FIP VPN und Synology Diskstation

[Wolif]

UPDATE für DSM 6

Ich habe neulich festgestellt, dass mit der neuen DSM die Einrichtung deutlich einfacher funktioniert.
Man muss nun lediglich angeben, dass man ein Profil erstellen will, bei dem eine ovpn-Datei importiert werden soll.

- Zuerst das zip entpacken
- .ovpn Datei öffnen, bei auth-user-pass das dahinterstehende File samt Anführungsstrichen entfernen, so dass nur noch auth-user-pass da steht.
- in der Diskstation ein VPN-Profil erstellen

Die Angaben (unter Aktivierung der erweiterten Optionen):
Profilname: beliebig
Benutzername: erste Zeile der .auth Datei
Kennwort: zweite Zeile der .auth Datei
.ovpn-Datei importieren: die mitgeliegferte .ovpn Datei
CA-Zertifikat: fipCA.crt
Client-Zertifikat: leer lassen
Client-Schlüssel: leer lassen
Zertifikatsentzugliste: leer lassen
TLS-auth Schlüssel: fipTA.key

Auf der nächsten Seite wird man gefragt, ob das Standard-Gateway auf dem Remote-Netzwerk genutzt werden soll.
Wenn aller Verkehr über das VPN laufen soll, muss dieser Punkt aktiviert werden.
Ebenfalls ist es nützlich, die Wiederverbindung zu aktivieren.

Dann die so neu erstellte VPN-Verbindung aktivieren und alles sollte nun laufen!

Alte Anleitung:
Hallo,

ich habe einen FIP-VPN Tunnel und hatte zunächst Probleme, die entsprechende Konfiguration auf meiner Synology Diskstation einzustellen.
Die Synology-Oberfläche erlaubt es anscheinend nicht, eigene key-files zu benutzen.
Daher hier eine Anleitung, wie ich es eingerichtet habe (alles für DSM-Version 5.1).
Falls es doch allein per GUI einstellbar sein sollte, wäre ich für die entsprechende Lösung natürlich sehr dankbar!

• Unter Systemsteuerung - Netzwerk - Netzwerkschnittstelle auf "Erstellen - VPN-Profil erstellen" gehen
• OpenVPN wählen, einen Profilnamen eingeben und zunächst für die Serveradresse, Nutzername und Kennwort beliebige Daten eintragen und das FIP-Zertifikat hochladen.
• die Einstellungen im nächsten Bildschirm sind eigentlich auch irrelevant

Das VPN-Profil ist jetzt erstellt, enthält aber noch falsche Daten.
Die müssen jetzt ersetzt werden.
Dazu braucht man das Tool Putty http://www.chiark.greenend.org.uk/~sgta ... nload.html

• SSH-Dienss der Diskstation unter Systemsteuerung -> Terminal aktivieren
• SSH-Ports in der Firewall der Diskstation freigeben (am Besten nur für Adressen aus dem eigenen LAN)
• per Putty mit root und admin-Passwort einloggen
• folgende Befehle eingeben:

  Code: Select all

  cd /usr/syno/etc/synovpnclient/openvpn/
  ls

Jetzt erhält man eine Liste der Dateien.
Eine davon ist "client_o" und dann eine Nummer. Diese muss editiert werden.
Ich nutze dazu das Config File Editor-Paket von http://www.mertymade.com/syno/#cfe
Der SSH-Dienst kann jetzt wieder deaktiviert werden.

Installation des Editors:

• Datei herunterladen, über "Paketzentrum" - "manuelle Installation" installieren. Dabei muss unter Umständen in den Paketzentrumeinstellungen die Vertrauensebene temporär für diese Installation auf "Jeder Herausgeber" gesetzt werden.

Editieren des Configfiles:

• Editor starten und im Auswahlmenü "Config File Editor" wählen
• die Zeile

  Code: Select all

  /usr/syno/etc/synovpnclient/openvpn/client_o[hier die Nummer, s.o.],VPNClientTmp

  hinzufügen, mit einem Enter danach (der Editor ist nicht ganz bugfrei was das angeht), dann speichern, schließen und den Editor neu öffnen.
• im Editormenü VPNClientTmp öffnen
• Dort sollte nun eine openvpn config stehen. Falls da nichts steht oder der Menüpunkt "VPNClientTmp" fehlt, wurde ein Fehler gemacht
• in die Datei nun die von FIP gestellte Konfiguration aus dem ovpn file kopieren
  Bei den Befehlen "tls-auth" "ca" und "auth-user-pass" müssen Pfade zu den mitgelieferten FIP-Dateien angegeben werden, z.B.

  Code: Select all

  tls-auth /volume1/homes/admin/FIPVPN/fipTA.key 1
  ca /volume1/homes/admin/FIPVPN/fipCA.crt
  auth-user-pass "/volume1/homes/admin/FIPVPN/fipVPN-[nummer].auth"

Ich habe außerdem noch "redirect-gateway" hinzugefügt. Dies funktioniert aber nur bei Tunnel-VPNs.

Nach dem Speichern kann man sich unter Systemsteuerung - Netzwerk - Netzwerkschnittstelle nun mit der VPN-Verbindung verbinden.
ACHTUNG: Beim Bearbeiten der Verbindung über die GUI wird die Konfiguration wieder überschrieben!

WICHTIG:
Falls der gesamte Traffic über den FIP-Gateway gehen soll (z.B. bei Tunnel-VPNs), müssen die Firewalleinstellungen unter Umständen angepasst werden.
Wenn diese bisher nur für den LAN-Adapter galten, greifen sie nach der VPN-Verbindung nicht mehr, da diese den virtuellen TUN-Adapter nutzt.
Dieser ist nicht direkt im Firewall-Menü auswählbar.
Daher bitte unbedingt folgendes in den Firewalleinstellungen überprüfen (Systemsteuerung-Sicherheit-Firewall):
Oben rechts muss "Alle Schnittellen" ausgewählt sein.
In der Tabelle müssen "Zulassen" Regeln für die Daten eingetragen werden, die aus dem Internet erreichbar sein sollen.
Für Daten, die nur per LAN erreichbar sein sollen, muss die entsprechende lokale Quell-IP(range) angegeben werden, z.B. 192.168.178.0/255.255.255.0 bei FritzBoxen.
Als letzte Regel muss jeder Datenverkehr verweigert werden. Diese Regel greift, wenn alle anderen nicht gegriffen haben und ist somit die wichtigste.

Ich hoffe, die Anleitung hilft jemandem.

Wolif

[rema]

Hallo,

vielen Dank für die Anleitung.

Redirect-Gateway funktioniert nur bei Tunnel-VPN's.
Bei Port-VPNs sind die Verbindungen nur eingehend dafür muß kein Gateways gesetzt werden.

[Wolif]

Danke, ich habe die Anleitung ergänzt.

[Wolif]

Ich bitte um Entschuldigung für den Doppelpost, aber ich habe noch eine wichtige Ergänzung die Firewallregeln betreffend gemacht.

[Wolif]

Eine wichtige Ergänzung für einige Diskstations:
Ich hatte starke Probleme mit plötzlichen Verbindungsabbrüchen bei allen möglichen Streaming- und Webdiensten auf meinem NAS.
Dies lag daran, dass unter Einstellungen->Netzwerk->DSM-Einstellungen SPDY aktiviert war. Diese Einstellung ist nur bei einigen Diskstations verfügbar.
Nach einer Deaktivierung lief alles wieder reibungslos.

[frankotronic]

Hallo.
Ich habe eine DS und einen Account bei FIP. Wenn ich nach der Anleitung von oben ein Port-VPN einrichte, kann ich eine VPN-Verbindung herstellen. Klappt super.
Ich möchte aber einen VPN Tunnel einrichten. Dafür habe ich das entsprechende Addon gekauft (VPN-Tunnel IPv4), unter FIP-VPN ein neues VPN angelegt und unter VPN-Typ "VPN-Tunnel (mit meiner zugewiesenen IPv4 Adresse)" ausgewählt. Wenn ich nun wieder, wie in der Beschreibung, die Config-Daten herunter lade und anpasse, kommt keine Verbindung zu stande "Es konnte keine Verbindung hergestellt werden."

Was mache ich denn da wieder falsch?

[Wolif]

Hallo,

ich habe selbst nur einen VPN-Tunnel.
Gehst du nach der neuen oder der alten Anleitung vor?

[frankotronic]

Beide.
Bei der für > DSM6 versucht die DS eine Verbindung aufzubauen, dann kommt aber die Fehlermeldung.

Nach der alten Methode kommt mittlerweile das gleich Bild. Es wird versucht eine Verbindung herzustellen, aber es kommt die o.g. Fehlermeldung.

[Wolif]

Lösche die alte Konfiguration.
Ändere danach folgende Zeilen in der ovpn, so dass das drin steht:
tls-auth fipTA.key 1
ca fipCA.crt
auth-user-pass "fipVPN-104250.auth"
Versuch danach nur die neue Variante, indem du die veränderte ovpn zusammen mit Zertifikat und TAkey in der GUI angibst.

Das könnte dann klappen, denke ich.

PS: Erstelle besser in der Diskstation ein neues Adminkonto und deaktiviere "admin", um den Angriffsvektor klein zu halten, falls du die DSM-Oberfläche ins Netz hängst.

PPS: Ach Moment, liegen deine Dateien überhaupt bei /volume1/homes/admin/FIPVPN/fipTA.key usw?
Das waren in meinem Tutorial nur Beispielangaben.
Da muss der Pfad hin, wo die Dateien auch liegen.
Ich würde aber jedenfalls die neue Methode bevorzugen, da vermeidet man auch, dass einem die Konfiguration überschrieben wird, wenn man die VPN-GUI aufruft.

[frankotronic]

Hi.
Erstmal Vielen Dank für die Unterstützung!
Leider klappt es noch nicht. Ich habe die VPN-Verbindungen gelöscht und im Ordner "/usr/syno/etc/synovpnclient/openvpn/" alle alten ta_xxxx ebenfalls gelöscht.
Dann neue Verbindung mittels Import
Nun gibt es 4 Datein im o.g. Verzeichnis
ca_o1494048505.crt client_o1494048505 ovpnclient.conf ta_o1494048505.key
Ich denke, dass ist schon mal gut.
Ich habe die alle im Editor eingetragen und mir angeschaut.
Die .crt und die .key enthalten die richtigen Daten

In der client_oxxxx => stimmt "auth-user-pass /tmp/ovpn_client_up" ? Diese Datei finde ich nicht!

client
dev tun
proto udp
remote tun-vpn1.connect2any.net 1194
remote-cert-tls server
nobind
mssfix
reneg-sec 432000
resolv-retry infinite
tun-mtu 1440
fragment 1400
comp-lzo
verb 1
auth-user-pass /tmp/ovpn_client_up

up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up
route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up
script-security 2
plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down
ca ca_o1494048505.crt
tls-auth ta_o1494048505.key 1

Wie gesagt ... funktioniert lieder nicht

Bzgl. Admin: Ich komme nur als Admin in den Editor. Ich deaktieveren den immer wenn ich fertig bin (aufgebe).