Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Konfigurationsfrage VPN <-> NAS

Konfigurationsfrage VPN <-> NAS

Windwusel
Windwusel03.06.2212:10
Ich möchte mein Synology NAS gerne für einen zweiten Haushalt freigeben, aber nur das NAS und nicht mein gesamtes Heimnetz. Ich habe schon einiges durchprobiert aber noch nicht die ideale Lösung gefunden, weshalb ich um Hilfe bitte.

Es liegt auf meiner Seite eine UDM-Pro, USW-16 und das NAS mit DSM 7.1 vor. Auf der Gegenseite Windows, Mac, iOS und Android-Geräte die auf das NAS zugreifen sollen und eine FritzBox als Router.

Möglichkeiten die ich sehe wären:
1. Das NAS in ein VLAN zu stecken
2. Port 1 des NAS in mein Heimnetz leiten und Port 2 in ein eigenes LAN. Port 2 als VPN Zugang über das NAS konfigurieren.
3. das NAS als Client mit einem auf der FritzBox gehosteten VPN-Server verbinden.
4. VPN über UDM-Pro erstellen und durch Regeln so einstellen, dass eine Verbindung über VPN nur den Server zeigt.

Der Clous ist, dass ich mich nicht selbst einschränken möchte wenn ich über VPN verbinde, sondern nur den zweiten Haushalt. Es führen viele Wege nach Rom aber welcher könnte hier der passende für mein Vorhaben sein? Selbstverständlich spielt auch die Sicherheit eine Rolle. Das NAS soll von außerhalb nur via VPN erreichbar sein.
„MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)“
0

Kommentare

caMpi
caMpi03.06.2213:10
Schnelle Antwort.
Variante 1: du erstellst zwischen UDM und Fritzbox einen Site-to-Site Tunnel und schränkst die zugehörige Firewallregel auf die IP des NAS ein
Variante 2: beim Tunnel gibst du auf deiner Seite nur die IP des NAS und als Netzmaske /32 bzw 255.255.255.255 ein. Dann besteht der Tunnel nur zu diesem Gerät.
In beiden Fällen können die Remotegeräte zwar nur auf dein NAS zugreifen, hocken aber in deinem Netzwerk.
Dagegen könntest du das NAS noch in ein extra VLAN hinter einer Firewall packen.
+2
marm
marm03.06.2213:20
Also ein Virtual Private Network ohne Network? Warum nicht stattdessen in Systemsteuerung/Anmeldeportal einen Reverse Proxy einrichten, mit dem https://windwusel.synology.me:443 auf https://localhost:5001 zeigt?
-2
Lumi03.06.2213:39
marm
Also ein Virtual Private Network ohne Network? Warum nicht stattdessen in Systemsteuerung/Anmeldeportal einen Reverse Proxy einrichten, mit dem https://windwusel.synology.me:443 auf https://localhost:5001 zeigt?

Das wäre auch mein Vorschlag, wenn nur das NAS freigegeben werden soll.
Entweder den Reverse Proxy des NAS nutzen oder eben einen anderen Reverse Proxy.

Andere Möglichkeit wäre einen zweite VPN Verbindung mit dem VPN Server der Synology erstellen. Dort kann man einstellen ob ein Zugriff auf anderen Komponenten außerhalb der Synology möglich sein soll.
Definierten Port dann von der UDM weiterleiten, den Port kann man in der Synology definieren.
-1
MikeMuc03.06.2213:57
2. VPNs. Eines für dich mit Zugriff auf dein komplettes Netz, das andere so wie caMpi es in Variante 1 beschrieben hat.
0
awk03.06.2214:34
caMpi
Schnelle Antwort.
Variante 1: du erstellst zwischen UDM und Fritzbox einen Site-to-Site Tunnel und schränkst die zugehörige Firewallregel auf die IP des NAS ein

So würde ich das auch machen, eigentlich nicht sehr komplex.
caMpi
In beiden Fällen können die Remotegeräte zwar nur auf dein NAS zugreifen, hocken aber in deinem Netzwerk.
Dagegen könntest du das NAS noch in ein extra VLAN hinter einer Firewall packen.

Der Aussage "hocken aber in deinem Netzwerk" verstehe ich nicht so ganz. Geräte aus dem VPN Tunnel kommen dann nur zum NAS. Sie sind eben genau nicht im Netz, korrekte Konfiguration vorausgesetzt.

Diese Konfiguration würde die Anforderung erfüllen.

Man kann das natürlich beliebig komplex gestalten. Die Idee mit den zwei LANs würde ich nicht umsetzen. Das würde dazu führen, dass das NAS potentiell als Router fungiert und die Firewall überbrückt. Also müsste auch auf dem NAS eine Konfiguration erstellt werden, die sicherstellt, dass das nicht möglich ist.

Generell gilt, mach es einfach. Je komplexer umso fehleranfälliger.
+1
caMpi
caMpi03.06.2214:50
awk
caMpi
In beiden Fällen können die Remotegeräte zwar nur auf dein NAS zugreifen, hocken aber in deinem Netzwerk.
Dagegen könntest du das NAS noch in ein extra VLAN hinter einer Firewall packen.

Der Aussage "hocken aber in deinem Netzwerk" verstehe ich nicht so ganz.
Heutige Angriffsszenarien laufen genau so.
Angenommen das NAS hat eine Sicherheitslücke, könnte ein Angreifer, der über den VPN kommt, diese ausnutzen und anstelle des NAS in deinem Netzwerk fungieren.

awk
Die Idee mit den zwei LANs würde ich nicht umsetzen. Das würde dazu führen, dass das NAS potentiell als Router fungiert und die Firewall überbrückt.
Im Falle eines VLANs und wenn das NAS nur ein „Beinchen“ hat, routet das NAS nichts. Dieser Ansatz kommt dem nahe, was man früher DMZ genannt hat.
awk
Generell gilt, mach es einfach. Je komplexer umso fehleranfälliger.
Die beste Aussage in diesem Thread.

Zum Reverse Proxy: wenn ich in diesem Szenario unter Windows ein Netzlaufwerk klassisch verbinden will, klappt das nicht mit einem Reverse Proxy.
Es kommt auf die Anforderung an.
+1
marm
marm03.06.2215:07
caMpi
Es kommt auf die Anforderung an.
Windwusel, was ist die Anforderung?
0
Windwusel
Windwusel03.06.2222:56
Danke für die zahlreichen Antworten.
caMpi
Variante 1: du erstellst zwischen UDM und Fritzbox einen Site-to-Site Tunnel und schränkst die zugehörige Firewallregel auf die IP des NAS ein

Dies hört sich erstmal gut an. Wie die Firewallregeln auszusehen haben muss ich mir allerdings noch ansehen.
caMpi
Variante 2: beim Tunnel gibst du auf deiner Seite nur die IP des NAS und als Netzmaske /32 bzw 255.255.255.255 ein. Dann besteht der Tunnel nur zu diesem Gerät.

Lässt sich dies über den Tunnel der UDM bzw. NAS überhaupt realisieren? Beim VPN-Server des NAS zumindest kann ich lediglich einen dynamischen IP-Bereich und einen Port definieren. Daher stammt auch die Idee das NAS auf zwei IP zu splitten. Damit könnte ich dann in einem eigenen IP-Adressbereich das LAN2 mit dem man mit dem eingeschränkten VPN käme nutzen. Allerdings mit einem "VLAN only" hatte es leider nicht geklappt.
caMpi
In beiden Fällen können die Remotegeräte zwar nur auf dein NAS zugreifen, hocken aber in deinem Netzwerk.
Dagegen könntest du das NAS noch in ein extra VLAN hinter einer Firewall packen.

Wie schon gesagt hatte das VLAN Probleme gemacht. Ich habe über die UDM ein "VLAN only" für das NAS erstellt und dies dem entsprechenden Port am Switch zugewiesen. Leider war das NAS dann über diesen nicht mehr erreichbar. Daher vermute ich es muss ein VLAN mit eigenem IP-Bereich sein damit dies klappt, womit wir aber bei meiner Idee mit zwei Netzen wären. Das NAS hat allerdings 4 Ports, was spräche denn dagegen?
marm
Also ein Virtual Private Network ohne Network? Warum nicht stattdessen in Systemsteuerung/Anmeldeportal einen Reverse Proxy einrichten, mit dem https://windwusel.synology.me:443 auf https://localhost:5001 zeigt?

Dann bräuchte es doch trotzdem einen VPN womit man sich diesen Schritt schenken kann – oder verstehe ich das falsch?
Lumi
Andere Möglichkeit wäre einen zweite VPN Verbindung mit dem VPN Server der Synology erstellen. Dort kann man einstellen ob ein Zugriff auf anderen Komponenten außerhalb der Synology möglich sein soll.
Definierten Port dann von der UDM weiterleiten, den Port kann man in der Synology definieren.

Solch eine Einstellung kann ich nicht sehen. Dann wäre es ja einfach ^^ Abgesehen davon ist es nach meiner Kenntnis aber ohnehin empfehlenswert den VPN eher auf dem Router anstelle des NAS zu hosten.
MikeMuc
2. VPNs. Eines für dich mit Zugriff auf dein komplettes Netz, das andere so wie caMpi es in Variante 1 beschrieben hat.

Daran habe ich auch schon gedacht. Allerdings könnte ich dies nur realisieren wenn ein VPN über den Router und einer über das NAS liefe. Trotzdem löst dies nicht das Problem wie ich die Einschränkungen konfiguriere.
awk
Die Idee mit den zwei LANs würde ich nicht umsetzen. Das würde dazu führen, dass das NAS potentiell als Router fungiert und die Firewall überbrückt. Also müsste auch auf dem NAS eine Konfiguration erstellt werden, die sicherstellt, dass das nicht möglich ist.

Generell gilt, mach es einfach. Je komplexer umso fehleranfälliger.

Verstehe ich nicht. Das NAS hat 4 Ports womit ich das NAS theoretisch in 4 unabhängige Netzwerke hängen kann. Würde ich also ein LAN-Kabel in Haushalt 2 ziehen können, bräuchte ich kein VPN und die Trennung von meinem Netz wäre gegeben. In wie weit fungiert das NAS nun als Router?

Ich genieße lediglich den Luxus, dass ich meinen Switch unterteilen kann und so eben diese 4 Netze erstellen könnte die unabhängig voneinander sind. Ein VLAN vorausgesetzt dürfte man dann auch nicht aus diesem zweiten Netz ins Hauptnetz ausbrechen können.

Die Lösung erscheint mir einfach. Allerdings favorisiere ich diese nicht denn hätte das NAS nur einen Port ginge dies nicht, weshalb ich mich nicht davon abhängig machen will. Wenn ich nämlich das Gerät irgendwann gegen eines ohne mehrere Ports austauschen würde, möchte ich keine neue Lösung für das Problem suchen.

Deine letzte Aussage unterstreiche ich selbstverständlich!
marm
caMpi
Es kommt auf die Anforderung an.
Windwusel, was ist die Anforderung?

Das NAS soll als Netzlaufwerk in meinem Heimnetz und im entfernten Netz genauso wie im Heimnetz genutzt werden. Es muss für alle gängigen Betriebssysteme einfach nutzbar sein. Das entfernte Netz soll mittels VPN nur auf das NAS aber nichts anderem in meinem Heimnetz kommen können – es muss also abgeschottet sein. Haushalt 2 hat keine Ahnung von diesen Dingen weshalb ich die Lösung dort einrichte und das ganze dann möglichst wartungsfrei funktionieren muss.
„MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)“
0
marm
marm03.06.2223:58
Windwusel
marm
Warum nicht stattdessen in Systemsteuerung/Anmeldeportal einen Reverse Proxy einrichten, mit dem https://windwusel.synology.me:443 auf https://localhost:5001 zeigt?
Dann bräuchte es doch trotzdem einen VPN womit man sich diesen Schritt schenken kann – oder verstehe ich das falsch?
Wenn Du per https zugreifst, braucht Du kein VPN. Du hast auch so nur den Port 443 offen. Du bekommst mit dem Reverse Proxy jedoch kein Netzlaufwerk eingerichtet, wie caMpi anmerkt.
Es wäre aber einfach so einen WebDav-Zugriff einzurichten. Meines Erachtens einfacher und wartungsfreier als die Klimmzüge mit VPN.
Noch einfacher wäre die Nutzung von Synology Drive.
-2
gbkom04.06.2207:29
Keine Ahnung, ob das geht, aber kann sich das NAS nicht als VPN-Client bei der fremden Fitzbox einwählen? Es wäre dann über eine IP des fremden Netzes erreichbar und von dort kann niemand auf den Rest des eigenen Netzes zugreifen.
0
MikeMuc04.06.2207:35
Windwusel
MikeMuc
2. VPNs. Eines für dich mit Zugriff auf dein komplettes Netz, das andere so wie caMpi es in Variante 1 beschrieben hat.

Daran habe ich auch schon gedacht. Allerdings könnte ich dies nur realisieren wenn ein VPN über den Router und einer über das NAS liefe. Trotzdem löst dies nicht das Problem wie ich die Einschränkungen konfiguriere.
? Wieso kannst du nicht mehrere VPNs auf dem Roter einrichten? Bei jeder popeligen FRITZ!Box kann gleichzeitig mehrere VPNs konfigurieren. Die können sogar parallel von außen genutzt werden
Die Frage ist eher, ob du selber gelegentlich aus dem 2. Haushalt über das VPN in dein komplettes Heimnetzwerk willst. Dann könnte es sein, das du das erste VPN als „Site to Site“ mit Beschränkung auf die IP des NAS konfigurierst und für dich „mit Vollzugriff“ ein VPN „als Remote User“. Dann müßtest du selber immer auf dem einwählenden Gerät das VPN starten wenn du Vollzugriff willst. Andernfalls reicht der Tunnel welcher sich bei Bedarf zwischen den beiden Routern aufbaut.
0
sebi.st04.06.2210:45
Ich habe auf meiner Synology im VMM eine kleine VM mit Debian und WireGuard eingerichtet. WireGuard lässt sich auch so konfigurieren, dass lediglich der Zugriff auf die NAS möglich ist.
Der Vorteil ist, dass Wireguard sehr performant und robust ist.
0
Windwusel
Windwusel04.06.2214:02
gbkom
Keine Ahnung, ob das geht, aber kann sich das NAS nicht als VPN-Client bei der fremden Fitzbox einwählen? Es wäre dann über eine IP des fremden Netzes erreichbar und von dort kann niemand auf den Rest des eigenen Netzes zugreifen.

Müsste machbar sein aber zum einen frage ich mich ob damit dann wirklich nicht auf den Rest des Netzes zugreifen kann und zum anderen bestünde das kleine Problem, dass Mobile Geräte dann außerhalb des FritzBox-Netzes nicht zugreifen könnten. Es wäre also wohl ein zweiter VPN notwendig.
sebi.st
Ich habe auf meiner Synology im VMM eine kleine VM mit Debian und WireGuard eingerichtet. WireGuard lässt sich auch so konfigurieren, dass lediglich der Zugriff auf die NAS möglich ist.
Der Vorteil ist, dass Wireguard sehr performant und robust ist.

Klingt interessant! Über WireGuard hatte ich bereits nachgedacht. Ich sehe die kleine Hürde, dass es überall installiert werden muss – lässt sich natürlich überwinden aber geplant hatte ich mit Bordmitteln zu arbeiten. Eine andere Hürde sehe ich in der VM. Würde ich durch diese nicht Einfallstore öffnen, weil ich ein zweites OS zu warten habe? Interessanter fände ich WireGuard nativ auf der DS zu installieren.
„MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)“
0
Windwusel
Windwusel04.06.2214:06
gbkom
Keine Ahnung, ob das geht, aber kann sich das NAS nicht als VPN-Client bei der fremden Fitzbox einwählen? Es wäre dann über eine IP des fremden Netzes erreichbar und von dort kann niemand auf den Rest des eigenen Netzes zugreifen.

Müsste machbar sein aber zum einen frage ich mich ob damit dann wirklich nicht auf den Rest des Netzes zugreifen kann und zum anderen bestünde das kleine Problem, dass Mobile Geräte dann außerhalb des FritzBox-Netzes nicht zugreifen könnten. Es wäre also wohl ein zweiter VPN notwendig.
sebi.st
Ich habe auf meiner Synology im VMM eine kleine VM mit Debian und WireGuard eingerichtet. WireGuard lässt sich auch so konfigurieren, dass lediglich der Zugriff auf die NAS möglich ist.
Der Vorteil ist, dass Wireguard sehr performant und robust ist.

Klingt interessant! Über WireGuard hatte ich bereits nachgedacht. Ich sehe die kleine Hürde, dass es überall installiert werden muss – lässt sich natürlich überwinden aber geplant hatte ich mit Bordmitteln zu arbeiten. Eine andere Hürde sehe ich in der VM. Würde ich durch diese nicht Einfallstore öffnen, weil ich ein zweites OS zu warten habe? Interessanter fände ich WireGuard nativ auf der DS zu installieren.
MikeMuc
Wieso kannst du nicht mehrere VPNs auf dem Roter einrichten? Bei jeder popeligen FRITZ!Box kann gleichzeitig mehrere VPNs konfigurieren. Die können sogar parallel von außen genutzt werden
Die Frage ist eher, ob du selber gelegentlich aus dem 2. Haushalt über das VPN in dein komplettes Heimnetzwerk willst. Dann könnte es sein, das du das erste VPN als „Site to Site“ mit Beschränkung auf die IP des NAS konfigurierst und für dich „mit Vollzugriff“ ein VPN „als Remote User“. Dann müßtest du selber immer auf dem einwählenden Gerät das VPN starten wenn du Vollzugriff willst. Andernfalls reicht der Tunnel welcher sich bei Bedarf zwischen den beiden Routern aufbaut.

Die UDM kann einen VPN (L2TP) und ein Site-to-Side parallel betreiben. Dies wäre natürlich eine Option aber mit der Einschränkung die ich bereits erwähnte bei mobilen Geräten.
„MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)“
0
MikeMuc04.06.2219:56
Windwusel
… aber mit der Einschränkung die ich bereits erwähnte bei mobilen Geräten.
Du kartest nach. Von mobilen Geräten (außerhalb des WLANs des 2. Haushaltes) war anfangs keine Rede
Aktuell brauchst du wohl 3 VPNs:
- eines „Site to site“ mit der Beschränkung auf das NAS
- eines für „“Gäste“ die nur auf das NAS dürfen (Remoteuser)
- eines für dich mit VPN Vollzugriff auf dein internes Netz

Wenn dein Router das nicht kann, brauchst du einen anderen Oder ein Gerät, welches als VPN-Server dient. Ob das dein NAS kann oder zB ein Raspberry oder Sonstwas mußt du schauen. Wobei ich es bei deinem Wissensstand für e8nfacher halte, wenn du dich nur mit einem Gerät rumschlagen mußt und nicht erst allen Traffic für einen VPN-Server auf ein weiteres Gerät im Netzwerk weiterleiten mußt.
0
Windwusel
Windwusel04.06.2220:40
Windwusel
Auf der Gegenseite Windows, Mac, iOS und Android-Geräte die auf das NAS zugreifen sollen und eine FritzBox als Router.
MikeMuc
Du kartest nach. Von mobilen Geräten (außerhalb des WLANs des 2. Haushaltes) war anfangs keine Rede
Ich denke iOS und Android-Geräte sind überwiegend Mobilgeräte, weshalb ich weiter darauf einging.
MikeMuc
Aktuell brauchst du wohl 3 VPNs:
- eines „Site to site“ mit der Beschränkung auf das NAS
- eines für „“Gäste“ die nur auf das NAS dürfen (Remoteuser)
- eines für dich mit VPN Vollzugriff auf dein internes Netz

Wenn dein Router das nicht kann, brauchst du einen anderen Oder ein Gerät, welches als VPN-Server dient. Ob das dein NAS kann oder zB ein Raspberry oder Sonstwas mußt du schauen. Wobei ich es bei deinem Wissensstand für e8nfacher halte, wenn du dich nur mit einem Gerät rumschlagen mußt und nicht erst allen Traffic für einen VPN-Server auf ein weiteres Gerät im Netzwerk weiterleiten mußt.

Die UDM kann leider nur ein L2TP und ein S2S bereitstellen. Das NAS könnte dazu einen OpenVPN und einen L2TP stellen. Bei den Varianten sollen die Einschränkungen natürlich greifen und das ist letztlich die Hürde. Wie du schon sagst sind aber auch mehrere VPN wieder schwieriger in Bezug auf Wartung. Ich würde es tatsächlich gerne einfach halten.
„MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)“
0
marm
marm04.06.2221:07
Windwusel
Ich würde es tatsächlich gerne einfach halten.
Tatsächlich baust du gerade eine Rube-Goldberg-Maschine.


Du möchtest einen Zugriff von anderen auf die Daten deines NAS. Wenn Du auf smb/afp verzichten kannst, ist WebDav eine sichere Lösung und bei https auch SSL-verschlüsselt. Aber ich halt mich nun raus, versprochen. Ist ja auch interessant zu lesen, was mit VPN so alles geht.
+1
sebi.st04.06.2221:12
Eine andere Hürde sehe ich in der VM. Würde ich durch diese nicht Einfallstore öffnen, weil ich ein zweites OS zu warten habe? Interessanter fände ich WireGuard nativ auf der DS zu installieren.

Da es schlussendlich nur eine Portweiterleitung auf IP + Port von WireGuard gibt ist das Risiko in meinen Augen vertretbar. Das Linux würde ich ganz abkapseln per Firewall - also selbst im lokalen Netz nur Port 22 (SSH), Port 80 (Weboberfläche für Verwaltung von WireGuard) und 51820 (WireGuard) freigeben wobei du SSH und Weboberfläche sogar auf deinen PC beschränken kannst.
Mit den richtigen Einstellungen bezieht das OS (z.B. Debian) täglich die aktuellen Updates und installiert diese.
Ich hatte auch erst Synology VPN, dann UDM VPN per Radius und bin nun bei WireGuard und mehr als zufrieden.
Ich nutze WireGuard sogar als Weg ins Internet um auch unterwegs sicher zu surfen und in den Genuss meines PiHole Werbeblockers zu kommen.
0
Windwusel
Windwusel05.06.2202:31
marm
Windwusel
Ich würde es tatsächlich gerne einfach halten.
Tatsächlich baust du gerade eine Rube-Goldberg-Maschine.


Du möchtest einen Zugriff von anderen auf die Daten deines NAS. Wenn Du auf smb/afp verzichten kannst, ist WebDav eine sichere Lösung und bei https auch SSL-verschlüsselt. Aber ich halt mich nun raus, versprochen. Ist ja auch interessant zu lesen, was mit VPN so alles geht.

Ich probiere seit Stunden mit VPN und meinem Hotspot um ein externes Netz zu simulieren. Ich finde nicht die Ursache aber bei einer Verbindung über OpenVPN vom NAS kann ich keine anderen Netzgeräte erreichen – nicht mal das NAS selbst, außer über Samba. Das selbe Phänomen habe ich bei L2TP über die UDM. Egal wie ich die Firewall einstelle. Lediglich über L2TP vom NAS funktioniert es, aber eben auch ohne Einschränkungen.

Letzteres ist aber tatsächlich keine Option, weil ich festgestellt habe, dass der gesamte Traffic über VPN, also meine IP, geleitet werden könnte. Dies würde ein Tor für Missbrauch meiner IP ermöglichen. Dies zumindest konnte ich mit OpenVPN nicht nachstellen obwohl im Client die Option dafür gegeben wäre.

Jedenfalls bin ich drauf und dran auf VPN zu verzichten und es eben doch über Webdav zu machen. Aber kann doch nicht sein, dass die VPN derart streiken...

sebi.st kann dadurch ganz normal über den Finder mittels "smb://servername" auf das NAS zugegriffen werden?
„MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)“
0
marm
marm05.06.2207:27
Du könntest das Paket Tailscale von deiner Synology installieren. Das basiert auf Wireguard und ist recht einfach zu installieren. Dann braucht du keine VM mit Debian. Damit klappt anscheinend smb. Auf Mobilgeräten funktioniert es auch.
0
MikeMuc05.06.2209:02
Windwusel
Vermutlich könnte es hilfreich sein, bei Detailfragen auch mal komplette (ggf. anonymisierte) Konfigs zu Posten. Wobei deine Anforderungen eigentlich nicht so exotisch sind als das es da keine Beispiele im Netz geben sollte.
Das „Problem“, das der komplette Trafik bei aktivem Tunnel durch selbigen läuft, könnte man durch „Splittunneling“ lösen so es dein VPN-Server und der Client unterstützen.
Denke auch daran, das du je nach Provider bei dir nur DS Lite hast. Dann hast du keine „richtige“ öffentliche IPv4 Adresse und alles wird wieder schwieriger.
Vielleicht sind aber auch Foren, in denen es um Netzwerke und VPN geht besser für dich. Dort treiben sich sicher mehr rum „die sich damit auskennen“ als hier.
0
marm
marm05.06.2209:25
marm
Du könntest das Paket Tailscale von deiner Synology installieren. Das basiert auf Wireguard und ist recht einfach zu installieren. Dann braucht du keine VM mit Debian. Damit klappt anscheinend smb. Auf Mobilgeräten funktioniert es auch.
Ich konnte gerade eine smb-Verbindung zur Diskstation via Tailscale aufbauen. Dazu musste ich lediglich im Finder smb://100.10x.xx.xx (ip von Tailscale für Diskstation) eintragen. Mit Dritten könntest Du einen Node (deine Diskstation) sharen . Diese sollten dann nur Zugriff zur Diskstation haben. Das bewegt sich noch alles im Rahmen des kostenlosen Personal Plan.
0
sebi.st05.06.2217:17
kann dadurch ganz normal über den Finder mittels "smb://servername" auf das NAS zugegriffen werden?

//servername nur, wenn der DNS es auch auflöst, sonst via IP.
0
Windwusel
Windwusel07.06.2216:29
Ich glaube mittlerweile es liegt an der UDM und nicht an der VPN-Konfiguration. Jedoch habe ich keine Erklärung warum. Ich habe zuletzt OpenVPN mittels Viscosity und Tunnelblick versucht. Ersteres stellt die Verbindung her aber es geht dann nichts mehr. Tunnelblick wirft Fehler aus und es klappt ebenfalls nichts.

Die Portfreigabe ist korrekt gesetzt und auch in der UDM-Firewall hatte ich eingehende Verbindungen an das NAS zugelassen. Ich habe seit geraumer Zeit ein Problem mit IPv6 an der UDM – vielleicht liegt es daran. Obwohl ich diese für VPN deaktiviert hatte.

Provider ist übrigens die Telekom an einem Vectoring-Anschluss. Ich glaube da wird kein DS-Lite genutzt.

marm Tailscale hört sich an sich gut an aber der Accountzwang und damit eine gewisse Abhängigkeit finde ich unschön.
„MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)“
0
Windwusel
Windwusel08.06.2212:56
Mit einem Update melde ich mich zurück!

  • Ich habe IPv6 an der UDM komplett deaktiviert, weil es ohnehin nicht funktioniert.
  • Der L2TP-VPN über die UDM funktioniert nun und auch Einschränkungen funktionieren mittels Firewall. Dazu muss allerdings entgegen allem, dass ich im Netz finden konnte die Regel nicht unter "LAN-IN" sondern unter "LAN-OUT" definiert werden. Ich konnte sogar den Radius-Server auf das NAS verlagern was den Luxus bringt die selben Zugangsdaten für VPN und NAS zu nutzen, sowie auch Usernamen mit Leerzechen verwenden zu können (kann die UDM nicht).
  • OpenVPN funktioniert leider noch immer nicht aber ich habe neue Erkenntnisse erlangt und habe Protokolle zum teilen.

Open VPN Config auf Server
push "route 10.0.0.0 255.255.255.0"
push "route 10.4.0.0 255.255.255.0"
dev tun

management /var/run/openvpn.sock unix

server 10.4.0.0 255.255.255.0


dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
tls-auth /var/packages/VPNCenter/target/etc/openvpn/keys/ta.key 0
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5


persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
verify-client-cert none
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto tcp-server
mssfix 1450
port 1194
cipher AES-256-CBC
auth SHA512

Wie man sieht wird die Route zum Hauptnetz vom Server gepusht. Aber am Client fehlt es an der Annahme und eben das ist der Fehler. Jedoch habe ich aktuell keine Idee wieso das so ist.

Protokoll Clientseite
2022-06-08 12:43:29: Viscosity Mac 1.10.2 (1592)
2022-06-08 12:43:29: Viscosity OpenVPN Engine Started
2022-06-08 12:43:29: Running on macOS 11.4.0
2022-06-08 12:43:29: ---------
2022-06-08 12:43:29: State changed to Connecting
2022-06-08 12:43:29: Checking reachability status of connection...
2022-06-08 12:43:29: Connection is reachable. Starting connection attempt.
2022-06-08 12:43:29: DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2022-06-08 12:43:29: OpenVPN 2.5.5 x86_64-apple-darwin [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] built on Mar 16 2022
2022-06-08 12:43:29: library versions: OpenSSL 1.1.1n  15 Mar 2022, LZO 2.10
2022-06-08 12:43:29: Resolving address: XXX
2022-06-08 12:43:30: Valid endpoint found: 64:IPV6-Adresse:1194:tcp-client
2022-06-08 12:43:30: TCP/UDP: Preserving recently used remote address: [AF_INET6]64:IPV6-Adresse:1194
2022-06-08 12:43:30: Attempting to establish TCP connection with [AF_INET6]64:IPV6-Adresse:1194 [nonblock]
2022-06-08 12:43:30: TCP connection established with [AF_INET6]64:IPV6-Adresse:1194
2022-06-08 12:43:30: TCP_CLIENT link local: (not bound)
2022-06-08 12:43:30: TCP_CLIENT link remote: [AF_INET6]64:IPV6-Adresse:1194
2022-06-08 12:43:30: State changed to Authenticating
2022-06-08 12:43:30: [synology] Peer Connection Initiated with [AF_INET6]64:IPV6-Adresse:1194
2022-06-08 12:43:30: Opened utun device utun10
2022-06-08 12:43:30: /sbin/ifconfig utun10 delete
2022-06-08 12:43:30: NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
2022-06-08 12:43:30: /sbin/ifconfig utun10 10.4.0.6 10.4.0.5 mtu 1500 netmask 255.255.255.255 up
2022-06-08 12:43:30: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2022-06-08 12:43:30: Initialization Sequence Completed
2022-06-08 12:43:30: DNS mode set to Split
2022-06-08 12:43:30: DNS Server/s: 10.0.0.1
2022-06-08 12:43:30: WARNING: Split DNS is being used however no DNS domains are present. The DNS server/s for this connection may not be used. For more information please see: https://www.sparklabs.com/support/kb/article/warning-split-dns-is-being-used-however-no-dns-domains-are-present/
2022-06-08 12:43:30: State changed to Connected

Config.OVPN
dev tun
tls-client

remote XXX 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 10.0.0.1

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
Cert-Key
-----END CERTIFICATE-----

</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
Key
-----END OpenVPN Static key V1-----

</tls-auth>
verify-x509-name 'synology' name
„MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)“
+1
awk08.06.2216:21
Eine Bemerkung zu OpenVPN. Das ist einfach zu konfigurieren und überall verfügbar, dafür langsam. Verglichen mit L2TP/IPsec ungefähr die Hälfte an Durchsatz.
+1

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.