ndeedy
Goto Top

FritzBox und SynologyNAS VPN

Moin moin.
Irgendwie habe ich entweder ein bescheuertes Setup, oder mir bereits komplett die Birne mit Versuchen durchgebraten. Bin auch nicht wirklich erfahren im Aufbau von "komplexen" Netzwerken.
Ich habe zushause eine Synology NAS, die über meine FritzBox ins Internet darf. Die Fritzbox hat sämtliche Portfreigaben/weiterletungen und das alles funktioniert auch einwandfrei.
Nun zu dem Problem. Ich versuche es so gut es geht zu beschreiben. Bitte nachhacken, wenn man's nicht versteht :D
Ich muss eine RaspberryPi an einem anderem Standort zum laufen bringen. Auch kein Thema, nur der Internet-Provider vergibt keine "eigene" IPs. Heisst, ich kann keine PortFreigaben am Router, wo die Rasp hängt machen. Leider besteht auch überhaupt keine Chance weder den Provider zu wechseln, noch diesen dazu zu "zwingen" mir eine IP zu geben. Da dachte ich mir, dass die nächst einfachste Lösung VPN wäre. Recherche nach VPN-Providern, die eine Portfreigabe erlauben ergab leider bis jetzt nichts, da 99,99999% der User es für Torrents und Streaming-Dienste nutzen, was mich nicht interessiert. Also bin ich erstmal den "kostenlosen" Weg gegangen und habe angefangen einen VPN-Server auf meiner NAS einzurichten. Läuft mittlerweile auch. PPTP war für mich vorerst das einfachste. OpenVPN scheint auch zu gehen. Nun endlich zu dem Problem:
FritzBox IP - 192.168.178.1
über VPN verbundene Raspb bekommt die IP 192.168.180.1 (die "180" habe ich in den Einstellungen des VPN-Servers der NAS eingetragen).
Die Geräte pingen sich gegenseitig und alles scheint in Takt zu sein (abgesehen von den Hostnamen, aber das ist für mich erst mal das kleinste Problem, denke ich)
Nun möchte ich 2-3 Ports auf der FritzBox freigeben und auf die Ports der Raspberry weiterleiten. Das möchte die FB aber nicht face-smile . Soweit ich verstehe, müssten alle geräte im gleichen Subnet sein, also - 192.168.178.x. Für micht riecht das nach einer IPv4 Route, aber ich habe keine Ahnung wie man diese auf der FB einrichtet. Alle Docs beschreiben Subnetzwerke mit mehreren FritzBoxen oder anderen Routern. Geht sowas überhaupt oder habe ich mir totalen Schwaschsinn überlegt? Bin für jeden Tipp sehr dankbar!

Mit freundlichen Grüßen
ndeedy

Content-Key: 475775

Url: https://administrator.de/contentid/475775

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: stefanbr
Lösung stefanbr 21.07.2019 um 08:39:22 Uhr
Goto Top
Moin,

Zitat von @ndeedy:

Ich habe zushause eine Synology NAS, die über meine FritzBox ins Internet darf. Die Fritzbox hat sämtliche Portfreigaben/weiterletungen und das alles funktioniert auch einwandfrei.
Ich muss eine RaspberryPi an einem anderem Standort zum laufen bringen. Auch kein Thema, nur der Internet-Provider vergibt keine "eigene" IPs. Heisst, ich kann keine PortFreigaben am Router, wo die Rasp hängt machen. Leider besteht auch überhaupt keine Chance weder den Provider zu wechseln, noch diesen dazu zu "zwingen" mir eine IP zu geben. .... Also bin ich erstmal den "kostenlosen" Weg gegangen und habe angefangen einen VPN-Server auf meiner NAS einzurichten. Läuft mittlerweile auch. PPTP war für mich vorerst das einfachste. OpenVPN scheint auch zu gehen. Nun endlich zu dem Problem:

PPTP ist unsicher, geh besser gleich auf Openvpn.
Was meinst du mit "eigene" IP? Macht der andere Provider Carrier Grade NAT oder ist die IP einfach nur dynamisch?

FritzBox IP - 192.168.178.1
über VPN verbundene Raspb bekommt die IP 192.168.180.1 (die "180" habe ich in den Einstellungen des VPN-Servers der NAS eingetragen).
Die Geräte pingen sich gegenseitig und alles scheint in Takt zu sein (abgesehen von den Hostnamen, aber das ist für mich erst mal das kleinste Problem, denke ich)

Hört sich doch schon mal gut an.

Für micht riecht das nach einer IPv4 Route, aber ich habe keine Ahnung wie man diese auf der FB einrichtet. Alle Docs beschreiben Subnetzwerke mit mehreren FritzBoxen oder anderen Routern. Geht sowas überhaupt oder habe ich mir totalen Schwaschsinn überlegt?

Wie man eine IPv4 Route auf einer Fritzbox einrichtet, kannst du einfach googlen oder auf der AVM Webseite nachlesen.
Viel wichtiger dürfte dann sein, dass dein NAS, auf dem der VPN Server läuft, routet (das machen die nämlich selten standardmäßig), wenn ich dein Setup jetzt richtig verstehe.
echo 1 > /proc/sys/net/ipv4/ip_forward auf der NAS Konsole. Bleibt nach einem Reboot nicht erhalten. Also nochmal googlen nach Linux Forwarding.

Fritzboxen können übrigens auch VPN, könnte u.U. schneller zum Ziel führen.

Viele Grüße
Stefan
Mitglied: ndeedy
ndeedy 21.07.2019 um 10:52:56 Uhr
Goto Top
Vielen Dank! Das hat mein versteinertes Hirn wieder ins Rollen gebracht :D

Zitat von @stefanbr:
Was meinst du mit "eigene" IP? Macht der andere Provider Carrier Grade NAT oder ist die IP einfach nur dynamisch?
Ich weiss nicht wie man es genau nennt. Hab irgendwo schon mal Begriffe wie "graue IP" gesehen usw. Praktisch bedeutet es, dass die oeffentliche IP (die Internet-IP sozusagen) fuer mehrere Nutzer die gleiche ist. Wahrscheinlich ist es dann NAT. Es ist also technisch unmoeglich Ports auf dem Router zu oeffnen.

Viel wichtiger dürfte dann sein, dass dein NAS, auf dem der VPN Server läuft, routet (das machen die nämlich selten standardmäßig), wenn ich dein Setup jetzt richtig verstehe.
echo 1 > /proc/sys/net/ipv4/ip_forward auf der NAS Konsole. Bleibt nach einem Reboot nicht erhalten. Also nochmal googlen nach Linux Forwarding.
Aha!! Das werd ich auf jeden Fall ausprobieren. Man koennte doch sowas manuel in den Boot-vorgang strapsen, oder?

Fritzboxen können übrigens auch VPN, könnte u.U. schneller zum Ziel führen.
Ja, das koennen sie. Ich wollte es aber aus 2 Gruenden erst mal lassen:
1. ich bin mit der FritzBox nicht zufrieden und wollte in naher Zukunft auf etwas "staerkeres" upgraden. Sie uebrhitzt zu oft, WiFi Signal selbst mit nem Repeater fuer eine 3-Zi Wohnung ist imho unterirdisch. Ja wir haben "Bunker-Waende", aber es ist wirklich zu schwach
2. Um VPN in der Box anzumachen muss ich vor Ort sein und Tasten-Kombis clicken. Ich bin aber grade seeeehr weit entfernt. Muesste also jemanden zu mir nach hause bestellen, damit er diese Affengriffe macht.
Aber danke fuer den Tipp, ich werd's auf jeden Fall probieren und berichten!
Mitglied: aqui
aqui 21.07.2019 aktualisiert um 11:18:58 Uhr
Goto Top
Ganz klar die Birne durchgebraten....
Wenn du mit einem VPN arbeitest ist Port Forwarding dann doch Blödsinn. Genau darauf, sprich den ungeschützten Zugang via Port Forwarding verzichtest du ja mit einem VPN !
Wozu dann also die sinnfreie Bemerkung das die Fritzbox „alle Portfreigaben“ hat. Das wäre beim VPN ja kompletter Blödsinn und in Bezug auch Sicherheit ja auch völlig kontraproduktiv !
„Nachhacken“ macht man übrigens rein nur im Garten mit einer Gartenhacke niemals aber in Netzwerken ! Dort „hakt“ man nach wenn was unklar ist. Aber egal....

Vermutlich bringst du hier auch was gehörig durcheinander zwischen VPN Nutzung und Port Forwarding. Deine wirren Ausführungen zum Raspberry belegen das leider. Auch wenn man wechselnde IPs vom Provider bekommt kann man per Port Forwarding auf solche Hosts zugreifen. Dann benutzt man dazu das Feature DynDNS mit einem entsprechenden DynDNS Client auf dem Router. MyFritz z.B. bei einer FritzBox.
Nur wenn du so einen Billigstprovider hast der DS Lite macht und der mit RFC 1918 IPs arbeitet bist du chancenlos.
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...

Es bleibt also leider etwas unklar durch deine etwas wirre Beschreibung was du nun wirklich willst....leider face-sad Annehmen ( und hoffen) kann man nur das du einen reinen VPN Zugang realisieren willst.
Nochmals:
Bei einem VPN brauchst du keinerlei Port Forwarding also KEINE Löcher in deine Firewall zu bohren. Der VPN Tunnel stellt dir über seine Tunnel Verbindung das lokale Netzwerk zur Verfügung exakt so wie als wenn du Lokal im LAN arbeitest.
Genau DAS ist ja genau der tiefere Sinn von einem VPN !!
Du solltest also erstmal die Techniken und Begrifflichkeiten dazu nochmal genau nachlesen und verstehen. Dann nochmal deine FritzBox VPN Konfig genau überarbeiten, denn das dürfte eine ziemlich sinnfreie Kombination aus Port Forwarding und VPN sein.
Das AVM Tutorial hilft dir dabei:
https://avm.de/service/vpn/uebersicht/
Mitglied: ndeedy
ndeedy 21.07.2019 um 11:15:52 Uhr
Goto Top
Zitat von @stefanbr:
echo 1 > /proc/sys/net/ipv4/ip_forward auf der NAS Konsole. Bleibt nach einem Reboot nicht erhalten. Also nochmal googlen nach Linux Forwarding.

Hmm "/proc/sys/net/ipv4/ip_forward" hat bereits den Wert "1".
Was sollte denn eigentlich das Ergbniss so einer ipv4-Route sein? Ich dachte, die Pi bekommt dann auch ne IP im 192.168.178.x Subnet. Oder wie kann ich sonst in der Fritzbox die Ports dafür Freigeben. Wenn ich versuche ne Port Regel für ne 192.168.180.1 IP zu machen (die IP meiner Pi, laut "ip addr"), dann meckert die FB, dass das so nicht geht. Was hab ich mir da falsch überlegt? :D
Mitglied: aqui
aqui 21.07.2019 aktualisiert um 11:23:27 Uhr
Goto Top
Grundlagen zum Routing findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und auch hier
Netzwerk Management Server mit Raspberry Pi
Da steht alles was du wissen musst.
Mitglied: Visucius
Lösung Visucius 21.07.2019 aktualisiert um 11:36:32 Uhr
Goto Top
Hallöle,

also Fritze mit Syno steht hier auch rum udn ist auch von außen zugänglich. Aber mir ist nicht ganz klar, was Du eigentlich möchtest?! Was ist das Ziel?! Du hast nen Netzwerk mit Fritze und Syno auf der einen Seite, der Raspi scheint aber wieder ganz wo anders?!

Und wo bist Du, bzw. wie konfigurierst Du gerade die Fritze und den Raspi, bzw. die Syno, wenn Du weit weg bist und keine Affengriffe (d.h. einzelner Knopfdruck) machen kannst?!

Vielleicht kommen wir ja als "Schwarmintelligenz" dann auf eine ganz andere Lösung. face-wink

Apropos: Bzgl. der wechselnden IPs guck Dir mal goip.de an.

VG
Mitglied: the.other
the.other 21.07.2019 um 11:55:58 Uhr
Goto Top
Moinsen,
also, du benötigst die portfreigabe, weil dein nas als vpn Server agiert, richtig? Und du willst in sehr naher Zukunft die fb gegen etwas potenteres austauschen?
Dann würde ich da gar nix mehr dran drehen, sondern mir gleich die neue Lösung schnappen und was passendes aussuchen.

Den vpn Server würde ich nicht über die syno laufen lassen, denn das ist wegen der dann erforderlich werdenden portfreigabe unsicher. Außerdem sind die konfigurationsmöglichkeiten der syno eher gering via dsm-gui. Da geht mit anderen Geräten mehr.

Tip: schau dir mal die Tutorial Sammlung von aqui zum Thema apu und pfsense an.
Grüssle
th30ther
Mitglied: aqui
aqui 21.07.2019 um 12:47:19 Uhr
Goto Top
Bei einem VPN wäre es ja in der Tat Unsinn das NAS als VPN Server laufen zu lassen wenn man das viel sinnvoller und sicherer mit der FritzBox selber erledigen kann !!
Genau deshalb supportet die FB ja VPN Zugang.
Weitere HW benötigt man nicht. VPN auf der FritzBox gem. AVM Tutorial von oben einrichten und gut iss...
Eigentlich braucht es dazu keinenThread in einem Administrator Forum...
Mitglied: Visucius
Visucius 21.07.2019 aktualisiert um 15:56:51 Uhr
Goto Top
Davon abgesehen, dass das VPN einrichten auf der Fritze nur 5 Min. dauert würde ich mir erstmal überlegen, was ich plane.

a) Ja, die Fritze kann alles und nix "richtig". Das liegt häufig einfach an der offenbar etwas sparsamen HW.

b) Man gewinnt aber meist auch nix, beim Austausch von Fritze durch Modem und Router (Stromverbrauch, Fehlerquellen, Platzbedarf, ...) und z.B. nen leistungsfähiger Router mit mehr RJ-45 Buchsen springt dann auch deutlich im Preis - und Dir fehlen ggfs. die Telefonports. Dazu gibt es für jeden Quatsch massig Lösungsvorschläge (sogar fürs schwache WLan). Sollte es eine Lücke geben, reicht ein Blick in die Tageszeitung, Updates kommen regelmäßig, Ersatz in jeder IT-Klitsche oder beim Provider ...

Ich stand vor einer ähnlichen Problematik und habe einfach einen AC an die Fritze gehängt und das interne Wifi abgeschaltet. Für den Heimbereich ist doch dann alles drin. Und das limitierte DECT umgeht man bei Bedarf (ab Reihenhaus-Format) am ehesten mit einem IP-Telefon a la Gigaset.

Allerdings ist man auf ein VPN festgelegt. OpenVPN oder z.B. L2TP sind dann nicht drin. D.h. man hat auch keine Ausweichmöglichkeit, sollten in einem FremdWifi z.B. VPNs erkannt und unterbunden werden.

Die Fritze hat zudem gegebenüber dieser angedachten NAS-Lösung einen strukturellen Vorteil: Sie trennt die "Firewall- und VPN-Appliance" vom "Server". Und nach außen, ist doch normalerweise nicht die Fritze das Limit, sondern die üblichen mickrigen Uploads.
Mitglied: aqui
aqui 21.07.2019 aktualisiert um 16:38:52 Uhr
Goto Top
Nach der Art uns Weise des Threads zu urteilen ist der TO aber sicher konfigtechnisch etwas überfordert mit allem was mehr als VPN einrichten auf der Fritze ist.
Dabei sollte es also besser bleiben und er sollte es so machen, denn das löst sein Vorhaben im Handumdrehen. Es sei denn wir alle haben hier was technisch missverstanden was er vorhat...?!?
Mitglied: ndeedy
ndeedy 21.07.2019 um 23:36:45 Uhr
Goto Top
Guten Abend
Zitat von @aqui:
„Nachhacken“ macht man übrigens rein nur im Garten mit einer Gartenhacke niemals aber in Netzwerken ! Dort „hakt“ man nach wenn was unklar ist. Aber egal....
Ich verbeuge mich vor Ihrer Weisheit und der selbstlosen Zuwendung mich der deutschen Sprache zu belehren. Genau deswegen habe ich mein Problem hier geschildert. Das ist wahrhaftig der beste Kommentar den ich jemals erwarten konnte. Vielen Dank noch mal, für die Zeit, die Ihnen nicht zu schade war für mich zu verschwenden. Ich habe Ihren Erguss genaustens notiert und werde das Wort "haken" nie wieder falsch benutzen, ihre Majestät!

Auch wenn man wechselnde IPs vom Provider bekommt kann man per Port Forwarding auf solche Hosts zugreifen. Dann benutzt man dazu das Feature DynDNS mit einem entsprechenden DynDNS Client auf dem Router. MyFritz z.B. bei einer FritzBox.
Wirklich? Wow! Es gibt wirklich sowas wie DynDNS? EEEEECHT? Vielleicht auch solche wie No-IP oder vielleicht DuckDNS, oder auch einfach mal der kostenlose DNS-Dienst für Synology-Kunden. Das ist mir wohl komplett entgangen. Mein Gott wieso stelle ich denn noch so dumme Fragen? Ich VollIDIOT. Solche wie mich sollten die billigen Provider sofort aus dem Netz verbannen!

Nur wenn du so einen Billigstprovider hast der DS Lite macht und der mit RFC 1918 IPs arbeitet bist du chancenlos.
Vielen Dank auch für die Kosteneinschätzung meines Providers. Das hätte ich ohne Ihre Hochheit nicht gewusst. Aber dazu erfahren sie etwas später in den weiteren Antowrten von mir. An dieser Stelle bitte ich noch mals um Verzeihung Ihre kostbare Zeit verschwedet zu haben. Wobei ich mich nicht dran errinern kann um so eine Einschätzung jemals gebeten zu haben.
Mitglied: Visucius
Visucius 22.07.2019 aktualisiert um 00:23:42 Uhr
Goto Top
Wuff!

Sehe schon, der Thread wird für jeden ein Gewinn! face-wink

Jetzt, wo sich alle mal "ausgeko..." hat, wäre es evtl. doch nicht schlecht, Du erläuterst nochmal Dein gewünschtes Setup, bzw. konkretisierst das Ganze. Anhand der in Deinen Augen "verfehlten Antworten" siehst Du ja, dass da offenbar noch Unklarheiten bestehen. Und ich nehme an, Du hast trotzdem noch keine Lösung für Dein Problem?!
Mitglied: ndeedy
ndeedy 22.07.2019 um 00:27:37 Uhr
Goto Top
Vielen Dank, für alle, die mir helfen wollen und nicht sich belustigen wollen. Ich weiss es sehr zu schätzen. Vorallem im Kontrast zu den Beiträgen von Herrn "aqui".

Damit die "Schwarmintelligenz" mehr Hintergrundwissen bekommt, wieso ich so einen bescheurten Setup versuche aufzubauen, gebe ich mir Mühe alles so gut es geht zu schildern.

Erstens. Mein Setup, welches an sich bereits seit Jahren läuft und bis jetzt keinerlei Probleme gemacht hat.
Synology-NAS im Heimnetzwerk. Viele Dienste der NAS sind durch meine FritzBox nach aussen geschliffen, wie ssh, gitlab, hypervault, mehrere webserver, chat und sogar der Minecraft-Server für meinem Sohn. Es sind ca 15 Ports freigegeben. Der wichtigste Webserver, wo daten wirklich ausgetauscht werden, hat HTTPS mit nem Let'sEncrypt Zertifikat. DynDNS benutze ich nicht, da ich als Synology Kunde eine konstelose Lösung dafür bekommen habe. Alle Usernamen und Passwörter sind komplex genug, dass selbst wenn Bruteforce nicht nach 5 Versuchen gebannt wäre, es immer noch bei nem GPU-Cluster Jahrzähnte dauern sollte auch nur etwas davon zu knacken. Alle Ports bis auf den 433er (wegen Let'sEncrypt) sind "random" generiert und kommen nicht in die "100" meist benutzen Ports, die nmap beim simpelsten Check durchforstet. Außerdem sind im Netzwerk (selbstverständlich alles auf 10Gbit am extra Switch verdrahtet) mehrere Workstations zum arbeiten und 3D-Rendern mit CPU und GPU vernetzt. Die Nas agiert dabei als Storage, Sync Service und Gitlab instanz.

Ich habe eine 500/50 Leitung bei der Vodafone. Leider gibt es in meinem Haus nichts besseres. Wohne in Hamburg und muss mit dem Mist leben. Was besseres bekomme ich für mein Geld nicht.

Nun kommen wir zu der armen RaspberryPi, die gerne auch ihren WebServer dem weitem WWW zur Verfügung stellen wollte. Und dem billigst Provider usw. Ich befinde mich grade im Urlaub bei meinem Vater. In einem ANDEREM Land. Nicht nur das. Ich sitze grade einer Art FerienHaus. Wo es KEIN Kabel-Internet gibt. Er ist froh, dass er hier überhaupt mal LTE-Empfang hat und auf seine popligen 30Mbps download kommt. Vom upload rede ich gar nicht. Der Provider mag "billigst" erscheinen, aber was besseres bekommt er hier ums verrecken nicht. Punkt-aus-ende. Selbstverständlich war DAS das erste, was ich vorgeschlagen habe zu ändern. Jedoch musste ich auch einsehen, dass ich genau DAMIT leben muss und all mein, und Teil von "eurem" Wissen dazu einsetzen muss, um das bisschen umzusetzten, was mein Vater sich gewünscht hat.

Die RaspberryPi soll nur ein digitaler Thermometer sein. Es soll von einem Sensor die Temperatur auslesen und wenn die Temperatur zu niedrig ist, nen Relay auslösen um die Heizung anzumachen (das kann sie wunderbar ohne eine Netzwerkverbindung selbständig bewerkstelligen). Und nun kommts. Der Vater möchte die Temperatur irgendwie auf seinem Handy auch beobachten. Zuerst wollte ich ihm vollwertiges Hass.io auf der Pi ausrollen, aber mittlerweile denke ich, dass ne kleine Flask bzw Django App es genau so gut tun kann. Nichts desto trotz ist es am Ende ein WebServer, der ins WWW möchte. Da ich keinen Port an seinem LTE-Modem freigeben kann, dachte ich mir "ach verbindeste das Teil mit deinem Heimnetz und gibst irgend nen port wie 56473 dafür frei". Dann könnte der Daddy sowas wie "meine-tolle-nicht-dynDNS-adresse.synology.me:56473" in seinem eiFon eintippen und die Temperatur bewundern. Das war's. Keine sensible Daten. Keine Login. Nix, was irgendwie, irgend jemanden interessieren sollte. Klar kann man's DDOSen and what-not. Mit sicherheit. Wozu auch immer. Na ja. Und da mein Vater nicht mehr der jungste ist, dachte ich mir, dass ich ihm lieber nicht beibringe, wie man an seinem NoteBook, iPad und iPhone ne VPN-Verbindung in mein Heimnetz aufbaut. Das muss ich ihm dann ja ein mal die Woche dann am Telefon erklären ;)
Macht das ganze jetzt ein bisschen mehr Sinn?

Durch die sinnbefreiten Beleidigungen von aqui tendiere ich aber tatsächlich eher dazu dem alten man VPN beizubringen, als hier den Kampf aufzunehmen, jemanden zu beweisen, dass ich durchauch weiss, was ein dynDNS bedeutet.
Ach tut mir leid für den Ausraster. Ich bedanke mich noch mal herzichst bei allen, bis auf "aqui". Gute Nacht
Mitglied: ndeedy
ndeedy 22.07.2019 um 00:29:38 Uhr
Goto Top
ach und wegen dem Ersatz für die Fritzbox. So schnell, also in den kommenden 1-2 Monaten, werde ich die Kiste nicht ersetzen. Den Pi-Thermomether wollte ich aber dennoch in der kommenden Woche umsetzen
Mitglied: ndeedy
ndeedy 22.07.2019 um 00:30:33 Uhr
Goto Top
Zitat von @Visucius:

Wuff!

Sehe schon, der Thread wird für jeden ein Gewinn! face-wink

Jetzt, wo sich alle mal "ausgeko..." hat, wäre es evtl. doch nicht schlecht, Du erläuterst nochmal Dein gewünschtes Setup, bzw. konkretisierst das Ganze. Anhand der in Deinen Augen "verfehlten Antworten" siehst Du ja, dass da offenbar noch Unklarheiten bestehen. Und ich nehme an, Du hast trotzdem noch keine Lösung für Dein Problem?!

Der Text hat etwas Zeit in Anspruch genommen ;)
Mitglied: ndeedy
ndeedy 22.07.2019 um 00:40:01 Uhr
Goto Top
Ach und noch wat zur FritzVPN. mein FrittenBox kann nur IPSec. Sowat hab ich noch nie auf der Pi gemacht, die Docs der FB sind dabei auch eher sperrlich. Dagegen war bis jetzt alles was an meiner NAS einzurichten war, super simpel. Deswegen habe ich auch zuerst danach gegriffen.
Mitglied: Visucius
Visucius 22.07.2019 aktualisiert um 07:25:09 Uhr
Goto Top
Ui, das klingt spannend, da bin ich aber leider raus ... Bin aber auf die Lösungstipps gespannt.

Ich kenne ähnliches aus dem Yachtbedarf, da wird sowas über SMS bzw. Mail und Simkarte gelöst. Damit umgehst Du das LTE-IP-Problem. Mit entsprechenden Triggern (z.B. Temperaturlimits, Zeitabständen und/oder Heizungsaktivierung). Das wäre mW. auch mit dem Raspi möglich.
Wenn Mail, dann ließen sich diese ggfs. auch an die Syno schicken, irgendwie per Script auslesen und bei (Website-Auruf) anzeigen?

VG
Mitglied: Alex29
Alex29 22.07.2019 um 07:59:37 Uhr
Goto Top
Hallo ndeedy,
Leider habe ich keine Idee für Dein Ursprungsproblem - habe aber eine Idee zum VPN. Vielleicht kennst Du „VPN on Demand“ noch nicht. Das würde Dir die Erläuterungen für Deinen Vater an der Apple-Technik ersparen.
Mit dieser Funktion kannst Du festlegen, das beim Ausruf einer definierten URL automatisch ein VPN aufgebaut wird. D.h. Dein Vater bräuchte am iPhone nur den Favoriten im Safari öffnen und der VPN-Tunnel würde automatisch aufgebaut.
Um das einzurichten muss man nur eine spezielle Config-Datei auf das iPhone schicken und es wird ein Profil angelegt.
Falls Dich das interessiert kann ich gern noch mehr dazu schreiben, man findet aber bei „Google“ mit „VPN on demand“ auch einiges.

Viele Grüße
Alex
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.07.2019 aktualisiert um 09:09:23 Uhr
Goto Top
Moin,

Eingentlich ist sowas trivial:

  • Du machst VPN und direkt zur Fritzbox und kannst dann dort die Ports weiterleigent, weil der VPN-Client damit auch im "LAN" hängt.

  • Du stellst einen VPN-Server in Dein LAN, z.B. einen weiteren Pi und machst den zum Exposed Host in der Fritzbox.

lks

PS. Es bringt nichts, Leute die Dir helfen wollen zu beschimpfen, insbesondere die, die besonders fundiert antworten können. Sie mögen zwar eine rauhe Art die Wahrheit zu sagen, nichtsdestotrotz solltest Du das nicht persönlich nehmen und Dir mal eine dickeres Fell zulegen.

PPS: ich würde mich an Deiner Stelle hüten die Synologie zum VPN-Endpunkt zu machen. Das birgt zuviele Gefahren.
Mitglied: aqui
aqui 22.07.2019 aktualisiert um 10:31:00 Uhr
Goto Top
Eingentlich ist sowas trivial:
Ist oben ja auch schon mehrfach gesagt worden. Eher kein Thema für ein Administrator Forum. Aber wenn der TO so eine Mimose ist sollte er es ggf. mal bei http://www.gutefrage.net versuchen. Da ist ggf. nicht ganz so rauh wenn man sich mit so einem Banalthema in ein Forum wagt.
ich würde mich an Deiner Stelle hüten die Synologie zum VPN-Endpunkt zu machen. Das birgt zuviele Gefahren.
Auch das ist ja oben mehrfach betont worden. Warum ein Loch in die Firewall des Routers bohren und ungeschützten Internet Traffic so ins lokale Netzwerk lassen. Zumal auch noch auf ein NAS was persönliche und schützenswerte Daten hat ?? Sowas machen eigentlich nur noch Dummies. Obendrein man einen VPN tauglichen Router in der Peripherie hat der das alles besser kann gänzlich ohne Port Forwading Frickelei und Löcher in der Firewall.
Aber wie bereits gesagt: Es ist alles gesagt zu dem Thema ! Der TO muss nur noch machen !!
Mitglied: ndeedy
ndeedy 23.07.2019 um 18:35:26 Uhr
Goto Top
Moin moin. Vielen Dank für die Hilfe. Allerdings bin ich immer noch nicht weiter gekommen.
Ich habe das IPSec VPN der Fritzbox eingerichtet bekommen.
Die Verbindung zwischen meiner Rasp und der FB klappt. Die VPN-Verbindung bekommt ne eigene IP im richtigem Subnet. In meinem Fall ist es die 192.168.178.201
Allerdings wenn ich versuche einen Port dafür freizugeben, meldet sich die FB mit dem Fehler:
Es ist ein Fehler aufgetreten.
Fehlerbeschreibung: Die IP-Adresse wird bereits von einem anderen Gerät verwendet!

Es gibt und gab noch nie ein Gerät in dem Netz mit der IP .201
Was mach ich wieder falsch? :D

P.S. VPN-on-demand ist für mich vorerst keine Lösung
Mitglied: Visucius
Visucius 23.07.2019 um 18:43:02 Uhr
Goto Top
FYI: Die 201 kommt daher, dass der Standard DHCP der Fritze von 20 bis 200 geht.

Das mit dem Port-freischalten verstehe ich ehrlich gesagt nicht. Ich gehe ja davon aus, dass Du mit der VPN schon "hinter der Firewall" bist?! Wozu möchtest Du den denn freigeben?!

VG
Mitglied: ndeedy
ndeedy 23.07.2019 um 18:48:57 Uhr
Goto Top
Damit ich meinem Vater nen Link geben kann, der so in etwa aussieht

mein-dyndns-servername.myds.me:54890
Mitglied: Visucius
Visucius 23.07.2019 um 19:05:18 Uhr
Goto Top
Achso. Die VPN nutzt der Raspi um vom LTE-Netz zur Synology zu kommen ... und Dein Vater soll über den Port ohne VPN direkt auf die Syno kommen?!

"mein-dyndns-servername.myds.me:54890"

Wird der Port von Synology aus "durchgereicht"?! Hätte ich gar nicht erwartet.

Mit wievielen Usern connectest Du den auf die Fritze?! Die 201 ist ja der VPN-User. Du bist aber neben dem Raspi selber auch mit VPN verbunden. D.h. Du benötigst evtl. noch einen weiteren User?! Stochere aber nur im Trüben.

VG
Mitglied: ndeedy
ndeedy 23.07.2019 um 19:07:16 Uhr
Goto Top
nene, die Nas ist weg vom fenster. Synology-VPN ist bereits aus. Die Rasp kommt durch den IPSec-VPN von Fritzbox rein.
Mitglied: ndeedy
ndeedy 23.07.2019 um 19:08:00 Uhr
Goto Top
Und so wie ich die Fritz verstehe, kann/will sie keine ProtFreigaben für VPN clients machen.
Mitglied: ndeedy
ndeedy 23.07.2019 um 19:14:33 Uhr
Goto Top
und angenommen, ich würde auf portfreigaben verzichten und 2 VPN-Accounts anlegen. Wie kann ich garantieren, dass die Rasp in meinem Netz ne feste ip bekommt. Kann ruhig die 201 bleiben. Händisch kann ich nichts ändern. In den Fritz-Einstelungen ist alles ausgegraut bzw im read-only "Modus". Den hostname meiner RPi gibt es im Fritz-Lan auch nicht :/
Mitglied: Visucius
Visucius 23.07.2019 um 20:00:11 Uhr
Goto Top
habs gerade bei mir getestet.

bin bei mir mit 77.100 am vpn (über lte) der fritze und kann auch mit der gleichen adresse einen port freigeben.
Mitglied: aqui
aqui 24.07.2019 aktualisiert um 15:51:39 Uhr
Goto Top
Und so wie ich die Fritz verstehe, kann/will sie keine ProtFreigaben für VPN clients machen.
Es ist ja schon etwas wirr aber wenn man jetzt mal die Fakten sortiert und sehr vorsichtig ist damit der TO sich nicht schon wieder beleidigt fühlt sieht es doch so aus:
  • RasPi wählt sich via VPN auf der FB ein. Klappt...
  • Damit ist der RasPi quasi direkt im Netz des Syno NAS und hat vollen Zugriff drauf wie z.B. hier beschrieben: Netzwerk Management Server mit Raspberry Pi und kan so die Daten problemlos auf dem NAS abwerfen.
  • Vaddern bekommt per Port Forwarding TCP 54890 Zugriff auf den NAS Webserver um sich diese Daten abzuholen über eine kleine Webseite.
Etwas von hinten durch die Brust ins Auge sollte aber problemlos klappen.
Warum dann in der FritzBox dann irgendwelches Port Forwarding für VPN machen muss klingt völlig wirr zumal das VPN mit dem RasPi ja schon funktioniert und es völlig unnötig wäre.
Vaddern greift ja der Einfachheit halber nicht per VPN zu sondern stinknormal mit dem Browser ala http.//meine.fritz.ip:54890 und landet dann auf dem Syno NAS. Keep it simple stupid... Zurecht wenn er nicht so IT affin ist.
Ist zwar etwas schräg funktioniert aber fehlerlos...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.07.2019 um 16:09:47 Uhr
Goto Top
Zitat von @aqui:

  • Vaddern bekommt per Port Forwarding TCP 54890 Zugriff auf den NAS Webserver um sich diese Daten abzuholen über eine kleine Webseite.

Ich würde da eher einen proxy auf dem Pi für Vaddern laufen lassen, aber wer bin ich schon. face-smile

lks
Mitglied: aqui
aqui 25.07.2019 aktualisiert um 11:01:18 Uhr
Goto Top
The one and only Lochkartenstanzer natürlich !!!