VPN zum NAS möglich, aber kein Zugriff aufs NAS

    Ich habe folgende Situation:

    Router leitet PPTP weiter zum NAS, auf dem NAS ist der QVPN Service aktiv, dieser packt VPN user in ein vordefiniertes 10.0.0.0/24 Netz.

    (Das letzte Oktett kann nicht bearbeitet werden - das Feld ist ausgegraut, daher ist es auf dem QNAP scheinbar nicht möglich einen "echten VPN" in Parallelbetrieb zu LAN-Geräten zu machen)


    Nun habe ich das Problem dass die VPN Verbindung problemlos funktioniert, aber man in dieser VPN-Verbindung quasi isoliert auf sich selbst ist.

    Andere IP-Adressen sind nicht aktiv und erkennbar, selbst das NAS ist nicht als IP im 10er Netz des VPNs vorhanden.


    Wie richte ich das NAS so ein, dass zumindest das NAS via Hostname mit dessen Freigaben ansteuerbar ist?

    Ich möchte, dass genau so wie im LAN bei \\hostname die Freigaben entsprechend gelistet werden und der Zugriff entsprechend der vergebenen Rechte möglich ist.


    Idealerweise hätte ich gerne, dass das NAS auch die Geräte aus dem LAN im VPN ansprechbar macht, aber erst einmal geht es darum wofür QVPN eigentlich gedacht ist, für Zugriff aufs NAS via PPTP.

    HI,


    hast du darauf geachtet, dass die beiden Netzem welche du mit dem VPN Knoten verbindest nicht denselben IP Bereich haben z.b. 192.168.XX.X


    Wenn du möchtest, dass der Hostname funktioniert, dann musst du dich um WINS kümmern.

    aber scheinbar funktioniert ja noch nicht einmal das ansprechen per IP.


    Somit muss man leider nach der Grundkonfiguration fragen:

    1. Welche Anbindung? (IPv4, IPv6, beides oder NAT-Einschränkungen?)

    2. Wovon greifst du zu?

    3. Warum packst du die VPN User in ein separates Netz? Kann dein Router mit VLAN umgehen?

    4. Welche Ports hast du für die Weiterreichung ans QVPN geschaltet?


    ICh hoffe, ich habe erstmal nichts vergessen aber ohne nähere Infos wird das schwer

    Die Frage ohne Nummer: Ja, das lokale LAN ist 192.168.XXX.0/24 (ich habe das vorletzte Oktett rausgelassen).


    Die QNAP ist selbst im Standardnetz 10.0.0.0/24 und gibt das auch so an die VPN-Clients weiter, nur setzt sie sich selbst nicht in dieses Netz.


    1. in der Fritz!Box habe ich einen DynDNS Dienst aktiviert und

    1723 TCP und GRE für PPTP-Verbindungen weitergereicht an das NAS, das NAS selbst handelt dann die Authentifizierung nach dem QNAP Service aus (das ist in den Verbindungsprotokollen auch sichtbar)

    2. Aktuell kann ich auf das NAS via MyQNAPcloud zugreifen, ich bin aktuell selbst außerhalb vom LAN aktiv.

    3.

    Weil die Konfiguration des QVPN Service die Konfiguration des letzten Oktetts nicht zulässt:

    19-02-_2020_19-43-23.jpg



    4. TCP 1723 und GRE in Gänze (weil die Fritz!Box in GRE nicht auf Port 47 unterscheiden kann)


    Ich habe aktuell keinen Zugriff aufs LAN außerhalb von MyQnapCloud, so wollte ich den Bereich auf 192.168.XXX.240-254 legen da dies die letzten IP Adressen sind die von der Fritz!Box als DHCP bedacht werden.

    Ich möchte ja genau das, dass die QNAP an die VPN-User sich selbst weiterleitet, und ich hoffte in dem ich den Bereich auf einen Teilbereich der Fritzbox konfiguriere (was ja nicht möglich ist) - ist das entsprechend gegeben, weil gleiches Netz und keine Adresskonflikte weil weit auseinander liegende Bereiche.


    Ganz kurz nach dem ersten Connect wurde der hostname der QNAP richtig aufgelöst im ping - auf die lokale LAN-IP in dem die Fritz!Box aus dem LAN heraus ansprechbar ist. Kurz darauf ist aber sowohl im 10er als auch im LAN-Netz erst einmal keine IP außer der Client, der sich verbindet mehr verfügbar.


    Muss ich für VPN mit Erreichbarkeit der QNAP nicht die QNAP den VPN machen lassen, sondern die Fritzbox entsprechend authentifizieren lassen?

    Einmal editiert, zuletzt von paradonym ()

    Es ist nicht ausschließlich das QNAP das antwortet, wäre aber eine Möglichkeit, die dann aber das komplette LAN vermutlich ebenfalls per PPTP offen legt.

    Ich habe die QNAP so konfiguriert vom Vorgänger übernommen und dachte zur temporären Deaktivierung von VPN wurde nur Port Forwarding und DynDNS ausgeschaltet. Scheinbar nicht.


    Die QNAP und der Service für den Verein, in dem diese steht, ist aktuell noch ein übernommenes Ehrenamt, weil ich ohne Unternehmensanmeldung keine Gewinne fahren darf.

    Bisher habe ich nur Erfahrungen mit OpenVPN auf Linux - welches mit ein paar gelöschten Daten einfach von neuem angegangen wurde und die LANs nicht trennt - sprich, sich sowieso ins LAN konfiguriert und nicht wie die QNAP bei VPN Anzeichen macht diese in ein anderes Netz packen zu wollen.

    Wenn ich mich nicht irre, kann man an der FritzBox definieren an welchem LAN das VPN "rauskommt" nähres müsste bei AVM stehen.

    Da fehlt das Routing.


    Das NAS ist ja im 192.168.xx.yy Netz und da ist das default GW 192.168.xxx.1 oder 254 oder was auch immer.


    Da kommt also jetzt ein Client aus dem 10.0.0.x Netz und will zum NAS, das bekommt die Anfrage auch, antwortet dann über das Standort GW und das landet in der Fritz, die kennt das Netz nicht und nimmt wieder die Default Route und das ist dann WAN und byby Daten.


    Also auf der Fritz eintragen, unter welche IP der Next Hop für das VPN Netz zu erreichen ist.


    Im NAS muss dafür ggf. auch noch ein Routing hinterlegt werden, denn die Kiste macht das anscheinend nicht automatisch, wie meine pfSense.

    Bei der muss ich ein Virtuelle Netz für VPN Client angeben, was auf keinem Adapter vorhanden ist, was ja auch als einziges wirklich Sinn macht wenn man mehr als ein Class-C betreibt.


    Fritz:

    10.0.0.0 255.255.255.0 IP-NAS


    NAS:

    10.0.0.0 255.255.255.0

    Wo auf dem NAS richte ich Routing entsprechend ein?

    Ich bin mit der QNAP Oberfläche noch nicht so vertraut und habe bis dato nur die einfache Dateifreigabe gemacht.


    Auf Routern ist es meist kein Problem - Ubiquiti und die Fritzbox kann ich sicherlich tun, aber auf dem NAS ist mir noch nichts Routingmäßiges untergekommen.


    Oder denke ich da gerade wieder falsch und einzig und allein die Fritzbox muss wissen dass sie 10er IP's zum NAS jagen muss?

    In den erweiterten Einstellungen Netzwerk und vSwitch findest du das:

    pasted-from-clipboard.png


    Ich habe hier ein S2S VPN mit der Fritz meiner Eltern, nicht der schnellste weg da letzte eine lahme Gurke ist, aber es funktioniert und reicht fürs Autobackup.

    Ein 219 hat alte Legacy Firmware. Da gibt es keinen vSwitch!

    Den gibt es noch nicht mal bei meinen TS669 (Q902) mit v4.3.4, obwohl das HAL Firmware ist.


    Gruss

    Habe mir in dem anderem Forum noch nicht alles durch gelesen.


    Aber wenn das Zielnetz 192.168.178.0/24 ist und du gerade in einem 192.168.178.0/24 oder in einem Supernetz bist wo das Teilnetz ist, bekommst du zwar den Tunnel up, aber das Routing funktioniert dann nicht.


    Da du uns das dritte Oktett verschweigst, müssen wir mal wieder raten.

    192.168.178.0/24 ist das LAN der Fritz!Box. Das NAS befindet sich in dem LAN - natürlich. Jetzt müssen Anwender per FritzVPN (oder qnap vpn ohne NAS-Routing) weiter reinkommen.


    Aktuell (nur mit Fritzbox VPN Einrichtung und Aktivierung von DynDNS) können sich Nutzer aus dem Internet nicht mit der Fritzbox per ipsec verbinden.


    Richte ich den VPN-Zugang mit Port Forwarding in der qnap legacy hardware ein funktioniert der Zugang, nur kommen die QVPN-Nutzer nicht aufs NAS, weil genau dieses nur einen festen 10.0.0.0 Bereich für VPN User erlaubt in dem das NAS selbst sich nicht befindet...


    Das ganze als Bilderstrecke jedenfalls hier: Extern verlinkte Bilder entfernt! Bitte im Beitrag hochladen

    Hallo zusammen.

    Ich habe ein sehr ähnliches Problem mit meinem QVPN Setup und konnte es leider mit den Angaben hier nicht vollständig lösen.


    Ausgangslage:

    QNAP TS-251B

    Router: Netgear WNDR3400

    QVPN mit OpenVPN konfiguriert

    Client (Android) mit OpenVPN erfolgreich verbunden.


    VPN Netz ist 10.8.0.x

    LAN ist 192.168.1.x


    Wenn ich von extern im VPN eingewählt bin, finde ich den NAS nicht. Damit ist die VPN Verbindung aktuell ziemlich eingeschränkt nützlich. Wenn ich die vorherige Konversation richtig verstanden habe, muss ich statische Routen auf dem Router und dem NAS eintragen um ihn auch über das VPN erreichen zu können. Was genau trage ich dort ein?


    Aktuell auf dem Router:

    pasted-from-clipboard.png


    Aktuell auf dem NAS:pasted-from-clipboard.png


    Für sachdienliche Hinweise wäre ich und die ganze Familie dankbar! :)