VPN auf dem QNAP einrichten

Als erstes Mal die Themenpunkte

  • OpenVPN Server einrichten
  • Sicherheit
  • DYNDNS
  • Router für VPN Konfigurieren
  • Openvpn.ovpn datei anpassen
  • OpenVPN Client auf PC und Android Handy einrichten


OpenVPN Server einrichten


Dafür gehen wir in die Systemsteuerung und wählen den VPN Server aus.



VPN-Server-Auswahl.jpg


Dort aktivieren wir den OpenVPN Server


VPN-Server.PNG



IP-Adressbereich für VPN-Client


Als erstes kann der IP-Adressbereich für die Clients definiert werden. Hier ist wichtig zu beachten, dass der Bereich nicht schon anderweitig im Netzwerk verwendet wird.


In diesem Beispiel liegt der Adressbereich also zwischen 10.8.0.2 und 10.8.0.254 wobei 10.8.0.1 für den VPN Server selbst reserviert ist. Wollt ihr also später auf den Server zugreifen könnt ihr diesen über die IP 10.8.0.1 erreichen.



VPN-Server-Port


Unter den erweiterten Einstellungen kann auch der UDP Port, der später im Router freigegeben werden muss, verändert werden. Viele empfehlen hier, den Port zu ändern, da Angreifer somit nicht wissen was hinter dem entsprechenden Port zu finden ist. Der Einfachheitshalber belasse ich ihn auf dem Standardport.



Verschlüsslung


Bei der Verschlüsselung sollte man natürlich immer die höchst mögliche Verschlüsselung wählen. In diesem Fall also AES-256-bit.



Redirect-Gateway


Beim Redirect-Gateway muss man sich überlegen, ob man den kompletten Internetverkehr des VPN-Clients über den VPN-Server schicken will oder nur den Verkehr der für den Zugriff auf das NAS bzw. ins Heimische Netzwerk nötig ist.


Wird der Haken bei Redirect-Gateway gesetzt wird der komplette Internetverkehr über den VPN-Server geleitet. Setzt man den Haken nicht, wird nur der Verkehr über das VPN geleitet, der unbedingt nötig ist.



Hinweis
Wie man sich auch entscheidet, muss bei der Nutzung übers Handy beachtet werden, dass ein geringfügig höherer Traffic anfällt, wodurch das Volumen evtl. schneller aufgebraucht wird. Dabei ist der Verbrauch natürlich höher wenn man seinen kompletten Internetverkehr über das VPN schickt.


DNS-Server


Zu guter Letzt sollte man noch einen DNS-Server eintragen. Privatpersonen können da meistens die IP-Adresse ihres Routers eintragen. Wer einen eigenen DNS-Server betreibt wird sicher wissen was er hier einzutragen hat.


Einstellungen übernehmen und Zertifikat herunterladen


An dieser Stelle können die Einstellungen jetzt schon einmal übernommen und das Zertifikat auf den PC herunter geladen werden. Eine der Dateien muss später noch bearbeitet werden.


Privilegieneinstellungen


Um einen VPN Benutzer hinzuzufügen muss dieser bereits im System vorhanden sein.
Falls der Benutzer noch nicht vorhanden ist muss er unter den normalen Privilegieneinstellungen -> Benutzer -> erstellen erstellt werden.


normale Privilegieneinstellungen.PNG


Hier hat man die Möglichkeit einen oder mehrere Benutzer zu erstellen, dafür muss man nur einen der Punkte auswählen und dann den Anweisungen folgen. Auf die unterschiedlichen Möglichkeiten gehe ich hier jedoch nicht näher ein.


Benutzer erstellen.PNG


Hat man den Benutzer erstellt kann man zurück zum VPN Server und dort in den Privilegien Einstellungen den User als VPN-User hinzufügen.


VPN-Benutzer hinzufügen.jpg



In der Verbindungsliste kann man später sehen wer gerade auf dem VPN-Server eingeloggt ist.




Sicherheit (optional)


Bevor das NAS jetzt an die große weite Welt gehängt wird, sorgen wir noch dafür, dass das NAS später ausschließlich über das VPN oder das Private Netzwerk erreichbar ist.


Unter Systemsteuerung -> Systemeinstellungen -> Sicherheit können wir dies einrichten.


Sicherheit.PNG



Hier können wir zwischen drei Möglichkeiten wählen


  • Alle Verbindungen zulassen ( in dem Fall können wir uns die Einrichtung auch sparen)
  • Aufgelistete Verbindungen ablehnen
  • Nur aufgelistete Verbindungen zulassen

Da die meisten mit Sicherheit nur wenigen Personen Zugriff auf das NAS gewähren wollen, sollte hier der letzte Punkt ausgewählt werden.



Der zweite Punkt ist nur Sinnvoll wenn man eigentlich allen im Internet den Zugriff gewähren möchte und nur ganz bestimmte IP-Adressen, von denen z.B. Angriffe gefahren werden, ausschließen möchte. Also eher für Firmen geeignet die auf dem NAS z.B. ihre Website ins Internet stellen.



Klickt man auf Hinzufügen, kann man die gewünschten IP Adressen bzw. Adressbereiche auswählen die man ablehnt oder zulässt je nachdem was man ausgewählt hat.


Sicherheit IP-Adressbereich.PNG





DYNDNS


Als nächstes wird ein DYNDNS Anbieter benötigt, man kann dazu entweder QNAP selbst als Anbieter wählen oder man sucht sich einen externen Anbieter.



Da man meiner Erfahrung nach mit mehr Angriffen zu rechnen hat wenn man den QNAP eigenen MY DDNS Dienst verwendet, gehe ich auf diese Möglichkeit, obwohl sie nahe liegt und auch von vielen hier verwendet wird nicht näher ein.



Zur Info jedoch findet man diesen Dienst unter Systemsteuerung -> Netzwerkdienst Qsync Central Station 2.0-> myQNAPcloud -> my DDNS.



Bei den externen DynDNS Anbietern sollte man beachten, dass viele User heute über IPV6 mit DualStack Lite ans Internet angebunden sind. Dies hat Nachteil, dass die normalen DynDnS Anbieter für IPv4 nicht funktionieren.



Es gibt jedoch auch Anbieter die auch IPv6 unterstützen nach diesen müssen diejenigen mit IPv6 ausschau halten. Dazu sei noch gesagt, dass es hier bei dem QNAP eigenem Dienst soweit ich gehört habe keine Probleme gibt.



Da Werbung hier nicht erlaubt ist werde ich dies bezüglich jedoch keine Links für externe Anbieter Posten. Grundsätzlich findet man aber schnell etwas wenn man Google bemüht.



Die jeweiligen Anbieter erklären meistens auch irgendwo was ihr genau wo und wie in eurem Router eintragen müsst.


Von eurem Anbieter bekommt ihr dann auch eine URL über die ihr euren Router erreichen könnt.



In der Form „myNas.dyndns.de“ oder so ähnlich.



Portfreigabe



Nachdem jetzt grundsätzlich eine Verbindung zum Router hergestellt werden kann, muss man jetzt noch eine Portweiterleitung zum NAS legen.



Da die Fritzbox weit verbreitet ist, werde ich die nötigen Einstellungen exemplarisch für diese erklären. Für andere Router sollte es jedoch ähnlich funktionieren.



Die Prortfreigabe ist in der Fritzbox unter Internet -> Freigaben -> Portfreigaben zu finden.


Hier klickt man einfach auf neue Portfreigabe


Portfreigaben.jpg


neue Portfreigabe.PNG




Bei der Portfreigabe ist wichtig zu beachten, dass hier vor allem beim an Port der Port eingetragen werden muss, der vorher für den VPN Server definiert wurde.


Da es weniger Störanfällig ist, ist auch zu empfehlen, den gleichen von Port zu verwenden, dies ist jedoch nicht zwingend notwendig.



Das Protokoll muss UDP eingestellt werden und bei Computer muss dann nur noch das NAS ausgewählt werden.


Dann war es das auch schon mit der Routerkonfiguration.




Anpassen der OpenVPN Datei


Vorher haben wir das Zertifikat (openvpn.zip) vom VPN Server heruntergeladen, dieses benötigen wir jetzt.


Wir öffnen die zip Datei und finden folgende drei Datei vor


  • ca.crt
  • openvpn.ovpn
  • readme.txt

ca.crt ist das eigentliche Zertifikat.


openvpn.ovpn ist die Konfigurationsdatei



Wir öffnen jetzt die openvpn.ovpn Datei mit einem normalen Texteditor wie Notepad.


In der Datei befindet sich irgendwo eure aktuelle IP-Adresse. In meinem Bsp. steht da 123.123.123.123 diese ersetzt ihr durch die URL die ihr von eurem DynDNS Anbieter erhalten habt.



OpenVPNClint einrichten

  • auf dem PC


    Zuerst einmal muss ein OpenVPN Client auf dem PC installiert werden. Dieser lässt sich hier herunterladen.
    https://openvpn.net/index.php/open-source/downloads.html


    Anschließend muss er ganz normal installiert werden.


    Nach der Installation müssen noch die ca.crt und die abgeänderte openvpn.ovpn Dateien in das Konfigurations Verzeichnis von OpenVpn verschoben werden.


    Einen Shortcut zum Verzeichnis findet man unter Start -> alle Programme -> OpenVPN -> Shortcuts -> OpenVPN configuration file directory



    openvpn config ordner.png


    Anschließend kann OpenVPN gestartet werden.
    Dies muss ab Windows Vista mit Adminrechten geschehen, da sonst die Verbindung zum Server nicht hergestellt werden kann.


    adminrechte.jpg


    Um eine Verbindung zum OpenVPN Server herzustellen muss in der Taskleiste mit der Rechtenmaustate auf das OpenVPN Symbol geklickt werden und dann Connect ausgewählt werden.


    vpn-connect.png



    Anschließend wird man nur noch nach dem Benutzernamen und dem Passwort für die VPN Verbindung gefragt.


    Der Verbindungsaufbau kann ein paar Sekunden dauern, das OpenVPN Symbol in der Taskleiste verärbt sich während des Verbindungsaufbaus von rot über gelb zu grün. Wenn das Symbol grün ist, ist die Verbindung aufgebaut.




    ovpn-connection.PNG

  • auf dem Android Smartphone


    Für Android gibt es im Playstore diverse OpenVPN Apps.
    Ich nutze hier OpenVPN Connect, diese App ist meines Wissens nach direkt vom Hersteller.


    Wichtig für Leute die noch ein ältere Version von Android nutzen, erst ab Android Version 4.0 sind keine Root Rechte für die Nutzung von OpenVPN mehr nötig.


    Um eine Verbindung herstellen zu können müssen jetzt erst die ca.crt und die openvpn.ovpn Datei aufs Handy verschoben werden. Dazu einfach Handy an den Rechner anschließen und die Dateien auf die SD Karte schieben.


    Nach dem öffnen der App auf Einstellungen -> Import -> Import Profile from SDCard tippen und anschließend die OpenVPN.ovpn Datei auswählen. Benutzername und Passwort eingeben, dann muss man nur noch warten bis die Verbindung aufgebaut ist.

    Einstellungen.jpg




    import.jpg



    import von SD.jpg

Kommentare 35

  • Hallo Zusammen,

    vielen Dank für die schöne Anleitung!

    Bei mir funktioniert die VPN Verbindung mit OpenVPN grundsätzlich, aber nur, wenn ich auf die Netzlaufwerke mit der vom NAS vergebenen VPN-IP z.B. \\10.8.0.1\Public darauf zugreife. Die bereits intern eingebundenen Netzlaufwerke mit dem Nas-Namen z.B. \\Nas-Name\Public oder der netzinternen IP \\IP\Public funktionieren leider nicht.

    Als Workaround ist es schon ok die Netzlaufwerke doppelt einzubinden und mit einem keine Verbindung zu haben, aber gibt es eine Möglichkeit den Namen aufzulösen? Habe versucht im Internet schlau zu werden und probiere auch seit mehrern Tagen herum aber leider bisher ohne Erfolg :(.

    Es hat vermutlich mit dem DNS-Server zu tun der im NAS und OpenVPN richtig eingestellt werden muss? Ich hoffe ihr könnt mir weiterhelfen.


    Danke Euch!

  • Edit: hat sich erledigt, hat nach einem Reboot funktioniert.


    Hallo zusammen


    Zuerst vielen Dank für die sehr hilfreichen Anleitungen hier - auch wenn die Posts schon älter sind. Ich habe die Verbindung mit OpenVPN zu meinem externen NAS erfolgreich hergestellt.


    Meine Frage: Wie kann ich mich in der Weboberfläche des NAS einloggen? Mit 10.8.0.1 hat es leider nicht funktioniert.


    Vielen Dank für die Hilfe auf meine Frage.

    • Wenn du wirklich verbunden bist könnte auch die normale interne IP funktionieren. Aber im grunde ist die 10.8.0.1 schon richtig sofern du nichts anderes eingestellt hast.

  • Hallo, eine sehr umfangreiche und interessante Anleitung.
    Ja, sie ist schon "sehr" alt. Ich habe auch alles eingerichtet, aber auch wenn ich meinen selfhost Account einfüge, der Client ruft die IP nicht ab.

    Ich weiss nicht, ob noch jemand das Problem hat?
    Ich werde mal weiter testen. :)

    • Alt vielleicht, aber ich glaube grundlegend hat sich in der zwischen Zeit nichts geändert. Außer vielleicht diverse QNAP updates die immer mal wieder dazu geführt haben das es bei mir nicht mehr funktioniert hat.

  • Ich versuche gerade den qvpn-Dienst einzurichten, aber wo find ich die Openvpn.zip zum Download für meine Clients (Windows-PC und Android Smartphone)?

    • Die Anleitung ist bereits ein paar Tage alt. Früher hat man eine openvpn.zip Datei unter "Zertifikat herunterladen" im 2. Bild bekommen. Mittlerweile bekommt man dort nur noch die .ovpn Datei, die war früher in der Zipdatei drin. Auch alles andere was früher in der Zip Datei enthalten war ist jetzt in der ovpn Datei. Man benötigt also nur noch diese.


      Allerdings möchte ich dich vor warnen, zu mindestens bei mir funktioniert das ganze hier leider nur noch innerhalb des privaten Netzwerkes. Dürfte für die meisten also aktuell ziemlich sinnfrei sein.


      Aber du kannst es gerne versuchen bis vor schätzungsweise 3 Monaten hat das alles noch wunderbar funktioniert. Ich habe es schon eine weile nicht mehr getestet.

    • Danke für die Antwort, habe die Files inzwischen gefunden und aufs Handy geladen, allerdings akzeptiert er das Zertifikat nicht wirklich (Bei Zert. hinzufügen gibt es die Meldung "erfolgreich hinzugefügt" und dann wieder "kein Zertifikat gefunden".

      Da werde ich wohl noch etwas basteln.

      Ein VPN innerhalb des eigenen LANs? Macht m.E. überhaupt keinen Sinn. Mal sehen, gab ja gerade ein Update der QVPN-App, vllt gehts ja damit.

  • Hallo zusammen,


    bei mir funktioniert das alles leider auch nicht.

    Ich habe in meiner Fritz!Box 6490 (Provider Vodafone, OS 06.87) eine Portweiterleitung mit dem Port 1194 für das NAS eingetragen. Dort sind auch meine DDNS Details eingetragen.

    In meiner NAS (TS-853a, 4.3.4.0486, 16GB) habe ich beim QVPN Server auch alle Einträge wie in der Anleitung beschrieben durchgeführt und den Port wie auch die DDNS Einstellungen auf den Standardeinstellungen belassen, das Zertifikat erzeugt und die IPV4 Adresse durch den Namen meiner Domain beim DDNS Provider ersetzt (in der Art "myname.dyndns.com"). Die DDNS Details sind natürlich auch im NAS eingetragen und scheinen dort wunderbar zu funktionieren.

    Auf meinem Android Tablet (7.0) habe ich OpenVPN Connect installiert und das Zertifikat importiert. Dabei habe ich mit 2 Versionen gearbeitet: einmal habe ich das Zertifikat in einem File übernommen, das andere Mal wie schon in diesem Beitrag früher beschrieben auf 2 Files aufgeteilt.

    Bei der Version mit 1 File überspringe ich dabei das Importieren des Zertifikates.

    Das WLAN schalte ich beim Tablet natürlich aus und gehe nur über meinen Mobilfunkprovider.


    Trotzdem schaffe ich es nicht eine VPN Verbindung mit dem NAS aufzubauen.


    Beim OpenVPN auf dem Tablet habe ich als Username "admin" und das zugehörige Password für mein NAS eingegeben. Liegt hier vielleicht der Fehler?


    Würde mich sehr über Eure Hilfe freuen,

    Viele Grüße,

    Norbert

    • Ich glaube nicht das du etwas falsch machst.


      Bei mir funktioniert es seit vor ein paar Wochen von einem Tag auf den anderen ohne Änderungen auch nicht mehr. Ich weiß nicht mehr ob ich zu der Zeit evtl. ein Firmware update aufs NAS gespielt habe oder nicht. Aber in den Changelogs findet man ein paar einträge zu den VPN Verbindungen.

      Ich vermute, dass hier der Fehler liegt und nicht an unseren Einstellungen.


      Leider können wir da nicht viel machen, außer warten, dass es wieder besser wird.

    • Hallo zusammen,


      ich habe noch eine Frage zu OpenVPN, falls es denn doch irgendwann bei mir funktionieren sollte.

      Unter https://www.netzwelt.de/news/1…nel-eigenen-heimnetz.html

      habe ich folgendes gelesen was mich dann etwas stutzig gemacht hat:

      "Eine gemeine Fehlerquelle: Aktiviert zunächst oben den Point-to-Point-Tunneling-Protocol-Server (PPTP), die Einstellungen könnt ihr so belassen. Wenn ihr den PPTP-Server nicht startet, funktioniert die OpenVPN-Verbindung lediglich unverschlüsselt!"


      Für mich sieht das wie ein schwerer Bug bei OpenVPN auf QTS. Allerdings ist der Artikel auch vom 15.4.2017. Wisst Ihr ob der Bug schon behoben ist oder ob der obige Hinweis immer noch gilt?


      Bei mir will der PPTP Service auf meiner NAS nämlich einfach nicht starten. Ich bekomme immer nur Fehlermeldungen wenn ich ihn anschalte.


      Viele Grüße,

      Norbert

    • Hallo zusammen,


      habe heute einen neuen Versuch gestartet und zwar mit der App OpenVPN for Android auf einem Tablet mit Android 7.0. Hier erhält man viel aussagekräftigere Logfiles als mit der App OpenVPN Connect.

      Ich kam beim ersten Versuch bis zu einem Fehler im ovpn File. anscheinend erzeugt der QVPN Service ein fehlerhaftes File. Ich hatte im (nicht getrennten - OpenVPN for Android liest das eine File komplett ein) am Ende original "</ca>" zum Abschluss. Dies muss zu "<//ca>" korrigiert werden !!!!

      Dann komme ich zumindest bis zu meinem Router nachdem ich die IP Adresse auch noch durch meine DDNS Domain ersetzt habe. Dort hänge ich jetzt aber an meiner Portweiterleitung fest.


      Vielleicht konnte ich dem einen oder anderen damit weiterhelfen und es wäre schön wenn der Bug in der nächsten Version von QVPN behoben wird.


      Viele Güße,

      Norbert

  • Extrem blöde Frage, aber ich habe das VPN-Netz erfolgreich eingerichtet (komme in das NAS-Verwaltungsportal rein, kann auch in die Router-Verwaltung einsteigen). Aber das Netzlaufwerk funktioniert nicht. Wie kann ich nun auf die Dateien zugreifen?


    Eigentlich bin ich davon ausgegangen, dass mit VPN auch das Netzportal funktioniert...

    • Was genau verstehst du unter Netzportal?


      Netzlaufwerke sollten natürlich funktionieren wenn du sie entsprechend einbindest. In dem Fall am besten über die vom VPN vergebenen IP Adressen. Ausgehend von meinem Beispiel müssten es also welche aus dem 10.x.x.x Netz sein.

      Gefällt mir 1
  • Super Anleitung. Trotzdem hänge ich leider.

    Mir ist nicht ganz klar, wie ich die Portweiterleitung bei meinem Router ausfüllen soll. Bis jetzt habe ich sie wie folgt ausgefüllt, da kommt aber immer eine nichtssagende Fehlermeldung ("Error converting one or more entries").
    Externer Start Port 1194

    Externer End Port 1194

    Interner Host / IP : Auswahlfeld "Geben Sie eine andere IP-Adresse ein"
    IP Adresse [IP-Adresse des Routers (192...]

    Interner Start Port [leer]

    Interner End Port Protokoll 1194


    Nachtrag: Problem gelöst. Interner Startport soll nicht leer bleiben

    Gefällt mir 1
  • Hallo, top Anleitung. Allerdings funktioniert es bei mir nicht alles, wie beschrieben.


    Zum einen erhalte ich lediglich eine OPNV-Datei, wenn ich das Zertifikat herunterladen. D.h. kein zip, keine crt-Datei. Liegt das ein einer neueren QNAP-Version (aktuell: 4.3.4.0435)?


    Da ich eine ähnliche Verbindungsprotokollierung wie Sheldor habe ("WARNING: No server certificate verification method has been enabled.") muss ich die Verschlüsselung und Sicherheit der Verbindung anzweifeln. Kann ich die Sicherheit iwie testen?

    • Ich musste mir das jetzt erst mal anschauen, aber ja, dass es keine crt-Datei mehr gibt scheint an der neuen QNAP Version zu liegen. Vielleicht gibt es mittlerweile auch eine neue OpenVPN Version, ich habe nicht nachgesehen.


      Es scheint auf jedenfall so zu sein, dass der Teil aus der crt-Datei jetzt mit in der OPNV-Datei integriert ist. Er steht ganz am Ende zwischen <ca> und </ca>


      Also wenn es so nicht funktioniert könntest du versuchen die crt-Datei manuell zu erstellen und dort den Teil der zwischen den <ca>-Tags steht rein zu kopieren. In der OPNV-Datei löscht du dann einfach den Teil inklusiver der <ca>-Tags.


      Ich nehme an die Warnung entsteht weil du kein extra Zertifikatsdatei angeben konntest. Heißt wenn du die crt-Datei erstellst, verschwindet die Meldung vermutlich auch.

    • Hallo, ja, sowas in der Art habe ich mir schon gedacht. Ich habe jetzt der OpenVPN-Konfigdatei "remote-cert-tls server" hinzugefügt. Das hat für Abhilfe gesorgt.


      Interessant wäre jetzt, wie ich mir einer sicheren Verbindung sicher sein kann.

    • Das ist ein wenig die schwierigkeit bei QNAP. Unter normalen OpenVPN Configurationen, kann man für jeden User extra Zertifikate und schlüssel erstellen. QNAP hat das aber leider nicht vorgesehen, ich hatte schon mal versucht es manuell einzurichten auf der konsole. Allerdings nach jedem neustart sind die notwendigen Einstellungen wieder weg. :(


      Du arbeitest hier also mit dem recht allgemeinem QNAP Zertifikat. Leider stecke ich auch nicht tief genug in der Materie drin um dir jetzt sagen zu können wie sicher das ganze ist.


      Aber das Appcenter vom QNAP Club hat auch noch eine OpenVPN App. So weit ich mich erinner ist die allerdings bei weitem nicht so komfortabel. Aber man hat mehr möglichkeiten an den einzelnen Stellschrauben zu drehen. Ich habe es für mich aber nie richtig getestet, mir erschien es etwas zu umständlich.

    • Ok, das hilft doch weiter, Danke

  • Vielen Dank für die ausführliche Anleitung. Hat wunderbar funktioniert auf dem MacBook. Doch mit dem iPhone kriege ich keine Verbindung (ich komme nicht mal auf dem QNAP an). Woran dass das liegt, habe ich keine Ahnung. Habe im .ovpn File den Inhalt aus ca.cert eingefügt (in <ca> </ca> Tags). Auch habe ich die Zeile "sentenv CLIENT_CERT 0" eingefügt.


    Hat irgendjemand eine Ahnung, wie dass ich das zum Laufen kriege?


    Herzlichen Dank für eure Unterstützung
    Mav



    client
    dev tun2001
    script-security 3
    proto udp
    remote abc.xyz.com 12345
    resolv-retry infinite
    nobind
    <ca>
    -----BEGIN CERTIFICATE-----
    blablablablabla
    -----END CERTIFICATE-----
    </ca>
    auth-user-pass
    reneg-sec 0
    cipher AES-256-CBC
    tls-cipher TLS-SRP-SHA-RSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA
    comp-lzo
    sentenv CLIENT_CERT 0




    Als Fehler kriege ich EVENT:CONNECTION_TIMEOUT [ERR]
    Der DNS wird korrekt aufgelöst.
    Protweiterleitung auf NAS mit TCP/UDP eingetragen und funktioniert auf dem MacBook ohne Probleme.

    • Also vorne Weg, ich habe kein IPhone, daher weiß ich auch nicht im Detail wie es dort funktioniert.


      Was mir aber nicht klar ist, warum versuchst du die beiden Dateien zusammen zu führen?


      Das .ovpn File ist die Konfig Datei und das .ca File ist das Zertifikat. Die gehören nicht zusammen in eine Datei. Kann mir nicht vorstellen, dass das beim IPhone anders ist. Das wäre Sicherheitstechnisch sicher nicht zu empfehlen.


      Dem entsprechend wundert es mich auch nicht, dass du am Ende eine Fehlermeldung bekommst.


      Also mein ganz heißer Tipp lass die beiden Files mal schön getrennt.

    • Guten abend angelluck


      Danke für die rasche Rückmeldung. Habe es auch mit den beiden Dateien einel versucht, kein Glück.
      Das mit dem Zusammenfügen habe ich von helpdesk.qnap.com. Verstehe irgendwie nicht genau was das Problem sein könnte.


      To connect OpenVPN from iPhone/Adnroid mobile device, some modification of the connection process is needed.



      Please reference this forum post from NeoGeek83: http://forum.qnap.com/viewtopic.php?p=318258



      To quickly connect your mobile device to a OpenVpn enabled QNAP.
      1) Follow the instructions at http://www.qnap.com/index.php?lang=en&sn=4353
      2) You have to modify the downloaded file to work. Start by extracting the zip
      3) Copy the entire contents of the ca.crt and replace the ca ca.crt line in openvpn.ovpn with:
      <ca>
      ca.crt file contents
      </ca>


      4) To the end of the file, add a line with (there isn't a user cert for this VPN, just the username/password):
      setenv CLIENT_CERT 0


      5) Check that the destination host is correct. You should probably setup dynamic DNS at this point if your network doesn't have a static WAN IP.
      6) Save and load the openvpn.opvn config file on the phone someplace you can find it.
      7) Install OpenVPN on the mobile device
      8) Open the App up, select Menu->Import-> Import Profile
      9) Select the openvpn.opvn file you created on the phone in step 6
      10) It should import successfully. Try to connect, accepting the trust dialog.

    • Die Fehlermeldung gibt jetzt natürlich nicht viel her. Vielleicht schaust du mal ob du noch irgendwo ein logfile dazu findest?


      Ansonsten sehe ich nur, dass der Tipp schon 4 Jahre alt ist. Hat sich da vielleicht noch mal etwas geändert? So das dieser Tipp vielleicht nicht mehr funktioniert?


      Ansonsten wäre es vielleicht hilfreich wenn das noch jemand anders mit IPhone nachvollziehen kann?

    • Ich glaub ich habs rausgefunden (es connected jetzt auf jeden Fall)


      In den Settings (also iPhone Einstellungen/Zahnrad) muss man Force AES-CBC ciphersuites anschalten. Dann gehts.


      Über die Konsequenzen habe ich mir jetzt noch keine Gedanken gemacht. Möchte jetzt auch mal versuchen das Cert wieder vom config File zu trennen.


      Melde mich dann. Danke aber für die Unterstützung :)


      Schönen abend noch (hab morgen eine Prüfung)

    • AES-CBC ist ja nur ein bestimmter Verschlüsslungsalgorithmus, der im übrigen auch in der normalen config Datei auftaucht. Würde mir deshalb keine Sorgen machen. AES gilt so weit ich weiß als Sicher.


      Viel Glück bei der Prüfung.

  • Ich schaffe es bis zur Installation des OpenVPN Clients. Ich habe auch die .crt und die abgeänderte .ovpn Datei. Mittlerweile habe ich es auch geschafft, beide Dateien in die den config-Ordner zu kopieren (zuerst hatte ich die ovpn-Datei über Rechtsklick auf OpenVPN->"Import File" importiert). Wenn ich jetzt aber verbinden möchte erscheint die Fehlermeldung "Verbindung zu openvpn ist fehlgeschlagen" mit Verweis zum Logbuch. Der Fehler wird dort beschrieben mit "ca fails with ca.crt: No such file or directory." Was habe ich da falsch gemacht?

    • Mir ist leider nicht ganz klar an welcher Stelle du hängst. Versuchst du es gerade auf dem Smartphone zu installieren oder auf dem PC?


      Falls du es auf dem Smartphone versuchst zu installieren welche Android Version läuft da?

    • Oh, sorry. Ich versuche das auf dem PC (Windows 8.1) zu installieren. Ich habe Probleme damit, die VPN-Connection herzustellen. Ein Klick auf "Verbinden" führt zu der o.g. Fehlermeldung. Kann man es statt des OpenVPN Clients auch mit Cisco AnyConnect versuchen?

    • Mit Cisco funktioniert es nicht, die haben ein anderes Dateiformat und vermutlich auch andere Konfigurationseinstellungen.


      Mich irritiert ein wenig dein "Rechtsklick auf OpenVPN->Import File". Den Punkt gibt es so bei mir gar nicht. Auch in der Aktuellen Version gibt es den so weit ich weiß nicht. Daher frage ich mich ob du evtl. ein anderes Programm erwischt hast. Wenn man nur openvpn.net eingibt landet man zwar auch bei Openvpn aber es wird einem irgend eine Private Tunnel Programm angeboten, dass ist aber nicht das selbe. Daher wirklich diesen Link https://openvpn.net/index.php/open-source/downloads.html verwenden und sich dort die aktuelle Windows Datei runterladen.


      Die ca Files usw. müssen wirklich von Hand in das entsprechende Verzeichnis kopiert werden.

    • Ah Perfekt, ich hatte von der Seite tatsächlich ein anderes Programm runtergeladen. Jetzt häng ich zwar wo anders fest, aber erstmal vielen Dank auf jeden Fall!

    • Jetzt funktioniert alles, vielen Dank! Trotzdem erhalte ich noch eine Fehlermeldung, obwohl die Verbindung hergestellt ist. Kannst du mir da auch noch weiterhelfen?


      Mon Jan 23 23:30:48 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
      Mon Jan 23 23:30:48 2017 UDPv4 link local: [undef]
      Mon Jan 23 23:30:48 2017 UDPv4 link remote: [AF_INET]79.221.223.251:1194
      Mon Jan 23 23:31:48 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
      Mon Jan 23 23:31:48 2017 TLS Error: TLS handshake failed
      Mon Jan 23 23:31:48 2017 SIGUSR1[soft,tls-error] received, process restarting
      Mon Jan 23 23:31:50 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
      Mon Jan 23 23:31:50 2017 UDPv4 link local: [undef]
      Mon Jan 23 23:31:50 2017 UDPv4 link remote: [AF_INET]79.221.223.251:1194
      Mon Jan 23 23:32:50 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
      Mon Jan 23 23:32:50 2017 TLS Error: TLS handshake failed
      Mon Jan 23 23:32:50 2017 SIGUSR1[soft,tls-error] received, process restarting
      Mon Jan 23 23:32:52 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
      Mon Jan 23 23:32:52 2017 UDPv4 link local: [undef]
      Mon Jan 23 23:32:52 2017 UDPv4 link remote: [AF_INET]79.221.223.251:1194
      Mon Jan 23 23:33:22 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
      Mon Jan 23 23:33:22 2017 [TS Series NAS] Peer Connection Initiated with [AF_INET]79.221.223.251:1194
      Mon Jan 23 23:33:25 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
      Mon Jan 23 23:33:25 2017 open_tun, tt->ipv6=0
      Mon Jan 23 23:33:25 2017 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{8605D17B-1A54-46DB-9980-1510AD0B7954}.tap
      Mon Jan 23 23:33:25 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.178.6/255.255.255.252 on interface {8605D17B-1A54-46DB-9980-1510AD0B7954} [DHCP-serv: 192.168.178.5, lease-time: 31536000]
      Mon Jan 23 23:33:25 2017 Successful ARP Flush on interface [38] {8605D17B-1A54-46DB-9980-1510AD0B7954}
      Mon Jan 23 23:33:30 2017 Initialization Sequence Completed

  • Geht damit auch der Zugriff auf ein fremdes Netzwerk/QNAP?


    Netz A mit QNAP und Netz B mit QNAP.


    QNAP B soll auf QNAP A zugreifen.

    • Also Testen konnte ich das mangels zweiten QNAP nicht. Aber ich sag mal ja.
      Du wirst eben das eine QNAP als Server und das andere als Client einrichten müssen, oder beide als Clients eines anderen Servers.