VPN-Tunnel zwischen QNAP, Linksys E-4200 und Linux-Ubuntu

Hallo VPN-Fans!

Ich möchte gern ein virtuelles privates Netz (VPN) aufbauen. Mein QNAP TS-859 Pro+ steht zu Hause und das Ziel wäre, von meinem dienstlichen Büro aus mit meinem Lappi auf die Daten zu Hause zurück greifen zu können. Den Tipps in der c't kompakt 01/2011 Linux ( http://www.ct.de/cs1009026 ) folgend, möchte ich unter Ubuntu-Linux auf dem Client-Rechner ("Lappi") OpenVPN und das OpenVPN-Plug-in des Netzwerk-Managers einrichten. Konkurrierende Nutzer müssen nicht beachtet werden - ich bewege mich im Tunnel mutterseelenallein.

Leider korrespondiert MyCloudNAS-Assistent nicht mit meinem Router Cisco Linksys E-4200 (siehe dafür meinen Thread http://forum.qnapclub.de/viewtopic.php?f=35&t=22819 ), so dass ich den Router ohne Assistenten einrichten muss.

Nun habe ich auf meinem Laptop OpenVPN installiert und mich dabei an http://wiki.ubuntuusers.de/OpenVPN und http://wiki.ubuntuusers.de/NetworkManager/VPN_Plugins orientiert. Das QNAP-Tutorial http://www.qnap.com/de/index.php?lang=de&sn=4391 ist leider etwas knapp gehalten. Die Einrichtung unter Linux scheint danach kinderleicht zu sein, hat bei mir aber nicht funktioniert.

Wenn ich in Ubuntu mit dem Netzwerk-Manager die VPN-Verbindung starten möchte, erscheint die Meldung:

Zitat

VPN-Verbindung fehlgeschlagen. Die VPN-Verbindung "openvpn" konnte nicht hergestellt werden.

Nun kann es sehr gut sein, dass mir in den Einstellungen Fehler unterlaufen sind - dies soll mein erstes VPN werden

Einige mögliche Probleme möchte ich nachfolgend beschreiben. Sehe ich da Gespenster oder könnte dort der Hase im Pfeffer liegen?

Problem 1 - DDNS:

Gemäß LinuxUser 10/10, S. 47, wird die Verwendung eines DDNS-Dienstes empfohlen. Mein Router, Cisco Linksys E4200, bietet per Auswahlmenü DDNS-Dienste an, aber nur
DynDNS.org und
TZO.com.

QNAP bietet unter --> Netzwerkeinstellungen DDNS-Service an, aber nur
http://www.dyndns.com
http://www.no-ip.com
http://www.3322.org
http://www.dyns.cx
members.dhs.org
update.ods.org

Nun kostet Dyn.DNS.org mittlerweile mindestens $ 20 und das ist mir offen gestanden zu teuer für einen solch mageren "Service". Deshalb habe ich mir einen bei http://www.no-ip.com eingerichtet.

Meine Frage an Euch: "Muss" ich den DDNS-Dienst sowohl am Router als auch am NAS aktivieren? Das Ubuntu-Wiki http://wiki.ubuntuusers.de/DynDNS-Clients lese ich so, dass er nur auf einem der beiden Geräte aktiviert werden muss. Der Text in der Linux-User (s.o.) hingegen empfiehlt eine Konfiguration auf dem Router. Dann wäre ich auf den einzigen Dienst, den sowohl NAS als auch Router in ihren Auswahlmenüs anbieten, also http://www.dyndns.com festgelegt.
Vor allem interessiert mich aber: Wo taucht der DDNS-Dienst in der Konfiguration von Open-VPN auf?

Problem 2 - MyCloudNAS-Name:

Auf dem NAS lassen sich unter --> Anwendungen --> VPN-Dienst die Einstellungen für VPN vornehmen. Allerdings ist der Name in der Rubrik "MyCloudNAS-Name" vorgegeben, lässt sich nicht ändern.
Heißt das, dass der Datenstrom des VPN immer über den MyCloudNAS-Dienst läuft und ich diesen Dienst aktivieren muss?
Was ich dabei auch nicht verstanden habe, ist die Einrichtung unter Linux laut QNAP-Tutorial http://www.qnap.com/de/index.php?lang=de&sn=4391, bzw. dem "readme.txt" im Ordner openvpn. Demgemäß soll die Datei "openvpn.ovpn" dahingehend editiert werden, genau diesen Namen (MyCloudNAS-Name) durch die openvpn server IP zu ersetzen:

Zitat

3. Edit openvpn.ovpn and replace OPENVPN_SERVER_IP"(xxxxxxxxx.mycloudnas.com) "with openvpn server IP.

Bedauerlicherweise reicht mein IQ nicht aus, mir die Logik dieses Satzes zu erschließen (obgleich ich schon mal das eine oder andere Philosophie-Buch in den Händen gehalten habe ). Ich soll die "OPENVPN_Server_IP", bei der es sich um meinen MyCloudNAS-Namen handelt, durch die "openvpn server IP" ersetzen. Aber was genau ist dann die "openvpn server IP"?

Problem 3 - Ports

Da der MyCloudNAS-Assistent nicht funktioniert, muss ich die Ports manuell öffnen. Das QNAP-Tutorial http://www.qnap.com/de/index.php?lang=de&sn=4391 weist unter Ziffer 3 an, die Ports

Zitat

des PPTP- oder OPENVPN-Dienstes

auf dem Router zu öffnen. Dann wird zwar der Port für PPTP angegeben,

Zitat

(TCP-1723)

nicht jedoch der für OpenVPN. Nun habe ich mich so weit durchgewurschtelt, dass ich gemäß http://65.112.29.37/english/ro…Linksys-E4200/OpenVPN.htm den Port 1194 für Open-VPN geöffnet habe. Reicht das?

Problem 4 - VPN-Passthrough

Gemäß LinuxUser 10/10, S. 45, gelte es,

Zitat

steht der VPN-Server hinter einem Router

Zitat

auf diesem ein Portforwarding einzurichten

Soweit okay - siehe Problem 3. Anders

Zitat

als bei IPsec

benötige

Zitat

der Router jedoch kein VPN-Passthrough

In meinem Router lässt sich unter --> Sicherheit "VPN-Passthrough" einstellen. Angeboten werden im Auswahlmenü aber nur die Techniken "IPSec-Passthrough", "PPTP-Passthrough" und "L2TP-Passthrough". Für Open-VPN benötigt man also keines, aber für PPTP?
Das frage ich deshalb:
Als ich im QNAP den PPTP-VPN-Server (unter --> VPN-Dienst --> VPN-Einstellungen --> PPTP-Einstellungen) deaktiviert habe, hat er anschließend unter MyCloudNAS gemeckert:

Zitat

* Für MyCloudNAS Connect muss der PPTP-VPN-Server aktiviert werden. Bitte konfigurieren Sie die Einstellungen unter „Application Servers (Anwendungsserver)“ > „VPN Service (VPN-Dienst)". Klicken Sie hier, um „VPN Service (VPN-Dienst)“ einzustellen.

Wie kann ich das jetzt verstehen? Der VPN-Name entspricht dem MyCloudNAS-Namen; diese beiden Einrichtungen gehören also zusammen. In den VPN-Einstellungen kann ich somit nicht zwischen PPTP und OpenVPN entscheiden, sondern "muss" PPTP aktivieren? Und was bedeutet das wiederum für die PPTP-Passthrough-Einrichtung im Router?

Die darüber hinaus entscheidende Frage ist wahrscheinlich: Was konnte ich falsch machen, als ich dem QNAP-Tuturial http://www.qnap.com/de/index.php?lang=de&sn=4391 zu folgen glaubte? An welchen Einstellungen des Client muss noch eine Schraube gedreht werden? Vielleicht hilft Euch bei der Beurteilung noch die Grundmaske des Network-Managers

Uff, ich hoffe mich verständlich ausgedrückt zu haben :?
Vielen Dank schon 'mal für's Lesen
Marind

PS:
Hier noch die technischen Rahmenbedingungen:

Hardware:

Nas
QNAP TS-859 Pro+
Firmware: 3.7.3 Build 20120801
+ HDD 8 x Western Digital RE4-Green Power 2 TB 2002FYPS

Router
Cisco Linksys E-4200
Firmware: 1.0.04.011 US 20120116

Rechner
Hauptplatine: Intel DH67BL, B3, LGA 1155
CPU Prozessor: Intel Core iS-2500, 3,30 Ghz, 4-Kern, 6 MB Cache (Sandy Bridge)
RAM: 16 GB
VGA: XFX Radeon HD 679X-ZD, Ver 1.2
SSD: Intel SSD 510 (120 GB)
HDD: 2 x Western Digital RE4-Green Power 2 TB 2002FYPS
Netzteil: Enermax EMG 500 AWT Modu 87+ 500W
DVD-Brenner: Samsung SH-223C bare SATA

Software:
Linux Kubuntu 12.04 + Ubuntu 12.04

Danke, qwertzy, für Deinen Hinweis!

Mittlerweile war ich auch auf
http://www.qnap.com/index.php?lang=de&sn=2774#wizard
gestoßen und weiß nun, dass der MyCloudNAS-Service
http://www.qnap.com/index.php?lang=de&sn=2774
unter anderem die DDNS-Dienste beinhaltet. Insofern hätte ich mir wohl die separate Einrichtung über no-ip auch ersparen können. MyCloudNAS ist insofern komfortabler als no-ip, weil der registrierte Name erst nach 120 Tagen ausläuft (bei no-ip früher und man benötigt ein extra Programm zum Updaten) und er läuft auch nur aus, wenn man ihn nicht benutzt.
Außerdem könnte ich problemlos den MyCloudNAS-Namen
http://www.qnap.com/index.php?lang=de&sn=2774#name
so stehen lassen (Teil des Problems 2)
Mit Deinem Hinweis, qwertzy, hat sich mein Problem 1 wohl erledigt. Ich werde dann auch wieder von no-ip abrücken und das über MyCloudNAS laufen lassen. Wie sehen das die Anderen?

Entsprechend den Hinweisen auf
http://www.qnap.com/index.php?lang=de&sn=2774#wizard
habe ich in meinem Router nun auch die Ports 8080 (HTTP), 80 (HTTP) und 21 (FTP/FTPS) geöffnet, ebenso 1723 für PPTP.

Meine client.conf sieht mittlerweile so aus:

clientdev tunproto udpresolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client.crtkey client.keyns-cert-type servercomp-lzoverb 3

Kann es sein, dass ich "cert client.crt" und "key client.key" abschalten muss? Denn QNAP scheint mit seiner openvpn.ovpn ja nur mit der "ca.crt" zu arbeiten:

client
dev tun
script-security 3
proto udp
remote  xxxxxxxxxxxxxxxx.no-ip.org  1194
resolv-retry infinite
nobind
ca ca.crt
auth-user-pass
reneg-sec 0
cipher AES-128-CBC
comp-lzo

Ein Gedanke kam mir noch: Möglicherweise holt mich jetzt ein uraltes Problem ein. Vor einiger Zeit habe ich meinen QNAP auf DHCP umgestellt. Siehe dazu auch meine Threads
http://forum.ubuntuusers.de/to…m-lenovo-t61-netgear-wgr/ und
http://forum.qnapclub.de/viewtopic.php?f=35&t=13509
Kann es dort ein Problem geben?

So weit die Gedanken des "durchschnittlich DAU" :?

Marind

eben habe ich festgestellt, dass ich auch über den Weg des MyCloudNAS-Service nicht an meinen Server gelange.
Wenn ich mich auf http://www.mycloudnas.com einlogge, nimmt er zwar meinen MyCloudNAS-Access-Code an und ich gelange auf die Grundmaske der veröffentlichten Dienste. Wenn ich dann aber bspw. den Web-File-Manager anklicke, geht's nicht weiter. Firefox meldet irgendwann die Netzwerk-Zeitüberschreitung.
Sieht das nicht nach unkorrekter Router-Einstellung aus?

Marind

so, der Ordner- und Dateizugriff über den MyCloudNAS Service funktioniert jetzt.
Nachdem ich den NAS von Ethernet-Schnittstelle 1 mit fester IP-Adresse auf Ethernet-Schnittstelle 2 mit DHCP umgestellt hatte, hat sich eben auch die IP geändert. Nun hatte ich bei den "einfachen Port-Weiterleitungen" des Routers blöderweise die (alte) feste IP aus dem lokalen Netz eingetragen und eben nicht die durch DHCP vergebene IP.
Der Datenzugriff über das Internet funktioniert jetzt zwar mit dem MyCloudNAS Service und ist somit durch zwei Passphrasen geschützt. Dennoch wäre mir ein VPN lieber und das funktioniert eben noch nicht.

Marind