VPN auf dem QNAP einrichten

  • angelluck hat eine neuen Artikel hinzugefügt:


    VPN auf dem QNAP einrichten


  • Ich habe eine Problem und zwar habe ich deine sehr gute Anleitung befolgt und ich kann auch eine Verbindung aufbauen openvpn gui leuchtet grün, nur jetzt die dumme Frage,
    wie greife ich auf die NAS über vpn zu? Bisher konnte ich nur auf die NAS über den Web-Server zugreifen.
    Habe auch unter Netzwerkeinstellungen unter WIN10 ein neues VPN-Netzwerk erstellt jedoch wird dort ein Fehler "vpn-Tunnelfehler" angezeigt.


    Habe auch dieses Tutorial befolgt: https://www.qnap.com/de-de/tut…show.php?op=showone&cid=3


    jedoch finde ich nicht den Vorinstallierten Schlüssel zur Authentifizierung


    Ich hoffe das du oder jemand anderes mir helfen können.

  • Das ist eigentlich ganz einfach, aber hätte ich vielleicht noch erwähnen sollen.


    Aktuell steht bei dir einfach die Verbindung zum OpenVPN Server. Jetzt kannst du auf beliebige weise darauf zugreifen.


    Du kannst z.b. ein Netzlaufwerk einrichten, oder per FTP oder auf beliebige andere Wege darauf zugreifen.


    Du musst jetzt statt der herkömlichen IP Adresse einfach die IP Adresse aus dem VPN Adressbereich verwenden. Willst du direkt aufs NAS zugreifen verwendest du z.b. die Standardadresse 10.8.0.1


    Wolltest du auf einen anderen Rechner der ebenfalls über OpenVPN über diesen Server verbunden ist verwendest du die IP Adresse die OpenVPN diesem Rechner zugewiesen hat. Z.b. 10.8.0.5

  • Hallo @angelluck


    Vielen Dank erstmal für diese tolle Anleitung. Ich hätte Fragen zu o.g. Punkt. Sorry wenn die Fragen etwas dämlich sind, aber VPN bzw. auf mein NAS von aussen zugreifen ist absolutes Neuland für mich.


    1. Wie funktioniert das, wenn ich nur bestimmte IP-Adressen zulassen möchte? Wenn ich irgendwo unterwegs bin mit meinem iPad, dann weiss ich ja nicht, welche IP-Adresse ich in dem Moment haben werde? Oder reicht im Prinzip "Alle Verbindungen zulassen", da VPN hier als Sicherheit ausreichend ist?
    2. Gibt es auch die Möglichkeit hier mit Mac-Adressen zu arbeiten?

  • Zu 1. Wenn du nur bestimmte IP-Adressen zulassen willst, ist es kein Problem, deine öffentliche IP-Adresse von deinem IPad nicht zu kennen.


    Das funktioniert in etwa so du baust mit OpenVPN auf deinem IPAD die Verbindung auf. Die geht erst einmal über den DYNDNS Anbieter zu dir nach hause zum Router bei dem hoffentlich die Portweiterleitung eingerichtet ist. Dein Router leitet dich dann weiter zu deinem NAS. Dein NAS merkt, dass du über den VPN Port rein kommst und versuchst eine Verbindung aufzubauen. Wenn jetzt deine Zertifikate und Passwörter korrekt sind teilt es dir eine interne IP-Adresse Standardmäßig aus dem 10.8.x.x Netz zu. Wenn dieses Netz in deiner Liste der IP-Adressen auftaucht die du zulassen möchtest, kannst du auf das NAS zugreifen. Alle IP-Adressen aus anderen Netzen werden blockiert, sofern sie nicht ebenfalls in der Liste stehen.


    Würdest du also dieses Netz mit der 10.8.x.x nicht in der Liste aufnehmen, würdest du trotz VPN-Verbindung keinen Zugriff auf dein NAS bekommen. Allerdings evtl. auf andere Geräte im selben Netzwerk.


    Zu 2. sind mir keine Möglichkeiten bekannt. Jedenfalls nicht ohne tiefer ins System einzusteigen über die Konsole gibt es da sicher Möglichkeiten. Allerdings habe ich mich damit nie befasst.

  • Hallo angelluck,
    mir geht es ein wenig so wie Kaylam. Habe alles am laufen, nur wie greife ich jetzt über VPN auf meine NAS zu??
    Was muß ich bei MyQnapcloud Connect 1.3.1 einstellen, damit das läuft? Oder geht das auch über Qfinder Pro?


    Besten Dank
    Christoph

  • Zu MyQnapCloud Connect, kann ich dir leider gar nichts sagen, bei mir funktioniert die ganze APP nicht.


    Aber grundsätzlich musst du für den Zugriff natürlich die IP Adresse verwenden die du von OpenVPN zugewiesen bekommen hast. Standardmäßig 10.x.x.x .


    Und der QFinder funktioniert glaube ich grundsätzlich nicht über VPN, frage mich aber bitte nicht warum.


    Auf was genau möchtest du denn zugreifen? Vielleicht auf irgend eine Freigabe?

  • Hallo, ich probiere auch eine OpenVPN Verbindung von unterwegs, auf meinen QNAP TS251C zu Hause, nach deiner Anleitung zu realisieren.

    Scheitere aber jedoch schon daran, das mir der Server nur eine "openvpn.ovpn" Datei runterlädt und keine Zip-Datei und ich somit kein Zertifikat "ca.crt " bekomme.

    Ich wäre wirklich sehr dankbar für eine Erklärung, wie ich diese Datei bekomme, oder auch selbst erstellen kann. Muss aber dazu sagen das ich nur begrenzt Kenntnisse über die Materie habe, aber lernwillig bin.


    Mit freundlichen Gruß,

    Andrix

  • Scheitere aber jedoch schon daran, das mir der Server nur eine "openvpn.ovpn" Datei runterlädt und keine Zip-Datei und ich somit kein Zertifikat "ca.crt " bekomme.

    Ja, das hat sich mittlerweile geändert. Die ca.crt ist mittlerweile in die openvpn.ovpn Datei integriert. Man braucht also nur noch diese eine Datei.


    Auch die Android App sieht mittlerweile etwas anders aus. Wenn man beim Importieren der ovpn datei nach einem Zertifikat gefragt wird muss man einfach mit continue weiter machen und nicht auf certificate klicken. Dort werden nämlich andere arten von Zertifikaten erwartet.

  • Danke für deine schnelle Antwort, ich werde es heute Abend mal genauer anschauen, muss erstmal zur Arbeit.


    Habs jetzt hinbekommen und wollte mich nochmals für die schnelle Hilfe bedanken.

    2 Mal editiert, zuletzt von Andrix () aus folgendem Grund: Doppelpostvermeidung

  • Hallo,


    ich nutze mal diesen Thread, in der Hoffnung, dass man mir helfen kann.


    Mir ist die Funktionsweise von diesem OpenVPN noch nicht ganz klar:


    Man erhält EIN Zertifikat, welches man dann auf alle externen Geräte (in meinem Fall Handy und Tablets) verteilt, um sich dann mit verschiedenen Nutzerdaten anmelden zu können (VPN Tunnel aufbauen). Das funktioniert soweit ganz gut und es erscheint einfach.


    Mir fehlt jetzt die Strategie bei Geräteverlust (Diebstahl). Bisher (OpenVPN auf Debian) habe ich pro Gerät ein Zertifikat erzeugt, und könnte beim Verlust eines Gerätes das entsprechende Zertifikat sperren (revoke).


    Wie mache ich das im Fall der QNAP Lösung? Ich kann die User sperren, aber das ist ja doppel schlecht, da ich dann einen neuen User anlegen muss und die Daten etc. migrieren muss ...


    Wie kann ich das Zertifikat erneuern? Beim Verlust eines Gerätes hat womöglich ein Angreifer nun ein gültiges Zertifikat, meine DynDNS Adresse und könnte versuchen andere LoginDaten zu erraten (BruteForce) ... Somit basiert in dem Fall die verbleibende "Sicherheit" einzig auf den Logins ...


    Kann ich das auch anders betreiben: Ein Zertifikat für jedes externe Gerät + Login und im Verlustfall wird das eine Zertifikat gesperrt und alles ist wieder gut.


    Über Tipps würde ich mich sehr freuen.


    Vielen Dank

    psyc

  • Du legst auf dem NAS ja User für die VPN Zugänge an, die haben zwar alle das selbe Zertifikat, aber wenn du den User mit seinen Persönlichen Zugangsdaten sperrst kann er auch nicht mehr darauf zugreifen.


    Grundsätzlich verstehe ich deinen Ansatz und fände ihn auch besser, leider wurde er so von QNAP nicht umgesetzt.

    Kann ich das auch anders betreiben: Ein Zertifikat für jedes externe Gerät + Login und im Verlustfall wird das eine Zertifikat gesperrt und alles ist wieder gut.

    Nicht über die QNAP Lösung. Aber du könntest mal die VPN Variante vom QNAP Club ausprobieren, da müsste das theoretisch wieder gehen.

  • Über Tipps würde ich mich sehr freuen.

    Ich habs zwar bisher nicht umgesetzt, überlege aber auch, ein QNAP als VPN Gateway einzurichten, weil die FritzBox Lösung doch ziemlich hakelig ist. Ich würde das VPN in einer VM laufen lassen, da gibt es bspw. für OpenVPN von turnkeylinux vorkonfigurierte Appliances. Wie gut die ist kann ich nicht sagen, aber gemeinhin finde ich turnkeylinux recht praktisch. Das sollte auch auf Deiner 253 ganz gut laufen. Wobei ich die VMs auf einer SSD habe, das geht natürlich bei 2 Slots nicht so leicht. Ggf. kannst Du auch pfSense benutzen und nur die VPN Lösung dort aktivieren. Da gibts ja auch eine VM direkt von QNAP. Ich fands bloss beim probieren etwas unübersichtlich. Ich habe mal grob drübergeschaut, weil ich gerne auch VPN Zugriff mit Windows Bordmitteln hätte. Ein weiterer Vorteil wäre, dass bei Sicherheitsproblemen nur die VM aber nicht gleich auch das NAS kompromitiert wäre. Zumindest ist es noch eine zusätzliche Isolationsschicht.

  • Hallo


    Vielen Dank für die Antworten und Ideen.

    Ich werde wohl doch nach einer Alternative ausschau halten, da ich ungern separate Logins für die VPN Einwahl verwalten möchte, außerdem möchte ich Zertifikate pro Gerät haben, welche ich wiederrufen kann (revoke). Sicherheit basierend auf Login und Passwort finde ich in meinem Fall ein wenig zu mager.


    Eine VM Lösung finde ich ganz gut. Ich werden mir auch noch mal PiVPN anschauen (da deutlich einfacher einzurichten und verwalten), da ich eh einen Raspberry Pi laufen habe, der ggf. diese Aufgabe übernehmen kann. Ich hätte aber gern etwas mit einem Webfrontend oder einem einfachen Monitor, um leicht sehen, welche Geräte verbunden sind bzw. wie es um den VPN Server steht (Verbindungsfehlversuche) da gibts bestimmt fertige Lösungen.


    mfg

    psyc

  • Hey mr.psyc,


    wenn du eine einfache Lösung hast, die ohne Respberry Pi umsetzbar ist wäre es super, wenn du sie teilst! Mir erschiene das so wie du's vorgeschlagen hast auch logischer bzw. einfacher handzuhaben.


    Ich (und ich vermute, auch sonst einige anderen) wären dankbar!

  • Ja, das hat sich mittlerweile geändert. Die ca.crt ist mittlerweile in die openvpn.ovpn Datei integriert. Man braucht also nur noch diese eine Datei.


    Auch die Android App sieht mittlerweile etwas anders aus. Wenn man beim Importieren der ovpn datei nach einem Zertifikat gefragt wird muss man einfach mit continue weiter machen und nicht auf certificate klicken. Dort werden nämlich andere arten von Zertifikaten erwartet.

    Ich hab VPN am PC problemlos rennen. Auf Android will's nicht klappen. Habe es sowohl mit "Open VPN Connect - Fast..." als auch mit dem später empfohlenen "OpenVPN für Android" probiert. Das Profil NAS....ovpn importiert, die richtigen Benutzerdaten eingegeben, auf "Continue" gedrückt udn es sagt immer "Authentification failed".


    Habt ihr irgendwelche Ratschläge?!?!

  • Ich habe mir gerade mal die OpenVPN für Android App angesehen, die du hier offensichtlich genutzt hast.


    Kann es sein, dass du in der App an den Einstellungen rum gespielt hast?

    Unter diesen Vorraussetzungen bekomme ich dann nämlich auch keine Verbindung mehr.


    Also im Zweifel noch mal die original ovpn Datei vom NAS laden.