VPN Client/Server Verbindung zwischen 2 NAS

  • Hallo miteinander


    Ich hoffe hier kann mir jemand weiter helfen.

    Ich würde sehr gerne eine VPN Verbindung (vorzugsweise OpenVPN) zwischen 2 QNAP Nas herstellen, welche an anderen Standorten sind, um vom NAS 1 auf den NAS 2 zugreifen zu können.

    Wichtig hierbei ist noch, dass ich lediglich per VPN aus dem NAS 1 auf das Netzwerk im NAS 2 zugreifen möchte, ohne hierbei jeglichen Traffic von NAS 1 über den NAS 2 routen zu müssen. (ist das überhaupt möglich?)


    Was ich getan habe (alles über QVPN):

    1. Bei NAS 2 OpenVPN Server mit Portweiterlung eingerichtet

    2. Bei NAS 1 OpenVPN Client eingerichtet und das Profil von NAS 2 geladen

    3. Getestet ob die Verbindung steht. Bei NAS 2 wird NAS 1 als verbundener Client angezeigt und bei NAS 1 wird die Verbindung als hergestellt angezeigt.


    Wenn ich nun aber auf NAS 1 z.B. über die Browser-Station auf das Web-Interface vom NAS 2 zugreifen möchte, kann dieses nicht gefunden werden.


    Muss ich hierfür eventuell beim Client die VPN Verbindung als Standard Gateway einrichten?

    Würde dies dann auch noch funktionieren, wenn ich noch mehr VPN Verbindungen einrichten würde?


    Client:

    ovpn_client.png


    Server:

    ovpn_server.png


    Server Einstellungen:

    ovpn_server_settings.png


    Beim Client als Standard Gateway hinzufügen?

    ovpn_client_gateway.png

  • Moin,


    als erstes solltest Du Dir dies hier zu Gemüte führen, das was Du da machst ist nicht sicher:

    Security - Das NAS offen im Internet


    Das VPN als Standardgateway setzen führt genau zu dem was Du nicht willst: dabei wird der gesamte Traffic über das VPN geroutet.


    wenn Du von einem PC Zugriff auf das andere NAS haben willst, musst Du Dich mit dem PC in das VPN einwählen. Bis jetzt kann nur der QNAP Client mit dem Server über VPN kommunizieren!


    Edit:

    falsch gelesen...


    Ansonsten, da die Verbindung offensichtlich hergestellt wurde sehe ich zwei mögliche Probleme:

    1. Die LAN IP wird nicht geroutet.

    Kannst Du auf das Gerät mit der VPN IP zugreifen? Lt. Deinem Screenshot 10.8.0.6

    Ich weiß nicht ob QVPN automatisch die LAN IP routet, ich weiß auch nicht ob es dafür Einstellungsmöglichkeiten gibt, im ernstfall einfach die Konfigdatei editieren, die der Client verwendet: route LAN-IP des Servers-Netzes Subnetzmaske (z.B, route 192.168.0.0 255.255.255.0)

    2. Die LAN IP von beiden Netzen sind identisch.

    Dein Server befindet sich offensichtlich im Netz 192.168.0.0/24, Dein Client darf sich nicht auch in diesem Netz befinden, dieser muss als LAN IP also z.B. 192.168.1.0/24 haben. Besser aber ganz andere Netze für eventuell weitere VPN Verbindungen verwenden.

    Einmal editiert, zuletzt von tiermutter ()

  • Ich habe einen IPsec Tunnel IKEv2 über die Firewalls und dann sicher mein NAS auf das Backup System auf der anderen Seite.


    Da klappt es mit dem Routing und ich kann ganz genau einstellen welcher Zugriff erlaubt ist und welcher nicht.


    NAS to NAS VPN ist da leider eine. Krücke bei der das Routing immer schon Probleme machte und vermutlich auch immer Probleme machen wird.


    Zudem jeglicher Zugriff aus dem WAN auf QNAP Dienste oder Apps ein für mich nicht kalkulierbares Risiko darstellt.

    Da gab es mehr als eine Fall mit infizierten QTS Systemen.

    Aktuell auch wieder:

    TVS-871 - langsame Oberfläche

  • Vielen Dank für eure Antworten.


    tiermutter

    Ich bin mir nicht ganz sicher, ob ich Dich richtig verstanden habe.

    Per 10.8.0.6 komme ich vom Client auf das QNAP Gui, allerdings auf das vom Client und nicht das vom Server.


    Lan IP Identisch ist leider auch nicht das Problem. Wenn ich von meinem Desktop PC aus, aus dem selben Netzwerk wie der NAS 1 ist, per OpenVPN zum NAS 2 verbinde, dann kann ich erfolgreich per LAN IP auf das Gui vom NAS 2 connecten.


    Crazyhorse

    Ne separate Firewall wäre sicher gut, würde neben zusätzlichen Kosten aber zu anderen Problem führen, da es hierzulande (Schweiz) bei fast allen Providern eine Modem/Router-Bindung gibt und dadurch Firewalls nur mit einem doppelten NAT eingesetzt werden können, was ich verständlicherweise nicht möchte (ärgerlich, aber ist leider so - Bridge/Passtrough Modus wird bei diesen Dingern nicht unterstützt).


    Dass der Port des GUI oder der SSH Port ein grösseres Risiko darstellt ist plausibel, bei dem OpenVPN Port dürfte diese Gefahr jedoch verschwindend gering sein.


    Ich versuche übers Wochenende mal L2TP aus und werde hier nochmals berichten.

  • Ich bin mir nicht ganz sicher, ob ich Dich richtig verstanden habe.

    Per 10.8.0.6 komme ich vom Client auf das QNAP Gui, allerdings auf das vom Client und nicht das vom Server.

    mhh... bin wohl etwas durcheinander mit den Bezeichnungen...

    NAS1 = Client = 10.8.0.6 => klar kommst Du mit dieser IP beim Client selbst ins GUI

    NAS2 = Server = 10.8.0.1=> damit müsstest Du vom Client das GUI und sonstige Dienste vom Server erreichen können

    Lan IP Identisch ist leider auch nicht das Problem. Wenn ich von meinem Desktop PC aus, aus dem selben Netzwerk wie der NAS 1 ist, per OpenVPN zum NAS 2 verbinde, dann kann ich erfolgreich per LAN IP auf das Gui vom NAS 2 connecten.

    Identische LAN werden früher oder später zu Problemen führen wenn Du Dich aus einem LAN einwählen willst, welches den selben Adressbereich verwendet.

    Wenn Du Dich, egal von wo, zu dem Server verbindest funktioniert das erstmal tadellos, der Verbindungsaufbau ist davon auch nicht betroffen.

    Probleme bekommst Du erst dann, wenn Du die LAN Netze routest - eben um mit der LAN IP auf die Geräte zugreifen zu können, statt mit der VPN IP.

    Und dieses Routing wird in deinem Fall nicht funktionieren wenn die Netze identisch sind. Solange Du nur nicht routest und immer die VPN IP verwendest wirst Du keine Probleme haben, es geht halt alles nur über die VPN IPs die man sich dann on top merken muss.


    und noch ein edit: klar kannst Du Dich aus dem LAN in dem der VPN Server steht mit diesem verbinden und diesen auch erreichen, Du erreichst ihn aber über das LAN und nicht über das VPN, denn es findet ja kein Routing statt!

    Einmal editiert, zuletzt von tiermutter ()

  • tiermutter

    Danke erneut für Deine Antwort.


    mhh... bin wohl etwas durcheinander mit den Bezeichnungen...

    Ja, verwirrt mich selber etwas, sorry. ;)

    Ich rede nun einfach auch vom Client und Server anstelle von NAS1 und NAS2.



    NAS1 = Client = 10.8.0.6 => klar kommst Du mit dieser IP beim Client selbst ins GUI

    NAS2 = Server = 10.8.0.1=> damit müsstest Du vom Client das GUI und sonstige Dienste vom Server erreichen können

    Client = Mit beiden IPs lande ich vom Client aus jeweils auf dem GUI vom client.

    Server = Vom Server aus lande ich mit .0.1 auf dem Gui vom Server und bei .0.6 entsteht keine Verbindung.

    Identische LAN werden früher oder später zu Problemen führen wenn Du Dich aus einem LAN einwählen willst, welches den selben Adressbereich verwendet.

    Hier lande ich leider wieder bei unseren tollen Providern mit Routerzwang, welche weder Bridge Modus, noch das verstellen des Sub-Netzes erlauben. Zum glück habe ich hier aber zwei verschiedene Provider/Router bei welchem das Subnetz mit 0 und 1 (192.168.0.x / 192.168.1.x) sich voneinander unterscheiden.

  • Client = Mit beiden IPs lande ich vom Client aus jeweils auf dem GUI vom client.

    Server = Vom Server aus lande ich mit .0.1 auf dem Gui vom Server und bei .0.6 entsteht keine Verbindung.

    Das klingt ziemlich merkwürdig, dafür habe ich keine Erklärung parat. Du testest das alles mit der Browser Station? Habe ich noch nie verwendet, evtl gibt es hier noch irgendwelche Eigenheiten?


    Was mir bei den Screenshots noch aufgefallen ist: Du hast den server durchaus als Standard gateway angegeben, das wolltest du so ja nicht.

    Wird aber auch nicht das Problem lösen...

    Hoffe es hat jemand anders eine Idee dafür...


    Die Einschränkungen durch die Provider bei euch mag ich mir kaum vorstellen... Firmen haben diese Einschränkungen nicht? Ich meine... Wie sollen die denn vernünftig arbeiten? ?(

  • Ich kann mir auch nur schwer vorstellen, das die Schweizer TK Provider identische IP Ranges im WAN(10.8.x.x) und im LAN verwenden!?

    Und auch, das im LAN immer nur dieselbe IP Range erlaubt ist, wäre sehr seltsam.

    Und die Frage von tiermutter ist berechtigt, wie stellen Unternehmen die VPN Verbindung zwischen den Niederlassungen sicher?

    Sicher nicht mit QVPN 8o!


    Und was sagt überhaupt der Provider zu VPN? hast Du dort schon mal gefragt?


    Gruss

  • tiermutter und FSC830

    Ich glaubte es zu Beginn auch kaum, ist aber effektiv so. In der Schweiz gibt es keine Routerfreiheit.

    Firmenkunden bekommen andere Hardware, bezahlen für die selbe Leistung dann aber gut das doppelte.

    Es wird sicherlich auch kleinere Anbieter geben, welche bessere Hardware mitsenden, nur möchte ich nun nicht den Provider wechseln.


    Nach langem Hin und Her hatte mir mein Provider mitgeteilt, dass Sie mir statt ihrer Noname-Schrottbox statdessen eine Fritzbox zusenden können. Die Freude war aber schnell vorbei, als ich diese in Betrieb genommen hatte und feststellen musste, dass eine gebrandete Firmware installiert ist, bei welcher diese Funktionen ebenfalls entfernt wurden - weswegen auch immer. :rolleyes:


    Und was sagt überhaupt der Provider zu VPN?

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von Provider (Sunrise)

    "Was ist VPN?" :/


    Ich hatte mehrmals mit unserem Provider (Sunrise) deswegen Kontakt aufgenommen. Nach gefühlten Hundert Anfragen erhielt ich dann die Antwort (von jemandem der es Verstand), dass dies Firmenkunden vorbehalten sei.

  • Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Ich hatte mehrmals mit unserem Provider (Sunrise) deswegen Kontakt aufgenommen. Nach gefühlten Hundert Anfragen erhielt ich dann die Antwort (von jemandem der es Verstand), dass dies Firmenkunden vorbehalten sei.

    Bezieht sich diese Aussage auf VPN!?

    Gibt es in der Schweiz tatsächlich solche kastrierte Anschlüsse, die kein VPN erlauben!?

    Das kann ich nicht glauben.

    Das wäre genau so, als ob der Provider Dir vorschreibt, welche Webseiten und Dienste Du nutzen darfst. Da wäre die Zensur in China nur ein kümmerlicher Ableger :P.

    Ich glaube das einfach nicht.

    Das widerspricht doch gänzlich dem Bild, das die Schweiz gerne von sich vermittelt.

    Ich habe hier einen Thread gefunden, 1 Jahr alt, also noch als aktuell anzusehen, in dem behauptet wird, das auch die Schweizer Provider andere Router zulassen bzw. auch Konfigurationsdaten geben müssen.

    VPN scheint sonst mit der Sunrise Box nicht möglich zu sein.


    Ich würde da nachbohren, notfalls nur ein Modem des Providers einsetzen und einen gescheiten Router dahinter, falls das möglich ist (z.B pfSense). Damit kannst Du dann alles realisieren.

    Oder mind. ein unkastrierte Fritzbox.

    Wie sieht es dann überhaupt mit einem DDNS aus? Das benötigst Du ebenfalls.


    Gruss

  • Zur Not halt doppeltes NAT, das läuft auch wenn man es sauber einrichtet.


    Ich wollte das nicht, weil ein Modem einfach nur die Pakete umsetzt und damit kein Session Limit hat.

    Denn wenn ich am PC meine Games anwerfe dann ziehen die auch mal 12k States also 6000 Verbindungen.

    Da fliegt fast jede Providerbox ins Limit.


    Mein Netgate SG-3100 ist halt ein Monster in der Hinsicht und kann 202k States verwalten.

    Der VPN Tunnel zum SG-1100 läuft mit Hardware Crypto und rennt mit max Uplink.

    Auch hier ist die Fritz durch ein Modem ersetzt, da ich auch hier kein Bock mehr auf den Intel Puma 6 Schrott hatte.



    Was hast du denn für einen Anschluss?

    DSL, Cabel, Fiber?

  • Zur Not halt doppeltes NAT, das läuft auch wenn man es sauber einrichtet.

    Klingt erstmal nach der einzigen Möglichkeit...

    Aber wie ist es denn wenn man sich bei euch einen "freien" Router schnappt und den Providermist ersetzt? Wird sicherlich Erfahrungen zu deinem Provider geben... Evtl ist die FW der Fritte ja nur kastriert...

    Liegen dir denn Zugangsdaten vom Provider vor?

    Vermutlich wirst du aber tatsächlich an den Router gebunden sein, zumindest wenn die Provider bei euch Geld mit diesen... Zusatzleistungen machen können...

  • Bezieht sich diese Aussage auf VPN!?

    Nein, sorry. Diese Aussage bezieht sich auf die Funktion den Router/das Modem in den Bridge Modus zu setzen um einen eigenen Router anhängen zu können, ohne ein doppeltes NAT zu erzeugen. OpenVPN für sich ist technisch vom Provider kaum zu blocken, da der Port frei Wählbar ist.

    Ebenfalls beziehe ich mich darauf, dass bei vielen dieser gebundenen Routern das Subnetz nicht verändert werden kann. Also LAN 192.168.0.x oder 192.168.1.x ohne Möglichkeit dies zu ändern. Bei der gebrandeten Fritz lässt sich dies nun verstellen, bei dem Router des anderen Anbieters jedoch nicht.

    in dem behauptet wird, das auch die Schweizer Provider andere Router zulassen bzw. auch Konfigurationsdaten geben müssen.

    Ich habe mir bei zwei verschiedenen Providern ein Bein ausgerissen um diese zu bekommen. Ist vergebliche Mühe und wird nicht mitgeteilt. Dass der Provider zur Mitteilung der Daten verpflichtet ist, ist ein Irrglaube.

    Die Aussagen welche man Online liest widersprechen sich da manchmal gegenseitig, ich schreibe aber hier leider mit praktischer Erfahrung.


    Soweit ich es verstanden habe, kommt das Durcheinander daher, dass bei Glasfaseranschlüssen die Daten mitgeteilt werden, da der Eigner des Anschlusses verpflichtet ist diesen den Mitbewerbern zu guten Konditionen zu vermieten - Somit wird vermutlich bei Glasfaser die Daten dem Kunden mitgeteilt. Dies kann ich aber nicht mit Sicherheit sagen (beruht auch nur auf Aussagen im Netz), da ich leider bei beiden Standorten noch die alten Kupferleitungen verwenden muss.

    Das widerspricht doch gänzlich dem Bild, das die Schweiz gerne von sich vermittelt.

    Jaja, die Schweiz vermittelt ein gutes liberales Bild. Der Kapitalismus steht hier aber natürlich an vorderster Stelle. :evil:


    Wenn Firmen mit dem Endbenutzer-Anschluss alle Funktionen erhalten, weswegen sollte dann ein Abo mit der selben Performance zum doppelten bis dreifachen Preis erworben werden?

    Ist zumindest für mich die einzige Erklärung dafür, weswegen auch eine Fritzbox so gebrandet wird, dass solche Funktionen verschwinden.

    Vielleicht ist das aber auch nur meine paranoide Vorstellung der Welt - möchte hier keine politische Debatte vom Zaun brechen. :beer:



    Edit: erst jetzt gesehen, dass ihr während meiner Antwort ebenfalls geantwortet habt.

    Auf Hardware-Firewall/doppeltes NAT möchte ich so oder so verzichten. Dann lege ich mein Projekt lieber auf Eis.

    Es geht hier eher um eine Spielerei meinerseits als um etwas wirklich zwingend notwendiges, wofür ich zusätzliche Hardware erwerben möchte - auch wenn nun kein Routerzwang bei uns vorhanden wäre.


    Ich werde aber eben dieses Wochenende mal noch zuerst die anderen VPN Protokolle testen, oder versuchen den VPN Client und Server als Container einzurichten (was mich aber vermutlich überfordern wird). Eventuell wurde ja auch nur OpenVPN von QNAP nicht sauber implementiert.

    Einmal editiert, zuletzt von qnapdoonap ()