OpenVPn mit einer Synology NAS

Discussion in 'Fragen & Antworten (Q&A)' started by Gudri, Jul 31, 2015.

  1. JackCarver

    JackCarver Junior Member

    Ich hab nochmal das manual gewälzt, du kannst die Direktive client schon verwenden. Ist ein Ersatz für:

    tls-client
    pull

    und hat auch PP so in ihren Linux openvpn Files.
    Mach das float mal raus.
    Mach die ping Direktiven raus, wenn du keepalive nutzt, wie das Log bereits sagt, denn keepalive ist ein Ersatz dafür, entweder oder.
    Was sind das für komische Bezeichnungen für Zertifikat, Schlüssel usw, das ol1234567 usw, heißen die auch wirklich so?
    Alles was doppelt ist selbstverständlich weg, macht kein Sinn, da gegenläufig.

    Dann das Log beachten, ob sich was ändert.
     
  2. G

    Gerd Junior Member

    Man kann auch sehen das die von Synology Nas erstelle Datei "ca_o1438703928.crt" die Benutzerrechte "rwxrwxrwx" hat.
    Und die importierten Certs nur "rw-r--r--". Die Certs auf "rwxrwxrwx" zu ändern wäre noch ein Versuch wert.
     
  3. JackCarver

    JackCarver Junior Member

    Sollte eigentlich egal sein, da man die Dinger nur lesen muss, das ist für jeden frei. Probieren kann man natürlich.
     
  4. G

    Gudri New Member

    Okay top hab die paar Befehle geändert und Verbindung steht nun =) :D

    Danke euch !

    Ich habe aber ein float drinne gelassen. Für was ist denn das ?

    Btw. habt ihr noch ein Tipp wie ich OpenVPN mit Mac ( Viscosity) Stabiler machen kann seit ich PP nutze habe ich mehrfach am Tag solche laggs, wo VPN Verbindung noch laut Programm steht, aber es geht nichts ins Internet raus oder rein ( IRC, Jabber, Browser etc.) nur im Heimnetzwerk läuft alles.
    Habe Little Snitch am laufen und überlege ob ich in der Fritzbox andere DNS Server eintragen sollte (OpenDNS).

    Dann reset ich Wlan und verbinde mich neu zu PP ...
     
  5. JackCarver

    JackCarver Junior Member

    Dann lass es drin. Ist gedacht für OpenVPN Server mit wechselnder IP. Falls du zb auf deinem Router nen VPN Server laufen hast um dich per VPN in dein Heimnetz von ausserhalb zu verbinden. So kann es ja sein, dass dem Router während der Verbindung ne neue dynamische IP vom Provider zugewiesen wird. Ohne das float würde diese Verbindung dann zusammenbrechen.
    Sauber wenn es nun läuft.
     
  6. G

    Gerd Junior Member

    @Gurdi
    Wäre nett wenn du eine Anleitung aus deiner Sicht mit Bildern und mit einer "sauberen" Config bei "Anleitungen" postest, wenn du mal Zeit hast.
     
  7. f

    fibersave New Member

    Ich habe auch gerade versucht meine Synology NAS so einzurichten, allerdings scheitert es bei mir schon an den fehlenden Dateien. Laut Anleitung müssen die Dateien Amsterdam_cl.crt, Amsterdam_cl.key und Amsterdam_ta.key kopiert werden. Ich habe mir jetzt von der PP Webseite die OpenVPN Konfigurationsdateien heruntergeladen. Leider findet ich dort nur die Amsterdam_ta.key und mehr nicht. Woher bekomme ich die?
     
  8. G

    Gerd Junior Member

    Die anderen Dateien kannst du auch von PP Webseite runter laden. Klick auf Mac oder Linux Logo und dann unter OpenVPN Konfigurationdateien "Server als Gruppe UDP" auswählen und die ...UDP.zip Datei runter laden.
     
    Last edited: Aug 18, 2015
  9. f

    fibersave New Member

    Vielen Dank, danach hatte ich gesucht.

    Da ich meine client_o14..... Datei jetzt auch mehrfach angepasst habe und es jetzt endlich läuft, möchte ich die hier gerne zur Verfügung stellen, damit man sich nicht jedes Mal durch den ganzen Thread kämpfen muss.

    Ihr müsst lediglich eure ID ändern, also jeweils o14XXX ersetzen. Insgesamt 5x.

    Code:
    dev tun
    tls-client
    pull
    ns-cert-type server
    redirect-gateway def1
    remote amsterdam.perfect-privacy.com 1149
    proto udp
    tun-mtu 1500
    fragment 1300
    mssfix
    float
    reneg-sec 3600
    resolv-retry 60
    persist-tun
    persist-key
    ca ca_o14XXX.crt
    cert Amsterdam_cl_o14XXX.crt
    key Amsterdam_cl_o14XXX.key
    tls-auth Amsterdam_ta_o14XXX.key 1
    tls-timeout 5
    hand-window 120
    tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA2
    auth SHA512
    cipher AES-256-CBC
    verb 4
    inactive 604800
    replay-window 512 60
    mute-replay-warnings
    up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
    route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
    ca ca_o14XXX.crt
    comp-lzo
    script-security 2
    explicit-exit-notify
    log openvpn.log
    plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down
    auth-user-pass /tmp/ovpn_client_up   
     
  10. T

    Tsip New Member

    Hallo,

    irgendwie hat diese Anleitung bei mir auf einer Synology mit DSM 6.0.2 nicht so gut funktioniert. Ich konnte zwar die hier aufgeführten Dateien ändern und auf meine Synology übertragen aber das NAS hat die Verbindung nur ein Mal aufgebaut. Dann waren meine Einträge in der client_o147… wieder verändert. Ein zweiter Verbindungsaufbau war so nicht mehr möglich.

    Ein Integrieren der *.ovpn Datei wird wegen scheinbar unbekannten Befehlen vom DSM nicht akzeptiert. Ein Einlesen des ca.crt und des Client-Zertifikats „Amsterdam_cl.crt“ war über DSM auch nicht möglich.

    Jetzt nach dem Update auf DSM DSM 6.0.2-8451 Update 2 klappt folgende Vorgehensweise auf einer Synology ganz gut und ist auch anfängertauglich.


    Beispielhaft bleibe ich hier bei den Dateien von Amsterdam. Es lassen sich mehrere Serverstandorte nacheinander auf diese Weise ins NAS einfügen aber nur eine VPN-Verbindung kann gleichzeitig genutz werden.

    1. Bei der Einrichtung mit Windows: „Notepad++“ installieren (ganz schönes Tool für sehr Interessierte) oder die nachfolgenden Dateien z.B. mit WordPad öffnen und bearbeiten.

    2. „linux_udp“ aus dem Mitgliederbereich von PP herunterladen und entpacken.

    3. Client-Zertifikat: „Amsterdam_cl.crt“ aus der gerade entpackten Datei bereinigen und ersten Teil (hier nur bis zum Beginn von „-----BEGIN CERTIFICATE-----“ alles weglöschen die Zeile selbst muss schon stehenbleiben!) und die Schlusszeile (wenn diese den da ist) „</cert>“ einfach weglöschen.

    4. *.ovpn-Datei: „Amsterdam.ovpn“ wie folgt verändern.


    dazuschreiben:
    float
    tls-client
    pull

    entfernen:
    ca ca.crt
    cert Amsterdam_cl.crt
    key Amsterdam_cl.key
    tls-auth Amsterdam_ta.key 1
    down /etc/openvpn/update-resolv-conf
    up /etc/openvpn/update-resolv-conf
    crl-verify ca.crl


    5. Im DSM – Systemsteuerung – Netzwerk – Netzwerk-Schnittstelle – Erstellen – VPN-Profil erstellen – OpenVPN (über den Import einer .ovpn-Datei)

    6. Jetzt einen passenden Namen ausdenken oder einfach Amsterdam eintragen. Benutzernamen und Kennwort von PP. Erweiterte Optionen aufklappen und folgende Dateien auswählen.

    Dabei steht für:
    *.ovpn-Datei: Amsterdam.ovpn
    CA-Zertifikat: ca.crt
    Client-Zertifikat: Amsterdam_cl.crt
    Client-Schlüssel: Amsterdam_cl.key
    Zertifikatsentzugsliste: (habe ich nicht gefunden und ist wohl auch nicht erforderlich - vielleich gibt hier ein anderer eine Info zu)
    TLS-auth Schlüssel: Amsterdam_ta.key

    7. Mit „Weiter“ zur nächsten Seite. Dort (wenn gewünscht) alle drei Kästchen anklicken.
    - Standard-Gateway auf Remote-Netzwerk verwenden
    - Anderen Netzwerkgeräten ermöglichen, Verbindungen über die Interneverbindung dieses Synology Servers herzustellen
    - Wieder verbinden, wenn die VPN Verbindung verloren wurde


    Teil 1 ist nun fertig!

    Wenn man nun die Verbindung aufbaut und bei bestehender PP-VPN-Verbindung das NAS neustarten lässt, so baut sich die VPN-Verbindung zu PP wieder mit auf.

    Bitte prüft mal, ob sich in der oberen Anleitung Fehler eingeschlichen haben.




    Jetzt zu meinen offenen Fragen zum Zugriff mit anderen Geräten.

    Die Verbindung zu VPN-Server im NAS ist aufgebaut und wenn ich über das NAS Infos aus dem Netz hole, verändern sich auch die gesendeten und empfangenen Byteangaben in der Amsterdam-VPN-Anzeige.
    Leider kann ich die freigegebene Verbindung des VPN-Tunnels noch nicht mit anderen Geräten nutzen.

    Ich nutze für den Internetzugang eine Fritz!Box. Im Netzwerk stehen ein paar Rechner, Switches, das Synol.-NAS, TV-Gerät und ein paar kleinere Geräte (mache nur über WLAN). Nicht alles ist zeitgleich angeschaltet und eine Internetverbindung von unter 30 kBits reicht mir vollkommen aus.

    Wenn ich nun in der Fritz eine feste Route eingebe: Netzwerk-192.0.0.0 Sub 255.255.0.0 an Gateway NAS interne IP - dann hängt sich die Verbindung auf und ein Zugriff auf die Benutzeroberfläche der Fritzbox ist im gleichen Netz nicht mehr möglich.

    Wenn ich nun in der Fritz eine andere feste Route eingebe: Netzwerk-10.0.0.0 Sub 255.0.0.0 an Gateway NAS interne IP - dann loggt sich der Rechner über die Fritz unter meinem Provider ins Internet.

    Wenn ich in einem Rechner als Standartgateway die interne IP des NAS und „DHCP von der Fritz zuweisen“, angebe. Bekommt der Rechner die erwartete IP aus meinem Netz und ist im Netz unter meiner Provideradresse sichtbar.

    Wenn ich DHCP in der Fritz abschalte und im NAS aktiviere, bekommt der Rechner eine IP aus einem anderen Netz 196.254. …, Sub 255.255.0.0 aber ist im Netz auch unter meiner Provideradresse sichtbar. Die per DHCP eingebundenen Netzwerkgeräte sind im NAS nicht erkannt. Im NAS sind die Ports 67, 68, 80 und 443 für die Geräte im internen Netz freigeschaltet.

    Wo liegt hier mein Denkfehler? Habe ich in der Firewall des NAS was vergessen?



    Am liebsten würde ich den DHCP-Server auf der Fritz!Box lassen. Gern würde ich in der Fritz eine feste Route ins VPN auf dem NAS eintragen. Leider sind hierfür meine Kenntnisse bisher nicht ausreichend.

    Wie komme ich hier weiter?
     
  11. R. Lacht

    R. Lacht New Member

    Hallo!

    Ich habe das so auf meiner DS214Play eingebaut. Connected sich auch brav. Allerdings ist der Speed nicht so optimal. Egal welchen Server ich nutze, Speed ist nicht wirklich befriedigend. Gibt es hier noch optimierung? Oder muss ich das einfach zu hinnehmen, das OPEN VPN auf der Kiste nicht anständig läuft?

    Danke & Gruß
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice