Client-IP-Pool bei VPN (L2TP/IPSec) lässt sich nicht mehr wie gewünscht vergeben

    Ich habe seit dem letzten Firmware-Update meines TS-563 auf 4.3.5.0760 folgendes Problem:


    - Auf dem QNAP lief seit über einem Jahr problemlos ein VPN-Server über das L2TP/IPSec-Protokoll (mittels der QNAP VPN-App "QVPN")

    - Mein QNAP hat eine IP aus dem Bereich 192.168.2.X

    - In der Konfiguration des VPN-Servers hatte ich als Client-IP-Pool ebenso Bereich 192.168.2.X eingestellt, damit den Clients eine IP aus dem selben Adressbereich zugewiesen wird und ich somit auf die Daten des QNAP und das Netzwerk zugreifen kann (über MacOS / SMB). Das hat problemlos funktioniert.

    - Seit dem Update (ich habe in dem Zug auch die QVPN-App auf die neueste Version upgedatet) kann ich in den L2TP/IPSec-Einstellungen den oben genannten Client-IP-Pool nicht mehr einstellen. Sobald ich dort die 192.168.2 eintrage und den Server starten will, erhalte ich die Meldung "Der VPN-Client-IP-Pool wird bereits benutzt.":


    Bildschirmfoto 2018-12-14 um 11.00.19.png


    - Somit kann ich nur einen anderen IP-Bereich vergeben. Dann kann ich mich mit den Clients zwar problemlos verbinden, habe aber natürlich keinen Zugriff mehr auf mein Netzwerk, das ja eben im Bereich 192.168.2.X angelegt ist.


    Ich bin kein IT-Profi und habe mir das alles selbst eingerichtet. Wie geschrieben, hat es bis dato wunderbar funktioniert. Woran kann es liegen, dass das jetzt nicht mehr geht. Ich verstehe die Meldung so, dass irgendwo im System der Bereich 192.168.2.X schon für einen anderen VPN-Service belegt ist. Ich habe aber keinen anderen (PPTP, OpenVPN) aktiviert.


    Könnte es sein, dass die alte Version der QVPN-App das irgendwo in einem File abgelegt hat und das jetzt dadurch blockiert ist?


    Ich habe auch schon die App auf dem QNAP deinstalliert und neu installiert, aber ohne Erfolg. Es waren nach der Neuinstallation auch noch die alten Daten in den Einstellungen, d.h. diese müssten ja irgendwo auf dem QNAP abgelegt sein und werden dann wohl auch nicht gelöscht, wenn man die App deinstalliert?


    Wäre toll, wenn mir jemand helfen könnte.


    Vielen Dank

    Michael

    Noch ein Nachtrag:


    Auf meinem TS-231, zuhause, auf dem noch die ältere Firmware und dementsprechend auch die ältere Version von QVPN läuft, geht es ohne Probleme. Hier hat der QNAP die IP 192.168.3.216 und wenn ich einen L2TP/IPSec VPN Server einrichte, der den Clients IPs von 192.168.3.2 bis 192.168.3.254 zuweisen soll, haut das ohne Problem hin.


    Mein Verdacht, dass in irgendeiner Konfigurationsdatei der betreffende IP-Bereich gesperrt ist und deswegen nicht mehr vergeben werden kann, hat sich damit erhärtet. Wie und wo finde ich diese Datei und kann den Eintrag beseitigen?

    Hallo!


    Ich habe genau das gleiche Problem... Firmware aktuell 4.3.6.0805, QVPN-Service-Version 2.0.577

    Ich kann in den VPN-Server Einstellungen den IP-Adressbereich nicht in meinen mit allen Geräten genutzten Adressbereich eintragen... Ein vollständig anderer Adressbereich wird problemlos akzeptiert...


    Was tun?


    Viele Grüße,

    Sebastian

    Guten Morgen,


    ich habe aus versehen für einen Test mit Qbelt auf der TVS-682 jetzt genau den gleichen Fehler. Kann die Ursprungskonfiguration nicht wieder herstellen.


    Firmware ist 4.3.6.0776

    Hallo zusammen!


    Ich habe mich diesbezüglich direkt an den QNAP-Support gewandt und dort kann der Fehler nachvollzogen werden und es wird jetzt nach einer Lösung gesucht. Ich halte Euch auf dem Laufenden.

    Guten Morgen,


    gibt es schon Neuigkeiten hinsichtlich der Anfrage beim QNAP-Support?

    Hallo zusammen, inzwischen habe ich eine Antwort bekommen, aber die hat mir (mangels technischen Verständnisses?) leider nicht weitergeholfen:


    Laut Aussage der Entwickler soll das ein Sicherheitsfeature sein. Mir wurde empfohlen, eine statische Route zu definieren um dieses Feature zu umgehen:

    Zitat von QNAP Support

    -> Netzwerk- und virtueller Switch -> Netzwerk -> Route -> Statische Route hinzufügen ---> Hier fügen Sie bitte eine Route hinzu, welche als Ziel das VPN-Netzwerk hat und als Gateway eine IP-Adresse des NAS-Systems.

    Unter Umständen muss noch der Firewall des Clients angepasst werden: UDP-Ports 500, 4500, 1701


    Kann damit jemand etwas anfangen? Ich habe das mal versucht, aber ohne Erfolg. Es scheitert bei mir schon daran, dass ich nicht weiß, was ich dann beim Ziel für eine IP eintragen soll.


    Klingt für mich auch wenig sinnvoll. Nach meinem (zugegeben nicht sehr tiefen) Verständnis ist ein VPN-Server ja genau dazu da, Clients in ein bestehendes Netzwerk zu integrieren und dazu müssen diese ja zwingend eine IP-Adresse aus diesem Bereich zugewiesen bekommen?

    Ja nach Umsetzung ist ein separates Client Netz notwendig.

    So vermeidet man IP Adress Probleme.


    Dafür gibts Routing.

    Mag sein das im privaten Bereich eher pngewohnt ist, aber es ist technisch die sauberste Lösung.


    Eine Route ist wie ein Wegweiser zu verstehen. Man teilt den Packeten mit über welchen Zwischendchritt, in dem Fall Gateway sie zum gewünschten Zielnetz finden.

    Einmal editiert, zuletzt von Crazyhorse ()

    Ja, soweit habe ich das inzwischen auch selbst verstanden, allein an der technischen Umsetzung scheitert es.


    Kann mir evtl. jemand Hilfestellung geben, wie ich das einrichten müsste, um mit unterschiedlichen Clients von unterwegs auf das Heimnetzwerk zugreifen zu können?

    Ich habe kein QTS mit der Möglichkeit vSwitche einzurichten, aber wenn Du den Anleitungen des Supports folgst, dann solltest Du zum Ziel kommen.

    Als Ziel IP musst Du x.x.x.0 eingeben (.0 =Netzwerk, die x natürlich mit dem Adressbereich des VPN ersetzen).

    Wenn das VPN Netzwerk 10.2.24.x vergibt (Beispiel), dann wäre die einzutragende Ziel IP 10.2.24.0, damit werden alle Clients im Segment 10.2.24 erreicht.

    Als Gateway eine Adresse des NAS aus dem 192.168.2.x Segmemt.


    So sollte es laut Support dann gehen.


    Gruss

    Danke, aber genau so hab ich es versucht. Funktioniert nicht. Die VPN-Verbindung kommt zustande, das Routing-Tool des QNAP zeigt mir an, dass die Route in Ordnung ist, aber wenn ich eine IP des dortigen Netzes erreichen möchte, dann geht dies nicht...

    Ok - ich nehme mal an, Du hast auf Deinen Clients Deinen Router als Gateway eingetragen, oder? Wenn ja, dann hast Du 2 Möglichkeiten:


    1. Du musst auf JEDEM Deiner Clients eine Route zum VPN-Netz (über Deine QNAP) manuell einrichten mit dem Netz des VPN, der Netzmaske des VPN sowie der IP Deiner QNAP - z.B.:

    - route add x.x.x.0 mask 255.255.255.0 192.168.0.22 /p

    (x.x.x.0 ist Dein VPN-Netz, 255.255.255.0 ist Deine Netzmaske und 192.168.0.22 wäre durch die IP Deiner QNAP zu ersetzen)

    2. Du musst diese Route in Deinem Router/Standardgateway hinterlegen - wenn Du eine Fritz!Box hast, geht das dort sogar recht komfortabel.


    Dein Problem besteht darin, das zwar Deine VPN-Clients bis zu Deiner NAS kommen (und darüber hinaus) aber die Geräte in Deinem Netz nicht wissen, wie sie das VPN-Netz erreichen sollen. Daher der "Umweg" über Dein Default-Gateway.


    Gruß,


    Lauri

    Hi Laurenzis


    es muss doch auch möglich sein, dass die QNAP ein Routing zwischen dem VPN IP Subnetz und dem lokalen Subnetz vornimmt?


    Vielleicht hat hier jemand eine neue Info zu?

    Warum QNAP?

    was haben die damit zu tun?


    Du hast ein weiteres Netz aufgesetzt, also musst du jetzt auch dafür sorgen das die Routen zum next Hop da sind.


    Also dein Router muss wissen was er zum NAS routen muss und dein QTS muss wissen, was es in den VPN Tunnel routen muss, wenn es eine S2S Kopplung ist.


    Momentan ist ja dein Router Default GW im Netz. Wenn du ihm das VPN Netz nicht mitteilst, kommst du zwar vom VPN Netz rein. Die Antwort aber geht zum default GW und von dem ins Internet und ist weg.

    Du musst also ggf. an mehreren Stellen schrauben.


    Also nix QNAP, Routing ist Handarbeit.

    Hi Crazyhorse


    ich glaube hier gab es ein Verständigungsproblem.


    Wenn ich mit einem Client extern per VPN auf die NAS zugreifen möchte (NAS ist VPN Server), die NAS mir dann eine IP aus einem anderen Subnetz gibt und es von diesem Subnetz keine Route ins interne Netz gibt (beides virtueller Switch der NAS) hängt das doch nicht mit dem Client zusammen?


    Man kann ja nicht in jedem Netzwerk, welches der Client benutzt Routen definieren ( Hotel / Hotspot usw.)


    Bei anderen VPN Servern ist das ja auch kein Problem. Das einfachste wäre natürlich auch wenn man im gleichen Subnetz wie dem internen eine IP bekäme (andere DHCP Bereiche).

    Du verwechselst gerade Äpfel mit Birnen - auch wenn es sich ähnlich anhört, sind es dennoch 2 grundlegend voneinander verschiedene Aufgaben.

    Wenn Du Dich per VPN in Dein Netz (z.B. per Handy) einwählst, dann ist entweder Dein Router (FritzBox) der VPN-Server oder ein anderes Gerät (z.B. die QNAP). Damit das mit einem anderen Gerät als Deinem Router dann aber funktioniert, musst Du an Deinem Router ein PortForwarding der entsprechenden VPN-Ports zu Deinem Gerät im Netzwerk einrichten. Damit hängt Dein internes Gerät zwar nicht physikalisch im Internet, netzwerktechnisch (mit den weitergeleiteten Ports) aber sehr wohl. Daher brauchst Du dort dann auch nichts weiter einzurichten (Dein Router / Dein internes Gerät) machen an der Stelle NAT und deshalb kannst Du von aussen die entsprechenden Geräte innerhalb Deines Netzes erreichen.

    Was Du jetzt aber möchtest ist etwas völlig anderes - Du möchtest dass 2 Netze miteinander verbunden werden. Unabhängig davon, dass zusätzlich ein VPN-Tunnel aufgebaut wird (um die Daten sicher durchs Internet zu übertragen) hast Du seitens des Routings exakt die selben Aufgaben wie bei 2 Netzen z.B. innerhalb eines Unternehmens. Jedes Gateway muss dabei wissen "wie erreiche ich das andere Netz". Um diese Aufgabe kommst Du so ohne weiteres nicht drumrum. Ich empfehle an der Stelle aber auch dringend Grundlagen zu TCP/IP zu studieren - dann verstehst Du auch ein wenig besser, wovon wir reden.


    Gruß,


    Lauri

    Ein vSwitch ist ein Switch, also ein L2 Device, denn bei diesen trägt man einen default GW ein.


    Bei einem L3 Switch, da kann man routing einschalten, dann trägt man eine default Route ein.


    Erstes trifft auf den vSwitch im QTS zu, also nix mir Automagic Autorouting. Den kann man nicht mit dem vSwitch vergleichen den auf einem VMware ESXi gibt, der Vlans usw. kann.


    Das kann man zwar auch im QTS einstellen, muss es aber auch selber tun.


    Sprich, dein Router muss das 192.168.3.0/24 auf die IP deines VPN GWs routen.


    Ich habe hier eine pfSense stehen, die ich neu einrichte, daher habe ich auf meinem Router 192.168.0.0/24 auf die IP der Firewall im LAN geroutet.

    So komme ich von hier in alle auf der Firewall angelegten Netze und umgekehrt.

    Hallo staxl76,


    ich hatte dasselbe "Problem" und habe einen Workaround gefunden über den man den Adressbereich doch selbst konfigurieren kann. Dazu wie folgt vorgehen:

    1) Setze die IP deiner NAS manuell auf eine IP-Adresse außerhalb des eigentlichen Adressbereichs deines Netzwerks (z.B. 172.16.0.1)

    2) Setze bei einem PC ebenso manuell eine IP-Adresse außerhalb des eigentlichen Adressbereichs deines Netzwerks, um die NAS wieder zu erreichen (Bsp. 172.16.0.2)

    3) Melde dich auf der NAS mit der neuen NAS IP an (hier im Bsp. also 172.16.0.1)

    4) Setze jetzt den Adresspool für die VPN-Verbindungen auf den gewünschten Adressbereich (innerhalb deines eigentlichen Adressbereichs) (z.B. 192.168.2.x)

    5) Setze die IP deiner NAS wieder zurück auf die IP-Adresse innerhalb des eigentlichen Adressbereichs deines Netzwerks (also z.B. 192.168.2.10)


    FERTIG! VPN-Clients bekommen nun Adressen aus deinem normalen Adressbereich, ein zusätzliches Routing ist nicht notwendig. Sobald du etwas an diesen Adresseinstellungen des VPN-Servers doch wieder ändern willst musst du deine NAS solange "außerhalb deines Netzes" hängen. (Schritte 1) u 2)

    Hallo Ingo,


    Geht das auch so einfach wenn eine Fritzbox dazwischen hängt??

    Kann ich nach der vorübergehenden Änderung der IP vom PC auf

    das NAS zugreifen??


    erstmal Danke für Deinen Workaround. Klingt einfach.

    Bevor ich nun alles ändere, wollte ich Dich fragen ob Du mir

    sagen kannst ob das auch bei meiner Konfiguration gehen

    könnte?

    Ich habe alles eingerichtet mit QVPN usw. läuft super und stabil!!

    Mit Win10 auf der Arbeit kann ich perfekt zugreifen usw. Nun

    mein Problem. Ich nutze Roon und würde gerne den QNAP Roon

    Core benutzen.Inerrhalb des heimischen Netzwerkes läuft er.Wenn

    ich von Arbeit aus zugreife, merkt Roon das ich mich aufgrund der

    VPN Verbindung in einem anderen Netz befinde, die z.B. 10.8.0.6

    von QVPN und verweigert mir die Arbeit!! Meine Idee wäre wenn ich

    Roon vorgaukeln kann das ich mich im Heimnetz befinde,würde es

    vielleicht laufen?? Wie wäre Dein Tipp??

    oder soll ich das lassen weil es sowieso nicht funktionieren wird.


    Danke im Voraus

    Willy