Openvpn funktioniert, ping auf NAS nicht

cornetto · 30. August 2011

Hallo,

nach dem letzten Firmwareupdate meines QNAP 239 TS II Pro kann ich nicht mehr von extern (WIN XP) auf meine Netzwerkverbindungen zugreifen. Openvpn funktioniert zwar (leuchtet grün), aber der ping zum NAS (IP 192.168.0.200) funktioniert nicht. Ping auf die virtuelle IP 10.8.0.1 funktioniert. Die IP Adressen wurden manuell vergeben.

Hat jemand Idee woran es liegen kann. Welche weiteren Infos soll ich liefern?

Danke.

EDIT:
Kann mir niemand weiterhelfen?

Server Nas:

Code

# OpenVPN server Konfiguration QNAP NAS# Basiseinstellungenport 1194proto udpdev tun## Legt die IP-Adressen der zugrundeliegenden VPN Verbindung fest server 10.8.0.0 255.255.255.0#; mtu-test  # mtu-Wert feststellen, falls die Übertragung sehr langsam ist.; tun-mtu xyz  # mtu Wert festlegen, falls notwendig## Route push "route 192.168.0.0 255.255.255.0"   #  <--- Hier die IP des Heimnetzwerks eintragen!## Schlüssel und Zertifikatedh /opt/etc/openvpn/keys/dh1024.pemca /opt/etc/openvpn/keys/ca.crtcert /opt/etc/openvpn/keys/server.crtkey /opt/etc/openvpn/keys/server.key## Datenkomprimierungcomp-lzo## Erlaubt, dass sich mehrere clients mit dem selben common name anmelden; duplicate-cn## Verschiedene clients können sich gegenseitig sehen; client-to-client## Keepalivekeepalive 15 120## Meldungen in der Konsole (1-9 möglich. Zur Fehlerbehebung aktivieren); verb 5mute 30  # logging nach 30 gleichen Einträgen einstellen bis zu einer Änderung## Log; status /opt/etc/openvpn/log/status.loglog-append /opt/etc/openvpn/log/openvpn.log# # Run as daemon (Erst aktivieren, wenn alles eingerichtet ist und läuft)daemon## Management Interface über "telnet localhost 7505" zu erreichenmanagement localhost 7505

Client:

Code

# connect to QNAP OpenVPN Server
# 
proto udp
dev tun
tls-client
remote XYZ.ath.cx 1194  #  <--- Hier deinen dyndns-account eintragen
pull
# mtu-Wert festlegen, falls notwendig
; tun-mtu xyz
#
resolv-retry infinite
nobind
persist-key
persist-tun
# Zertifikate und Schlüssel
# Beachte die doppelten \\ in der Pfadangabe für eine windows-config
ca C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
cert C:\\Programme\\OpenVPN\\easy-rsa\\keys\\XY.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\keys\\XY.key
#
comp-lzo

Alles anzeigen

Terz · 31. August 2011

Hi,

schaue mal hier:
http://forum.qnapclub.de/viewt…hilit=openvpn+push#p75002
hatte jemand das selbige Problem.

Wahrscheinlich ist deine push route nicht ok.
Anonsten vergleiche mal seine mit deiner Konfiguration.

Grüsse, David

cornetto · 2. September 2011

Danke für die Antwort...ich konnte das Problem aber leider immer noch nicht lösen...

cornetto · 4. November 2011

Hallo,

ich poste nochmals meine aktuellen Konfigurationsdateien und log-Dateien, in der Hoffnung dass mir jemand weiterhelfen kann. Das Problem ist dass der Ping auf 10.8.0.1 funktioniert, aber auf 192.168.0.200 (NAS) nicht, und ich somit nicht auf die Netzwerkfreigaben zugreifen kann. Ich bitte dringend um Rat.

Client

Code

proto udpdev tuntls-clientremote 12.12.12.123 1194pulltun-mtu 1492resolv-retry infinitenobindpersist-keypersist-tunca "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\ca.crt"cert "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\client.crt"key "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\client.key"comp-lzo

Server

Code

port 1194proto udpdev tunserver 10.8.0.0 255.255.255.0mtu-testtun-mtu 1492push "route 192.168.17.0 255.255.255.0"dh /opt/etc/openvpn/keys/dh1024.pemca /opt/etc/openvpn/keys/ca.crtcert /opt/etc/openvpn/keys/server.crtkey /opt/etc/openvpn/keys/server.keycomp-lzokeepalive 15 120verb 5mute 30status /opt/etc/openvpn/log/status.loglog-append /opt/etc/openvpn/log/openvpn.logmanagement localhost 7505

log datei

Code

WRWRWRWRWWRRWRWRWRWRWWWWWWWWWWWWWWWWFri Nov  4 23:35:56 2011 us=190945 client/12.12.12.111:63263 [client] Inactivity timeout (--ping-restart), restarting
Fri Nov  4 23:35:56 2011 us=597826 client/12.12.12.111:63263 SIGUSR1[soft,ping-restart] received, client-instance restarting
Fri Nov  4 23:36:24 2011 us=219379 MULTI: multi_create_instance called
Fri Nov  4 23:36:24 2011 us=219520 12.12.12.111:55954 Re-using SSL/TLS context
Fri Nov  4 23:36:24 2011 us=219577 12.12.12.111:55954 LZO compression initialized
Fri Nov  4 23:36:24 2011 us=219612 12.12.12.111:55954 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Fri Nov  4 23:36:24 2011 us=219856 12.12.12.111:55954 Control Channel MTU parms [ L:1534 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Nov  4 23:36:24 2011 us=219909 12.12.12.111:55954 Data Channel MTU parms [ L:1534 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Nov  4 23:36:24 2011 us=220011 12.12.12.111:55954 Local Options String: 'V4,dev-type tun,link-mtu 1534,tun-mtu 1492,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Fri Nov  4 23:36:24 2011 us=220044 12.12.12.111:55954 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1534,tun-mtu 1492,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Fri Nov  4 23:36:24 2011 us=220102 12.12.12.111:55954 Local Options hash (VER=V4): '560d21d3'
Fri Nov  4 23:36:24 2011 us=220156 12.12.12.111:55954 Expected Remote Options hash (VER=V4): '56ff69dd'
RFri Nov  4 23:36:24 2011 us=220257 12.12.12.111:55954 TLS: Initial packet from 12.12.12.111:55954, sid=c21bfded 267844c5
WRRWRWRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRFri Nov  4 23:36:32 2011 us=223092 12.12.12.111:55954 VERIFY OK: depth=1, /C=IT/ST=CA/L=SanFrancisco/O=Fritz/OU=changeme/CN=nasfritz/name=changeme/emailAddress=info@fritz.com
Fri Nov  4 23:36:32 2011 us=224249 12.12.12.111:55954 VERIFY OK: depth=0, /C=IT/ST=CA/L=SanFrancisco/O=Fritz/OU=changeme/CN=client/name=changeme/emailAddress=info@fritz.com
WRWRWRWRWWWWRWRWRWRWRWRWRWRWRWRRRRWRWRWRFri Nov  4 23:36:32 2011 us=628577 12.12.12.111:55954 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov  4 23:36:32 2011 us=628633 12.12.12.111:55954 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov  4 23:36:32 2011 us=628829 12.12.12.111:55954 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov  4 23:36:32 2011 us=628887 12.12.12.111:55954 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
WWWRRRFri Nov  4 23:36:32 2011 us=715562 12.12.12.111:55954 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Nov  4 23:36:32 2011 us=715643 12.12.12.111:55954 [client] Peer Connection Initiated with 12.12.12.111:55954
Fri Nov  4 23:36:32 2011 us=715848 client/12.12.12.111:55954 MULTI: Learn: 10.8.0.6 -> client/12.12.12.111:55954
Fri Nov  4 23:36:32 2011 us=715898 client/12.12.12.111:55954 MULTI: primary virtual IP for client/12.12.12.111:55954: 10.8.0.6
Fri Nov  4 23:36:33 2011 us=848450 client/12.12.12.111:55954 NOTE: Beginning empirical MTU test -- results should be available in 3 to 4 minutes.
WRFri Nov  4 23:36:33 2011 us=923634 client/12.12.12.111:55954 PUSH: Received control message: 'PUSH_REQUEST'
Fri Nov  4 23:36:33 2011 us=923815 client/12.12.12.111:55954 SENT CONTROL [client]: 'PUSH_REPLY,route 192.168.17.0 255.255.255.0,route 10.8.0.1,topology net30,ping 15,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)
WWWWRRRRRFri Nov  4 23:36:34 2011 us=68726 client/12.12.12.111:55954 Need IPv6 code in mroute_extract_addr_from_packet
RFri Nov  4 23:36:34 2011 us=106097 client/12.12.12.111:55954 Need IPv6 code in mroute_extract_addr_from_packet

Alles anzeigen

cornetto · 14. November 2011

Inzwischen bin ich soweit gekommen dass wenn ich auf dem Client \\10.8.0.1\FREIGABE_NAME eingebe ich den entsprechenden Ordner auf dem Server sehe. Wieso aber funktioniert es nicht mit der eigentlichen IP -Adresse des Servers (d.h. 192.168.0.200)??

tuxtourer · 15. November 2011

Mal zum Verständnis: Du schreibst, dass du die (Remote-) IP 192.168.0.200 via OpenVPN nicht mehr pingen kannst (ging mal).
In der Server-Konfig im ersten Posting hast du eine Push-Route zu 192.168.0.0
In der letztens von dir veröffentlichten Server-Konfig hast du eine Push-Route zu 192.168.17.0 ... wo kommt plötzlich dieses Netz her?

Und mach mal ein Traceroute (glaub unter M$ heißt der Befehl "tracert") um zu sehen, wo es "hängt".

stevo · 17. November 2011

ich habe das gleiche Problem.. habe meine daten in einem separaten thread gepostet.
vielleicht könnte sich das bitte mal einer anschauen..

hier der Link:
http://forum.qnapclub.de/viewtopic.php?f=35&t=18383

vielen dank! stefan

cornetto
Hast du es inzwischen hinbekommen?

cornetto · 29. November 2011

Hallo,

das Problem habe ich noch nicht gelöst. Der tracert Befehl zeigt, dass die Verbindung ab meinem örtlichen Provider abgebrochen wird. Ich erreiche also nicht den Server zu Hause.

cornetto · 15. Januar 2012

Hallo stevo,

hast du das Problem inzwischen gelöst? Ich erreiche den Server nur wenn ich \\10.8.0.1\FREIGABE_NAME eingebe. Es funktioniert aber nicht, wenn ich die eigentliche IP -Adresse des Servers (d.h. 192.168.17.200) eingebe.
Hat jemand einen Hinweis?

Waven · 19. Januar 2012

Hi

Ich hatte das Problem auch, nachdem ich meine TS-439 von der Firmware 3.4.4 0718 auf 3.5.2 1126 upgegradet habe.
Nach einem Downgrade auf die 3.4.4 funktionierts wieder ohne Probleme.
Scheint also ein Firmware-Bug zu sein.

Cheers
Waven

cornetto · 20. Januar 2012

Ich habe aktuell Version 3.5.1 build 1002T...hatte aber auch mit dem vorherigen Firmware Probleme.

Waven · 21. Januar 2012

Hab gerade noch diesen Post im englischen Forum gefunden.
Scheint als wirklich erst ab den 3.5 Firmwares aufzutreten. Das beschriebene Workaround muss aber nach jedem Neustart wiederholt werden.
Habs auch mit der 3.6 Beta versucht, leider immer noch das selbe Problem.

cornetto · 21. Januar 2012

Mal schauen ob QNAP auf den Bug reagiert. Ich komme ja an die daten heran, nur eben durch 10.8.0.1. Stellt das ein Sicherheitsproblem dar?

af0815 · 28. Januar 2012

Hat vielleicht mit iproute2 zu tun, siehe auch Re: QNAP dev. Please what are you doing in network in 3.5 ??. Mir hat

Code

[~] # ip route add 10.8.0.0/24 dev tun0 src 10.8.0.1 table local

geholfen. Muß es noch in die Scipts einbauen.

rk1981 · 15. Februar 2012

Hallo zusammen,

ich habe auch ein nicht lösbares Problem. Habe gestern die neue fw 3.6 installiert und versuche mich derzeit an einer VPN-Verbindung. Die eigentliche Verbindung steht auch, allerdings erreiche ich weder meinen NAS, noch meine Netzwerklaufwerke.

Lediglich mein Router ist erreichbar. Ich vermute also, dass ich noch irgendwelche Einstellungen am Router vornehmen muss, damit mein NAS "mit eingebunden" wird.

Noch folgende Angaben:

Router: 192.168.0.1 (Linksys)
NAS: 192:168.0.254

VPN-Einstellungen aus der automatischen Konfigurationsdatei nach Veröffentlichung der neuen Firmware.

Vielleicht hat noch jemand eine Idee, die eigentliche Verbindung steht ja schon.

Grüße !!!!

af0815 · 15. Februar 2012

Ping auf die Adressen innerhalb des Tunnel gehen ?

spidertop · 2. März 2012

Hallo

How do you get openvpn work with BF-CBC ?
I see it in your log!

My qnap openvpn give this error:
Cipher algorithm 'BF-CBC' not found (OpenSSL)

Thanks in advance

arnisz · 18. März 2012

Hallo,
habe die FW 3.6.1 Build 0302T

Das Problem mit dem Zugriff auf das NAS-Gerät über pptp oder openvpn scheint nicht gelöst. Das VPN funktioniert einwandfrei solange man nicht auf das NAS selbst zugreifen will. Selbst der Ping auf das NAS geht schon nicht. Wohl aber alle anderen Netzwerkteilnehmer im LAN.

Kennt jemand doch einen FIX? Danke!

siebertl · 18. März 2012

Moin Zusammen,

wie schon weiter oben beschrieben, funktioniert das hier tatsächlich:
Changing the private IP of the QNAP, disable/enable the OpenVPN qpgk, change the private IP of the QNAP back, disable/enable the OpenVPN qpkg again.

Jetzt mal sehen, ob das einen Neustart übersteht...

mfg
siebertl

siebertl · 18. März 2012

...also es hat den Neustart natürlich nicht überstanden...

Die Route:

Code

ip route add 192.168.145.0/24 via 192.168.145.1 dev ppp0

funktioniert bei mir soweit für pptp.
Aber nur wenn ein Client angemeldet ist... Dann kann ich auch den Qnap über 192.168.143.253 (seine local IP) erreichen.

Wie bekomme ich das nun fest eingestellt?

mfg
siebertl

Openvpn funktioniert, ping auf NAS nicht

Vulnerability in Download Station

Vulnerability in QuLog Center

Vulnerability in Helpdesk

Vulnerability in curl

qnap über Nord VPN

TS253D und 2.5 GBit Switch überträgt Daten nur mit ca. 100 KByte

VPN ohne öffentliche IP

Zu wenig Upload-Geschwindigkeit TS 453

1GB Internet und 10GB NAS über eine Leitung

Tschüss QTS --- Ich werde künftig die Firmware von QNAP verweigern

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

Backup vom Smartphone (Android) mit FolderSync

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

Qnap & Syno – USV im Master-Slave-Mode

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur