Zwei Standorte - Synology DiskStation DS213J NAS - Gemeinsamer Zugriff

davidii · 15. Jul 2013

ok das passt. Standort A wo die NAS steht hat 192.168.2.1 und Standort B wo der Client sitzt hat 192.168.17.1.
Danke!

fpo4711 · 15. Jul 2013

Die größte Hürde (und das ist wirklich der Fehler Nr.1) ist doch schon mal genommen. Wo klemmt es denn?

Gruß Frank

davidii · 15. Jul 2013

fpo4711 schrieb:
Die größte Hürde (und das ist wirklich der Fehler Nr.1) ist doch schon mal genommen. Wo klemmt es denn?

Gruß Frank

Bin grad beim Einrichten. Noch klemmt zum Glück nichts

werde berichten!

fpo4711 · 15. Jul 2013

Hallo,

das wird so oft gefragt, ich hab jetzt schon eine Checkliste parat.

# Server
(1) - DDNS auf der Serverseite einrichten. Hierzu gibt es soviel, so das ich auf die Erklärung verzichte.
(2) - VPN-Server im Paketzentrum auf der Diskstation1 installieren
(3) - Einstellungen des VPN-Servers aufrufen. Häkchen bei "OpenVPN-Server aktivieren setzen"
(4) - Unter OpenVPN auf "Konfigurationsdateien exportieren" klicken und Datei speichern.
(5) - Unter Privileg im VPN-Server die entsprechenden Benutzer auswählen.
Fertig ist der Server.

#Router
(6) - In deinem Router (Auf der Serverseite) Portweiterleitung 1194 UDP an deine DS Port 1194 eintragen.
Fertig Router.

#Client
(7) - YOUR_SERVER_IP durch die nötige DDNS-Adresse in der openvpn.conf ersetzen die in (4) herunter geladen wurde.
(8) - Konfigurationsdateien im Clienten importieren. (Ein bischen global definiert - Es gibt ja unterschiedliche Clienten.)
Fertig Client.

(9) - VPN Verbindung von AUSSERHALB mit dem vorher gewählten Benutzer und Passwort aufbauen.
Fix und Fertig.

davidii · 15. Jul 2013

fpo4711 schrieb:
Hallo,

das wird so oft gefragt, ich hab jetzt schon eine Checkliste parat.

# Server
(1) - DDNS auf der Serverseite einrichten. Hierzu gibt es soviel, so das ich auf die Erklärung verzichte.
(2) - VPN-Server im Paketzentrum auf der Diskstation1 installieren
(3) - Einstellungen des VPN-Servers aufrufen. Häkchen bei "OpenVPN-Server aktivieren setzen"
(4) - Unter OpenVPN auf "Konfigurationsdateien exportieren" klicken und Datei speichern.
(5) - Unter Privileg im VPN-Server die entsprechenden Benutzer auswählen.
Fertig ist der Server.

#Router
(6) - In deinem Router (Auf der Serverseite) Portweiterleitung 1194 UDP an deine DS Port 1194 eintragen.
Fertig Router.

#Client
(7) - YOUR_SERVER_IP durch die nötige DDNS-Adresse in der openvpn.conf ersetzen die in (4) herunter geladen wurde.
(8) - Konfigurationsdateien im Clienten importieren. (Ein bischen global definiert - Es gibt ja unterschiedliche Clienten.)
Fertig Client.

(9) - VPN Verbindung von AUSSERHALB mit dem vorher gewählten Benutzer und Passwort aufbauen.
Fix und Fertig.

1000 Dank!
besser geht's nicht

davidii · 15. Jul 2013

Was ich bei Punkt 3 für eine Dynamische IP eintragen ist egal oder?

fpo4711 · 15. Jul 2013

Das sind nur die IP's für den Tunnel. Kann man getrost auf der Vorgabe lassen, wenn wie es bei Dir der Fall ist, sie nicht mit einem der Subnetze kollidieren. Diese IP's kannst Du auch gleich danach wieder vergessen.

Gruß Frank

davidii · 15. Jul 2013

fpo4711 schrieb:
Das sind nur die IP's für den Tunnel. Kann man getrost auf der Vorgabe lassen, wenn wie es bei Dir der Fall ist, nicht mit einem der Subnetze kollidieren. Diese IP's kannst Du auch gleich danach wieder vergessen.

Gruß Frank

Ok, danke!

davidii · 15. Jul 2013

Ich habe hier zu noch eine Sicherheitsfrage.
Wie bedenkenlos kann ich den Port 1194 öffnen?
Wie sicher ist dieses ganze Unterfangen?

fpo4711 · 15. Jul 2013

Das ist definitiv der sicherste Weg von draussen auf deine DS. Jeder der Zugriff haben will braucht Zertifikat, Benutzernahme und Passwort. Und die gesamte Verbindung ist verschlüsselt. Sofern Du danach alle anderen Ports dicht machst, die perfekte Lösung.

Gruß Frank

davidii · 15. Jul 2013

Super!
Ich danke dir für deine klasse Unterstützung!

davidii · 15. Jul 2013

gibt es noch die Möglichkeit die Down/Up Geschwindigkeit für den VPN zu begrenzen? Bzw für den allgemeinen Traffic außerhalb des Netzwerks an Standort A.

Hintergrund:

Standort A steht die NAS mit VPN. VDSL 50. Wurde jetzt Client von Standort B große Files vom Gemeinsamen Laufwerk über VPN ziehen, dann wäre unsere komplette Leitung an Standort A blockiert. Würde gerne 30 Mbit von Download und 7 Mbit vom Upload zur Verfügung stellen, so das noch genug Luft für Standort A da ist.

Habe unter Benutzergruppen die Geschwindigkeitseinschränkung gefunden. Beinhaltet eine von den 4 Möglichen diese?

fpo4711 · 15. Jul 2013

Kann ich jetzt ehrlich gesagt nicht genau sagen, wenn dann wäre die Firewall und dort unter Datenflußkontrolle der richtige Anlaufpunkt. Im Zweifelsfall einfach mal testen.

Gruß Frank

davidii · 15. Jul 2013

fpo4711 schrieb:
Hallo,

das wird so oft gefragt, ich hab jetzt schon eine Checkliste parat.

# Server
(1) - DDNS auf der Serverseite einrichten. Hierzu gibt es soviel, so das ich auf die Erklärung verzichte.
(2) - VPN-Server im Paketzentrum auf der Diskstation1 installieren
(3) - Einstellungen des VPN-Servers aufrufen. Häkchen bei "OpenVPN-Server aktivieren setzen"
(4) - Unter OpenVPN auf "Konfigurationsdateien exportieren" klicken und Datei speichern.
(5) - Unter Privileg im VPN-Server die entsprechenden Benutzer auswählen.
Fertig ist der Server.

#Router
(6) - In deinem Router (Auf der Serverseite) Portweiterleitung 1194 UDP an deine DS Port 1194 eintragen.
Fertig Router.

#Client
(7) - YOUR_SERVER_IP durch die nötige DDNS-Adresse in der openvpn.conf ersetzen die in (4) herunter geladen wurde.
(8) - Konfigurationsdateien im Clienten importieren. (Ein bischen global definiert - Es gibt ja unterschiedliche Clienten.)
Fertig Client.

(9) - VPN Verbindung von AUSSERHALB mit dem vorher gewählten Benutzer und Passwort aufbauen.
Fix und Fertig.

Es tut mir leid wenn ich dich etwas nerven muss, aber ich habe noch ein paar fragen:

Bei Punkt 9, von welchem Benutzer und Passwort sprichst du genau? Die von den Usern auf den NAS? Denn ein Benutzer oder so musste für den VPN Server ja nicht erstellt werden?!
Ich habe von NAS ein config und eine Zertifikat Datei erhalten. Die Config Datei habe ich in den Config ordner von OpenVPN gepackt. Was passiert mit der .crt? Muss ich das Zertifikat auf dem Client Rechner installieren?
Und noch eine weitere Frag, die NAS geht ja in eine Ruhemodus nach gewisser Zeit. Komm ich trotzdem per VPN dann rauf?!

fpo4711 · 16. Jul 2013

Ja, unter Punkt (9) ist min. ein Benutzer der DS mit seinem entsprechenden Passwort gemeint. Den mußtest Du auch die Erlaubnis erteilen unter (5). Das Zertifikat also die ca.crt muß auch in den config Ordner sofern Du den Klienten von OpenVPN verwendest.

Und wenn Du unter Ruhemodus alles andere ausser WOL meinst, dann sollte sie bei Zugriff aufwecken.

Gruß Frank

p.s. Es waren anstrengende 9 Monate und jetzt könntest Du langsam entbinden

davidii · 16. Jul 2013

fpo4711 schrieb:
Ja, unter Punkt (9) ist min. ein Benutzer der DS mit seinem entsprechenden Passwort gemeint. Den mußtest Du auch die Erlaubnis erteilen unter (5). Das Zertifikat also die ca.crt muß auch in den config Ordner sofern Du den Klienten von OpenVPN verwendest.

Und wenn Du unter Ruhemodus alles andere ausser WOL meinst, dann sollte sie bei Zugriff aufwecken.

Gruß Frank

p.s. Es waren anstrengende 9 Monate und jetzt könntest Du langsam entbinden

Danke

Den Benutzer und das Passwort gebe ich aber nicht in OpenVPN Client ein oder? Sondern erst wenn ich dann z.B. das Netzlaufwerk verbinden möchte, richtig? Also die Verbindung zum VPN wird schon vorher ohne Benutzer durch die config und .crt aufgebaut oder?

ja ich hab anscheind noch Probleme mit dem DDNS im Speedport. Wollte es vorhin von einem anderen Standort testen und konnte keine Verbindung aufbauen. Die DDNS Adresse ließ sich auch nicht anpingen...muss heute mal schauen was da los!

goetz · 16. Jul 2013

Hallo,

Den Benutzer und das Passwort gebe ich aber nicht in OpenVPN Client ein oder?

doch, der Client fragt nach den Zugangsdaten. Erst wenn der VPN-Tunnel steht kommt man an die entfernten Geräte ran.

Gruß Götz

fpo4711 · 16. Jul 2013

davidii schrieb:
Danke Den Benutzer und das Passwort gebe ich aber nicht in OpenVPN Client ein oder? Sondern erst wenn ich dann z.B. das Netzlaufwerk verbinden möchte, richtig? Also die Verbindung zum VPN wird schon vorher ohne Benutzer durch die config und .crt aufgebaut oder?

Direkt wenn Du Connect, also Verbindung aufbauen, über OpenVPN-GUI aufrufst dann fragt er Dich nach Benutzer und Passwort. Rechte Maustaste auf das Icon und Connect wählen.

Gruß Frank

davidii · 16. Jul 2013

fpo4711 schrieb:
Direkt wenn Du Connect, also Verbindung aufbauen, über OpenVPN-GUI aufrufst dann fragt er Dich nach Benutzer und Passwort. Rechte Maustaste auf das Icon und Connect wählen.

Gruß Frank

ok, dann kam es wohl wegen dem DDNS Problem gar nicht erst dazu. Werde es später testen und dann Bescheid geben.

Vielen Dank! Bist echt eine große Hilfe!

davidii · 16. Jul 2013

Sooo...es hat alles wunderbar geklappt!
Ich konnte eine VPN Verbindung von Standort B zu Standort A (NAS Standort) aufbauen. Dann konnte ich am Standort B mit der Netzwerk IP der NAS an Standort A die NAS als Netzlaufwerk (Netzwerk IP vom NAS \\192.168....\) hinzufügen (ich dachte ich müsste das über die DYNDNS-Adresse laufen lassen \\Meinadresse.NO-IP.BIZ\).
Das läuft alles super.
Das einzige was mich jetzt noch stört, ist dass ich irgendwo gerne eine Geschwindigkeitsbegrenzung einbauen würde. Hast du da n Tipp für mich? Und kann man es einrichten, dass sich beim Start des Client PCs der VPN Tunnel automatisch aufbaut?