QVPN Probleme in Verbindung mit QuFirewall

    Hallo zusammen,


    wie bereits vor etwas längerer Zeit in einem anderen Zusammenhang ausgeführt, haben wir weiterhin immense Probleme auf all unseren QNAPS, wenn es um das Thema VPN geht.


    Gab es anfänglich noch immer wieder das Problem, dass die User z.T. TLS-Handshake-Erros bekamen, konnten wir diese nun so umgehen, dass wir in der von OpenVPN im QVPN erzeugten Konfigurationsdatei die IP der Fritzboxen gegen die öffentliche IP der NAS-Laufwerke ersetzten und so das Thema eher "umgingen", als wirklich lösten.


    Dennoch - wo ein Problem gelöst wird, taucht ein anderes auf.


    Weiterhin gibt es das Problem, dass die VPN-Nutzer z.T (also kein kanonisches Problem) nicht auf die NAS-Inhalte zugreifen können, obgleich sie sich mittels OpenVPN erfolgreich mit der NAS verbunden haben (dies wird in Win10 angezeigt und in der Übersicht der QVPN-Services sehe ich auch die eingeloggten Nutzer).

    Trotzdem kommt beim Zugriff von Windows auf die IP oder den Namen der Freigabe die Fehlermeldung, dass die Location des Servers nicht aufgerufen werden kann.


    Ich hatte vermutet, dass es allenfalls an der QuFirewall liegen könnte - und das hat sich insofern bestätigt, als dass bei deren Deaktivierung die User allesamt Zugriff haben:

    s1.png

    s2.JPG


    Wie zu sehen ist, haben wir die entsprechende VPN-Regel erstellt und priorisiert.

    Wenn wir die letzte Regel in der Liste, also "Deny All from Any" deaktivieren, dann erhalten wir Zugriff. Da ich aber die Regel "Allow any from Germany" über die letzte Regel gesetzt habe, nahm ich an, dass die unterste Regel keinen Ausschluss liefert. Oder verstehe ich das richtig wie eine Windows-Freigabe: Wenn ich dort einen User explizit für einen Zugriff ausschließe, dann negiert dies ja automatisch seine Zugriffsrechte und wird strikter gewichtet als eine Erlaubnis. Dann wüsste ich nur zu gerne, warum.


    Auf der anderen Seite sollte die letzte Deny-Regel der QuFirewall EIGENTLICH gar keine Relevanz haben - schließlich befindet sich der User xy ja mittels erfolgreichem VPN-Zugriff auf der NAS - oder ist die VPN-Instanz nur so ne Art "Warteraum" und die Firewall fängt dann auch die Anfragen von dort ab, weil es ein virtualisiertes Netzwerk "vor" der physischen NAS ist?


    Also beim besten Willen - keine Ahnung mehr was wir machen sollen. Auf QuFirewall wollen wir nicht verzichten, da sie massiv an Anfragen abfängt - natürlich wäre eine externe bzw. separate Firewall besser und ja das planen wir in Zukunft auch. Dennoch muss es erstmal so funktionieren.


    Danke im Voraus

    Mfg

    Moin,

    Zitat von sheuberger

    die IP der Fritzboxen gegen die öffentliche IP der NAS-Laufwerke ersetzten und so das Thema eher "umgingen",

    Ich kenne jetzt den Aufbau der Netze nicht, aber genau so muss das sein, anders kann es gar nicht gehen.

    Zitat von sheuberger

    Wie zu sehen ist, haben wir die entsprechende VPN-Regel erstellt und priorisiert.

    Ich blicke durch die halbgare QuFirewall noch nicht ganz durch, diese Regel müsste nach meinem Verständnis und auf den ersten Blick aber dafür sorgen, dass der Zugriff gestattet wird. Nur ist das wohl nicht der Fall, weshalb die nächste zutreffende Regel die default deny ist.

    Zitat von sheuberger

    Da ich aber die Regel "Allow any from Germany"

    Die ist unrelevant, da die IP Range des VPN nicht "Germany" ist sondern "private".

    Zitat von sheuberger

    sollte die letzte Deny-Regel der QuFirewall EIGENTLICH gar keine Relevanz haben - schließlich befindet sich der User xy ja mittels erfolgreichem VPN-Zugriff auf der NAS

    So lange keine vorgelagerte Regel zutrifft, trifft die default deny Regel zu, dabei ist es unrelevant ob schon ein erfolgreicher VPN Zugang besteht, der User befindet sich im VPN-Adressbereich, dem es bislang (komischerweise trotz der VPN Regel) nicht gestattet ist auf das NAS zugreifen zu dürfen. Der Aufbau des VPN wird ja spätestens durch die allow germany Regel gewährt.


    Kann man bei der VPN Regel noch irgendwelche Parameter setzen? Sowas wie "first match"?

    Hallo


    Danke für deine Antwort.


    Eine Art "first match", also eine Art Reihenfolge - soweit ich das korrekt verstehe - kann ich umsetzen, indem ich die Regel nach oben oder unten (in der Liste) schiebe. Das wurde auch gemacht - aber ..... naja...


    Dachte noch, dass es ggf. an ipv6 liegen könnte, da jenes bei Fritzboxen oftmals Probleme machen. Habe aber keinen Unterschied gemerkt.


    Was meinst du mit:

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln und Die Zitat Funktion des Forums richtig nutzen

    Zitat von tiermutter

    Die ist unrelevant, da die IP Range des VPN nicht "Germany" ist sondern "private".

    Mir ist gerade in den Sinn gekommen bei verbundener VPN-Verbindung mal den Server zu pingen. Das läuft auf eine Zeitüberschreitung hinaus, während ich die Fritzbox im Netz aber pingen kann.

    Einmal editiert, zuletzt von sheuberger ()

    Zitat von sheuberger

    Was meinst du mit:

    Die Regel erlaubt den Zugriff von deutschen IP Adressen , nicht aber von privaten IP Adressen , zu der auch die IP des VPN gehört.

    Die allow Germany Regel trifft also schlichtweg nicht für einen Client im VPN zu.

    Was ist wenn Du eine Regel auf allen Interfaces erstellst "allow source=[Adressbereich des VPN]" ?

    Zitat von sheuberger

    Dachte noch, dass es ggf. an ipv6 liegen könnte,

    Ich weiß gar nicht, ob QVPN ipv6 überhaupt im Tunnel verwendet... das sieht man ja bei den Clients, ob denen eine ipv6 zugewiesen wird. Glaube ich aber nicht, da man den Adressbereich in der GUI vermutlich gar nicht festlegen kann.

    mmmh. ok...


    ich habe eine QNAP, an der es funktioniert. Eine von 20... Auf der ist eine Eintragung in der Firewall anders - und ich glaube es könnte daran liegen.... @Vermutung:


    s3.png


    Das Problem: Ich kann in der QuFirewall genau diesen Eintrag NICHT erstellen. Ich habe jetzt die QuFirewall mal deinstalliert und erneut installiert - so dass er ggf. bestehende Verbindungen als valide erachtet und die Einträge des Virtual Interface u.U. vom System gesetzt werden. Funktioniert aber dennoch nicht.


    Dein Ansatz hinsichtlich "allow source=[Adressbereich des VPN]" geht wohl in die gleiche Richtung

    Einmal editiert, zuletzt von sheuberger ()

    Unter Virtual Interface würde ich eher ein VLAN vermuten und nicht das VPN :/ Was steht da denn in den Klammern?

    Zitat von sheuberger

    Dein Ansatz hinsichtlich "allow source=[Adressbereich des VPN]" geht wohl in die gleiche Richtung

    Vielleicht, ich verstehe nur noch nicht, was das Virtual Interface ist :S

    Mit der Regel wäre aber für alle Interfaces (und dann ist egal ob es VPN oder Virtual Interface heißt) die VPN-IP-Range freigegeben. Wenn das auch nicht geht verstehe ich die QuFirewall wirklich nicht :D

    Also wenn ich auf den gleichen Adressbereich eine Regel erstelle - allerdings geht das nur mit "Any Interface" und nicht speziell Virtual Interface, dann klappt die Verbindung. :D


    Es würde mich dennoch interessieren, WER diesen Eintrag setzt im System


    Danke dir für den Hinweis mit dem VPN bzw. entsprechenden Range freigeben.


    Ich denke, dass QNAP das VPN als VirtualInterface betrachtet - nur leider gibt es unter Virtuelle Schnittstellen oder sondtwo im System keine Verbindung, sodass man selbst in QuFirewall diesen Eintrag nicht setzen kann.


    Wäre es aber doch möglich, dass sich jemand von Auswärts mit der 10.8.0.x auf die NAS verbinden kann?

    Zitat von sheuberger

    Also wenn ich auf den gleichen Adressbereich eine Regel erstelle - allerdings geht das nur mit "Any Interface" und nicht speziell Virtual Interface, dann klappt die Verbindung. :D

    Na genau das meinte ich doch :)


    Von außen kann mit der IP Range niemand kommen. Sauber wäre es aber dennoch, wenn die Regel dem VPN zugewiesen ist und nicht allen Interfaces.

    Die QuFirewall ist halt irgendwie Beta.