OpenVPN zwischen zwei Synologys

[schlo]

Habe auf einer Synology OpenVPN Server in meinem Netzwerk eingerichtet, mit Haken bei Server-LAN Zugriff erlauben.
Im Zertifikat meinen DDNS Namen eingetragen und die Raute beim redirect-gateway entfernt. Benutzer hat VPN Rechte bekommen, in der Syno Firewall und im Router ist 1194 geöffnet.
Verbinde ich mich mit einem Handy über mobile Daten habe ich Zugriff auf Dienste die mit der Synology zusammenhängen. Also DSM oder Docker Container, vorausgesetzt ich öffne die Firewall unter VPN entsprechend. Auf meine Fritzbox oder einen Raspberry (Pihole) der im Netzwerk hängt hab ich keinen Zugriff. Den Punkt verstehe ich schon nicht ganz.

Letztlich geht es mir aber darum eine zweite Synology in einem anderen Netzwerk als Client zu verbinden. Ich richte unter Netzwerk eine VPN-Verbindung mit der angepassten OpenVPN.conf Datei und den Login Daten des Benutzers ein und erhalte die Nachricht Verbindung fehlgeschlagen. Kein weiterer Hinweis. Deaktivieren der Firewalls beider Synologys bringt keine Änderung.

Habe ich einen Denkfehler gemacht oder einen Schritt vergessen? Gibt es irgendeine Möglichkeit zur Fehlersuche? Steh auf dem Schlauch...

Danke schon mal

 

[IchbinbeiCB]

In was für nem Netz(ich meine hier das interne Lan-Netz) befindet sich denn die andere synology welche du als Client zu verbinden versuchst mit synology wo der openvpn server drauf läuft ?

Ergänzung (10. April 2022)

Verbinde ich mich mit einem Handy über mobile Daten habe ich Zugriff auf Dienste die mit der Synology zusammenhängen. Also DSM oder Docker Container, vorausgesetzt ich öffne die Firewall unter VPN entsprechend. Auf meine Fritzbox oder einen Raspberry (Pihole) der im Netzwerk hängt hab ich keinen Zugriff. Den Punkt verstehe ich schon nicht ganz.

Also Grundsätzlich funktioniert VPN ist halt wie es ausschaut nur nicht dementsprechend konfiguriert, das auch auf die FritzBox oder den pihole im Netzwerk kommst. Liegt hier nahe das nur die Synology in der openvpn conf eingetragen ist, anstelle des Netzwerks.

 

[schlo]

In was für nem Netz(ich meine hier das interne Lan-Netz) befindet sich denn die andere synology welche du als Client zu verbinden versuchst mit synology wo der openvpn server drauf läuft ?

Wie meinst du das? Ich habe den Client (DS213j) bei einem Bekannten über Ethernet-Kabel an die Fritzbox gehängt. Der Server (DS920+) ist in unserem Netzwerk ebenfalls an einer Fritzbox per Kabel. Wir sind bei Vodafone/Kabel Deutschland mit ipv4.

Noch ein paar zusätzliche Infos:
OpenVPN Einstellungen des Servers im Screenshot.

Also Grundsätzlich funktioniert VPN ist halt wie es ausschaut nur nicht dementsprechend konfiguriert, das auch auf die FritzBox oder den pihole im Netzwerk kommst. Liegt hier nahe das nur die Synology in der openvpn conf eingetragen ist, anstelle des Netzwerks.

Diesbzgl. die OpenVPN.conf, habe eigentlich nur die DDNS Adresse und den Zusatz client-cert-not-required (stand so in einer Anleitung --> https://www.wundertech.net/synology-nas-openvpn-server-setup-configuration/) eingetragen:

dev tun
tls-client

remote xxx.xxx.de 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS-IP


pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
client-cert-not-required
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx usw.
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx usw.
-----END CERTIFICATE-----

</ca>

Wenn ich client-cert-not-required weglasse bekomme ich:

Mit der Zeile client-cert-not-required in der .conf:

Kann es außer der Firewall noch etwas geben das die Verbindung behindert? Das kann doch eigentlich gar nicht so schwer sein, oder? In den Anleitungen ist es eher Plug&Play.. Finde auch so seltsam, dass es mit dem Handy so einfach funktioniert und mit der Synology nicht ansatzweise..

Noch eine Frage: Kann ich die Verbindung zwischen den beiden Synologys auch im gleichen Netzwerk bei mir zuhause testen? In diversen Anleitungen (z.B. der oben genannten) stand es geht nicht, aber mit meinem Handy kann ich mich auch verbinden wenn das Handy per Wlan im gleichen Netzwerk wie der VPN-Server ist. Das würde die Fehlersuche etwas vereinfachen..

 

[IchbinbeiCB]

Wie meinst du das? Ich habe den Client (DS213j) bei einem Bekannten über Ethernet-Kabel an die Fritzbox gehängt. Der Server (DS920+) ist in unserem Netzwerk ebenfalls an einer Fritzbox per Kabel.

Also normal ist es so wenn die internen Netze(die IP's welche die Clients) erhalten auf beiden Seiten aus dem gleichen Netz sind bei FritzBoxen wäre das per default immer 192.168.178.x klappt das nicht.

Hast denn in der Zweiten FritzBox also da wo die DS213j dran hängt den Port 1194 frei gegeben ?

Dazu ist mir dann aufgefallen, das der OpenVPN Server bei Dynamische IP-Adresse: 10.10.0.1 drin stehen hat das erklärt wieso du nicht wenn über Mobil dich verbindest, auf deine FritzBox oder den PiHole kommst. Erklärt aber auch wieso du aus dem WLan heraus bei dir ne VPN-Verbindung zum OpenVPN aufbauen kannst weil im WLan bekommst ja auch ne IP-Adresse aus dem Netz der FritzBox bei dir 192.168.178.x .

Es sei denn du hast auf deiner FritzBox das interne Netz angepasst.
Das kannst ja prüfen in dem auf die Weboberfläche gehst von der FritzBox übern Browser und auf Heimnetz -> Netzwerk gehst, wo alle Geräte aufgelistet sind mit den internen IP's.

Ergänzung (10. April 2022)

Das hier ist die Einstellung wo verhindert das dein lokales Netz erreichst:
dhcp-option: If you have a local DNS server that you’d like to use, you can add the IP address of your DNS server there. If you don’t have a local DNS server, leave this line commented out. NOTE: If you don’t have a local DNS server configured, OpenVPN will default to using Google’s public DNS records. This means that you won’t be able to access any of your local network resources by hostname, only IP address. If you’d like to configure a local DNS

Das besagt wenn der Punkt nicht Konfiguriert ist, nutzt OpenVPN den Google DNS und der kennt dein lokales Netz ja nicht, sprich du müsstest hier die # vorne weg nehmen und anstelle von DNS oder DNS-IP, Name oder IP-Adresse vom lokalen DNS-Server eintragen. Dürfte möglicherweise wenn nicht verändert die fritz.box und ip 192.168.178.1 sein oder du kopiert die Zeite einmal und fügst Sie darunter nochmal ein und nimmst die Raute vorne weg, dann weist durch die Original Zeile oben drüber worum es dabei geht. Man könnte es quasi Gedankenstütze nennen.

 

[IchbinbeiCB]

redirect-gateway def1

Dazu kommt das du aktuell ein Full Tunnel Konfiguration benutzt, dadurch das du an dieser Stelle die Raute # entfernt hast: To enable full-tunnel, remove the “#” sign (this is the symbol for a comment). Just removing the comment symbol will enable the full-tunnel VPN.

Dein gesamter Verkehr läuft so wie es da gesetzt ist komplett über den VPN-Tunnel. Wenn du die Raute # davor stehen lässt, ist es so das Sachen wo in deinem Netzwerk sind übern VPN-Tunnel laufen und Webseiten etc. über den Weg vom Netz in dem dich gerade befindest.

 

[schlo]

Hi, zunächst vielen Dank erstmal das du dich meinem Problem annimmst. Der Wunsch den VPN für ein Offsite-Backup aufzusetzen beschäftigt mich schon ziemlich lange und es will einfach nicht klappen. Ich merke, dass ich in dem Thema Netzwerk noch nicht so richtig fit bin.

Also normal ist es so wenn die internen Netze(die IP's welche die Clients) erhalten auf beiden Seiten aus dem gleichen Netz sind bei FritzBoxen wäre das per default immer 192.168.178.x klappt das nicht.

Der Bekannte hat auch eine Fritzbox, dementsprechend hatte die Client Syno dort auch eine 192.168.178.x IP. Die Server Syno bei mir entsprechend auch.

Hast denn in der Zweiten FritzBox also da wo die DS213j dran hängt den Port 1194 frei gegeben ?

Nein, im Netzwerk beim Bekannten habe ich nichts an den Ports gemacht. Ich hatte es immer so verstanden, dass es beim Client nicht nötig ist Ports zu öffnen, gerade das fand ich auch recht charmant. Ist das falsch?

Dazu ist mir dann aufgefallen, das der OpenVPN Server bei Dynamische IP-Adresse: 10.10.0.1 drin stehen hat das erklärt wieso du nicht wenn über Mobil dich verbindest, auf deine FritzBox oder den PiHole kommst. Erklärt aber auch wieso du aus dem WLan heraus bei dir ne VPN-Verbindung zum OpenVPN aufbauen kannst weil im WLan bekommst ja auch ne IP-Adresse aus dem Netz der FritzBox bei dir 192.168.178.x .

Heißt ich müsste im OpenVPN auch Adressen im Schema 192.168.178.x vergeben damit es funktioniert? Als default oder auch in Anleitungen waren die immer mit 10.6.0.1 oder ähnlichem angegeben, bzw. hieß es, dass es keine wirkliche Rolle spielt.

Es sei denn du hast auf deiner FritzBox das interne Netz angepasst.
Das kannst ja prüfen in dem auf die Weboberfläche gehst von der FritzBox übern Browser und auf Heimnetz -> Netzwerk gehst, wo alle Geräte aufgelistet sind mit den internen IP's.

Ich habe da nichts geändert. Alle unsere Geräte haben eine IP nach dem Muster 192.168.178.x

Dürfte möglicherweise wenn nicht verändert die fritz.box und ip 192.168.178.1 sein

Hm. Das habe ich gerade mal probiert, aber es ändert sich nichts:

dhcp-option fritz.box 192.168.178.1

Die IP ist korrekt und verweist auf unsere Fritzbox. Seit einiger Zeit ist es allerdings so, das "fritz.box" nicht funktioniert:

Ich melde mich an der Fritzbox entsprechend über 192.168.178.1 an. Kann das mit dem/den Fehlern zusammen hängen? Evtl. ein Problem mit dem pihole das ich über einen Raspberry laufen habe? Kann nicht mehr genau sagen ob das nicht funktionieren von fritz.box und das Aufsetzen des Piholes zur gleichen Zeit passiert sind.
In der Netzwerkauflistung im Menü der Fritzbox steht es richtig...:

Wenn ich da auf den Link "fritz.box" klicke öffnet er 192.168.178.1

Ergänzung (10. April 2022)

Dazu kommt das du aktuell ein Full Tunnel Konfiguration benutzt, dadurch das du an dieser Stelle die Raute # entfernt hast:

Das stimmt, das wollte ich mal ausprobieren. Aber du hast Recht, ist vielleicht erstmal einfacher mit Minimal-Einstellungen zu starten

Ergänzung (10. April 2022)

Noch ein Zusatz:
Ich habe der OpenVPN.conf mal den Zusatz

log-append /var/log/OpenVPN.log

spendiert.

Wenn ich das log auf dem Client über SSH abfrage steht eigentlich nichts drin, außer das die Zeile

client-cert-not-required

nicht mehr aktuell ist:

Ich hätte eigentlich gedacht das hier Infos zu seinen Verbindungsversuchen drin stehen müssten?!

 

[schlo]

So. Das hat mich weitergebracht. Wer lesen kann... Habe
client-cert-not-required gegen verify-client-cert
getauscht. Nun bin ich verbunden!!

Tatsächlich sogar gerade zuhause im gleichen Netzwerk?! Es scheint zu funktionieren. Kann über Hyperbackup zugreifen. Nun bin ich gespannt ob das dann auch aus einem fremden Netzwerk geht.

Also vielen Dank schon mal für deine Mühe! Ich werde berichten!

 

[IchbinbeiCB]

Wenn wie in der Anleitung unter Punkt8 die interne IP deiner synology da eingetragen ist, passt das soweit.

Wenn an Stelle der 192.168.1.220 deine interne synology ip angegeben ist, ist das Ok.
Dieser Punkt ist Spezifisch vom eingesetzten Router abhängig. Und sollte auf deiner FritzBox korrekt umgesetzt sein, sonst wäre gar keine Verbindung zu Stande gekommen. (Ist auf jedenfall ein wichtiger Punkt)

Der Bekannte hat auch eine Fritzbox, dementsprechend hatte die Client Syno dort auch eine 192.168.178.x IP. Die Server Syno bei mir entsprechend auch.

Selbes interne Netz wie bei dir deshalb klappt das nicht zum einen. Hier müsste auf einer Seite das interne Netz angepasst werden. Unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen und dann auf IPv4 Einstellungen gehen:

Hier müsste dann die Stelle mit der 178 angepasst werden. Meinetwegen 180 dort eintragen. Wenn dein bekannter das an der Stelle nicht möchte, müsstest das auf deiner Seite verändern.

Ich hatte es immer so verstanden, dass es beim Client nicht nötig ist Ports zu öffnen, gerade das fand ich auch recht charmant. Ist das falsch?

Und ja das ist falsch weil er muss ja dennoch erstmal den Weg über die FritzBox nehmen und wenn 1194 da blockiert ist funzt das nicht das wäre der zweite Grund.

Unter Internet -> Freigaben auf neues Gerät hinzufügen gehen und wie aufm Screenshot vorgehen nur halt eben die Synology auswählen.

Dort dann nach Auswahl vom Gerät, auf Neue Freigabe gehen und wie folgt weiter:

Einmal Ok für die Anlage der Regel und dann nochmal auf Ok für die komplette Übernahme.

Die IP ist korrekt und verweist auf unsere Fritzbox. Seit einiger Zeit ist es allerdings so, das "fritz.box" nicht funktioniert:

Bzgl. deines DNS Problems Check mal ob die FritzBox tatsächlich noch dein interner DNS ist oder das nicht der PiHole fürs ganze Netzwerk bei dir übernimmt.

Dafür bei dir auch hierhin Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen und dann auf IPv4 Einstellungen gehen und prüfen was da als DNS drin steht:


Sollte was anderes eingetragen sein, möglicherweise die IP vom PiHole dann dementsprechend, das in der OpenVPN-Config bei DNS anpassen.

Ergänzung (10. April 2022)

Ich hätte eigentlich gedacht das hier Infos zu seinen Verbindungsversuchen drin stehen müssten?!

Bzgl. des Loglevels schau mal hier:
https://www.synology-forum.de/threads/vpn-verbindung-log-level-protokoll-center.65522/

Beitrag 4 und 5

 

[schlo]

Wenn an Stelle der 192.168.1.220 deine interne synology ip angegeben ist, ist das Ok.

Genauso ist das. Dann ist das ja schon mal richtig

Hier müsste dann die Stelle mit der 178 angepasst werden. Meinetwegen 180 dort eintragen. Wenn dein bekannter das an der Stelle nicht möchte, müsstest das auf deiner Seite verändern.

Ich habe es gestern nocheinmal in einem anderen Netzwerk, das auch über eine Fritzbox läuft, ausprobieren können. Interessanterweise habe ich alle Einstellungen gelassen wie bei meinem Post #7, also IPs auf 192.168.178.x gelassen bei beiden Netzwerken und beim Client-Netzwerk nicht den Port 1194 in der Fritzbox freigeschaltet und alles funktioniert.
So ganz trau ich dem Ganzen noch nicht, werde es im Auge behalten und wenn es Probleme gibt mit deinen Hinweisen fortfahren --> Änderung des Netzwerks auf z.B. 192.168.180.x auf Seite des VPN-Servers.

Bzgl. deines DNS Problems Check mal ob die FritzBox tatsächlich noch dein interner DNS ist oder das nicht der PiHole fürs ganze Netzwerk bei dir übernimmt.

Ich verstehe.. das ist dann der Grund. Wobei ich das eigentlich gut finde, dass der PiHole automatisch auch für neue Geräte als DNS-Server dient. Werde das dann erstmal so lassen. Wenn tatsächlich der einzige Nachteil das Nichtfunktionieren der fritz.box Adresse ist.

Bzgl. des Loglevels schau mal hier:

Großartig! Das hatte ich nicht gewusst. Wird bei weiteren Fehlersuchen helfen.

 

[IchbinbeiCB]

Ich habe es gestern nocheinmal in einem anderen Netzwerk, das auch über eine Fritzbox läuft, ausprobieren können. Interessanterweise habe ich alle Einstellungen gelassen wie bei meinem Post #7, also IPs auf 192.168.178.x gelassen bei beiden Netzwerken und beim Client-Netzwerk nicht den Port 1194 in der Fritzbox freigeschaltet und alles funktioniert.

Hab den Punkt entdeckt weshalb das zumindest auf beiden Seiten mit identischen FritzBox Netzen intern klappt, ist mir zuerst gar nicht bewusst aufgefallen aber in deinem Posts #3 und #7 hab ich mir die Bilder eben nochmal genauer angeschaut und dieses erklärt auch wieso es funktioniert.

Deine synology hat zwar von der FritzBox intern eine IP erhalten, der OpenVPN Serverdienst wird aber mittels dieser 10.10.0.1 gefahren siehe dein Post #3, in Post #7 auf dem Bild erhält der Client ebenso eine IP aus diesem Bereich nämlich die 10.10.0.10 und als Gateway ist die 10.10.0.9 ersichtlich.
Damit läuft die VPN-Verbindung in einem anderen Netz zu den FritzBox internen Netzen. Die Verbindung wird dann zum internen Netz weitergeleitet. In diesem Fall ist die Gefahr des nicht funktionierens der VPN-Verbindung erst dann gegeben wenn das lokale Netz dem Entspricht welches die OpenVPN-Verbindung benutzt. In diesem Fall wäre es dann das 10.10.0.0 Netz. Das sollte man im Hinterkopf behalten.

Bzgl. des Ports 1194 war das auch mehr zur Sicherheit, so wie es ausschaut geht der bei den FritzBoxen durch, dessen war ich mir aber nicht so sicher deshalb der Verweis auf die Portfreigabe hierbei.

 

[schlo]

Top, besten Dank für die Hintergründe