Hallo zusammen,
wie bereits vor etwas längerer Zeit in einem anderen Zusammenhang ausgeführt, haben wir weiterhin immense Probleme auf all unseren QNAPS, wenn es um das Thema VPN geht.
Gab es anfänglich noch immer wieder das Problem, dass die User z.T. TLS-Handshake-Erros bekamen, konnten wir diese nun so umgehen, dass wir in der von OpenVPN im QVPN erzeugten Konfigurationsdatei die IP der Fritzboxen gegen die öffentliche IP der NAS-Laufwerke ersetzten und so das Thema eher "umgingen", als wirklich lösten.
Dennoch - wo ein Problem gelöst wird, taucht ein anderes auf.
Weiterhin gibt es das Problem, dass die VPN-Nutzer z.T (also kein kanonisches Problem) nicht auf die NAS-Inhalte zugreifen können, obgleich sie sich mittels OpenVPN erfolgreich mit der NAS verbunden haben (dies wird in Win10 angezeigt und in der Übersicht der QVPN-Services sehe ich auch die eingeloggten Nutzer).
Trotzdem kommt beim Zugriff von Windows auf die IP oder den Namen der Freigabe die Fehlermeldung, dass die Location des Servers nicht aufgerufen werden kann.
Ich hatte vermutet, dass es allenfalls an der QuFirewall liegen könnte - und das hat sich insofern bestätigt, als dass bei deren Deaktivierung die User allesamt Zugriff haben:
Wie zu sehen ist, haben wir die entsprechende VPN-Regel erstellt und priorisiert.
Wenn wir die letzte Regel in der Liste, also "Deny All from Any" deaktivieren, dann erhalten wir Zugriff. Da ich aber die Regel "Allow any from Germany" über die letzte Regel gesetzt habe, nahm ich an, dass die unterste Regel keinen Ausschluss liefert. Oder verstehe ich das richtig wie eine Windows-Freigabe: Wenn ich dort einen User explizit für einen Zugriff ausschließe, dann negiert dies ja automatisch seine Zugriffsrechte und wird strikter gewichtet als eine Erlaubnis. Dann wüsste ich nur zu gerne, warum.
Auf der anderen Seite sollte die letzte Deny-Regel der QuFirewall EIGENTLICH gar keine Relevanz haben - schließlich befindet sich der User xy ja mittels erfolgreichem VPN-Zugriff auf der NAS - oder ist die VPN-Instanz nur so ne Art "Warteraum" und die Firewall fängt dann auch die Anfragen von dort ab, weil es ein virtualisiertes Netzwerk "vor" der physischen NAS ist?
Also beim besten Willen - keine Ahnung mehr was wir machen sollen. Auf QuFirewall wollen wir nicht verzichten, da sie massiv an Anfragen abfängt - natürlich wäre eine externe bzw. separate Firewall besser und ja das planen wir in Zukunft auch. Dennoch muss es erstmal so funktionieren.
Danke im Voraus
Mfg