben, so einfach wie möglich, damit der gemeine Nutzer damit schnellstmöglich sein Ziel erreicht.

MfG Matthieu

 

[_TokTok_]

ich seh ja ein, dass die ne möglichst breite basis ansprechen wollen. aber keine client-config, keine zertifikate, keine port-auswahl, das ist schon bitter.
Und wie kann man da eigentlich zwei synos übers internet per vpn verbinden?

 

[Matthieu]

Das mit den Zertifikaten könnte noch kommen, das fordern ziemlich viele Leute. Gut sowas wie Port-Auswahl war ja noch nie geläufig aber dass man nicht zwei Synos verbinden kann finde ich momentan auch schwach.

MfG Matthieu

 

[jahlives]

Und wie kann man da eigentlich zwei synos übers internet per vpn verbinden?

Das openvpn Binary von Server und Client sollte dasselbe sein ;-) Ein Client hat einfach eine Clientconfig und mit einer Serverkonfig startet dasselbe Binary als Server.

 

[ubuntulinux]

Das grösste Problem beim Verbinden von 2 Synos wird die Passwortabfrage darstellen - mit Keys fällt das ja weg.

 

[jahlives]

mh das PW müsste sich doch eigentlich interaktiv abfragen lassen. So wie es ssh auch macht. Habe es jetzt nie probiert aber ich vermute sobald man den Client startet wird die Shell einen Login präsentieren. man kann den Client dann aber nicht automatisch starten, weil das PW eine Userinteraktion erfordert

 

[ubuntulinux]

Genau - das meine ich

 

[_TokTok_]

Das openvpn Binary von Server und Client sollte dasselbe sein ;-) Ein Client hat einfach eine Clientconfig und mit einer Serverkonfig startet dasselbe Binary als Server.

Das is mir schon klar. Mir geht es aber um die Möglichkeiten die ich per GUI habe. Da hätten sie schon ein bisschen mehr aufbieten können. So wie das jetzt aussieht bleib ich bei meiner mühsam zusammengebauten Installation und Konfiguration per IPKG

 

[jahlives]

Das is mir schon klar. Mir geht es aber um die Möglichkeiten die ich per GUI habe. Da hätten sie schon ein bisschen mehr aufbieten können. So wie das jetzt aussieht bleib ich bei meiner mühsam zusammengebauten Installation und Konfiguration per IPKG

@TokTok
Warum glaubst du betreibe ich meinen Mailserver nicht mit Mailstation und DSM? ;-) Ist ja nicht wirklich neu, dass die Optionen bei solchen Paketen nicht sehr zahlreich sind

 

[_TokTok_]

@TokTok
Warum glaubst du betreibe ich meinen Mailserver nicht mit Mailstation und DSM? ;-) Ist ja nicht wirklich neu, dass die Optionen bei solchen Paketen nicht sehr zahlreich sind

so schwer kann das doch nich sein, ne gui für die config-files zu schreiben. hier läuft das eher nach dem motto: wieder ein punkt auf der wishlist abgehakt, ein punkt mehr im verkaufs-flyer

aber mal von dem negativen weg: find die sache mit pptp interessant weil das die meisten smartphones nativ unterstützen. wenn das funktioniert, is das ne feine sache!