Synology VPN Client Frage

[Avenger84]

Hallo,
ich habe folgendes Szenario:
Netzwerk A: DS218 mit VPN Server
Netzwerk B: DS118 als VPN Client (wählt sich in Netzwerk A ein, als Hyperbackup Ziel)

Klappt auch soweit gut nur ich kann von Netzwerk B gleichzeitig keine 2. Verbindung (von einem PC z.B.) zu Netzwerk A aufbauen.

Nun gibt es in den Einstellungen der DS118 folgende Optionen:
"Anderen Netzwerkgeräten ermöglichen, Verbindungen über die Internetverbindung dieses Synology Servers herzustelen".

Auf was bzw. welche Richtung bezieht sich dieser "Haken"?

Kann ich vom PC in Netzwerk B über die DS118 eine Verbindung in Netzwerk A herstellen - wenn ja wie ?

 

[Raijin]

Ich hab keine Synology, aber kann man selbige nicht auch als VPN-Gateway nutzen? Sprich: Wenn du am PC in Netzwerk B eine Route ins Netzwerk A über die IP der B-Synology setzt, könnte es sein, dass diese den Traffic dann ins VPN routet. Unter Umständen muss man das aber noch konfigurieren, das kann ich aber mangels Diskstation nicht beurteilen.

Wenn das so gehen sollte, dann kann man entweder an jedem Gerät, das ebenfalls in das andere Netzwerk verbinden soll, eine solche Route anlegen oder aber man erstellt diese Route im Standardgateway, dem Internetrouter.

Die Route sähe im übrigen so aus:

Ziel: Subnetz von A via IP der B-Synology

Der Rückweg muss ggfs ebenfalls konfiguriert werden, also die spiegelverkehrte Route für die gegenüberliegende Synology in Netzwerk A.

 

[Kenny [CH]]

BTW musst du deinen Netzwerk Komponenten auch noch sagen, wo der Übergang ist (siehe aijin Routing).

Also wenn dein DHCP von der Firewall/Router gemacht wird, müsstest du die Route auf diesem Gerät eintragen (Ziel: Subnetz von A via IP der B-Synology) - Wenn du die Route z.B. auf dem Nas einträgst, jedoch auf der Firewall/Router nicht, wird deine Router/FW immer noch nicht wissen wo er das IP Paket für Netz A hin senden muss. Anonsten müsstest du die IP Stack so umstellen, das dein Default Gateway dein NAS ist - das Nas müsste dann jedoch weiterhin als Default Gateway die IP deines Router/FW haben - ansonsten werden deine Pakete nie das Netz verlassen.

 

[Avenger84]

Netzwerk A hat IP Bereich 192.168.74.x
Netzwerk B hat IP Bereich 192.168.168.x
(beides FritzBox)

VPN Server Netzwerk A: 192.168.244.x & 192.168.74.4
VPN Client Netzwerk B: 192.168.244.1 & 192.168.168.42

Im Netzwerk A habe ich in der FritzBox eine Route eingetragen siehe Bild.

Wenn ich in Netzwerk A 192.168.244.1:5000 eintippe komme ich in Netzwer B auf die DS118 - super! 👌

Was muss ich nun wo eintragen um vom PC in Netzwerk B ins Netzwerk A zu kommen.

Habe probiert in der FritzBox B als Route einzutragen: 192.168.74.0 - 255.255.255.0 - 192.168.168.42
Leider kein Durchkommen

 

[conf_t]

Wie schon gesagt. Du du musst deinem Standardgateway (Router A) die spezifische Route zum Ziel Netz B über lokale IP der lokalen Diskstaion mitteilen.

Hatte früher mal länger ein Synology VPN.

Beispiel in Zahlen (Beispiel-IP):

Netzwerk A 192.168.0.0 255.255.255.0
Diskstation A: 192.168.0.100

Netzwerk B 192.168.1.0 255.255.255.0
Diskstation B: 192.168.1.100

Für den Router A eintragen, dass er das Netz 192.168.1.0 255.255.255.0 über die IP 192.168.0.100 erreichen kann.
Dann musst du dem Router B eintragen, dass er das Netz 192.168.0.0 255.255.255.0 über die IP 192.168.1.100 findet.


Edith sagt:

Warum dann ein Synology VPN? Ich habe das Synology VPN aufgegeben, weil es nach den meisten Updates nicht mehr richtig lief, bin dann zu FritzVPN gewechselt. Auch da kann man ganze Netze miteinander koppeln. Ganz ohne solche Klimmzüge.

Edit2 sagt:
Ich meine in erinnerung zu haben, dass es eine Rolle spielt, wer Server und wer Client ist und die Routingkonfig von einander abweichen. Letztlich war bei der LAN-Kopplung der Assisstent damals unter DSM5 zu schlecht. Man musste alles per hand konfiguriern, also per SSH oder WInSCP mit den NAS verbinden und dort die Konfig manuell anpassen. Vielliehct hilft dir dieser Thread: https://www.synology-forum.de/showt...skstations-Datensicherung-in-beide-Richtungen

das war nämlich mit dem push-route und iroute nicht so ganz trivial.

 

[Avenger84]

Warum Synology VPN ? Weil es die volle Geschwindigkeit bietet: 10,5 MB/s schaffe ich. Per FritzBox VPN nicht mal 1MB/s - komplett für die Tonne.
Dazu kinderleicht zu konfigurieren und von den Clienten (Win, Android, Mac) ohne extra Programme nutzbar. Einzig in Windows muss man einen Eintrag in der Registry hinzufügen.

Wenn es nicht geht, dann halt nicht, dann muss ich zuerst die VPN Verbindung von der DS118 trennen um dann vom PC aus eine VPN Verbindung aufzubauen.

 

[conf_t]

Du hast einen 100 Mbit/s Upload? Nicht schlecht

Naja, wie kinderleicht openvpn zwecks Netzwerkkopplung zu konfigurieren ist siehst du ja im Synology Forum, wenn man den vollen Funktionsumfang von Openvpn nutzen will..... ... man muss Dateien in NAS vor Änderungen durch DSM selbst bei schützen (overwriteccfiles=false) und als so ein Krempel.

Dass dein FritzVPN so langsam ist dürfte eher an der schwachen Kryptoleistung deiner Fritzbox liegen, welche hast du denn?

 

[Avenger84]

7490 & 7590
Ja (m)eine Seite hat 100MBit/s Upload.

Habe es soweit geschafft per IP4 Route in der FritzBox, dass die VPN IP Adresse adressiert wird.

Wenn ich 192.168.244.1 im Browser eingebe, komme ich auf die DS118. Hilft mir aber nicht weiter.

In der DS118 habe ich ebenfalls eine statische Route eingerichtet (siehe Bild).

Wenn ich am PC nun per route add 192.168.74.0 das Gateway 192.168.244.1 eintrage gehen Anfragen aber ins Internet und nicht zur DS118.
Steh gerade auf´m Schlauch

Ergänzung (4. Oktober 2019)

hier die Route:

 

[conf_t]

Jaja, soviel zum Thema OpenVPN ist sooooo viel einfacher .... ohne (statisches) Routing zu verstehen kann man es knicken. Und deinen Versuchen nach zu urteilen - ohne dir zu nahe zu treten wollen - verstehst du es scheinbar nicht und machst alles ziemlich wild durcheinander und konfus - verteilst einfach mal so irgendwo wie wild Routen und hoffst, dass es dann irgendwie irgendwann geht.


Deine Routeneinträge machen keinen Sinn.
Dein Gateway muss immer aus dem Netz sein, mit dem dein PC auch verbunden ist.

Wenn ich am PC nun per route add 192.168.74.0 das Gateway 192.168.244.1 eintrage gehen Anfragen aber ins Internet und nicht zur DS118.

Ist ja auch logisch, dass das ins Internet geht.

Du sagst dem PC, dass er das Netz 192.168.74.0 über das gateway 192.168.244.1 findet, der PC weiß doch garnicht wie er tz 192.168.244.1 kommt, fragt dann sein Standardgateway (Fritte) und die sagt auch "kenn ich nicht" und fragt dann ihr Standardgateway bei deinem Provider.


Was hat es hier mit den IP 192.168.244.x aufsich?


Screenshot 1. Eine Route muss auf ein konkretes Ziel zeigen (Geräte mit IP) nicht auf das Netz (.0). Du brauchst auch eigentlich keine statische Route in der Diskstation einzutragen, den die Diskstation kennt ja alle Interfaces mit denen sie verbunden ist und lernt auch das Netz des LANs der Gegenstelle, sofern OpenVPN korrekt konfiguriert wurde.
Screenshot 2: das Standard Gateway für ein Zielnetz muss schon im gleichen Netz sein, in einem anderen Netz (hier x.x.244.x) wird das nix. Sind das die IPs der Tunne Interface? Wenn ja, vergiss sie und schenke ihnen keine weitere Beachtung! Denn die IPs werden nur benötigt, damit die beiden VPN-Teilnehmer miteinander den Tunnel aufbauen können, die Transportdaten (z.B. öffnen der DSM Seite) wird darin eben getunnelt. Das Tunnelinterface tritt nicht in Erscheinung für den Client. Tunnelinterface lassen sich auch aus anderen Netzen nur eingeschränkt ansprechen.

Wenn du der Fritte die Routen mitteilst reicht es wenn der PC die Fritte fragt, wie er zu dem Netz kommt, da musst du am PC nix einstellen. Dafür ist die Fritte ja Router.


Auf allen Systemen funktionieren statische Routeneinträge gleich



<Zielnetz> <Maske des Zielnetzes> <IP-des Routers für den nächste Hop>

Müsste es also im Prinzip in der FB (192.168.168.1) so stehen:

192.168.74.0 255.255.255.0 GW: 192.168.168.42

Und auf der anderen Fritzbox (192.168.74.1):
192.168.168.0 255.255.255.0 GW: 192.168.74.4

Und lasse die finger vom "route add" befehl am PC . Mann kann auch einfach das Wort Gateway eindeutschen und mit "Frage...." übersetzten.

Also um nach 196.168.74.0/24 zu kommen frage 192.168.168.42.


Wenn es dann noch nicht geht, musst du nach deiner VPN Konfig schauen (im per Texteditor) und schauen, ob die richtigen Netze jeweils an der Gegenstelle propagiert werden in der Konfig (Thema Push route.... und iroute), alles im verlinkten Thread. Wie gesagt, der Assisten / die DSM GUI spuckt keine funktionierende OpenVPN Konfig für LAN-LAN Kopplungen aus.

 

[Avenger84]

Problem ist ich verwende kein OpenVPN
sondern IPSec

 

[conf_t]

Sehr gut, dass du das im 10. Post des Threads erwähnst, daher kannst du deinen Smilie gerne behalten.
Aber das ändert an den Statischen Routen dennoch nichts.

 

[Avenger84]

Hatte ich tatsächlich nicht erwähnt 😉

Ich probiere das nachher noch mal aus so wie du es erwähnt hast.


P.s. Ja ich habe tatsächlich in der Mittagspause wild versucht da rein zu kommen.

Ergänzung (4. Oktober 2019)

Du sagst dem PC, dass er das Netz 192.168.74.0 über das gateway 192.168.244.1 findet, der PC weiß doch garnicht wie er tz 192.168.244.1 kommt, fragt dann sein Standardgateway (Fritte) und die sagt auch "kenn ich nicht" und fragt dann ihr Standardgateway bei deinem Provider.

In der FB ist 192.168.244.0 als statische Route hinterlegt zu 192.168.74.42 (DS118) 🤷‍♂️
(ohne Screenshot)

Ergänzung (4. Oktober 2019)

Was hat es hier mit den IP 192.168.244.x aufsich?

Das ist der VPN IP bereich, ...244.1 hat die DS118

 

[conf_t]

Bitte teste es mall ohne VPN Bereich. Lasse den VPN Bereich aus allen statischen Routings raus. Und wenn du wissen willst, welche Routen die DS kennt, auch das findest du auf der Shell per SSH raus.

 

[Raijin]

In der FB ist 192.168.244.0 als statische Route hinterlegt zu 192.168.74.42 (DS118)

@conf_t hat vollkommen Recht damit, dass er sagt, dass du die VPN-IPs vergessen sollst.

Müsste es also im Prinzip in der FB (192.168.168.1) so stehen:

192.168.74.0 255.255.255.0 GW: 192.168.168.42

Und auf der anderen Fritzbox (192.168.74.1):
192.168.168.0 255.255.255.0 GW: 192.168.74.4

Das sind genau die Routen, die du brauchst, in den Fritzboxxen und sonst nirgends. Wenn du nun am PC mit der IP 192.168.168.123 in der Kommandozeile eingibst: "ping 192.168.74.4", dann passiert folgendes:

• der PC merkt, dass 192.168.74.4 ja gar nicht in seinem eigenen Subnetz (192.168.168.0/24) liegt
• der PC kennt keine spezielle Route für das Ziel 192.168.74.4
• der PC schickt den Ping an sein Standardgateway, weil er sonst nicht weiß wohin damit
• das Standardgateway (die Fritzbox B) schaut in ihre Routing-Tabelle und findet die oben erwähnte Route über 192.168.168.42, das NAS B
• das NAS B (192.168.168.42) bekommt nun den Ping vom PC an die 192.168.74.4 und merkt, dass das ja hinter dem VPN liegt
• das NAS B leitet den Ping über die VPN-Verbindung an NAS A weiter - an die VPN-IP von NAS A (192.168.244.x)!
• NAS A merkt nun, dass das Ziel des Pings (192.168.74.4) das NAS selbst ist und beantwortet den Ping

 

[Avenger84]

Danke euch

welche Routen die DS kennt, auch das findest du auf der Shell per SSH raus.

weißt du auch wie ? ( falls es nicht klappt )

 

[conf_t]

Der Befehl route zeigt dir alle Routen an.
Oder meinst du wie man per SSH drauf kommt? Das musst du erst aktivieren und dann mit einem Terminalemultator (z.B. PuTTY) zugreifen.

Login ist dein Admin-Konto, Root wirst du per sudo -su.
DSM benutzt die Ash-Shell, die sehr verwandt mit der Bash-Shell ist.

 

[Avenger84]

Das sind genau die Routen, die du brauchst, in den Fritzboxxen und sonst nirgends. Wenn du nun am PC mit der IP 192.168.168.123 in der Kommandozeile eingibst: "ping 192.168.74.4", dann passiert folgendes:

• der PC merkt, dass 192.168.74.4 ja gar nicht in seinem eigenen Subnetz (192.168.168.0/24) liegt
• der PC kennt keine spezielle Route für das Ziel 192.168.74.4
• der PC schickt den Ping an sein Standardgateway, weil er sonst nicht weiß wohin damit
• das Standardgateway (die Fritzbox B) schaut in ihre Routing-Tabelle und findet die oben erwähnte Route über 192.168.168.42, das NAS B
• das NAS B (192.168.168.42) bekommt nun den Ping vom PC an die 192.168.74.4 und merkt, dass das ja hinter dem VPN liegt
• das NAS B leitet den Ping über die VPN-Verbindung an NAS A weiter - an die VPN-IP von NAS A (192.168.244.x)!
• NAS A merkt nun, dass das Ziel des Pings (192.168.74.4) das NAS selbst ist und beantwortet den Ping

das klappt schon mal nicht:

Ergänzung (4. Oktober 2019)

Hier die route der DS118:

 

[conf_t]

Also an der Fritzbox ist es so richtig, also liegt jetzt ein zweiter Fehler vor. Vermutlich an den VPN Einstellungen. Am besten du exportiert die Config und anonymisiert sie und postest sie.

 

[Avenger84]

Hier die Einstellung am Client:

wenn ich den Haken entferne sieht die Route so aus:

 

[conf_t]

Das meine ich nicht, sondern die Konfig-Datei. Musst du per SSH oder Einfach vom NAS laden. Pfad zu der Datei kannst du bei Google finden, weiß ich gerade nicht auswendig