OpenVPN mit QVPN Service 3 - Ich schaffs nicht!

    (Alle Angaben sind natürlich nur Beispiele, nicht die wirklichen Einstellungen auf meinen Systemen)

    Hallo zusammen!


    Ich hab bisher absolut keine Ahnung von VPN und hab versucht mich stur an die Anleitungen zu halten - und bin gescheitert!


    Ich möchte erreichen: Zugriff per VPN auf mein NAS (TS251+) von überall her per PC - möglichst sogar per gemapptem Laufwerk, mindestens jedoch über Browser (später auch Tablet, Handy,...alles Android) (Router ist FB 7590)


    Ich habe dafür getan:

    1. Konto bei CyberghostVPN erstellt, VPN für "other device" erstellt, Protocol "openvpn", country "germany", server group "87-1-DE.cg-dialup.net", servername "xxx", password "yyy",

    preshared "cyberghost"
    2. Configurationsfile mit openvpn.openvpn, ca.crt, client.crt, client.key von cyberghostvpn downgeloadet
    3. Auf der FB fürs NAS eine Portfreigabe eingerichtet ("Andere Anwendung", Protokoll "UDP", Port an Gerät "9090" bis "9090", Port extern gewünscht 1149)

    FRAGE: Muss ich das überhaupt? Ich dachte, ich könnte das NAS auch direkt aus dem Internet erreichen, ohne Portforwarding über die FB, auch wenn sie mein Router ist!?!?

    4. Auf dem NAS QVPN Service 3 installiert

    5. In QVPN VPN-Verbindungsprofil hinzugefügt, O.A. Dateien hochgeladen, Serveradresse "87-1-DE.cg-dialup.net", "Benutzer "xxx", Password "yyy" eingetragen, crt- und key-dateien

    hochgeladen, SubnetzMask 255.255.255.0 und auf "Erstellen" geklickt.

    6. In QVPN aus Menu VPN-Server den OpenVPN ausgewählt, aktiviert, "Konfigurationsdatei "openvpn.opvpn" von cyberghostvpn runtergeladen, IP-Adressbereich für VPN-Clients stehen
    gelassen auf "10.8.0.2 - 10.8.0.254" Serverport "UDP - 1149", Max Clients "5", Verschlüsselung "Mittel" Netzwerkschnittstelle "Alle", DNS "NAS-Standard" und alle übernommen.


    UND JETZT?


    Wie spreche ich jetzt mein NAS von außen an? Mit welcher Internet-/oder IP-Adresse?

    Klar hab ich auf meinem Laptop auch den cyberghostVPN installiert und hatte nun gedacht, der baut mehr oder weniger automatisch einenh Tunnel zwischen den von mir in meinem Konto angegebenen Geräten auf, aber nix da!


    Brauche ich denn jetzt doch noch wieder eine DDNS-Adresse, mit der ich das NAS von außen ansprechen kann, die immer gleich bleibt? Aber wieso dann der ganze VPN-Kram, könnte dann nicht jemand unbefugtes drauf, der zwar kein VPN hat, aber die myqunapcloud-Adresse rausbekommen hat? Kann ich als Adresse auch die "myqnapcloud"-Adresse verwenden um mein NAS von außen anzusprechen oder ist das dann ohne VPN?

    Große Verwirrung jedenfalls bei mir, der aus Unwissenheit dann geglaubt hat, ich könnte mit einer VPN-Software einfach einen direkten Tunnel zwischen zwei Geräten entstehen lassen, die das gleiche Tunnelprotokoll sprechen können. Eventuell schmeiß ich auch grad alle möglichen Wege durcheinadner, mag sein!


    Bitte HIFLE - wenns geht - s.o. - für Anfänger-Dummies in diesem Bereich formuliert :) Danke sehr!


    LG, Euer BikeFun :)

    Zitat von BikeFun

    Konto bei CyberghostVPN erstellt,

    Ne .. das ist ein Anonymisierungsdienst .. der ist zum illegalen runterladen von Filmen usw. nicht zum Verbinden nach Hause .. also direkt wieder abmelden


    Hab QVPN noch nicht benutzt (VPN gehört aufs Edge Device und nicht aufs NAS) .. aber hier ist ne Anleitung


    QVPN einrichten und verwenden
    Über QVPN Übersicht VPN-Dienst QBeltPPTPL2TP/IPSec (PSK)OpenVPNBerechtigungseinstellungen ...
    www.qnap.com

    Vergiss QVPN und myqnapcloud und nutze statt dessen das VPN der Fritzbox. Da brauchts auch keine Portfreigaben.

    Anleitungen zu Fritz VPN gibt es in Hülle und Fülle.

    Hallo dolbyman & biboca!


    Erstmal herzlichen Dank für Eure Antworten!


    dolbyman, ich hab mit Hilfe der Anleitung und ein bischen googeln und tüfteln jetzt eine stabile Verbindung hinbekommen. QVPN zeigt an, dass ein VPN-Benutzer verbiunden ist (Bildschirmausdruck siehe unten) - jetzt bereits seit 30 Minuten, aber ich komme auf nix drauf. Auch mein Handy kann ich mit OpenVPN einwandfrei mit dem NAS verbinden, komme aber auch nirgendwo drauf.

    Selbst wenn ich am Handy nur im Browser im Adressfeld die interne IP des NAS eingebe (inkl. Port), läuft der Browser sich tot. In den Logs steht Login OK, etc....


    Hat jemand eine Idee, was mir noch fehlen könnte bzw. kann ich irgendwo noch etwas nachschauen, was Euch helfen könnte mir zu helfen?


    Danke, LG Grüsse, BikeFun

    Ich würde das Vorhaben verwerfen und so wie biboca (und auch dolbyman) vorgeschlagen hat verfahren!

    Oder hast Du einen speziellen Grund es unbedingt auf diese (schrottige) Weise machen zu wollen?

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Hallo tiermutter


    Danke für Deine Antwort. Da ich ja Rat suchte, bin ich Deinem mal gefolgt und hab es dann auch einmal mit wireguard versucht.

    Ergebnis: Desktop unter windows funzt (fast - s.u.) sofort und einwandfrei, Handy - trotz einfachem Barcode-Scan funzt leider nicht.


    Hinzu kommt, das wireguard nur dann funzt, wenn ich Adminrechte auf meinem Konto habe. Da ich in einem kleineren Unternehmen arbeite könnte ich das zwar machen - hab ich zum Ausprobieren ja auch - aber ich möchte eigentlich nicht die ganze Zeit mit Admin-Rechten bzw. Admin-Konto arbeiten.

    Da find ich wireguard an dieser Stelle dann eher "schrottig" - wie Du Dich so schön ausgedrückt hast - auch wenn der Desktop auf Anhieb einwandfrei funktioniert hat, ist das schon ganz schön dämlich gelöst!


    ALso entweder zurück zu OpenVPN - das ich ja bis jetzt nicht ans Laufen bekommen hab oder die ganze Zeit im Netz als Admin rumgeistern - echt die Wahl zwischen Pest und Cholera - aber vielleicht hat noch wer ne Idee, warum OpenVPN nicht lief - wenn ich dazu irgendwelche Protokolle etc. posten kann/soll gern bitte melden!


    Danke für Eure Hilfe :)


    Gruß, BikeFun

    Ja, Wireguard ist von einer "ordentlichen" Lösung noch Meilenweit entfernt, für Privat nutze ich es aber sehr gerne (habe allerdings keine Fritte).

    Da ich am Rechner stets Adminrechte habe, kenne ich das Problem nicht. Allerdings muss für jedes VPN ein Interface erstellt und Routen angepasst werden, keine Ahnung ob das mit anderen Protokollen besser geht. IPsec wäre bei Fritte ja auch noch eine Alternative.


    Wenn es doch mit QVPN und OVPN weitergehen soll: kein Problem, wir zeigen ja nur bessere und sicherere Alternativen auf ;)

    Hast Du OVPN eigentlich schon mit Admin ausprobiert? Werden ohne vielleicht auch hier keine Routen geschrieben?

    Und Apps als Admin ausführen klappt auch nicht/ soll nicht sein?

    2 Mal editiert, zuletzt von tiermutter () aus folgendem Grund: Ein Beitrag von tiermutter mit diesem Beitrag zusammengefügt.

    Leider disqualifiziert sich wireguard immer mehr. Nach etlichem Googeln hatte ich jetzt eine Umgehungslösung gefunden

                                                                                   https://news.ycombinator.com/item?id=25533772

    die zwar tatsächlich funktioniert, so dass man - nach einmaliger EInrichtung - für die Ausführung keine Admin-Rechte mehr benötigt, es ist aber so, dass ab Start von Wireguard anscheinend und unkonfigurierbar SÄMTLICHER Verkehr - auch der "normale" Netzverkehr - versucht wird über den VPN zu schicken. Das bedeutet z.B., dass auf meinem Schäppi nicht ein einziges gemapptes Netzlaufwerk mehr funktioniert, so lange der Tunnel aktiv ist... danach funzen sie wieder - zumindest bisher!


    Ich brauch eindeutig eine andere, aber ebenso sichere Lösung! :)


    Grüsse, BikeFun

    Auch WG routet nur das durch den Tunnel, was in der Config vorgegeben ist, kann mir nicht vorstellen, dass der Workaround was ändert, aber vielleicht sehe ich es auch nicht...

    Wie sieht denn allowed IPs in der Client Config aus?

    In der Config von WireGuard auf dem PC musst du den Eintrag 0.0.0.0/0 entfernen, damit wird der komplette Traffic über WireGuard zur FritzBox gesendet. Es sollte dann nur die Netzwerkadresse der FritzBox vorhanden sein, standardmäßig wäre es 192.168.178.0 .

    Zitat von Eraser-EMC2-

    In der Config von WireGuard auf dem PC musst du den Eintrag 0.0.0.0/0 entfernen

    Hallo Eraser,


    und besten Dank! Das hat in der Tat funktioniert! Obwohl ich beim manuellel Erstellen der Verbindung in der Fritte extra nicht angehakt hatte, dass der gesamte Netzverkehr über Wireguard laufen sollte, stand der Eintrag trotzdem in der Config-Datei!

    Mit Deinem Tip und der o.g. Umgehungslösung werd ichs jetzt erstmal die nächsten Tage mit Wireguard probieren!


    THX @ ALL :)


    LG, BikeFun