QVPN - Datei- und Druckerfreigaberessource (10.10.10.1) ist online, antwortet jedoch nicht auf Verbindungsversuche.

    Moin Moin


    Ich könnte bitte Eure Hilfe und einen Tipp gebrauchen, was ich falsch gemacht bzw. was ich noch nicht beachtet habe. Ich hatte das VPN bereits auf einem anderen QNAP laufen, aber als "...Bodo mit dem Bagger ..." die Stronversorgung lahmlegte hat dieser QNAP es nicht ganz überstanden. Als wieder gestartet wurde, wurden 2 HDD nicht erkannt und die Raidgruppe auf nicht aktiv gesetzt.


    Mein Ziel ist es , ein QVPN vom 2. QNAP einzurichten. Darüber habe ich in der vergangenen Woche schon sehr viel im Forum gesucht und gelesen und probiert aber es klappt nicht.


    verwendete Technik:
    Fritzbox 6591 Cable - ↓ 1150 Mbit/s↑ 56,7 Mbit/s

    QNAP - TS-431, Firmware 4.3.6.1268 (aktuell) - 192.168.178.222 + 192.168.178.221

    2 PC - Windows 10 Pro 64 Bit (aktuell) -
    alle Geräte sind in der selben Arbeitsgruppe (Windows)

    Firewall ESET mit Freigabe Port 1194 eingehend und ausgehend



    In der Fritz box ist für QNAP-222 (192.168.178.222) eine Portfreigabe IPv4 und IPv6 für 1194 UDP eingerichtet.

    In den Netztwerkeinstellung QNAP - IP Adresse ist 192.168.178.222 - Ethernet1 als Standard-Gateway hinterlegt. DNS kommt von der Fritzbox

    OpenVPN ist für den Bereich 10.10.10.2 - 10.10.10.254 über Port 1194 UDP, Netztwerkschnittstelle steht auf Auto-Erkennung, DNS = NAS-Standard = automatisch beziehen = FritzBox

    siehe Grafik:



    pasted-from-clipboard.png


    auf Windows-PC wird Open VPN GIU gestartet und es wird eine Verbindung zum QVPN hergestellt.


    pasted-from-clipboard.png


    Wenn jetz am PC die Adresse \\10.10.10.1 aufgerufen wird, passiert erst einmal gar nichts. Nach einer Weile erscheint eine Fehlermeldung / Netzwerkdiagnose


    pasted-from-clipboard.png


    In der Systemsteuerung QNAP ist der Dateidienst für Microsoft-Netzwerk aktiviert und in den Erweiterten Optionen habe ich SMB 3 und SMB 1 ausgewählt.
    Auf den PCs ist bei Windows-Features ebenfalls SMB aktiv.


    pasted-from-clipboard.png




    Und jetzt die Frage:

    Was ist falsch bzw. was muss noch gemacht werden?


    Danke für Eure Hilfe

    Folge den Paketen, sprich untersuche mit einem tracerout oder tracert, wo die her laufen und ob diese ggf. eine Route nicht haben die benötigt wird, dass sie dort ankommen wo sie hin gehören.


    Wenn du einen Punkt gefunden hast, wo was nicht stimmen könnten, musst du dir die Routing Tabelle auf dieser Kiste ansehen.


    Bsp. deine Fritz, wird keine statische Route hinterlegt sein für dein VPN Netz, das muss ggf. noch eingetragen werden.


    Wenn das alles stimmt, kommen die Daten auch da an wo sie hin sollen.

    Dann müssen die aber noch durch die Firewall durch gelassen werden, also auch da noch mal prüfen, ob ggf. bestimmte Netze nicht erlaubt sind.

    Hat es denn einen bestimmten Grund dass du das Gerät unter der VPN IP erreichen willst? Wenn QVPN die routen nicht pushen kann, kannst du die routen in der Client config eintragen und solltest dann keine Probleme haben das Gerät unter der LAN IP zu erreichen...

    Wir haben bisher mit VPN so gearbeitet, dass vom Lager und vom Ladengeschäft vom Windows-PC die Open VPN GIU gestartet wurde, sich dort angemeldet wurde und die entsprechenden Freigaben bekam. Wenn im Laden Rechnungen gedruckt wurden, wurden diese per Freigabe sofort im richtigen Ordner abgelegt. Wareneingang im Lager wurde gebucht und Lieferscheine und Eingangsrechnungen auch im entsprechenden Ordner gespeichert. So gab es 1 QNAP, auf dem jeder von überall arbeiten konnte, einen weiteren zum Backup und die Cloud. Aber jetzt kann ich weder vom Lager, noch vom Laden, noch von sonstwo per VPN darauf zugreifen. NUR zuhause sind alle Geräte im gleichen Netz. Aber das nutzt nicht viel.

    Wo ist die Route des Zielnetzwerks, die fehlt.


    Dann kannst du mit der real Netzwerk IP die NAS ansprechen.

    So mache ich das ja, da meine pfSense für Client VPN einen virtuellen IP Bereich verteilt.

    Da benötige ich dann noch Regelwerk und schon läuft das über meine kleine Firewall.


    Diese gibt in meinem Fall dem Client aber auch das Zielnetz 0.0.0.0/0 mit, so das ich dann auch über meinen Tunnel Surfe.

    Danke für Deine Meldung. Das funktioniert ja. mit \\192.168.178.222 komme ich auf alle eingerichteten Freigaben.
    Ich muß es nur von den anderen Standorten zum Laufen bringen. Und das geht zZ nicht.

    Kurios ist, dass es ja scheinbar auf dem anderen System vorher lief, wenn ich das richtig verstanden habe und nur der qnap ausgetauscht wurde...

    Was mich dennoch etwas skeptisch macht: du hast den qnap in dem Netz 192.168.178.0/24, also ein Standard Netz der gängigen Router, die anderen Netze/ Standorte dürfen nicht das gleiche Netz verwenden, ist das entsprechend so umgesetzt?

    Richtig.
    192.168.178.xx - Kabel Deutschland = Vodafon

    die anderen Standorte haben Netzanbindungen von Telekom bzw. Tethering über Handy und untereinander keinen Zugriff.
    Zugriff ist nur von den anderen Standorten per VPN auf den QNAP (LAN: 192.168.178.222 bzw. VPN: 10.10.10.1)

    Ja aber die anderen Standorte haben ja unabhängig vom Provider auch ein LAN, diese Adressen dürfen nicht 192.168.178.x sein, sprich nicht im gleichen IP Adressbereich liegen!

    Bein Betrieb eines VPN Servers sollte dieser immer in einem Netz sein, welches nicht Standard bei den gängigen Routern ist, da es sonst zu Störungen kommt.

    Am besten wählst du für das LAN des qnap ein Netz wie 192.168.174.x.

    Dann wäre das Problem schonmal gelöst. Dann schreiben wir entsprechende routen in die Client configs und dann sollte alles laufen. Eventuell wie schonmal erwähnt noch ein bissl was an der Firewall, falls die dann noch was blockt, aber das wird ja in den logs stehen...

    Die Adressen der anderen LAN sind total unwichtig.


    Der Adressraum 192.xxx.xxx.xxx gehört zu den (ehemals) C-Netzen, die keine Verbindung ins internet bekommen. Daher der Router. Jedes der Geräte ist nach außen immer nur mit der IP des Providers im Netz unterwegs. Für ein VPN wird eine Konfig erstellt und die enhält die externe IP des Routers und den Port. Diese Datei muss auf die anderen Rechner kopiert werden und dann sollte es klappen.

    Bei unseren Notebooks und Tablets ist auch VPN eingerichtet und wenn alle im Haus sind nutzen wir die hinterlegte VPN und so sind mehrere Geräte vom selben LAN per VPN mit dem QNAP verbunden. Ist einfacher, als überall eine 2 Netzverbindung einzurichten. Der VPN Bereich ist groß genug 10.10.10.2 - 10.10.10.254

    (10.10.10.0 ist das gesamte Netz, 10.10.10.1 ist der VPN-Server, 10.10.10.255 ist Broadcast) also könnten 253 Geräte das Netz 10.10.10.xx nutzen) Wie dann die Bandbreite ist, ist eine andere Frage.

    Zitat von tonamerlin

    Die Adressen der anderen LAN sind total unwichtig.

    Die IPs der andere Netze sind dann wichtig, wenn sich Geräte gegenseitig erreichen sollen, die auf der einen Seite im LAN auf der anderen im VPN sitzen oder sogar nur über einen oder mehrere VPN Tunnel miteinander verbunden sind.

    So unterstützt IKEv2 dann auch Mobike, also dynamisches Routing für den Tunnel an sich.


    Aber das ist eher was für komplexere Netzstrukturen und Standortvernetzung usw. Da wird ja dann auch gern dynamisches Routing eingesetzt und es gibt eine Backup Leitung.

    Danke für Eure tollen Hinweise und Tipps.


    Ich spreche ein über QVPN verbundenes Gerät in einem anderen LAN nicht mit der IP im dortigen LAN sondern mit der vom VPN übergebenen IP an. Aber das ist alles unwichtig, weil mich das bei der Lösung nicht weiterbringt. Fakt ist, dass ich es immer noch nicht hinbekommen habe, mein QVPN zum Laufen zu bringen und dafür und nur dafür suche ich jetzt Hilfe. Ich weiß nicht, wie oft ich das alles nach Veränderungen neu gestartet habe. Aber irgendwie ist der Wurm drin.

    Dienstbindung, Zugriffschutz ist auf dem Zeilnas auch ein Punkt den man mal kontrollieren sollte.

    Zitat von tonamerlin

    Die Adressen der anderen LAN sind total unwichtig.


    Der Adressraum 192.xxx.xxx.xxx gehört zu den (ehemals) C-Netzen, die keine Verbindung ins internet bekommen. Daher der Router.

    Was hat das denn mit Router zu tun? Du sagst doch selbst, dass diese privaten IPv4-Adressen nicht ins Internet geroutet werden dürfen. Warum sollten dann IP-Pakete aus Deinem LAN den Weg über VPN wählen, wenn sie nur beschränkt routbare Adressen verwenden?

    Zitat von tonamerlin

    Ich spreche ein über QVPN verbundenes Gerät in einem anderen LAN nicht mit der IP im dortigen LAN sondern mit der vom VPN übergebenen IP an. Aber das ist alles unwichtig, weil mich das bei der Lösung nicht weiterbringt.

    Und was heißt dies nun, wenn Du behauptest, dass ein über QVPN verbundenes Gerät in einem anderen LAN nicht mit der IP im dortigen LAN sondern mit der vom VPN übergebenen IP angesprochen wird? Wie stellst Du sicher, dass diese vom VPN übergebenen IP nicht im lokalen Netzwerk vorkommt und auch nicht aus dessen Netzbereich stammt, also geroutet werden muss? Es reicht nicht, dass diesevom VPN übergebene IP-Adresse nicht im lokalen Netzwerk vorkommt. Und wenn dieses VPN-Gateway nicht einmal den Überblick hat, welche IP-Adressen im lokalen Netzwerk alle vorkommen, dann ist nicht einmal sichergestellt, dass im lokalen Netzwerk eine IP-Adresse in Verwendung ist, die identisch ist mit der vom VPN übergebenen IP-Adresse. So wie Dennis bereits geschrieben hat.

    Hallo,


    ergänzend zum Beitrag von Chef1:

    Zitat von tonamerlin

    Der Adressraum 192.xxx.xxx.xxx gehört zu den (ehemals) C-Netzen, die keine Verbindung ins internet bekommen.

    Korrekt daran ist lediglich, dass 192er-Adressen zu den Class-C-Netzen gehören. Der Rest des Satzes ist falsch.

    Du meinst die sog. privaten Netze, also Adressen, die von der öffentlichen Vergabe ausgespart wurden und niemandem "gehören", weil sie für interne Netze vorgesehen sind.

    Mehr Infos dazu findest du z.B. auf https://de.wikipedia.org/wiki/Private_IP-Adresse und speziell zu den entsprechenden Adressbereichen im Abschnitt https://de.wikipedia.org/wiki/…se#Private_Adressbereiche


    Kurzform für diejenigen, die jetzt keine Zeit oder Lust für die Links haben: Der für private Netze reservierte Class-C-Adressbereich ist deutlich kleiner als oben irrtümlich behauptet: 192.168.x.x, umfasst also die Adressen 192.168.0.0 bis 192.168.255.255.


    MfG

    Digedag64

    Allen Danke.


    Aber Inzwischen habe ich es selber hinbekommen und mein QVPN funktioniert so, wie wir es nutzen wollen.

    Und wenn Du nun auch noch sagst, wo denn das Problem war und wie Du es gelöst hast, dann haben auch andere was davon ;).


    Gruss

    Ich habe fertig!



    keine Ahnung, wie oft ich das alles runtergefahren und nach Warten wieder raufgefahren habe, die Konfig gespeichert und auf die anderen Rechner kopiert habe. Mit diesen Einstellungen funktioniert es bei uns, dass jeder vom Büro, Lager, von unterwegs und aus den Läden auf die notwendigen Daten zugreifen kann bzw. Dateien zentral gespeichert werden.


    QNAP: TS-431

    firmware: 4.3.6.1286

    Fritz.Box (6591)

    OpenVPN 2.4.7

    PCs, Notebooks,Tablets: Windows 10


    die screenshots:

    pasted-from-clipboard.png


    pasted-from-clipboard.png


    pasted-from-clipboard.png

    =O

    Portfreigaben und -weiterleitungen für das VPN auf nem QNAP ist eine Sache, aber Dein QNAP steht ja mal so richtig nackig dar...

    Alle Ports außer 1194 haben nichts mit dem VPN zu tun, Du solltest ganz dringend nochmal versuchen die anderen Ports zu schließen!