ComputerBase Menü
Aktuelles

Synology VPN Client Frage

Wie gesagt, die Routen wie zuvor schon erläutert an der Fritzbox sind nicht (mehr) dein Problem, dein Problem liegt an der DS selbst Bei dir liegt defintiv mehr als 1 Problem vor und wenn man davon 1 gelöst hat geht es logischerweise noch immer nicht. Die PCs in den Netzen werden jeweils zur DS geroutet. Ich kann dir mangels L2TP Erfahrung leider nicht genau sagen, was es ist, es scheint aber so zu sein, dass die DS den Traffic von anderen LAN-Teilnehmern nicht weiterleitet. Also den Weg zur DS finden deine PCs schon, wenn sie die IP aus dem anderen Netz aufrufen, nur fehlt dort das Routing vom physikalischem Interface durch den Tunnel zu der anderen DS.

Wie sinnvoll es ist jeglichen Traffic über die DS zu leiten, bei einer Site-2-Site Verbindung ist fraglich. Die meisten Beispiele für L2TP/IPSec Konfigs sind für Clients und nicht für Site-2-Site. Auf den ersten Blick scheint VPNServer Plus das zu unterstützen, gibt es aber nicht für jede Diskstation.

Du hast doch gesagt, dass sich die DSn untereinander erreichen? Über welche IP können sie das? Nur über die Tunnel IP, oder auch über die LAN-IP der jeweils anderen. Evtl. muss man zusätzlich zu dem Routing an den Fritten noch mit zusätzlich Routen an den DSn arbeiten.

Da es sich ja im Kern um ein L2-Tunnel handelt, könnte es vielleicht doch sein, dass nicht automatisch in den DS von LAN A zu LAN B durch den Tunnel geroutet wird.

Du kannst mal versuchen (zusätzlich zu den zuvor eingestellten Routen an den Routern, die müssen so bleiben wie ich gescrieben hatte) in der DS 192.168.168.42 die statische Route für 192.168.74.0 255.255.255.0 GW 192.168.244.1 (Tunnel-IP der DS von LAN B) und an der anderen DS 192.168.74.4 entsprechend die Route 192.168.168.0 255.255.255.0 GW 192.168.244.x (Tunnel-IP der DS von LAN A).

Am Ende musst du z.B. beim Hyperbackup die echte NAS IP 192.168.74.4 als Ziel eingeben können und es muss funktionieren (außer du hast am NAS irgendwelche Firewallregeln, die das verhindern). Solange das nicht klappt hast du an den DS selbst ein Routing Problem.

Einfacher geht das per SSH und dort dem Befehl Ping.
 
Zuletzt bearbeitet:
Gestern Nacht fand ich noch die Anleitung:
https://www.synology-forum.de/archive/index.html/t-81196.html
da beschreibt Jemand genau mein Problem.

Ja die DS118 leitet nichts weiter, das denke ich auch.

conf_t schrieb:
Du hast doch gesagt, dass sich die DSn untereinander erreichen? Über welche IP können sie das? Nur über die Tunnel IP, oder auch über die LAN-IP der jeweils anderen
Zum Vergrößern anklicken....
Die DS218 erreicht die DS118 über die Tunnel IP. (192.168.244.1)
Umgekehrt habe ich es noch nicht probiert, da ich nicht weiß wie.
Aus dem LAN A erreiche ich die DS118 auch per Tunnel IP (da in FB statische Route eingetragen).

Ich probiere jetzt noch mal deine bzw. die Anleitung aus dem Link
Ergänzung ()

Nun klappt es, es fehlte IP Forwarding --> echo 1 > /proc/sys/net/ipv4/ip_forward
 
Zuletzt bearbeitet:
Wo genau fehlte das? In der VPN Konfig.
Sehr schön, dass du es lösen konntest
 
In der DS118 musste ich IP Forwarding einschalten, also dem DS VPN Clienten.
Die andere Seite muss ich noch testen, wobei es eigentlich grundsätzlich nicht sein soll, dass aus Netzwerk A auf mein Netzwerk B zugegriffen werden darf, außer auf die DS118.

Falls noch mal Jemand danach sucht:

Netzwerk A: 192.168.74.x / DS218 als VPN IPSec Server (192.168.74.4)
Netzwerk B: 192.168.168.x / DS118 als VPN Client (192.168.168.42)

a) FritzBox B, wo die Client DS steht statische IP4 Route eintragen:
Netzwerk 192.168.74.0 / Gateway 192.168.168.42
damit gehen IP-Anfragen im Netzwerks B, die das Netzwerk A betreffen (74.x) zur DS118

b) in der DS118 (192.168.168.42) eine statische Route eintragen:
Netzwerkziel 192.168.74.0 / Gateway 192.168.244.0 / Schnittstelle VPN
(Ja das ist richtig, obwohl .0 eigentlich kein Gateway ist, siehe 1.png)
damit gehen die IP-Anfragen weiter durch den VPN Tunnel zur DS218

c) IP4 Forwading aktivieren
ssh aktivieren
Win10 Powershell:
ssh admin@192.168.168.42
sudo -i
echo 1 > /proc/sys/net/ipv4/ip_forward

Angeblich wird das beim Neustart der DS wieder deaktiviert, damit muss ich mich noch beschäftigen.

Sonstige Einstellungen:
In der DS118 unter Netzwerk -> allgemein -> erweiterte Einstellungen -> mehrere Gateways aktivieren
muss nicht angeklickt werden
und unter
Netzwerkschnittstelle -> VPN
muss der Haken bei "Anderen Netzwerkgeräten ermöglichen, Verbindung über die Internetverbindung dieses Synology Servers herzustellen" angeklickt werden (logisch)
und
"Standardgateway auf Remotenetzwerk verwenden" nicht angeklickt werden.
 

Anhänge

  • 1.PNG
    1.PNG
    22,6 KB · Aufrufe: 257
  • Gefällt mir
Reaktionen: dideldei und Raijin
Ja, da sieht man, das VPN Center von Synology ist noch so schlecht/unvollständig wie vor 4 Jahren. Ohne manuelles anpassen der Konfigfiles geht es auch weiterhin nicht. Ich hoffe für dich, dass mit dem nächsten DSM Update die Konfig-Datei nicht wieder überschrieben wird.
 
Deshalb schreibe ich mir ja die Anleitung ;-)

Nachtrag:

Jetzt habe ich es so wie ich es haben wollte, aus Netzwerk A komme ich nur auf die DS118 und nicht auf mein Heimnetzwerk.
In der FritzBox Netzwerk A eine statische Route eingetragen: 192.168.244.0 / Gateway 192.168.74.4
somit komme ich von PCs aus Netzwerk A auf die entfernte DS118 per VPN-IP, aber nicht auf das sonstige Netzwerk B.

Um bidirektionalen Zugriff zu haben müsste man eventuell noch das IP4 Forwarding der DS218 aktivieren, ich weiß es aber nicht. Man kann in der DS218 auch keine statische Route ins VPN aktivieren, VPN taucht nicht als Gateway auf.

Wie lautet der Befehl um im ssh zu prüfen ob IP4 Forwading aktiviert ist ?
 
Kann ich dir nicht sagen, denn das ist kein allgemeiner Befehl, sondern ein L2TP bezogener Befehl, vielleicht gibt es einen Befehl, der die aktive Konfig/Eigenschaften o.ä. anzeigt
 
sysctl net.ipv4.ip_forward

=1 sagt mir die DS218, also aktiviert.
 
Avenger84 schrieb:
In der FritzBox Netzwerk A eine statische Route eingetragen: 192.168.244.0 / Gateway 192.168.74.4
somit komme ich von PCs aus Netzwerk A auf die entfernte DS118 per VPN-IP, aber nicht auf das sonstige Netzwerk B.
Zum Vergrößern anklicken....
Jein. Das Routing dazu kann auch jederzeit am PC selbst erfolgen. Das ist mitnichten blockiert oder so, denn dafür wäre die Firewall in der jeweiligen DS zuständig.
Ohne Routing ist es also in etwa so als wenn bei google Navi eine Abbiegespur gelöscht wird und das Navi nie dort abbiegen will, der Fahrer kann aber trotzdem blinken und abbiegen ;)


Avenger84 schrieb:
Man kann in der DS218 auch keine statische Route ins VPN aktivieren, VPN taucht nicht als Gateway auf.
Zum Vergrößern anklicken....
Das ist auch nicht notwendig. Das VPN selbst ist für die DS ein lokales Netzwerk. Die Routen ins gegenüberliegende Netzwerk wird bei VPNs zwischen Server und Client in der Regel über die Konfiguration geregelt. Manuelle Routen innerhalb des VPN-Servers/-Clients sind daher nicht notwendig sofern die Konfiguration stimmt.
Wenn dennoch manuelle Routen benötigt werden, müssen diese bei aktiver VPN-Verbindung angelegt werden, da ohne VPN das VPN-Interface (zB tun0) gar nicht existiert, geschweige denn eine IP.
 
Hab´s noch mal probiert, komme aber nicht von Netzwerk A in Netzwerk B.
Keine Ahnung was da blockiert.

Wenn ich von Netzwerk A "tracert 192.168.168.42" probiere, geht es zur DS218 und die schickt es wieder zurück zur FritzBox.

Bzw. im SSH kann ich von der DS218 nicht die DS118 anpingen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Keine Anmeldung im Drive-Client möglich SYNOLOGY
Antworten
12
Aufrufe
771
K-551
K
M
Synology Ziel NAS für Backup plötzlich offline
Antworten
13
Aufrufe
964
redjack1000
R
R
Gerät über VPN plötzlich nicht mehr erreichbar
Antworten
4
Aufrufe
982
Ritter_S
R
S
VPN Split Tunnel benutzen wenn VPN gegen TOS verstößt
Antworten
5
Aufrufe
652
till69
T
P
MyFritz.net hinter dem NAT (VPN?)
Antworten
2
Aufrufe
508
Pete11
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz