IPKG-OpenVPN und NAS-Zugriff

    Hallo zusammen,


    da ich OpenVPN gerne mit Zertifikat-Authentifizierung nutzen möchte, nutze ich nicht die QNAP-OpenVPN Installation sondern eine IPKG-OpenVPN Installation.


    Ziel soll sein, dass zwei Netzwerke miteinander verbunden sind und jeder Client des einen Netzwerks auf jeden Client des anderen Netzwerks zugreifen kann.
    Als VPN-Server dient die QNAP TS-469L


    Netzwerk 1:
    192.168.77.0/24
    VPN Client 192.168.77.7
    Gateway 192.168.77.1


    Netzwerk 2:
    192.168.100.0/24
    VPN Server (QNAP TS-469L): 192.168.100.2
    Gateway 192.168.100.254


    VPN-Netz: 10.8.0.0/24


    Meine server.conf

    Code
    local 192.168.100.2port 1194proto udpdev tunmode servertls-serverpkcs12 /opt/etc/openvpn/server/server.p12dh /opt/etc/openvpn/server/dh2048.pemserver 10.8.0.0 255.255.255.0ifconfig-pool-persist ipp.txtpush "route 192.168.100.0 255.255.255.0"push "route 192.168.77.0 255.255.255.0"route 192.168.77.0 255.255.255.0client-config-dir ccdclient-to-clientkeepalive 10 120comp-lzopersist-keypersist-tunstatus openvpn-status.logverb 3


    im ccd Ordner des Clients:

    Code
    iroute 192.168.77.0 255.255.255.0


    meine client.conf

    Code
    clientdev tunproto udpremote ********************* 1194resolv-retry infinitetls-clientpullpersist-keypersist-tunpkcs12 /opt/etc/openvpn/keys/client.p12ns-cert-type servercomp-lzoverb 3


    IP4-Forwarding ist auf der QNAP aktiviert und die Routen in den jeweiligen Gateways sind eingestellt.
    Die Verbindung funktioniert auch wunderbar und die Clients untereinander können sich auch erreichen (bspw. von 192.168.77.19 kann eine Verbindung zu 192.168.100.57 aufgebaut werden). Lediglich die QNAP (VPN-Server 192.168.100.2) ist aus dem angebundenen Netzwerk nur über die VPN-IP 10.8.0.1 erreichbar. Eine Verbindung mit der internen IP 192.168.100.2 klappt nicht.


    Ausgabe der Routen auf dem QNAP-VPN-Server mittels

    Code
    route -nKernel IP routing tableDestination     Gateway         Genmask         Flags Metric Ref    Use Iface0.0.0.0         192.168.100.254 0.0.0.0         UG    1      0        0 eth010.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun010.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo192.168.77.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1192.168.100.2   0.0.0.0         255.255.255.255 UH    0      0        0 eth0224.0.0.0       0.0.0.0         240.0.0.0       U     0      0        0 eth0255.255.255.255 0.0.0.0         255.255.255.255 UH    0      0        0 eth0


    Ausgabe der Routen auf einem verbundenen Client:


    Ich habe die Server-Konfiguration 1:1 auf einen Raspberry Pi kopiert und dort laufen lassen. Der Zugriff auf den Raspberry funktionierte tadellos mit der internen Netzwerkadresse. Daher weiß ich, dass es an der QNAP liegen muss. Nur woran????


    Vielen Dank für eure Hilfe!!!


    Gruß
    WingMan

    Du müßtest für den Adressbereich 192.168.100.0 auch einen Gateway hinzufügen (wie bei 192.168.77.0), der auf die IP-Adresse 192.168.100.2 verweist, da zur Zeit noch keiner definiert ist.

    Zitat

    192.168.77.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
    192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
    192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

    Hallo Erasor,


    vielen Dank für Deine Antwort, allerdings verstehe ich das nicht so recht.


    192.168.100.0/24 ist das lokale Netz hinter dem OpenVPN Server und ist über eth0 erreichbar. Daher zieht hier doch das Default-Gateway

    Code
    route -n


Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.100.254 0.0.0.0         UG    1      0        0 eth0


    Oder habe ich Dich da falsch verstanden?


    Gruß
    WingMan

    Nach meiner Ansicht versucht der Default-Route die Daten an den Router zu senden, aber dieser Router ist nicht aus dem Netz des VPNs erreichbar, da das NAS dazwischen ist.
    Scheinbar hat sonst keiner eine Idee.

    Ich habe das jetzt einmal getestet und eine weitere route für das Netz 192.168.100.0/24 mit dem GW 10.8.0.2/24 hinzugefügt. Anschließend ist die QNAP aus dem LAN nicht mehr erreichbar, da sämtlicher Traffic der NAS in das VPN geroutet wird.
    Trotz allem ist die NAS weiterhin nicht über die lokale IP vom VPN-Client aus erreichbar :(


    --- Edit ---


    Hallo,


    da mir wohl keiner helfen kann würde mich mach eine andere Frage interessieren:
    Hat jemand eine IPKG OpenVPN Installation am laufen und kann die NAS mit der internen IP ansprechen?


    Gruß
    WingMan

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Doppelte Beiträge vermeiden, siehe Forenregeln! Bitte den 'Ändern' Button verwenden.

    Zitat von "WingMan"


    Hat jemand eine IPKG OpenVPN Installation am laufen


    Ja

    Zitat

    und kann die NAS mit der internen IP ansprechen?


    Hallo,


    ich stehe immer noch vor dem gleichen Problem und komme keinen Schritt weiter.
    Für die weitere Analyse möchte ich gerne tcpdump nutzen. Nur hier bekomme ich keine vernünftigen Ausgaben, sondern nur so etwas:



    Gibt es hier einen "Trick" um die IPs angezeigt zu bekommen und nicht nur "|ether"?


    Viele Grüße
    WingMan

    Code
    /opt/sbin/tcpdump -w /share/Public/testdump -s 0 &


    schreibt eine Datei testdump auf das Share Public, welche du dann mit Wireshark laden und auswerten kannst.
    Stoppen kannst du das Ganze dann mit

    Code
    killall tcpdump