VPN Zugriff TS-464 hinter OpenSense

    Hallo liebe Leser,

    ich hänge in den Seilen . . .


    Nach Totalausfall Tausch der QNAP auf Modell TS-464-4G. Danach Grundeinrichtung und Rückspielen der Daten auf die NAS die gewünschte(n) Funktion(en) im LAN ohne Probleme - WebUI, SMB und SSH. Was nicht mehr funktioniert ist der Zugriff via VPN - nich über die WebUI noch mit Explorer bzw. SSH. Keine Idee mehr . . . Im Folgenden die Konfiguration und die (misslungenen) Tests.


    Als Router ein Lancom R884VA und VPN-Server spielt eine OpenSense. Das LAN umfasst etwa 8-10 Endpoints (Windows und SNMP).


    Die Konfigurationen von Router und VPN-Server (openVPN) wurden nicht geändert. Lediglich die IP der NAS ist neu; allerdings im selben Netz wie das vorherige Gerät und die anderen Endpoints. Es sind keine VLAN's eingerichtet.

    Auf dem Router ist eine Portweiterleitung auf die (2) VPN-Serverdienste (zwei dedizierte Ports für die Server) auf der OpenSense eingerichtet.

    Auf der OpenSense gibt es zwei separate VPN-Serverdienste mit unterschiedlichen (Tunnel)-Netzen und zwei unterschiedlichen Ports.


    Hat wie erwähnt bis zum Tausch der NAS alles funktioniert. In den Einrichtungen von Router und VPN-Server sind keine dedizierten IP-Adressen für Netzwerkziele angegeben.


    Ein Zugriff über VPN von extern erlaubt die Einwahl in das betreffende LAN. Ein Ping auf verschiedene IP-Adressen funktioniert - außer die IP der NAS. Generell funktioniert also das Routing auf dem VPN-Server. Die Firewall auf dem Router zeigt keinen geblockten Eintrag. Auch auf der OpenSense-FW gehen die Ports 80, 8080, 443, 137, 139 und 445 durch.


    Auf der NAS ist keine Firewall (QuFirewall) installiert. Unter "Sicherheit" wurden explizit die betreffenden Netzwerkbereiche (LAN und VPN-Netz(e)) in der Liste zulassen/verweigern angegeben. Auch alle zulassen wurde bereits versucht.


    Trotz aller Versuche - ZUGRIFF NUR AUS DEM LAN MÖGLICH . . . ?(


    Mit gehen langsam die Ideen aus . . . ;( Gibt es auf der NAS u.U. ein umfangreicheres Log als QuLogcenter?


    Über Ideen und Hilfe würde ich mich freuen.


    Frank

    Hört sich für mich erst mal nach einem Routing Problem auf dem NAS an.

    Kannst Du, wenn Du per SSH auf dem NAS bist, einen Ping in das VPN Netzwerk machen?


    Gruss

    Du kannst in der Sense ein packet capture laufen lassen, das zeigt dann schonmal ein bissl was... Aber was spricht dagegen dem NAS zumindest testweise einfach mal seine alte IP zu geben?

    Den ganzen Schmu mit "Netze im NAS erlauben" würde ich auch deaktivieren, zumindest testweise sodass alles erlaubt ist.

    Von was für einem VPN reden wir eigentlich? Oder hab ich das überlesen?

    Also -


    vielen Dank erst einmal für die schnellen Antworten!


    tiermutter Packet Capture ist eine gute Idee, werde ich morgen mal testen. "Netze in der NAS" hatte ich schon auf alle (Grundinstallation) getestet - ohne Erfolg, bzw Zugriff via LAN. Alte IP - hm, könnte man versuchen. Im LAN ist allerdings Zugriff möglich. Und VPN - OpenVPN mit user/pw und Zertifikat. Ist aber auch nicht geändert worden. Wie gesagt - lediglich die Hardware (NAS) und deren Installation ist neu.


    dolbyman Den Link schaue ich mir auch morgen mal an; heute ist dann mal Feierabend . . .


    FSC830 Selbes Spiel - muss ich mir morgen mal zu Gemüte führen.


    Vielen Dank und bis später.

    Was auch noch schnell und einfach eine Prüfung wert wäre:

    Ein Ping von der Sense vom VPN Interface an das NAS.

    Moin,


    und erste Updates.


    Auf der Sense folgende Ergebnisse:

    - Ping auf die beiden LAN-Ports der NAS mit sauberer Antwort

    - Packet Capture wirft viele "retransmitted packages" von verschiedenen Ports

    - Port-Probe auf 137, 139, 445, 80, 8080 und 443 - alle accepted außer 137; 137 sollte aber auch (eigentlich) nicht connecten, da SMB1.0


    Für den Test via SSH muss ich erst vor Ort. Wird also noch dauern.


    Allow all connections ist aktiviert. Keine Einschränkungen durch White-/Blacklist. Der englische Artikel ist allerdings interessant. Ich kann von hier aus leider nicht sagen/nachschauen, weil auch WebUI via VPN geht nicht. Also wie oben - muss ich vor Ort nachsehen.


    Mit eurer Hilfe werde ich das Problem schon einfangen . . . ;)


    Gruss Frank

    Ist da noch die QFirewall aktiv?

    Bei einer FritzBox ist das VPN Netzt ja das normale Heimnetz, bei einer Sense ist das ein abweichendes Netz, ggf. greift ja hier eine Deny Regel der QFirewall.

    Würde jedenfalls de retransmits im Capture erklären.

    QuFirewall ist nicht aktiv, daher glaube ich nicht, dass es am NAS liegt.

    Wenn es allerdings auf Router und Firewall keinerlei Einträge gibt, die explizit die alte IP des NAS beinhalten, dann fällt mir ad hoc nichts weiter ein, woran das liegen könnte.

    Zitat von dps

    - Packet Capture wirft viele "retransmitted packages" von verschiedenen Ports

    Vom / zum NAS oder woher kommen die bzw. wo gehen die hin?

    Richtig, QuFirewall ist nicht aktiv.


    Eine Fritte hängt zwar in dem Netz, ist aber nur Client mit WLAN-AP Funktion. Soll perspektivisch noch gegen "richtigen" AP ausgetauscht werden.


    Der Router (Lancom R884VA) hat Regeln bzgl. der Ports/Netze der beiden VPN Serverdienste auf der Sense. Ich bringe dann unten mal Ausschnitte aus der Konfiguration.


    tiermutter : Die "problematischen" Pakete kommen von einem Client aus dem Remote-Netz via VPN in Richtung NAS. Auf der Kiste hier habe ich aber kein Wireshark, kann also gerade nicht in den Mitschnitt schauen. Ich glaube mich aber zu erinnern, dass hier die IP des Clients aus dem VPN-Netz als Source drin war. Ich will heute Nachmittag mal die Ideen testen - alte IP vergeben bzw. in Router und Sense suchen und dann die Aussage aus dem Link von dolbyman (QuVPN deinstallieren) überprüfen. Der Link ist ja ziemlich aktuell.


    Hier mal Netze, Ports und Konfigs:


    LAN mit NAS - 192.168.0.0/24

    VPN1 - 10.0.10.0/24, Port 1194

    VPN2 - 10.0.20.0/24, Port 1195

    Forwarding Regel in das LAN (10.0.x.0 --> 192.168.0.0)


    Und nein, die von remote zugreifenden Netze liegen nicht in 192.168.0.0 ;)

    Crazyhorse , richtig, das sind unterschiedliche Netze.


    Das LAN mit der Netzadresse 192.168.0.0 (Netzmaske 255.255.255.0) ist das Netz, in welchem die NAS steht.

    VPN1 ist das (interne) Netz 10.0.10.0 (Netzmaske 255.255.255.0) des ersten VPN-Servers (bzw. Serverdienstes auf der Sense)

    VPN2 analog für den zweiten VPN-Server

    Beide VPN-Netzte sind jeweils über die entsprechenden Ports des jeweiligen Servers anzusprechen. In beiden Netzen gibt es eine Forwarding-Regel, damit in das LAN (192.168.0.0) geroutet werden kann.


    Zusätzlich gibt es im Router eine entsprechende Portweiterleitung auf die Sense, respektive die beiden VPN-Server.


    Und es ist dabei darauf geachtet worden, dass die LAN-Adresse sich nicht mit den LAN-Adressen der remote zugreifenden doppelt.


    Ich hoffe, ich habe die Frage richtig verstanden. Wenn nicht bitte noch mal genauer stellen.


    tiermutter und dolbyman - diese Ansätze haben leider nicht den gewünschten Erfolg gebracht. FSC830 - den Ansatz mit dem SSH muss ich aus zeitlichen Gründen leider verschieben.


    Aus lauter Verzweiflung habe ich sogar mal kurz alle FW's deaktiviert (auf dem Lancom und in der Sense) - ohne Erfolg. Im FW-Log der Sense ist allerdings zu sehen, dass Anfrage an die IP der NAS (und anderer IP's) sauber aus den VPN-Netzen geroutet und nicht geblockt werden.


    Wie dem auch sein - bleiben wir mal optimistisch . . .


    Gruss Frank

    Zitat von dps

    sauber aus den VPN-Netzen geroutet und nicht geblockt werden.

    Der Hinweg ist meist auch nicht das Problem, sondern der Rückweg (die Antworten), was gerne mal unbeachtet bleibt, weil wo eine Frage ankommt muss ja auch eine Antwort zurückgehen... So läuft es aber leider nicht immer. Hier also unter diesem Umstand nochmal ein Capture und prüfen wo die Antworten denn hin wollen.

    Dennoch kann ich mir keinen Reim machen, wie es hier zu Problemen kommt, wenn wirklich nur das NAS getauscht wurde...

    Im neuen NAS wurden aber nicht irgendwelche (falschen) Routen statisch eingetragen?

    Einmal editiert, zuletzt von tiermutter () aus folgendem Grund: Ein Beitrag von tiermutter mit diesem Beitrag zusammengefügt.

    Im neuen NAS Default Gateway und oder Default Route kontrollieren, wenn die Antwort ausbleibt.

    Es ist vollbracht . . . :D


    Dank eurer Hilfe war die Lösung (eigentlich) nur eine kleine Sache - wie halt so oft. Es war auch keine Dokumentation der ursächlichen Konfiguration (siehe Anfang - vor 6 Jahren) mehr verfügbar.


    Der Weg zur Lösung war der Ping via SSH von der NAS aus dem LAN an eine Adresse im VPN-Netz. Dieser lief ins Leere . . . Und dann noch die retransmission in den Captures . . .


    Also doch das Routing! Zusätzlich zu den (korrekten) Standardrouten bei den beiden Netzwerkschnittstellen der NAS fehlten die (statischen) Routen zu den beiden VPN-Netzen mit der Sense als Gateway. Eingetragen und alles schick!


    Also noch einmal vielen Dank an alle Beteiligten. :thumbup:


    Gruss Frank