Hallo zusammen,
ich nutze eine Synology DS216j NAS und würde diese gerne auch von außen ansteuern können und habe mich dafür für Open VPN entschieden. Leider bekomme ich es überhaupt nicht ans Laufen, weswegen ich gerne auf eure Hilfe zurückgreifen würde. Tatsächlich kann ich mich von außen auf den VPN server verbinden, im DSM wird mir die Verbindung auch angezeigt, allerdings habe ich keinen Zugriff auf die Netzlaufwerke oder generell das Netzwerk bei mir zu Hause.

Die NAS ist an einen Vodafone 904x angeschlossen. Der VPN Server wird auf der NAS betrieben.

AM Router habe ich den Port 1194 (UDP) über Portmapping freigegeben.

Ich habe dazu das VPN Modul für DSM 6.0 installiert.
Unter "Allg. Einstellungen" steht im Netzwerkinterface die IP meiner DS216j, wie sie im Netzwerk ist und lokale Benutzer sind zugelassen

Unter "Privileg" haben die lokalen Benutzer das Häckchen bei Open VPN.

Unter "OpenVPN" ist dieser aktiviert, hat die Dynamische IP-Adresse 10.8.0.1.
Port ist 1194
Protokoll UDP

Jeweils Häckchen bei"Komprimierung auf VPN-Verknüpfung verwenden" und "Clients den Server-LAN-Zugriff erlauben. IPv6_Servermodus ist nicht aktiviert.

Weiterhin habe ich folgende EInstellungen in der DSM Firewall:
Unter den Schnittstellen "LAN", "PPoE", "VPN" habe ich eingestellt, dass wenn keine Regel zutrifft, der Zugriff verweigert werden soll. Weiterhin habe ich für "Alle Schnittstellen" Zugriff gewährt für VPN Server (1194).

Unter "Externer Zugriff" habe ich mir über den Servieseanbieter Synology eine DDNS geholt. Ich habe einen Hostnamen ("XY.synology.me) und eine Externe IP Adresse. Status wird als "Normal angezeigt.


So, kommen wir zum Clienten. Aus dem VPN Server habe ich mir eine Konfigurationsdatei exportiert. Diese habe ich ordnungsgemäß auf dem CLienten PC eingefügt und bei YOUR_SERVER_IP die IP eingetragen, die ich bei DDNS von Synology habe (Siehe Spoilertag)

dev tun
tls-client

remote YOUR_SERVER_IP 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass


Ich habe mein Notebook ans Handy gekoppelt, damit ich den Zugang von außen habe. Ich bekomme Zugriff auf den VPN Server, in der Verbindungsansicht des VPN Servers wird der Zugriff über mein Konto registriert und mir eine IP zugewiesen. An meinem Clienten PC habe ich einmal die WLAN Verbindung zu meinem Handy und es wird wird ein weiteres Netzwerk angezeigt (VPN Verbindung), welches allerdings "Nicht identifiziert" ist und keinen Netzwekzugriff hat.

Ich hätte jetzt gerne Zugriff auf meine Netzlaufwerke, wie ich es aus dem Netzwerk gewohnt bin oder sogar Zugriff auf andere freigegebene Ordner anderer PCs im Netzwerk. Aber ich komme da einfach nicht weiter.. :(
Habt ihr Ideen, was fehlt/ich falsch mache?

Wie sieht denn deine Clientseitige IP-Konfiguration aus, wenn die VPN-Verbindung besteht? (ipconfig /all)
Wie versuchst du auf die Netzwerkfreigaben zu zu greifen?
Lässt sich das NAS über den VPN pingen?

Generell fallen mir bei deiner Beschreibung ein paar Sachen auf, die zumindest als Stolperfalle taugen. Vieles davon ist je nach Situation aber auch durchaus sinnvoll. Darum gehen wir das vielleicht mal besser der Reihe nach durch :)

Wie sieht denn deine Clientseitige IP-Konfiguration aus, wenn die VPN-Verbindung besteht? (ipconfig /all)
Wie versuchst du auf die Netzwerkfreigaben zu zu greifen?
Lässt sich das NAS über den VPN pingen?

Generell fallen mir bei deiner Beschreibung ein paar Sachen auf, die zumindest als Stolperfalle taugen. Vieles davon ist je nach Situation aber auch durchaus sinnvoll. Darum gehen wir das vielleicht mal besser der Reihe nach durch :)

Ich muss zugeben, dass ich das ganze mit gefährlichem Halbwissen aufziehe. Ich vermute, dass meine beiden Subnetze nicht miteinander kommunizieren können und deshalb das Probelm besteht. Ich habe woanders gelesen, dass man eine statische Route vom Router zur NAS schalten könnte - Problem: meine beschissene Vodafonebox kann das nicht.

Zu den Fragen: Erste Frage muss ich nochmal testen.
Ich kann im Netzwerk normalerweise die NAS sehen. Alsoim Explorer unter Netzwerk, Doppelklick, und dann auf die Ordner struktur zugreifen. (\\NAS\Music\)
Ich habe es mit pinngen schon probiert: Weder den Router (192.168.2.1) noch die NAS kann ich anpingen, was mit zeigt, dass die beiden Subnetze wohl nicht miteinander kommunizieren.

Ja, dass die beiden Subnetze nicht kommunizieren können, ist recht wahrscheinlich. Die Frage ist 1. ob sie das überhaupt müssen, und 2. wenn ja, warum sie nicht kommunizieren können. Gäbe da verschiedene Stellen an denen das scheitern könnte. Darum erst mal schauen.

Du findest mal raus, welche IP dein NAS im LAN hat, und dann testest du mal, ob du das Web-Interface auch über diese IP aufrufen kannst. (Browser auf machen und die IP in der Adresszeile eingeben) Und ob dann die Adresszeile bleibt wie sie ist, oder ob du automatisch auf eine Domain umgeleitet wirst (also ob die IP durch Buchstaben ala "Synology.nas" oder sowas ersetzt wird, weiß nicht ob und was die da benutzen).

Dann versuchst du mal, in deinem normalen LAN folgendes in einer Kommandozeile:
ping IP-DER-NAS
ping 10.8.0.1
tracert 10.8.0.1
Die Ausgaben wären jeweils ganz interessant.

Dann baust du mal deine VPN-Verbindung auf und versuchst folgende Befehle:
ping 10.8.0.1
ping IP-DER-NAS
tracert IP-DER-NAS
Außerdem versuchst du im Browser mal das Web-Interface über die LAN-IP des NAS auf zu rufen, und einmal über die Adresse 10.8.0.1

Das ganze macht natürlich meinen ersten Post nicht ungültig ;)

Edith hätte auch gern noch die Ausgabe von route print einmal ohne VPN-Verbindung und einmal mit.
Hast du die Möglichkeit dich per Shell auf die NAS zu verbinden und darüber Einstellungen vor zu nehmen?

Du findest mal raus, welche IP dein NAS im LAN hat, und dann testest du mal, ob du das Web-Interface auch über diese IP aufrufen kannst. (Browser auf machen und die IP in der Adresszeile eingeben) Und ob dann die Adresszeile bleibt wie sie ist, oder ob du automatisch auf eine Domain umgeleitet wirst (also ob die IP durch Buchstaben ala "Synology.nas" oder sowas ersetzt wird, weiß nicht ob und was die da benutzen).

Im (internen)Netzwerk kein Problem - ich habe eine https Verbindung eingestellt, die IP bleibt bestehen und es wird noch der Port angehangen (6001)
https://192.168.2.172:5001/



Dann versuchst du mal, in deinem normalen LAN folgendes in einer Kommandozeile:
ping IP-DER-NAS
ping 10.8.0.1
tracert 10.8.0.1
Die Ausgaben wären jeweils ganz interessant.

hm, interessting, ich kann meine NAS nicht im (internen) Netzwerk anpingen, Zeitüberschreitung
auch nicht 10.8.0.1


Routenverfolgung zu 10.8.0.1 ber maximal 30 Hops

1 2 ms 1 ms 3 ms easy.box [192.168.2.1]
2 21 ms 25 ms 18 ms dslb-XXX-XXX-XXX-XXX.XXX.XXX.pools.vodafone-ip.de [XX.XX.XXX.X]
3 * * * Zeitberschreitung der Anforderung.
4 * *



Dann baust du mal deine VPN-Verbindung auf und versuchst folgende Befehle:
ping 10.8.0.1
ping IP-DER-NAS
tracert IP-DER-NAS


Zeitüberschreitung bei den pings
tracert gibt Zeitüberschreitung. Interessanterweise findet er aber den Namen meiner NAS




Außerdem versuchst du im Browser mal das Web-Interface über die LAN-IP des NAS auf zu rufen, und einmal über die Adresse 10.8.0.1

bei beiden weist er mich auf dasSicherheitszertifikat im forefox hin. er zeigt im Tab den Namen der CLoud an, lädt sich aber tot. in der Adresszeile ist bei beiden IPs das https vorhanden und am Ende das :5001





Das ganze macht natürlich meinen ersten Post nicht ungültig ;)

Edith hätte auch gern noch die Ausgabe von route print einmal ohne VPN-Verbindung und einmal mit.
Hast du die Möglichkeit dich per Shell auf die NAS zu verbinden und darüber Einstellungen vor zu nehmen?
einmal im internen Netzwerk

===========================================================================
Schnittstellenliste
6...40 61 86 f5 db 67 ......Realtek PCIe GBE Family Controller
1...........................Software Loopback Interface 1
7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
3...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.143 10
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.143 266
192.168.2.143 255.255.255.255 Auf Verbindung 192.168.2.143 266
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.143 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.143 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.2.143 266
===========================================================================
St„ndige Routen:
Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
If Metrik Netzwerkziel Gateway
3 306 ::/0 Auf Verbindung
1 306 ::1/128 Auf Verbindung
3 306 2001::/32 Auf Verbindung
3 306 2001:0:5ef5:79fd:3c51:2e40:abc0:7ebd/128
Auf Verbindung
6 266 fe80::/64 Auf Verbindung
3 306 fe80::/64 Auf Verbindung
3 306 fe80::3c51:2e40:abc0:7ebd/128
Auf Verbindung
6 266 fe80::7017:5506:b7b4:ab61/128
Auf Verbindung
1 306 ff00::/8 Auf Verbindung
6 266 ff00::/8 Auf Verbindung
3 306 ff00::/8 Auf Verbindung
===========================================================================
St„ndige Routen:
Keine

und einmal via vpn


===========================================================================
Schnittstellenliste
20...c2 33 5e 0a 7e a2 ......Microsoft Wi-Fi Direct Virtual Adapter
12...00 ff 7d 15 c3 fd ......TAP-Windows Adapter V9
13...c0 33 5e 0a 7f a3 ......Marvell AVASTAR Wireless-AC Network Controller
17...c0 33 5e 0a 7f a4 ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
18...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
24...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
21...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.137.1 192.168.137.18 25
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 20
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 20
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 276
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 276
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.2.0 255.255.255.0 10.8.0.5 10.8.0.6 20
192.168.137.0 255.255.255.0 Auf Verbindung 192.168.137.18 281
192.168.137.18 255.255.255.255 Auf Verbindung 192.168.137.18 281
192.168.137.255 255.255.255.255 Auf Verbindung 192.168.137.18 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.137.18 281
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.137.18 281
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 276
===========================================================================
St„ndige Routen:
Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
If Metrik Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
13 281 fe80::/64 Auf Verbindung
12 276 fe80::/64 Auf Verbindung
12 276 fe80::1d0a:d542:d75f:c965/128
Auf Verbindung
13 281 fe80::b808:6707:3185:9af2/128
Auf Verbindung
1 306 ff00::/8 Auf Verbindung
13 281 ff00::/8 Auf Verbindung
12 276 ff00::/8 Auf Verbindung
===========================================================================
St„ndige Routen:
Keine

Im (internen)Netzwerk kein Problem - ich habe eine https Verbindung eingestellt, die IP bleibt bestehen und es wird noch der Port angehangen (6001)
https://192.168.2.172:5001/

Tippfehler beim Port? 5001 oder 6001?


hm, interessting, ich kann meine NAS nicht im (internen) Netzwerk anpingen, Zeitüberschreitung
auch nicht 10.8.0.1

Gib mal die komplette Ausgabe der Pings. Da stecken gegebenenfalls noch n bisschen mehr Infos drin.


...
Zeitüberschreitung bei den pings
tracert gibt Zeitüberschreitung. Interessanterweise findet er aber den Namen meiner NAS

Auch davon hätt ich gern die komplette Ausgabe :gratz


bei beiden weist er mich auf dasSicherheitszertifikat im forefox hin. er zeigt im Tab den Namen der CLoud an, lädt sich aber tot. in der Adresszeile ist bei beiden IPs das https vorhanden und am Ende das :5001

Was heißt hier "Name der Cloud"?


einmal im internen Netzwerk
...[/code]

und einmal via vpn
[code]
...
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.137.1 192.168.137.18 25
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 20
...
192.168.2.0 255.255.255.0 10.8.0.5 10.8.0.6 20
...
===========================================================================
...
Die Routing Tabellen sehen soweit auch nicht verkehrt aus.

Bleibt die Frage: Was ist mit den anderen Infos die ich angefragt hatte? (Mach ich ja immer, weil ich so neugierig bin §ugly)

Tippfehler beim Port? 5001 oder 6001?

Gib mal die komplette Ausgabe der Pings. Da stecken gegebenenfalls noch n bisschen mehr Infos drin.

Auch davon hätt ich gern die komplette Ausgabe :gratz

Was heißt hier "Name der Cloud"?

Die Routing Tabellen sehen soweit auch nicht verkehrt aus.

Bleibt die Frage: Was ist mit den anderen Infos die ich angefragt hatte? (Mach ich ja immer, weil ich so neugierig bin §ugly)

So, ich habs jetzt anders gemacht. Ich habe die VPN Verbindung via L2TP/IP hergestellt. Das hatte mich am Anfang auch vor Probleme gestellt und ich hab gelesen, dass man in der Registry rumfuschen sollte, daher hatte ich es verworfen. Ich habe aber einen Artikel auf der Microsoft Seite (https://support.microsoft.com/de-de/kb/926179) gefunden und gelesen, dass der Fehler wohl bei ihnen liegt und dass sie selber zur Registry Änderung raten.

Ich bin dabei der Anleitung dieser Seite hier gefolgt:
http://wiki.cbeier.net/windows/windows8/l2tp-ipsec_vpn-verbindung_unter_windows_8_zur_synology_diskstation_einrichten

Tatsächlich klappt die Verbindung nun einwandfrei und ich kann auf die NAS und das Netzwerk zugreifen - so, wie ich es wollte.

Lookbehind: Vielen vielen Dank für deine Hilfe - ich habe wieder ein paar Dinge mehr über cmd und Netzwerk-ips gelernt ;-)

boah ich könnt kotzen...
eben funktionierte noch alles, jetzt kriege ich im Netzwerk keinen Zugriff mehr auf die NAS, es sei denn, ich starte sie neu. Das ist jedes mal so, nachdem ich mich via VPN eingeloggt habe.
sie ist im netzwerk zu sehen, kein pink, nichts. nur neustart...argh

so, jetzt läufts! Ich hatte in der NAS noch eine Einstellung liegen, die vermutlich einen IP Konflikt erzeugt hat. Ich hoffe, jetzt läuft es stabil