VPN zwischen 2 DS, port müssen dennoch offen sein?

[raimuell]

Hallo,

ich habe 2 DS (räumlich getrennt), es soll nachts ein Backup von einem Ordners einer DS214play auf eine DS214se gemacht werden. Auf der DS214se läuft der OpenVPN-Server.
Das VPN wurde hergestellt:

Protokoll der DS214play:
"login-name": VPN profile ["name DS214se"] is connecting to [91.6x.xx.xxx].
(protocol[OpenVPN, IP[10.8.0.6], interface[tun0)]

Protkoll der DS214se:
Information 2014/08/07 04:50:52 OpenVPN "login-name" Connected from [85.2xx.xx.xx] as [10.8.0.6].


Soweit, so gut.
Wenn ich die Datensicherung der DS214play anstoße, muss ich allerdings die ports 873 und 22 öffnen, sonst funktioniert sie nicht (Ziel-Server nicht erreichbar...).
Ich dachte, ich brauche bei OpenVPN keine ports zu öffnen?

Grüße
raimuell

 

[fpo4711]

Hallo,

du schreibst leider nicht was Du unter "die Ports 873 / 22 öffnen" verstehst. Wenn damit die Portweiterleitung auf dem Router gemeint ist, dann läuft da was schief bei dir und die Sicherung läuft nicht über das VPN. Für OpenVPN muß einzig und allein Port 1194 UDP an der Seite wo der der Server steht geöffnet (weitergeleitet) werden. Mehr muß und sollte auch nciht geöffnet sein.

Falls du mit Ports öffnen die Firewall auf der DS meinst, dann ist das normal und muß auch durchlässig sein.

Gruß Frank

 

[raimuell]

Ah, sorry, war wirklich ungenau geschrieben. Mit "öffnen" meinte ich im Router eine Portweiterleitung anlegen.
Ich habe noch etwas rumexperimentiert und einige Portweiterleitungen geschlossen. Bei der Durchführung der Datensicherung muss nur port 873 am VPN-Server-Router weitergeleitet werden. Port 22 und auch 1194 eigentlich nicht, jetzt funktioniert das auch so.

 

[fpo4711]

Ah, sorry, war wirklich ungenau geschrieben. Mit "öffnen" meinte ich im Router eine Portweiterleitung anlegen.
Ich habe noch etwas rumexperimentiert und einige Portweiterleitungen geschlossen. Bei der Durchführung der Datensicherung muss nur port 873 am VPN-Server-Router weitergeleitet werden. Port 22 und auch 1194 eigentlich nicht, jetzt funktioniert das auch so.

Dann hast Du kein VPN!!!

Gruß Frank

 

[raimuell]

OK...woran könnte das liegen? Gibt es irgendwo eine Schritt-für-Schritt-Anleitung, wie man zwei DS per VPN verbindet? Ich habe auf der ziel-DS einen VPN-Server aktiviert und ihn dann mit der Quell-DS verbunden (ca.crt exportiert und eingelesen, auf dem quell-DS die feste Ziel-ip als Ziel eingegeben und verbunden).
Wie kann ich das testen?

Habe gerade gemerkt, dass meine Quell-DS automatisch "verschlüsselte Datenübertragung" deaktiviert, wenn port 22 nicht im Router weitergeleitet wird. Sobald ich die verschlüsselte Übertragung nochmals aktiviere, funktioniert die Datensicherung nur mit weitergeleitetem port 22 im Ziel-Router.

 

[Fusion]

VPN Server und Test
https://www.synology.com/de-de/support/tutorials/459

Neben deinen Angaben von oben, welche IP-Netze laufen denn in den beiden LANs?

 

[fpo4711]

Hab jetzt keinen Link parat, aber es gibt unzählige Threads hier im Forum und auch auf der Synology Webseite gibt es dazu Dokumente. Prinzipiell, auch für den unerfahrenen Nutzer, zeigt Dir die DS doch sowohl auf der Clientseite als auch auf der Serverseite an ob sie eine Verbindung aufbauen konnte bzw. ob diese noch existent ist.

Ansprechen kannst Du die Geräte nach Verbindungsaufbau mit ihren lokalen IP's.

Und schon lange nicht mehr runtergebetet aber vorsichsthalber noch mal. Bei VPN auf der DS gilt:

Clientsubnetz ungleich Tunnelsubnetz ungleich Serversubnetz

Gruß Grank

 

[raimuell]

Danke für die Infos, liegt wohl am subnetz:

DS214play:
ip 192.168.178.30
subnetz: 255.255.255.0

DS214se:
ip 192.168.0.101
subnetz 255.255.255.0

Kann ich die subnetzmaske einfach so ändern, oder komme ich dann nicht mehr über https://....:5001 auf meine DS?

Wenn ich mich mit dem PC (openvpn-client installiert) auf dem openvpn-server verbinden will, erhalte ich folgende Fehlermeldung:
Thu Aug 07 21:34:51 2014 OpenVPN 2.3.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 7 2014
Thu Aug 07 21:34:51 2014 library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.05
Thu Aug 07 21:35:02 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Aug 07 21:35:04 2014 RESOLVE: Cannot resolve host address: YOUR_SERVER_IP: Der angeforderte Name ist gültig, es wurden jedoch keine Daten des angeforderten Typs gefunden.

Sowohl Server (Verbindungsliste), als auch client zeigen mir bei openvpn "verbunden" an...
Für udp 1194 habe ich mittlerweile eine Portweiterleitung bei beiden Routern eingestellt.

Danke und Grüße
raimuell

 

[fpo4711]

Danke für die Infos, liegt wohl am subnetz:

Subnetze sind unterschiedlich, also alles in Ordnung. Das Problem ist, das Du leider vergessen hast deine DDNS-Adresse in der Config einzutragen. Dort wo YOUR_SERVER_IP steht muß in der openvpn.conf deine DDNS Adresse rein.

Gruß Frank

 

[raimuell]

Super, danke für den Hinweis, jetzt passt es !
Ich komme per PC-openvpn-gui auf die DSM des Servers per 192.168.0.101:5000 im Browser und auf die DSM des clients per 10.8.0.6:5000.

Jetzt muss ich die ips nur noch in die Datensicherung eintragen und sollte es funktionieren.

Grüße
raimuell