Wiedermal ein QNAP VPN Thema

[blurrrr]

Da kann man eben so gut wie gar nichts einstellen, daher kann ich eigl "nur" die config der Clients verändern, was da dann aber eben rein müsste, das weiß ich immer noch nicht.

Die Routen werden normalerweise gepushed, heisst, Client meldet sich beim Server, Server übergibt Routen an Client. Du solltest daher auch keine Routen-Angaben in der OpenVPN-Config des Clients finden. Du schriebst ja schon, dass Du...

route 192.168.1.0 255.255.255.0

... eingetragen hast in die Config, das ist "eigentlich" überflüssig (ausser die Route in besagtes Netz wird Dir nicht vom Server mitgeteilt). Ebenso kannst Du dann auch für das zweite Netz verfahren, sollte dann insgesamt eben so aussehen:

route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0

Wenn die Routen dann beim Client bei aktivierter VPN-Verbindung auftauchen, die Pakete aber dennoch den "falschen" Weg gehen, kann es ggf. noch daran liegen, dass die Metriken der Routen nicht stimmen. Das Du mit o.g. route-print-Befehl prüfen. Falls das nicht passen sollte, kannst Du bei den Routen in der VPN-Config noch via "route-metric <Zahl>" die Metrik für die Route über das VPN-Interface bestimmen (sofern nötig, erstmal würde ich davon Abstand nehmen).

Wenn ich im Browser
192.186.2.0 eingebe, wie sage ich dem PC, dass er nicht in ein "lokales" Netzwerk mit dieser IP geht, sondern zuerst über den VPN und danach an diese?

Also mit der IP wird das sowieso schon mal so nicht funktionieren Aber mal ernsthaft: "garnicht". Du sagst dem Client nicht, was er nach dem ersten Schritt tun soll, Du kannst ihm nur sagen, in welche Richtung das Paket losmarschieren soll (links oder rechts bzw. LAN oder VPN). Mit dem nachfolgenden Routing hat der Client schon garnichts mehr zu tun. Bei Deinem Browser machst Du sowieso mal ganz gepflegt "garnichts", das hat damit erstmal rein garnichts zu tun.

Zu Deinem letzten Post... Dröseln wir das mal "flott" auseinander, interessant sind dabei sowieso erstmal nur 4 Routen:

0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.6 25 (Default-Gateway)

192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.6 281 (LAN)

10.1.0.0 255.255.255.0 10.1.0.9 10.1.0.10 257 (VPN-Netz)
192.168.1.0 255.255.255.0 10.1.0.9 10.1.0.10 257 (VPN - zusätzliches Netz)

Somit erreichst Du a) 192.168.2.0/24 direkt über die LAN-Schnittstelle und b) 192.168.1.0/24 über den VPN-Tunnel.

Was jetzt die Sache mit dem Netz 192.168.2.0/24 angeht... Kommst Du via Shell von NAS1 in das Netz von 192.168.2.0/24? Theoretisch kennt NAS1 diese Route nämlich nicht (es ist keine "Site-to-Site"-Verbindung, sondern lediglich nur "ein Client wählt sich auf NAS1 ein"). Was unter'm Strich auch wieder bedeutet: Client1 versucht "über" Client2 in Netz X zu kommen. Das wäre bei Deinem Setup dann eine "Besonderheit" (im Gegensatz zu den 0815-Verbindungen), Du solltest Du da noch die Option "client-to-client" in der OpenVPN-Server-Config setzen. Primär wichtig wäre allerdings erstmal, dass die Routing-Informationen bei eingewählten Client auch alle passen. Wenn das schon nicht richtig ist, brauchst Du Dir über den Rest auch gar keine Gedanken mehr zu machen.

Also alle Clients einwählen lassen schauen, ob jeder Client, die benötigten "zusätzlichen" Informationen hat.

PC:
10.1.0.0/24 via VPN (NAS1)
192.168.1.0 via VPN (NAS1)
192.168.2.0 via VPN (NAS1)

NAS1:
192.168.2.0 via VPN (NAS2)

NAS2:
10.1.0.0/24 via VPN (NAS1)
192.168.1.0 via VPN (NAS1)

Das problematische an Deinem Setup ist mitunter noch, dass Du die Route für 192.168.2.0/24 vermutlich statisch bei NAS1 eintragen müsstest. Das "Problem" dabei wäre wohl, dass sich die Client-VPN-IP von NAS2 evtl. auch ändern kann. Demnach sollte man evtl. dafür sorgen, dass NAS2 immer eine statische VPN-IP bekommt.

Ganz interessant wäre in diesem Kontext dann: https://openvpn.net/community-resources/reference-manual-for-openvpn-2-0/

Such dort einfach mal nach "--ifconfig-pool-persist" und lies einfach alles durch bis inklusive "--client-to-client" (ggf. noch --duplicate-cn, das hat ggf. was mit dem CCD zu tun, aber lies erstmal). Primär geht es erstmal darum, dass wenn Du etwas als "Gateway" benutzen willst, sich die Gateway-IP halt nicht ständig ändern sollte (ganz besonders dann nicht, wenn Du dazu eine statische Route anlegen möchtest).

 

[MarkusAT]

Die Routen werden normalerweise gepushed, heisst, Client meldet sich beim Server, Server übergibt Routen an Client. Du solltest daher auch keine Routen-Angaben in der OpenVPN-Config des Clients finden.

Beim Server kann ich (in der GUI, Im "Hintergrund" sieht es evtl anders aus, wobei wir ja gesehen haben, dass QNAP die Server configs immer wieder neu schreibt) nichts einstellen. Daher bleibt mir eben nur der Weg über die Client config.

route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0

Das war eben mein erster Versuch, leider eben ohne Erfolg. Das wäre eben meine Logik gewesen.

Wenn die Routen dann beim Client bei aktivierter VPN-Verbindung auftauchen, die Pakete aber dennoch den "falschen" Weg gehen, kann es ggf. noch daran liegen, dass die Metriken der Routen nicht stimmen. Das Du mit o.g. route-print-Befehl prüfen. Falls das nicht passen sollte, kannst Du bei den Routen in der VPN-Config noch via "route-metric <Zahl>" die Metrik für die Route über das VPN-Interface bestimmen (sofern nötig, erstmal würde ich davon Abstand nehmen).

Das teste ich, sobald PC_x aus NW2 wieder raus ist
Wird wohl Montag werden ^^

Also mit der IP wird das sowieso schon mal so nicht funktionieren

Naja, alles andere, also Zugriff auf NAS1, NAS2 und Router 1 funktioniert so.
Genauso will ich eben auch Router 2 erreichen
Das muss ja irgendwie gehen, oder?
Wenn das nicht geht, dann bringt mir das Routing ja auch nichts mehr xD Denn genau das wäre ja das Ziel

Du solltest Du da noch die Option "client-to-client" in der OpenVPN-Server-Config setzen.

Wie gesagt, Server seitig geht da dauerhaft wenig, bzw mir wäre nicht bekannt wie, ist vermutklich die korrektere Aussage ^^

Primär wichtig wäre allerdings erstmal, dass die Routing-Informationen bei eingewählten Client auch alle passen. Wenn das schon nicht richtig ist, brauchst Du Dir über den Rest auch gar keine Gedanken mehr zu machen.

Also alle Clients einwählen lassen schauen, ob jeder Client, die benötigten "zusätzlichen" Informationen hat.

PC:
10.1.0.0/24 via VPN (NAS1)
192.168.1.0 via VPN (NAS1)
192.168.2.0 via VPN (NAS1)

NAS1:
192.168.2.0 via VPN (NAS2)

NAS2:
10.1.0.0/24 via VPN (NAS1)
192.168.1.0 via VPN (NAS1)

Das problematische an Deinem Setup ist mitunter noch, dass Du die Route für 192.168.2.0/24 vermutlich statisch bei NAS1 eintragen müsstest. Das "Problem" dabei wäre wohl, dass sich die Client-VPN-IP von NAS2 evtl. auch ändern kann. Demnach sollte man evtl. dafür sorgen, dass NAS2 immer eine statische VPN-IP bekommt.

Ganz ehrlich?
Ich hab hier keine Ahnung, was ich wie machen soll damit?
Statisch wird denke ich so oder so nichts, weil die IP von den Clients immer ändert (10.1.0.6, 10.1.0.10 und 10.1.0.14)
Wie sehe ich ob der Client die Infos hat?
Ich kann nicht wirklich was ändern, außer die Client configs.
Du hast ja damals remote gesehen, was ich da an Einstellungen im QNAP CLient hatte. So gut wie nichts xD

Aber ich glaub ich lass es dann Sache sein.
Es ist auch nicht so wichtig, da Netzwerk 2 mein Wohnort ist, sprich dass ich hier von extern auf den Router muss, ist eh sehr selten.
Da muss ich am Ende auch mal sagen Nutzen vs. Aufwand.
Meine Hoffnung war, dass ich auch einfach eine "route x.y.z.x" in die config schreibe, wie ich es auch für Netwerk 1 gemacht hatte. Geht anscheinend nicht, ist auch okay
Server seitig hier was zu ändern wäre nicht zieflührend, da:

• Nacht sind die Geräte aus
• server.conf wird immer wieder neu geschrieben
• spätestens bei einem update wäre auch die Datei, die die server.conf befüllt, auch wieder weg
• Mit dem Schritt wollte ich mir die Wartung vereinfachen, für den ganz seltenen Fall, dass ich dringend was in Router 2 umstellen müsste (mein Zuhause), ohne dass ich daheim wäre. Mehr würde ich damit ja nicht gewinnen, da Router 1 kann ich bereits erreichen, NAS1 und NAS2 auch. Wenn ich dann auch nach jedem Update/Neustart am Server auch wieder was umstellen müsste, wird die Wartung nur aufwendiger. Damit erreiche ich dann nur das Gegenteil :O

Trotzdem Danke für Deine Hilfe , man lernt viel draus, auch wenn ich am Ende nicht da bin wo ich wollte^^

 

[blurrrr]

Wenn Du ein Site2Site-VPN zwischen den beiden NAS-Geräten etablieren könntest, würden die Angabe der beiden Routen (1+2) bei der Einwahl zu NAS1 schon ausreichen. Aber mal ganz ehrlich... OpenVPN ist nicht das Problem, das ist eher die Tatsache, dass QNAP (wie die meisten Hersteller) halt einfach immer gnadenlos an den Dingen rumfummeln, von daher wäre es evtl. eine Option, wenn Du auf NAS1 einfach eine kleine VM mit einem stinknormalen Debian o.ä. und dem OpenVPN-Dienst laufen lässt - so würde ich das jedenfalls machen, damit man sich diesen ganzen - von den Herstellern verursachten - Ärger vom Hals halten kann. Alternativ einen vServer anmieten und darüber alles abwickeln, oder alternativ dazu irgendwas in Richtung Firewall-Hardware an beide Standorte, über welche dann die Site2Site-VPN-Verbindung läuft und wo man sein VPN dann auch vernünftig durchkonfigurieren kann.

Ist nicht so, als hätte ich früher nicht auch gebastelt wie blöde, mittlerweile ist mir das eher vergangen (bzw. habe ich da auch eher keine Zeit mehr für), weswegen ich überall entsprechende Hardware/VMs laufen habe und normalerweise sind es dann auch immer direkt ganze Netz-Kopplungen + entsprechende Firewall-Regeln. Roadwarrior-Configs (reguluäre Client-Einwahl) habe ich nur noch äusserst selten, aber wenn, kann ich in den VPN-Profilen auch genau definieren, wer wann welche Netze und Berechtigungen erhält.

Was Du natürlich noch machen könntest: Das Problem besteht ja nun darin, dass Du mit einem Client, über den VPN-Server, über einen weiteren VPN-Client ins Zielnetz möchtest und dem VPN-Server nicht mitteilen kannst, dass das Zielnetz hinter dem 2. VPN-Client liegt und die Tatsache, dass der 2. VPN-Client mitunter auch die IP wechselt. Das sollte dann so aussehen:

VPN-Client-PC -> VPN-Server -> VPN-Client-NAS -> Ziel-Netz

Du könntest das Pferd aber auch von der anderen Seite aufziehen, demnach müsste ein Gerät sowohl VPN-Server (für den Client-PC), als auch Client (für den VPN-Server) sein.

Im Grunde würde es sich wie folgt verhalten:

VPN-Client-PC -> VPN-Server/-Client -> VPN-Server

Das hat jetzt folgenden Hintergrund:

Der Client ist und bleibt dumm wie er ist, kriegt eben die "beiden" Routen verpasst (1+2). Alles geht zum VPN-Server (z.B. 1). Jetzt kommen Pakete für Netz 2 dort an. Dieses Netz kennt der VPN-Server jetzt auch "nur", weil er selbst als Client am anderen VPN-Server hängt und ihm die Route mitgeteilt wurde (oder man ihm es auch in die Clientconfig gepackt hat), dass über diese Client-VPN-Verbindung das entsprechende Netz (z.B. 2) erreichbar ist.

Für mich persönlich "sauberer" fände ich allerdings ein Site2Site-VPN zwischen den beiden Standorten mit entsprechenden Firewall-Regeln und der Client wählt sich einfach an einem der beiden Standorte ein und kann direkt auf beide Netze zugreifen.

 

[MarkusAT]

von daher wäre es evtl. eine Option, wenn Du auf NAS1 einfach eine kleine VM mit einem stinknormalen Debian o.ä. und dem OpenVPN-Dienst laufen lässt

das klingt vermutlich echt nicht so schlecht

alternativ dazu irgendwas in Richtung Firewall-Hardware an beide Standorte

Das geht nur an einem Standort, ist aber langfristig (eher schon mittelfristig) geplant