Gegenseitiges VPN zwischen 2 NAS Geräten.

Cheers,

ich wollte mal fragen, ob ich einen Denkfehler mache.

Folgende Konstellation:

Ich besitze ein TS-471 und ein TS-473, beide haben die aktuelle Firmware, beide haben QVPN Service 2 installiert, beide hängen hinter einer Fritte.

Der TS-471 hängt hinter einer 7590,

der TS-473 hängt hinter einer 6490,

an beiden Fritten sind jeweils folgende Ports offen:

Für PPTP: TCP 1723 und GRE

Für L2TP/IPSec: UDB 500, UDP 1701, UDP 4500 und ESP.

Aufmerksame Zeitgenossen erkennen schon richtig: die 6490 ist eine Kabelbox,

diese hängt an einem Kabelanschluss und ich bin noch einer der Auserwählten, die KEIN DualStack Lite haben.

Ich habe mich von Vodafone auf vollwertiges DualStack umstellen lassen;

ich habe also eine echte IPv4-Adresse, die nur mir alleine gehört... MEIN SCHATZZZZZZZZZ!!!

Nun habe ich auf der TS-473 einen VPN-Server (L2TP/IPSec) eingerichtet,

in welchem sich von einem anderen Anschluss die TS-471 erfolgreich einwählen kann.

Der Datenverkehr funktioniert soweit auch ganz gut.

Nun will ich das gleichzeitig auch UMGEKEHRT machen.

Auf der TS-471, die hinter der 7590 hängt habe ich dann ebenfalls einen VPN-Server eingerichtet (auch L2TP/IPSec),

in welches sich dann die TS-473 einwählen soll.

Tja,... genau DA liegt das Problem. Sie tut es einfach nicht.

Wenn ich den VPN-Tunnel TS-471 zu TS-473 beende, DANN kann sich die TS-473 in die TS-471 einwählen.

Kurz gesagt: bei L2TP/IPSec kann sich nur jeweils EIN Gerät in das jeweils andere einwählen.

Ein gegenseitiger VPN-Tunnel geht NICHT.

Wenn ich das mit PPTP versuche, klappt alles wunderbar.

Ich benutze derzeit daher PPTP, will es aber nicht, da eben nicht sicher.

Ich übertrage nichts sensibles, aber es geht ums Prinzip.

Ist es möglich, beide QNAPs zu überreden, dass sie sich GEGENSEITIG einwählen,

so dass ich einen L2TP Tunnel in BEIDE Richtungen habe?

In den Fritten sind übrigens die korrekten statischen Routen eingetragen, damit die entfernten Netzwerke auch erreichbar sind.

Ach ja, apropos:

Die 6490 hat die IP Struktur 192.168.178.0

Die 7590 hat die IP Struktur 192.168.179.0

Das NAS an der 6490 hat die IP 2, das an der 7590 hat ebenfalls die IP 2.

In der 6490 ist eine statische Route eingetragen, die alle Pakete für das Zielnetz 192.168.179.0 an die 192.168.178.2 (TS-473) leitet.

In der 7590 ist eine statische Route eingetragen, die alle Pakete für das Zielnetz 192.168.178.0 an die 192.168.179.2 (TS-471) leitet.

Die Client-IP Bereiche von beiden NAS sind ebenfalls unterschiedlich.

Gibt es eine Möglichkeit, das alles über L2TP laufen zu lassen?

Vielen Dank schonmal.

Hallo,

danke für die flotte Antwort.

Das QNAP hängt nicht KOMPLETT offen am WAN, sondern nur die VPN Ports.

Das VPN der Fritten ist bei aller Liebe keine Erwähnung wert, da die CPU der Fritten hoffnungslos unterdimensioniert dafür sind.

Mehr als ein knappes Megabyte pro Sekunde sind da nicht drin.

Die Routen sind notwendig, eben DAMIT alle Nutzer aus dem LAN in das entfernte LAN geroutet werden.

In der Hinsicht IST es ja eine LAN-zu-LAN-Verbindung.
Die Rechner bauen das VPN damit nicht mehr SELBER auf, das VPN ist vom QNAP aufgebaut.

Sobald ein Datenpaket an eine IP-Adresse gesendet wird, die NICHT das heimische LAN ist,

leitet die Fritte die Datenpakete an das NAS weiter, damit dieser sie über das VPN in das entfernte NAS schickt.

OHNE diese Route muss sich jeder Rechner SELBER einwählen, was nur mit PPTP gehen würde, da L2TP keine MEHRFACHVERBINDUNGEN zulässt.

OpenVPN kommt übrigens auch nicht infrage, da sich auch Mobilgeräte und Laptops einwählen müssen, auf denen KEINE Zusatzsoftware installiert werden darf.

Es muss also alles mit Bordmitteln gehen können.

Leider scheinen aber ZWEI Verbindungen NÖTIG zu sein.

Mit einer VPN-Verbindung von der TS-471 zur TS-473 kann ich nur in EINE Richtung zugreifen.

Die Remoteseite kann NICHT den Tunnel nutzen und in mein LOAKLES LAN zu gelangen.

Dazu müsste die Remoteseite ihrerseits ein VPN in mein LOKALES LAN aufbauen.

Na gut, dann werde ich die .179 mal abändern in ein anderes Subnetz,

obwohl ich das Gastnetz gar nicht benutze.

Aber ich glaube nicht, dass es daran liegt.

Das Routing mag ja nicht funktionieren, die Einwahl ist davon ja nicht betroffen.
Routingprobleme kenne ich: Ich kann mich dabei aber problemlos in ein VPN einwählen.

Das war's dann aber auch schon. Es fließen keine Daten.

Außerdem ist es ja so: BEIDE Geräte können sich in das jeweils andere Gerät

fehlerfrei einwählen und Daten übertragen, aber halt eben nicht zu selben Zeit.

Das heißt, ein Routing in das .179 IST möglich und funktioniert.

Fritzbox1: 192.168.178.1

NAS1: 192.168.178.2

DHCP-Bereich des VPN-Server auf dem NAS: 10.0.1.1 - 10.0.1.99

Fritzbox2: 192.168.179.1

NAS2: 192.168.179.2

DHCP-Bereich des VPN-Server auf dem NAS: 10.0.2.1 - 10.0.2.99

Die Fritzboxen kommen ja gar nicht in die Verlegenheit,

einen Konflikt zu provozieren mit dem integrierten VPN Client, da dieser schlicht nicht genutzt wird.

Damit bleibt der .179 Bereich frei und das Routing scheint ja auch zu funktionieren.

Jagnix: Kommt nicht infrage.

Es werden in regelmäßigen Abständen große Imagedateien von A nach B übertragen,

und selbst ein schlecht getakteter ISA-Bus hat mehr Übertragungsrate als die Fritzboxen.

Leider hat sich CPU mäßig nicht allzuviel getan.

Nun habe ich aber leider den Verdacht, dass da ESP der Übeltäter ist, wenn es schon "benutzt" wird.

Kann das aber kaum beweisen oder ausschließen.

Mal eine andere Frage diesbezüglich, wer sich damit besser auskennt:

Wenn NAS1 sich in NAS2 einwählt, können alle Geräte im LAN von NAS1 auf die Geräte im LAN von NAS2 zugreifen, soweit, sogut.

Können mit DIESER Verbindung nun die Geräte aus dem LAN von NAS2 auf die Geräte im LAN von NAS1 zugreifen?

Das würde mir dann das gegenseitige VPN ersparen. Denke aber nicht, dass das geht.