OpenVPn mit einer Synology NAS

Gudri

Junior Member
Moin,

nachdem das nun mit dem Blackberry hingehauen hat würde ich auch gerne die NAS Festplatte mit VPN ins Netz schicken.

Laut Synology Wiki läuft dort ein "normales" Linux ( http://www.synology-wiki.de/index.php/Wo_ist_was_im_Linux-System )

Ich habe bei einem anderen VPN anbieter eine Anleitung gefunden für OpenVPN auf Synology Nas jedoch ist es so nicht übertragbar.

Hab die Linux ca.crt (non tcp) über die Weboberfläche des NAS importiert, genauso wie Benutzername, Passwort, Serveradresse, Protokoll und Port eingegeben (1150)

Wenn ich mich per SSH auf das NAS einlogge erscheint erstmal BusyBox v1.16.1.

im OpenVPN.log steht folgendes:
Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where -
Use --help for more information.

und im client_o14********:

dev tun
client
remote amsterdam.perfect-privacy.com 1150
cipher AES-256-CBC
keepalive 10 30
resolf-retry infinite
persist-tun
persist-key
proto udp
log openvpn.log
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
ca ca_o14********.crt
script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/sc
auth-user-pass /tmp/ovpn_client_up


Kann mir jemand weiterhelfen ?
 
Ich hab nochmal das manual gewälzt, du kannst die Direktive client schon verwenden. Ist ein Ersatz für:

tls-client
pull

und hat auch PP so in ihren Linux openvpn Files.
Mach das float mal raus.
Mach die ping Direktiven raus, wenn du keepalive nutzt, wie das Log bereits sagt, denn keepalive ist ein Ersatz dafür, entweder oder.
Was sind das für komische Bezeichnungen für Zertifikat, Schlüssel usw, das ol1234567 usw, heißen die auch wirklich so?
Alles was doppelt ist selbstverständlich weg, macht kein Sinn, da gegenläufig.

Dann das Log beachten, ob sich was ändert.
 
Man kann auch sehen das die von Synology Nas erstelle Datei "ca_o1438703928.crt" die Benutzerrechte "rwxrwxrwx" hat.
Und die importierten Certs nur "rw-r--r--". Die Certs auf "rwxrwxrwx" zu ändern wäre noch ein Versuch wert.
 
Okay top hab die paar Befehle geändert und Verbindung steht nun =) :D

Danke euch !

Ich habe aber ein float drinne gelassen. Für was ist denn das ?

Btw. habt ihr noch ein Tipp wie ich OpenVPN mit Mac ( Viscosity) Stabiler machen kann seit ich PP nutze habe ich mehrfach am Tag solche laggs, wo VPN Verbindung noch laut Programm steht, aber es geht nichts ins Internet raus oder rein ( IRC, Jabber, Browser etc.) nur im Heimnetzwerk läuft alles.
Habe Little Snitch am laufen und überlege ob ich in der Fritzbox andere DNS Server eintragen sollte (OpenDNS).

Dann reset ich Wlan und verbinde mich neu zu PP ...
 
Für was ist denn das ?

Dann lass es drin. Ist gedacht für OpenVPN Server mit wechselnder IP. Falls du zb auf deinem Router nen VPN Server laufen hast um dich per VPN in dein Heimnetz von ausserhalb zu verbinden. So kann es ja sein, dass dem Router während der Verbindung ne neue dynamische IP vom Provider zugewiesen wird. Ohne das float würde diese Verbindung dann zusammenbrechen.
Sauber wenn es nun läuft.
 
@Gurdi
Wäre nett wenn du eine Anleitung aus deiner Sicht mit Bildern und mit einer "sauberen" Config bei "Anleitungen" postest, wenn du mal Zeit hast.
 
Ich habe auch gerade versucht meine Synology NAS so einzurichten, allerdings scheitert es bei mir schon an den fehlenden Dateien. Laut Anleitung müssen die Dateien Amsterdam_cl.crt, Amsterdam_cl.key und Amsterdam_ta.key kopiert werden. Ich habe mir jetzt von der PP Webseite die OpenVPN Konfigurationsdateien heruntergeladen. Leider findet ich dort nur die Amsterdam_ta.key und mehr nicht. Woher bekomme ich die?
 
Die anderen Dateien kannst du auch von PP Webseite runter laden. Klick auf Mac oder Linux Logo und dann unter OpenVPN Konfigurationdateien "Server als Gruppe UDP" auswählen und die ...UDP.zip Datei runter laden.
 
Last edited:
Vielen Dank, danach hatte ich gesucht.

Da ich meine client_o14..... Datei jetzt auch mehrfach angepasst habe und es jetzt endlich läuft, möchte ich die hier gerne zur Verfügung stellen, damit man sich nicht jedes Mal durch den ganzen Thread kämpfen muss.

Ihr müsst lediglich eure ID ändern, also jeweils o14XXX ersetzen. Insgesamt 5x.

Code:
dev tun
tls-client
pull
ns-cert-type server
redirect-gateway def1
remote amsterdam.perfect-privacy.com 1149
proto udp
tun-mtu 1500
fragment 1300
mssfix
float
reneg-sec 3600
resolv-retry 60
persist-tun
persist-key
ca ca_o14XXX.crt
cert Amsterdam_cl_o14XXX.crt
key Amsterdam_cl_o14XXX.key
tls-auth Amsterdam_ta_o14XXX.key 1
tls-timeout 5
hand-window 120
tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA2
auth SHA512
cipher AES-256-CBC
verb 4
inactive 604800
replay-window 512 60
mute-replay-warnings
up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
ca ca_o14XXX.crt
comp-lzo
script-security 2
explicit-exit-notify
log openvpn.log
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down
auth-user-pass /tmp/ovpn_client_up
 
Hallo,

irgendwie hat diese Anleitung bei mir auf einer Synology mit DSM 6.0.2 nicht so gut funktioniert. Ich konnte zwar die hier aufgeführten Dateien ändern und auf meine Synology übertragen aber das NAS hat die Verbindung nur ein Mal aufgebaut. Dann waren meine Einträge in der client_o147… wieder verändert. Ein zweiter Verbindungsaufbau war so nicht mehr möglich.

Ein Integrieren der *.ovpn Datei wird wegen scheinbar unbekannten Befehlen vom DSM nicht akzeptiert. Ein Einlesen des ca.crt und des Client-Zertifikats „Amsterdam_cl.crt“ war über DSM auch nicht möglich.

Jetzt nach dem Update auf DSM DSM 6.0.2-8451 Update 2 klappt folgende Vorgehensweise auf einer Synology ganz gut und ist auch anfängertauglich.


Beispielhaft bleibe ich hier bei den Dateien von Amsterdam. Es lassen sich mehrere Serverstandorte nacheinander auf diese Weise ins NAS einfügen aber nur eine VPN-Verbindung kann gleichzeitig genutz werden.

1. Bei der Einrichtung mit Windows: „Notepad++“ installieren (ganz schönes Tool für sehr Interessierte) oder die nachfolgenden Dateien z.B. mit WordPad öffnen und bearbeiten.

2. „linux_udp“ aus dem Mitgliederbereich von PP herunterladen und entpacken.

3. Client-Zertifikat: „Amsterdam_cl.crt“ aus der gerade entpackten Datei bereinigen und ersten Teil (hier nur bis zum Beginn von „-----BEGIN CERTIFICATE-----“ alles weglöschen die Zeile selbst muss schon stehenbleiben!) und die Schlusszeile (wenn diese den da ist) „</cert>“ einfach weglöschen.

4. *.ovpn-Datei: „Amsterdam.ovpn“ wie folgt verändern.


dazuschreiben:
float
tls-client
pull

entfernen:
ca ca.crt
cert Amsterdam_cl.crt
key Amsterdam_cl.key
tls-auth Amsterdam_ta.key 1
down /etc/openvpn/update-resolv-conf
up /etc/openvpn/update-resolv-conf
crl-verify ca.crl


5. Im DSM – Systemsteuerung – Netzwerk – Netzwerk-Schnittstelle – Erstellen – VPN-Profil erstellen – OpenVPN (über den Import einer .ovpn-Datei)

6. Jetzt einen passenden Namen ausdenken oder einfach Amsterdam eintragen. Benutzernamen und Kennwort von PP. Erweiterte Optionen aufklappen und folgende Dateien auswählen.

Dabei steht für:
*.ovpn-Datei: Amsterdam.ovpn
CA-Zertifikat: ca.crt
Client-Zertifikat: Amsterdam_cl.crt
Client-Schlüssel: Amsterdam_cl.key
Zertifikatsentzugsliste: (habe ich nicht gefunden und ist wohl auch nicht erforderlich - vielleich gibt hier ein anderer eine Info zu)
TLS-auth Schlüssel: Amsterdam_ta.key

7. Mit „Weiter“ zur nächsten Seite. Dort (wenn gewünscht) alle drei Kästchen anklicken.
- Standard-Gateway auf Remote-Netzwerk verwenden
- Anderen Netzwerkgeräten ermöglichen, Verbindungen über die Interneverbindung dieses Synology Servers herzustellen
- Wieder verbinden, wenn die VPN Verbindung verloren wurde


Teil 1 ist nun fertig!

Wenn man nun die Verbindung aufbaut und bei bestehender PP-VPN-Verbindung das NAS neustarten lässt, so baut sich die VPN-Verbindung zu PP wieder mit auf.

Bitte prüft mal, ob sich in der oberen Anleitung Fehler eingeschlichen haben.




Jetzt zu meinen offenen Fragen zum Zugriff mit anderen Geräten.

Die Verbindung zu VPN-Server im NAS ist aufgebaut und wenn ich über das NAS Infos aus dem Netz hole, verändern sich auch die gesendeten und empfangenen Byteangaben in der Amsterdam-VPN-Anzeige.
Leider kann ich die freigegebene Verbindung des VPN-Tunnels noch nicht mit anderen Geräten nutzen.

Ich nutze für den Internetzugang eine Fritz!Box. Im Netzwerk stehen ein paar Rechner, Switches, das Synol.-NAS, TV-Gerät und ein paar kleinere Geräte (mache nur über WLAN). Nicht alles ist zeitgleich angeschaltet und eine Internetverbindung von unter 30 kBits reicht mir vollkommen aus.

Wenn ich nun in der Fritz eine feste Route eingebe: Netzwerk-192.0.0.0 Sub 255.255.0.0 an Gateway NAS interne IP - dann hängt sich die Verbindung auf und ein Zugriff auf die Benutzeroberfläche der Fritzbox ist im gleichen Netz nicht mehr möglich.

Wenn ich nun in der Fritz eine andere feste Route eingebe: Netzwerk-10.0.0.0 Sub 255.0.0.0 an Gateway NAS interne IP - dann loggt sich der Rechner über die Fritz unter meinem Provider ins Internet.

Wenn ich in einem Rechner als Standartgateway die interne IP des NAS und „DHCP von der Fritz zuweisen“, angebe. Bekommt der Rechner die erwartete IP aus meinem Netz und ist im Netz unter meiner Provideradresse sichtbar.

Wenn ich DHCP in der Fritz abschalte und im NAS aktiviere, bekommt der Rechner eine IP aus einem anderen Netz 196.254. …, Sub 255.255.0.0 aber ist im Netz auch unter meiner Provideradresse sichtbar. Die per DHCP eingebundenen Netzwerkgeräte sind im NAS nicht erkannt. Im NAS sind die Ports 67, 68, 80 und 443 für die Geräte im internen Netz freigeschaltet.

Wo liegt hier mein Denkfehler? Habe ich in der Firewall des NAS was vergessen?



Am liebsten würde ich den DHCP-Server auf der Fritz!Box lassen. Gern würde ich in der Fritz eine feste Route ins VPN auf dem NAS eintragen. Leider sind hierfür meine Kenntnisse bisher nicht ausreichend.

Wie komme ich hier weiter?
 
Hallo!

Ich habe das so auf meiner DS214Play eingebaut. Connected sich auch brav. Allerdings ist der Speed nicht so optimal. Egal welchen Server ich nutze, Speed ist nicht wirklich befriedigend. Gibt es hier noch optimierung? Oder muss ich das einfach zu hinnehmen, das OPEN VPN auf der Kiste nicht anständig läuft?

Danke & Gruß
 
Back
Top