Wenn der IP-Adressbereich für die Clienten (wie in der Anleitung) von 10.8.0.2 - 10.8.0.254 geht, kann dein Sohn das NAS-System unter der IP 10.8.0.1 erreichen.
QNAP ins Internet verbinden
- Ratlos
- Unerledigt
-
-
CMD öffnen und tracert VPN IP zum Qnap eingeben. Mit VPN IP meine ich die IP zum VPN. 192.168.*.* oder wie dein Bereich auch ist.
-
Ich bin nach dieser Anleitung vorgegangen
Bei den Sicherheitseinstellungen habe ich allerdings noch die originale Einstellung von allen Verbindungen zulassen.
Dort werden alle IP Adressen ( eigene, die vom NAS und die vom Sohn eingetragen ? bevor man auf zugelassene umstellt?
Auf dem Client ist natürlich (?) die NAS IP ( 18x.xxx.x.xx ) eingetragen.
Weiters der Zugangsname meines Sohnes sowie dessen Passwort.
Commandline etc verstehe ich schon aber
welches Schalterzeichen?
ich nehme an, das ich dies bei aufgebauter VPN Verbindung bei meinem Sohn machen soll.
Was liest man da raus? Von wo bis wohin der Tunnel verläuft?
-
Du musst dich gedanklich erst einmal richtig sortieren.
Dein Sohn braucht zuerst die IP-Adresse deines Internet-Anschlusses um mit dem VPN-Clienten dein NAS erreichen zu können. Wenn eine Verbindung zustandegekommen ist, gibt der VPN-Server (dein QNAP) dem VPN-Clienten eine virtuelle IP-Adresse. In der Regel aus dem Adressraum 10.0.8.2 -10.0.8.254. Der Adressraum wird in den Einstellungen unter QVPN definiert. Will man jetzt vom Clienten aus durch den Tunnel den Server ansprechen, hört er in diesem Fall auf die virtuelle IP-Adresse 10.0.8.1.
Das wäre dann die IP, die dein Sohn im Browser eingeben muss um die QTS-Oberfläche zu erreichen. Ferner muss für deinen Sohn aber auch ein Benutzer angelegt sein und dieser Benutzer muss auch unter QVPN für den VPN Zugang freigegeben sein.
Um die Sicherheitseinstellungen kann man sich auch noch später kümmern. Grundsätzlich stellt sich noch folgende Frage: Habt ihr, dein Sohn und du, feste IP-Adressen für eure Internet-Anschlüsse?
-
Nun jetzt habe ich etwas bei mir herausgefunden.
Beim Qfinder finde ich nur eine interne IP 192.168.xxxxx
Meine IP Adreesse konnte ich nur unter wieistmeineip.at auslesen.
unter cmd ipconfig zeigt es mir nur interne ip Adresse mit subnett und Standardgateway an
Müsste da nicht auch meine IP 84.1xx.x.xx stehen?
Auch sonst konnte ich diese nicht finden?
Vielleicht ist das das Problem.
Denn beim Netzwerk lese ich auch nur intere Adessen
-
-
-
Gut.
Du hast für deinen Sohn sicherlich auch einen eigenen Benutzer eingerichtet. In meinem Beispiel habe ich ihn Sohn genannt. Natürlich musst du festlegen, auf welche Freigabe-Verzeichnisse er zugreifen darf.
Als nächstes musst du den Benutzer Sohn noch für OpenVPN freischalten.
Hast du das auch?
-
Ja alles, obwohl bei mir mein sohn auch lpt2 un pptp hat aber bei mir scheint kein admin auf dieser lListe auf (?)
sorry, habe übersehen, das man noch scrollen kann
-
Der Admin ist grundsätzlich mit drin. Soweit ist dann alles eingerichtet. Gedulde dich bitte etwas, ich werde testhalber mal bei mir eine Open VPN-Verbindung einrichten.
-
Bei den Verbindungsprotokollen des Servers ist zu ersehen das es eine Verbindung der Quelle ( meine IP 84.xxx.x.xx ) zum Client IP 10.8.0.6 mit xxkb tx und xxkb rx aber nur als admin gegeben hat.
Habe mich auch einmal als admin bei meinem Sohn bei der Konfiguration eingeloggt.
Also demzufolge dürfte eine Verbindung da gewesen sein.
Überblick beim QVPN
Adapter1 192,168,0,143
VPN Remote Server
(Open VPN )
84.xxx.x,xx = eigene IP Adresse
unter aktive lokale VPN Server 2/4
QBelt Server
Open VPN Server
-
Das wäre dann soweit auch ok. Der VPN-Tunnel ist dann aufgebaut.
Wie ich bereits geschrieben habe, müsste nun dein Sohn in seinem Browser die IP Adresse 10.8.0.1 eingeben und müsste damit (bei bestehender VPN-Verbindung) die QTS-Oberfläche aufrufen können.
-
Lieber Dirk
DAS wusste ich nicht. Dachte mit dem QFinder findet man dann auch das NAS und steigt ein.
Werde morgen pardon heute in dessen Wohnung gehen und versuchen mit 10.8.0.1
so wie bei mir mit 192,168.0.143:8080/cgi-bin/ einzusteigen.
also habe ich bis zum letzten Punkt eh alles richtig gemacht.
Vielen lieben Dank
Wenn ich den Computer eingeschaltet hätte lassen, dann hätte ich dies gleich über den Teamviewer ausprobieren können.
( Mein Sohn ist zur Zeit nicht in Wien.
wünsche noch einen erholsamen Schlaf. Gerald
-
Warum 10.8.0.1 ? Das ist doch garnicht mehr so.
Wenn ich bei mir in QVPN schaue macht er ne 192.168 IP.
Früher bei älteren QTS Versionen hat er immer 10.8.0.1 gemacht, das scheint aber nicht mehr so zu sein ?
Wenn ich falsch liege, annst du mich gerne korigieren.
Wenn ein k fehlt sorry dafür, meine tastatur hat ein Defet und ich beomme bald ne neue geliefert.
-
Es kommt auf die in Thread #46 markierten Einstellungen an. Der dort angezeigte Adressraum ist die Vorgabe-Einstellung bei der Installation. Den Adressraum kannst du natürlich ändern. (Vermutlich hast du das auch bei dir mal geändert...)
Es ist aber nicht zweckmäßig den Adressbereich in den 192.168.... Raum zu verschieben. Sollte nämlich das Gast-System, in seinem Heimnetzwerk, zufällig den gleichen Raum adressieren, bekommst du ggf einen Adressenkonflikt.
Den Admin kannst du in den Privilegieneinstellungen für die 3 Protokolle deaktivieren. Für deinen Sohn benötigst du auch nur das Häkchen bei OpenVPN.
Ebenfalls Gute N8!
G.M.H. Nachtrag
Eine Frage blieb ja noch unbeantwortet. Und zwar ob sich deine externe IP-Adresse (84.xxxx) ändert? Früher änderten sich die IPs täglich. Deshalb führte man DynDNS Dienste ein, um andere Anschlüsse trotzdem sicher erreichen zu können. Diese Frage beantwortet dir ggf dein Provider.
Zur Zeit haben es offensichtlich wieder einige Schädlinge auf QNAP-Nas-Systeme abgesehen. Rechne also immer damit, dass ein Schädling auch dein Gerät (ggf auch alle anderen Geräte im Netzwerk) kapern kann, deine Daten verschlüsselt und dich böse Buben zu erpressen versuchen. Backups auf im Schrank gelagerten USB-Platten sind dagegen der einfachste Schutz.
-
Guten Morgen
Du hast natürlich recht.
Früher änderte sich die zugewiesene IP Adresse vom Provider Chello/UPC immer wieder einmal.
Ob nun von denen aus unangekündigt oder auch mal durch neues Starten des WiFiModems.
Aber seit Jahren ist diese Adresse ( 84.xxx.x.x ) gleich, weswegen ich mich , zwar etwas über DynDNS durch die hier vorhandene Literatur gelesen habe, aber dieses Kapitel mal auslies.
Da ich auch relativ sicherheitsbewusst und zu faul bin, mein System stundenlang neu aufzusetzen, habe ich
a) diverse Images meines Computers auf alten Festplatten mehrfach liegen ( Hotplug Einschübe am Computer für S-ATA und IDE ) welche mehr oder minder regelmäßig besichert werden. Detto noch auf USB Externlaufwerken.
b) Zum Nas habe ich mir ein externes USB 3.1 10TB Laufwerk angeschafft, welches abschaltbar ( per Netzschalter ) am NAS hängt und nur für Sicherungen der Daten über QNAP NetBak Replikator sowie für NAS-Systemeinstellungssicherungen eingeschalten wird.
Die diversen Berechtigungen für die Dienste werde ich deaktivieren.
Ja die Zugriffsversuche habe ich im Netzwerkprotokoll schon mitgbekommen.
Besonders über SSH wird versucht über gängige Firmenpasswörter wie admin Admin guest administrator etc ins QNAP zu gelangen.
Auich einen Ftp Zugriffsversuch gabs schon.
Habe bdei den Einstellungen die höchstmögliche Sicherheit mit 5 Versuchen in 1 Minute für alle Protokolle für die IP-Blockierung auf immer gesetzt.
Dort kann man ganz gut die Serien von bis zu 10 (?) Zugriffsversuchen über die gleiche IP-Adresse verfolgen.
Und wenn der Datensatz zu schnell war, ist die IP Adresse eben gesperrt.
Eine Frage hätte ich allerdings noch, bevor ich zu meines Sohnes Wohnung gehen möchte.
Mir fiel ein, das sein A1 Modem über die 10.?.?.??? für die Einstellungen anzusprechen ist. Weiß nicht die genaue Portadresse.
Wäre es da nicht besser, einen anderen Adressbereich bei der VPN Server Konfiguration als 10.8.0.2 >10.8.0.254 zu setzen?
Was wäre da angebracht?
Auch verstehe ich nicht, das da gleich 252 Ports ansprechbar sein müssen. Muss man da alle Ports von 2 > 254 einer Gruppe eintragen?
-
Moin Gerald,
sollte bei deinem Sohn der Router (genauer: der DHCP-Server im Router) tatsächlich die internen IP-Adressen im Bereich 10.8.0.x vergeben, wäre das die Ursache für die Probleme. Dann änderst du einfach den Adressbereich für die VPN-Clienten auf deinem NAS: z.B. 10.8.22.2 - 10.8.22.10 . Natürlich kannst du den Adressbereich auch einschränken. Wie in meinem Beispiel auf 9 Clienten, die gleichzeitig eine Verbindung zum VPN-Server aufbauen könnten. Aber bitte nicht zu eng einschränken. Bei einem Verbindungsabbruch dauert es einige Zeit, bis der VPN-Server die zuerst vergebene Clienten-Adresse (10.8.22.2) wieder freigibt. Er würde dann die nächste Adresse aus seinem Pool nehmen, also dem Clienten die 10.8.22.3 zuweisen. Solltes du aber den Adressbereich auf nur einen Clienten eingeschränkt haben (10.8.22.2 - 10.8.22.2) ist solange kein neuer Verbindungsaufbau möglich, wie der Timeout dauert, bis der VPN-Server die reservierte Clienten IP wieder freigibt.
Nachtrag G.M.H.
Gut, wenn du schon einige Erfahrungen im Bereich Zugriffsschutz gesammelt hast. Ich rate dir keine anderen externe Freigaben außer Zugriffe über VPN zuzulassen. D.h. in deinem Router darf es nur eine Portweiterleitung für den Port 1194 geben. Deaktive in deinem Router die Dienste wie UPNP, die es erlauben, dass Geräte selbständig Portfreigaben einrichten können.
Wenn sich die externe IP bei euch nicht/seltenst ändert, kannst du auf einen DDNS Dienst verzichten.
Nachtrag2 G.M.H.
Wenn du den IP-Adressbereich für die VPN-Clienten wie beschrieben änderst, ist dein QNAP vom Clienten aus über die IP-Adresse 10.8.22.1 erreichbar. Damit es aber nicht zu anderen Missverständnissen kommt: Die Einwahlparameter des VPN-Clienten ändern sich natürlich nicht. Dort wird weiterhin deine externe IP adressiert um den VPN-Tunnel aufzubauen.
Viel Erfolg!
-
Lieben herzlichen Dank lieber Dirk.
Offenbar hätte es schon gestern geklappt.
Mit der IP 10.8.01 kann ich die Anmeldemaske des Nas öffnen und mich mit jedem Administratorpasswort ( keine Angst - Originalzugang geänder ) sowie Familienmitglied anmelden und sehe das was freigegeben wurde.
Jedem sein eigener Ordner und für alle den Public Ordner
Meinereiner kann auch noch auf die externe USB Festplatte zugreifen.
Nun den VPN auch zwischenzeitlich auf meinem mitgenommenen Laptop installiert von wo ich gerade über Teamviewer auf meinen PC zugreife und diesen Eintrag verfasse. Herzlichen Dank für Deine Mühe. DANKE
-
Freut mich wenn es funktioniert. Gern geschehen!
-
Wenn du schon im Log der NAS Zugriffsversuche aus dem Internet in Massen feststellst, solltest du wirklich noch mal über die Sicherheitsprobleme die damit einhergehen nachdenken.
Jagi hat gerade ein schönes Skript gefunden, welches alles killt, sogar das DOM, dann ist dein NAS bricked!
Zudem schützt sich dieser Filter nur gegen Skriptkids, die nicht wissen was sie tun.
Wenn der richtige Bot vorbei kommt, dich scant und merkt QNAP, QTS x.y.z, dann packt der den richtigen Zeroday aus und übernimmt das Teil stumpf.
Wenn das bei dir nicht sogar schon längst passiert ist.
