Konfiguration OPENVPN mit festen Adressen der Clients

  • Hallo zusammen,


    ich habe 3 Qnap NAS's die an unterschiedlichen Standorten stehen. Ich habe die NAS's über OPENVPN folgendermaßen verbunden.


    1. NAS - "Q-ZENT" - OPENVPN Server mit der IP-Adresse 10.8.0.1
    2. NAS - "Q-NAS1" - OPENVPN Client
    3. NAS - "Q-NAS2" - OPENVPN Client


    mein Problem besteht das ich einen Rsycnc Job laufen lasse und dafür die Ip-Adressen verwende. Nun kommt es aber ab und an vor das
    eine der Beiden NAS-Clients sich nicht mehr die selbe IP-Adresse (z.B. 10.8.0.6) zieht. Somit läuft mein Rsync Job in einen Fehler.


    Wie kann ich nun über OPENVPN die Konfiguration so gestalten das ich den 2 Clients NAS's immer die gleiche IP-Adresse zuweise (eine Art
    DHCP Reservierung) ?


    Gegoogelt habe ich dazu schon, konnte aber nie was spezifisches für das QTS und OPENVPN finden. Hat das von euch jemand eingerichtet ?


    Vielen Dank schonmal


    Viele Grüße :qclub:


    Uwe

  • Hallo Uwe,
    und mit einer Client Configuration Directory (ccd) hast Du es schon probiert ? Mit einer kleinen
    Client Conf. Datei wie:

    Code
    #--------------------------------------
    # ccd Configfile für client Centaurus
    #--------------------------------------
    ifconfig-push x.x.x.50 255.255.255.0 # IP Adresse für den Client
    push "redirect-gateway"
    push "topology subnet"
    .....
    .....

    dann bekommt der Client immer dieselbe IP Adresse. Ich habe das zwar bisher nur unter Windows und Linux
    verwendet - sollte aber auch bei QNAP gehen.


    Gruss Klaus

  • Hallo Klaus,


    ja sowas habe ich auch schon gelesen, konnte es aber auf der QNAP irgendwie nicht umsetzten. Wo müsste die Datei liegen ?


    VG Uwe

  • Bei Linux üblicherweise im /etc/openvpn/ccd also im openvpn Verzeichnis.


    Wo das openvpn Verzeichnis bei QNAP liegt musst Du nach schauen - das weiss ich nicht.


    Zum openVPN gibt es im Netz einige sehr gute How to´s.


    Gruss Klaus

  • Ja leider keines was zur QNAP passt. Wenn jemand das auf der QNAP schonmal umgesetzt hat, dann wäre ich über eine Lösung dankbar.


    Grüße


    Uwe

  • Ab hier höre ich dann auch zu... Auf absehbar werde ich auch eine solche Lösung brauchen und natürlich wäre es mir da sehr lieb, wenn ich eine etablierte Lösung gleich samt gutem HowTo umsetzen könnte.


    Für mich kämen da nach bisherigen Recherchen nur OpenVPN oder eben QVPN Service in Frage.
    Zu letzterem gibt's ja von QNAP selbst einiges:
    http://docs.qnap.com/nas/4.3/cat2/de/index.html?qvpn.htm
    https://www.qnap.com/de-de/how…als-vpn-server-einrichten


    Grob sowas (in aktuell) wäre halt perfekt:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

  • Mit zwei Nasen kann man das Problem ggf. umgehen. Je nach dem in welche Richtungen die Daten gesicherten werden sollen, geht es auch mit dreien:


    Hinweis: Richte die Verbindung so ein, dass sich VPN-Klient und rsync-Klient auf der NAS1 befinden und der VPN-Server auf der Nas mit dem rsync-Server. Für die VPN-Verbindung wird ein virtuelles IP-Netz eingerichtet. Der VPN-Server hat als Voreinstellung die (feste) virtuelle IP 10.8.0.1 und die VPN-Klienten bekommen von ihm eine IP 10.8.0.2 oder größer zugewiesen. Bei einem Verbindungsabbruch (z.B. nach der Zwangstrennung durch den Provider) meldet sich der VPN-Klient wieder beim VPN-Server an. Manchmal bekommt der Klient dann eine andere virtuelle IP zugewiesen, weil der VPN-Server den Verbindungsabbruch noch nicht erkannt hat und irrtümlicherweise dem Klienten als neuen VPN-Teilnehmer identifiziert. Die Problematik kann man einfach umgehen, wenn man den rsync-Dienst in Richtung des VPN-Servers wie zu Beginn beschrieben adressiert. Die virtuelle Adresse des VPN-Servers bleibt auch nach Verbindungsabbrüchen eindeutig bestehen.

    Vielleicht hilft es weiter.

  • Hallo phoneo,


    nei leider löst das mein Problem noch nicht. Da es ja 2 NAS sind die auf das Zentrale NAS Backups ablegen. So müsste ich ja auf jeden NAS einen OPENVPN Server anlegen und hätte schlussendlich mindestes 3 Verschiedene Netze. Ich brauche eine Lösung mit OPENVPN. Ich habe schon gelesen und gelesen. Meistens geht es nur über den "COMMON NAME" des Clients. Doch dieser wird nicht übertragen.


    Über Lösungsansätze würde ich mich sehr freuen.


    Grüße


    Uwe

  • Hallo Uwe,


    ich weiß, ich bin neu - kann Dir zu OpenVPN nicht wirklich etwas sagen, Aber da ich anderweitig viel mit Standortvernetzung zu tun habe, eine Gegenfrage...


    Warum machst Du keine VPN-Verbindung über die Router?
    In diesem Fall musst Du die Ports 500/4500 UDP und das Protokoll (50) nicht auf die nachgeschaltete NAS forwarden - bzw. bei SSL-VPN Port 443, den Du evtl. lieber für den Excange-Server oder andere sichere Zugänge benutzen würdest.
    Du könntest eine sicherere IKE/IKEv2 Verbindung aufbauen und die Phase-II SA nur auf die IPs der NAS bilden:


    NAS-Zentrale (IP 10.0.0.1/32) <-> NAS1 (IP 10.1.0.1/32)
    NAS-Zentrale (IP 10.0.0.1/32) <-> NAS2 (IP 10.2.0.1/32)


    Die Phase-I SA kannst Du dann über die statische öffentl. IP (empfohlen), einen DynDNS-Anbieter (nicht empfohlen) oder RSA (empfohlen) bei dyn. öffentl. IP aufbauen.


    So verschwendest Du weder Lizenzen noch Ressourcen, da Du über den kleinen VPN-Stern viel explizierter Regeln und bei wachsenden Bedarf weitere Dienste senden kannst.


    War nur ein Vorschlag.


    Gruß


    Alex


    P.S.: Jedes Nas muss sich in einem anderen Netz befinden, sonst gibt es ein Problem beim Routing. So adressierst Du den Sync auf die IP des anderen NAS un der Rest macht das Routing und der VPN.

  • Da es ja 2 NAS sind die auf das Zentrale NAS Backups ablegen.


    1. NAS - "Q-ZENT" - OPENVPN Server mit der IP-Adresse 10.8.0.1
    2. NAS - "Q-NAS1" - OPENVPN Client
    3. NAS - "Q-NAS2" - OPENVPN Client


    Moin Uwe,


    es ist wohl nicht möglich auf einem NAS QNAP OpenVPN Server und Client gleichzeitig zu betreiben. Der Ansatz "drei verschiedene Netze" würde deshalb auch nicht umsetzbar sein.


    Du sicherst von "Q-NAS1" und "Q-NAS2" Daten Richtung "Q-ZENT"? Das müsste aber möglich sein, wenn du die RSync-Jobs auf den Clienten einrichtest und als Ziel die 10.8.0.1 auswählst.


    Ich denke, dass dir andernfalls die QNAP OpenVPN-Lösung nicht die notwendige Flexibiliät bieten wird. Händische Änderungen an Config-Dateien sind meistens nicht bootresistent. Wende dich doch auch einmal mit deinem Einrichtungswunsch an den QNAP Support (App Helpdesk). Wahrscheinlich wird man dir empfehlen die OpenVPN-Lösung zu virtualisieren.


    Gruß Dirk

  • Hallo Dirk,


    ja das ist korrekt so. Nur habe ich noch Vergessen das ein Backup von Q-ZENT auf Q-NAS1 gesichert wird. und da kommt es zu Fehlern.


    Grüße


    Uwe

  • Dann schau dir mal RTRR statt RSYNC an. RTRR ist in der Einrichtung flexibler. Vielleicht kannst du auf Q-Nas1 einen Job einrichten, der sich die Daten bei Q-Zent abholt.


    Gruß Dirk