Suche einfache Anleitung zur Erstellung eines VPN-Netzwerks

[janer77]

Hallö,

ich möchte über eine FB7590 an der ein Synology NAS dran hängt (auf dem sich Netzlaufwerke befinden auf die aus der "Ferne" zugegriffen werden soll) eine VPN-Verbindung herstellen. Habe es über das Fritz-VPN versucht, über OpenVPN und über die Win10 VPN Software, aber ich komme da überall nicht weiter, da ich letztendlich keine Ahnung habe und nur rumprobiere...

Im Netz finde ich nur unzureichende oder sehr spezielle Anleitungen. Hat jemand einen Tipp?

 

[pintness]

Reicht die offizielle Anleitung von AVM nicht?

Einen VPN-Zugang einzurichten ist halt technisch nicht ganz trivial, wenn auch kein Hexenwerk.
Falls du dich nicht damit auseinandersetzen willst, solltest du vielleicht lieber auf das QuickConnect-Feature der Synology zurückgreifen.

 

[DeusoftheWired]

Hast du an mindestens einem der Standorte eine öffentliche IPv4? Wenn nicht, kannst du es sowieso fast vergessen.

https://avm.de/service/fritzbox/fri...-FRITZ-Box-am-DS-Lite-Internetzugang-moglich/
https://avm.de/service/fritzbox/fri...ternetzugang-mit-IPv6-DS-Lite-genutzt-werden/

Anbieter, Tarif und Hardware an Standort A und Standort B, bitte.
Welche Informationen stehen oben in der Mitte bei einem Aufruf von https://www.wieistmeineip.de/?

 

[Tunguska]

Um auf eine Synology Diskstation verschlüsselt von überall zuzugreifen, brauchst du kein VPN.

Such mal auf IDomiX nach Synology und Fernzugriff (ist glaube ich ein Video über die komplette Einrichtung der Diskstation). Einfach nachmachen und fertig.

 

[Raijin]

Habe es über das Fritz-VPN versucht, über OpenVPN und über die Win10 VPN Software, aber ich komme da überall nicht weiter, da ich letztendlich keine Ahnung habe und nur rumprobiere...

Es wäre uuuuungemein hilfreich, wenn du dann auch mal die Probleme, die jeweils aufgetaucht sind, beschreibst. Im www gibt es gefühlt 17 Quadrilliarden Anleitungen für VPNs, von X bis Y. Das hilft aber alles nix, wenn die Anleitung am Ende gar nicht das Problem ist, sondern die Voraussetzungen (wie von @DeusoftheWired bereits erwähnt die IPv4/IPv6-Problematik) nicht gegeben sind oder es vielleicht auch einfach nur daran liegt, dass du das VPN falsch anwendest.

Aussagen, die sinngemäß lauten wie "Ich hab alles probiert, bitte helft mir", haben immer einen faden Beigeschmack, weil ein Helfer ja nicht weiß was du konkret ausprobiert hast und was letztendlich das Ziel ist.

Prinzipiell sind die Anleitungen von AVM und/oder Synology eigentlich ausreichend. Daher ist es nicht zielführend, wenn hier jetzt siebenunddrölfzig andere Anleitungen verlinkt werden, solange gar nicht klar ist was das eigentliche Problem ist.

 

[janer77]

Die Infos habe ich z.T gar nicht... Muss erst mal vor Ort sein um das prüfen zu können.

Als sollen auf jeden Fall mehrere Leute von verschiedenen Orten auf das NAS zugreifen können. z.T. sind das auf der "anderen" Seite auch Fritzboxen, aber nicht nur.

Bis auf die Fritzbox sind wir schon gekommen, aber auf die NAS lässt sich nicht zugreifen. Wobei ich nicht ganz verstehe ob der eigentliche VPN-Tunnel über die FB oder die NAS aufgebaut werden muss.

Aber in sofoern habt ihr recht: Ich muss das erstmal eingrenzen und melde mich dann wieder. Mit den Hinweisen und Links werden ich ggf. auch was anfagen. Dank euch erstmal!

 

[Raijin]

Von welchem Client aus hast du das ausprobiert?
--> Laptop?
--> Smartphone?

Wo war der Client zu dem Zeitpunkt?
--> In einem Fremdnetzwerk (zB Nachbar/Kumpel)?
--> Mobilfunk?
--> Öffentlicher Hotspot?
--> Im selben Netzwerk wo auch der VPN-Server lief?

Über welche Adresse hast du das VPN hergestellt?
--> Aktuelle WAN-IP des Anschlusses?
--> DDNS-Domain?

Auf welchem Gerät bzw. welchem Betriebssystem lief der VPN-Server?
--> Laptop/PC? --> Windows XP/7/8/10?
--> NAS? (Synology)
--> Rotuer? (Fritzbox)

Und natürlich: Welche VPN-Technik wurde genutzt?
--> FritzVPN bzw. IPsec?
--> OpenVPN?
--> wireguard?



Da du schreibst, dass du schon bis zur Fritzbox gekommen bist, aber scheinbar auch Clients aus anderen Fritzbox-Netzwerken zugreifen sollen (und so ggfs auch getestet wurde), dann kann man schon mal eine Vermutung in den Raum werfen: Überlappende Subnetze. Wenn man zwei Netzwerke mittels VPN verbindet, müssen sich die IP-Bereiche unterscheiden. Fritzboxxen haben zB ab Werk immer 192.168.178.0/24 und das ist auch für ein isoliertes Heimnetzwerk vollkommen legitim. Sobald aber mehrere Fritzboxxen und VPN im Spiel sind, wird das so nicht funktionieren, weil die jeweiligen Heimnetzwerke eindeutig sein müssen. Das heißt, dass die zweite Fritzbox dann zB 192.168.187.0/24 verwenden müsste.

Deswegen ist es essentiell, dass man das Subnetz des Netzwerks wo der VPN-Server steht möglichst ungewöhnlich wählt, um potentielle Konflikte mit Client-Subnetzen zu vermeiden. Ein VPN-Server in einem 08/15 Standard-Fritzbox-Subnetz ist also eine blöde Idee.

 

[DeusoftheWired]

Als sollen auf jeden Fall mehrere Leute von verschiedenen Orten auf das NAS zugreifen können. z.T. sind das auf der "anderen" Seite auch Fritzboxen, aber nicht nur.

Von mehreren Orten und von unterwegs ist etwas anderes als das Site-to-Site-VPN, in dem zwei FRITZ!Boxen miteinander per VPN gekoppelt werden. Du scheinst nicht das zu suchen, sondern den Zugriff per VPN auf eine FRITZ!Box, nämlich deine, an der das NAS hängt.

Generell: https://avm.de/service/vpn/praxis-t...box-unter-windows-einrichten-fritzfernzugang/

Für den Desktop: https://avm.de/service/vpn/tipps-tr...ritzbox-mit-shrew-soft-vpn-client-einrichten/

Für Android: https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unter-android-einrichten/

Für iOS: https://avm.de/service/vpn/tipps-tr...ritzbox-unter-apple-ios-zb-iphone-einrichten/

Sei dir dann aber bewußt, daß Personen, denen du den MyFRITZ!-Namen und das entsprechende Zertifikat für das VPN zur Verfügung stellst, sich in deinem Heimnetz bewegen können als wären sie über WLAN vor Ort bei dir. Inklusive aller Gefahren wie Ransomware etc.

Die Frage nach der öffentlichen IPv4 an deinem Standort bleibt bestehen. Wenn du deine 7590 hast, ist es schon mal kein DOCSIS-Zugang, sondern DSL. Trotzdem bitte Anbieter, Tarif und die Infos oben in der Mitte beim Aufruf von https://www.wieistmeineip.de/ von deinem Standort aus.

 

[Raijin]

Wenn ich mich recht entsinne, kann man doch bei Synology im VPN konfigurieren, dass "Zugriff auf das Heimnetzwerk" geblockt wird, oder nicht? Heißt im Klartext, dass man dann den VPN-Zugriff nur auf das NAS selbst einschränken könnte und dann die jeweiligen User für die Netzlaufwerke anlegt. So wäre das Heimnetzwerk vor Fremdnutzern sicher (so sicher eben ein Synology-NAS ist) und man kann gezielt steuern welcher User welche Verzeichnisse sehen kann.

Beim Fritz-VPN ist das dann schon schwieriger. Ich bin mir nämlich nicht sicher ob man VPN-Usern per Firewall nur Zugriff auf bestimmte IPs gewähren kann (in dem Fall dann die NAS-IP).

Ich stimme @DeusoftheWired zu, dass man generell vorsichtig sein sollte, anderen Zugriff auf das eigene NAS oder im worst case eben gar das ganze Netzwerk zu gewähren. Innerhalb der Familie würde ich das noch tolerieren, aber Freunde/Bekannte hätten in meinem Netzwerk nichts zu suchen.

 

[hildefeuer]

Mit einer Fritz-Box geht das Fritz-VPN recht einfach einzurichten.
Allerdings muss man einige grundsätzliche Dinge beachten:

1. VPN geht nur bei unterschiedlichen ip der Router. Also da alle Fritzen mit 192.168.178.1 ausgeliefert werden muss man das als erstes ändern und nicht in 192.168.2.1 oder 192.168.1.1 oder 192.168.0.1 ändern, weil das auch die ip vieler anderer Router sind.

2. Fritz VPN kann nur ipsec. Das kann aber Windows nicht, deshalb muss eine Client-Soft her. Ich nehme immer Cisco Client, weil der auch bei Linux verfügbar ist. Dann muss ich nicht mit 2 Verschiedenen Softs zu werkeln. Android und OSX kann von Haus aus ipsec. Bei Linux muss man den Cisco Client nachinstallieren über die Software-Verwaltung.
Und natürlich alles mit copy und paste fallen lassen, https:// am Anfang weg lassen und am Ende :41868 auch weglassen. Man braucht im Grunde nur 5 Dinge:

1. Password der Fritze,
2. My Fritz Adresse, hier http:// weglassen und am Ende den Doppelpunkt und was danach kommt
(das waren meine Anfänger-Fehler!)
3. Benutzer Name auf der Fritze hinterlegt/eingerichtet, geht auch mit ftpuser und dem login von der fritze, aber besser separat neu einrichten
4. das Password für den FB Benutzernamen und
5. das shared secred

am besten alles mit copy und paste aus einem Textfile unter Windows, Android, OSX, Linux einfügen.

Alle Clients zu Hause einrichten und dann mit Smart-Phone Hotspot WLAN testen.

3. ipv4 ist ein muss. Also scheiden Kabel-Anschlüsse aus. Bei 1&1 kann man ja bei den Fritzen die ipv6 Unterstützung raus nehmen und Fritzen neu verbinden dann hat man ipv4.
Wenn die Clients via ipv6 verbunden sind, gehts auch.

 

[janer77]

Die FB hat eine alternative IP. Das man die Subnetz-IP ebenfalls ändern soll höre ich das erste mal.

 

[hildefeuer]

Man muss die nicht ändern, aber dann scheiden Client-Verbindungen die über Fritzen laufen aus. Die werden nicht funzen und das sind viele.....

 

[Raijin]

Was ist denn eine "alternative IP"? Die Subnetz-Adresse ist lediglich der statische Teil der IP-Adresse, durch die Subnetzmaske definiert.

IP = 192.168.178.1
Subnetzmaske = 255.255.255.0 (gleichbedeutend mit /24)
--> Subnetz-Adresse = 192.168.178.0

Wie gesagt, sobald man eine VPN-Verbindung zwischen zwei Netzwerken herstellt, müssen diese beiden Netzwerke sich im Subnetz unterscheiden. Das ist ganz ähnlich wie bei Telefonnummern. Diese müssen auch eindeutig sein und nur weil es die Telefonnummer 12345 in jeder Stadt gibt, ist das nur die halbe Wahrheit, weil man die Vorwahl mit einbeziehen muss und dann sind alle 12345 Nummern eben doch wieder eindeutig.

Hockt man mit dem Laptop in einem Hotel, das zufällig auch eine Fritzbox verwendet und zudem noch das Standard-Subnetz 192.168.178.0/24 verwendet, und verbindet sich zB mit einem VPN-Server auf dem heimischen NAS, das hinter der eigenen Fritzbox ebenfalls mit 192.168.178.0/24 sitzt, wird man keine Verbindung herstellen können. Der Laptop wird eine IP nach dem Schema 192.168.178.x stets lokal, im Hotel, suchen und gar nicht auf die Idee kommen, hinter das VPN zu gucken. So wie wenn man im besagten Beispiel mit den Telefonnummern die Vorwahl weglässt und einfach nur die 12345 anwählt - das Telefon wird niemals auf die Idee kommen, plötzlich die 12345 in Hamburg (Vorwahl 040) anzurufen, wenn sich das Telefon in Berlin (030) befindet. Stattdessen wird das Telefon die lokale 12345 anwählen. So auch der Laptop im Hotel, der dann bei der 192.168.178.123 für das NAS daheim stattdessen bei der lokalen 192.168.178.123 landet - dem Smartphone von Otto Nachbar oder auch dem Drucker an der Rezeption.


Bei einer festen Standortverbindung (LANzuLAN-Verbindung) hat man in der Regel noch Einfluss auf beide Subnetze. Das heißt man kann zB beim eigenen Netzwerk und dem des Bruders dafür sorgen, dass beide eindeutig sind. Wenn jedoch das zweite Netzwerk fremdverwaltet ist - zB Hotel, Hotspot, Firma, etc. - hat man eben nur auf das eigene Netzwerk Einfluss und weiß leider im Vorwege auch nicht welches Subnetz im Hotel, etc. verwendet wird.

Deswegen ist es essentiell wichtig, das lokale Netzwerk wo der VPN-Server steht, möglichst ungewöhnlich zu wählen, um die Gefahr einer Überschneidung zu minimieren - ganz auszuschließen ist es nie.

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Das sind die für private Netzwerke reservierten Bereiche. Man ist gut damit beraten, beim VPN-Server-Netzwerk kreativ zu sein.

192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.178.0/24
192.168.179.0/24

Diese Subnetze sind die am häufigsten verwendeten Subnetze, weil sie bei 99,99% aller Router ab Werk voreingestellt sind. Kollisionen wie oben beschrieben sind also sehr wahrscheinlich! Verwendet man nun im lokalen VPN-Server-Subnetz aber zB 172.23.4.0/24, ist die Wahrscheinlichkeit deutlich geringer, weil dann wirklich jemand zufällig exakt dasselbe Subnetz im Hotel-Router eingestellt haben müsste.

Sei kreativ! Ich baue meine privaten Subnetze zB anhand von Geburtstagen. 172.23.4.0/24 könnte zB für den 23.4. stehen.