Über OpenVPN (Trixie im LXC) auf Samba-Freigabe (QNAP mit Trixie als BS) im Heimnetzwerk zugreifen

M

Matthias-BZ

New Member
Jan 6, 2026
6
0
1
Hallo,
ich habe eine recht alte NAS (TS-419 P+ unter Trixie) die ein paar Samba-Freigaben bereitstellt, Backups (rsnapshoot) von einem Fileserver (Samba auf Trixie) macht und einen lokalen IMAP-Server (Postfix mit Getmail und Dovecot - analog zu "TomsMailserver") betreibt. Da die NAS recht leistungsschwach ist und ich gerne noch ein paar "neue" Dinge in der Zukunft machen möchte habe ich mich entschieden einen Proxmox aufzusetzen der perspektivisch die NAS ersetzen soll.

Aktuell versuche ich eine openVPN Installation in einem LXC zum laufen zu bringen die mir den sicheren Zugang auf die Geräte im Heimnetzwerk von meinen Android-Handy erlaubt. Leider zickt irgend eine Einstellung auf dem Proxmox, dem LXC, der NAS (Samba) oder im Heimnetzwerk, so das ich zwar die in den smb.conf angelegten Freigaben von NAS und Fileserver im CxDatei Explorer auf dem Handy (via Mobile Daten) "sehen" kann, nur nicht den Inhalt wie Dateien oder Unterordner (mit Ausnahme der Anzeige dreier Unterordner in einer Freigabe die jeweils im Filesystem in diese Freigabe gemounted wurden. Aber auch hier keine Inhalte in diesen Unterordnern auf der NAS sichtbar ) Aus dem Heimnetzwerk klappt der Zugriff (Handy via WLAN) auf die Freigaben

Ich kann mit Tastatur und Maus umgehen, kann oberflächlich die Konsole bedienen habe ansonstten nur ungesundes Halbwissen. Geht bitte davon aus das das Problem vor dem Monitor saß und stellt alle Selbstverständlichkeiten in Zweifel - Hilfe.
Gruß Matthias
 
Dein Samba Problem, so wie ich das verstanden habe hat ja nichts mit Proxmox zu tun. Bitte einen netzwerkplan, wir haben alle nach meinem Wissen keine Glaskugel in der wir die fehlenden Infos nachschauen können. Bitte das was du konfiguriert hast posten im codeblock. Warum machst du nicht VPN über deine Firewall, so mache ich es bei mir (pfsense)
 
  • Like
Reactions: Johannes S
Moin,
Ersteinmal Danke! das mir ggf. Hilfe angeboten wird. Da Proxmox für mich absolut neu ist (ok openVPN auch) und ich die Anleitung für die openVPN Installation von hier verwendet hatte, bin ich hier geblieben. Welche Conf-Dateien werden für die Fehlereingrenzung benötigt?
Aktuell habe ich keine dedizierte Firewall abgesehen vom DSL-Router.
Gruß Matthias
 

Attachments

  • Netzwerk.drawio.png
    Netzwerk.drawio.png
    172.6 KB · Views: 14
Last edited:
Ich habe gerade nicht die Möglichkeit die Anleitung zu suchen die du verwendet hast (Handy in der Bahn) ich habe gesehen das du OpenWRT einsetzen (die können auch OpenVPN), warum nicht auch als Router/Firewall für das gesamte Netzwerk deine Telekom Büchse kannst du ja als upstream einsetzen. Als bitte poste doch das was du konfiguriert hast und die Fehler Meldung. Hast du die Offizielle Dokumentation zu OpenVPN gelesen, da wird einiges erklärt was für dich als Einsteiger wichtig sein könnte

PS: auch wenn der OpenVPN auf dem Proxmox läuft ist es gefühlt kein Proxmox Problem/Thema eher Netzwerk /VPN
Wir benötigen die Fehlermeldung und wie schon geschrieben was du wie konfiguriert hast, solltest du deinen Router/Firewall Einstellungen angepasst haben bitte auch diese Änderung
 
Last edited:
Hallo,
verwendet habe ich diese Anleitung: https://pve.proxmox.com/wiki/OpenVPN_in_LXC
der LXC hat folgende Konfiguration:
Code: 
root@PROX:/etc/lxc# pct config 100
arch: amd64
cores: 1
features: nesting=1
hostname: OVPN
memory: 2048
net0: name=eth0,bridge=vmbr0,firewall=1,gw=192.168.178.1,hwaddr=BC:24:11:39:0B:C3,ip=192.168.178.6/24,ip6=dhcp,type=veth
ostype: debian
rootfs: local-lvm:vm-100-disk-0,size=4G
swap: 2048
unprivileged: 1
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net dev/net none bind,create=dir
Wobei mir auffält das mein ISC DHCP kein ip6 macht - Problem?
die Test in der Anleitung fallen ansonst positiv aus
Code: 
root@PROX:/etc/pve/lxc# ls -l /dev/net/tun
crw-rw-rw- 1 100000 100000 10, 200 Jan  8 18:32 /dev/net/tun
Code: 
root@OVPN:/# ls -l /dev/net/tun
crw-rw-rw- 1 root root 10, 200 Jan  8 17:32 /dev/net/tun
Wobei ich nicht weis ob bei dem Test:
Code: 
root@OVPN:/# systemctl | grep openvpn
  openvpn-iptables.service                    loaded active exited    openvpn-iptables.service
  openvpn-server@server.service               loaded active running   OpenVPN service for server
  openvpn.service                             loaded active exited    OpenVPN service
  system-openvpn\x2dserver.slice              loaded active active    Slice /system/openvpn-server
die Meldung openvpn.service loaded active exited OpenVPN service normal ist da in der Anleitung nicht erwähnt.
Auch der letzte Check sah soweit i.O. aus:
Code: 
root@OVPN:/# ps aux | grep vpn
openvpn      302  0.0  0.5  15664 11012 ?        Ss   17:48   0:00 /usr/sbin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --config server.conf
root         310  0.0  0.0   3516  1776 pts/3    S+   17:55   0:00 grep vpn
wobei ich den Nutzer "+" Gruppe "openvpn" angelegt und nobody / nogroup in der server.conf entsprechend verändert hatte - hatte aber keinen weiteren Einfluss auf den fehlenden Zugrif auf Dateien und Unterverzeichnisse
anbei die server,conf
Code: 
local 192.168.178.6
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
user openvpn
group openvpn
server 10.8.0.0 255.255.255.0
topology subnet
push "topology subnet"
ifconfig-pool-persist ipp.txt
persist-key
persist-tun
push "route 192.168.178.0 255.255.255.0"
keepalive 10 120
verb 3
crl-verify crl.pem
explicit-exit-notify 1
und die Client.conf (Sicherheitsbereinigt):
Code: 
lient
dev tun
proto udp
remote XXXXXXXXX.ydns.eu 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
ignore-unknown-option block-outside-dns
verb 3

<cert>
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            Blabla
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=Easy-RSA CA
        Validity
            Not Before: Dec 29 16:42:29 2025 GMT
            Not After : Dec 27 16:42:29 2035 GMT
        Subject: CN=matti-handy
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    Blabla
                Exponent: Blabla
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Subject Key Identifier
                Blabla
            X509v3 Authority Key Identifier:
                Blabla
                DirName:/CN=Easy-RSA CA
                serial:Blabla
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        Blabla
-----BEGIN CERTIFICATE-----
Blabla
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
Blabla
-----END PRIVATE KEY-----
</key>

<ca>
-----BEGIN CERTIFICATE-----
Blabla
-----END CERTIFICATE-----
</ca>

<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
Blabla
-----END OpenVPN Static key V1-----
</tls-crypt>

Wenn hier nichts auffälig falsch ist schlag mir bitte vor was ich als nächstes Zeigen sollte damit die Glaskugel klarer wird ;-).

Deinen Vorschlag auf einem OpenWRT-Router den VPN-Server laufen zu lassen würde ich zunächst noch zurückstellen wollen, da ich ahne das meine unwissende Fummelei den Bug an anderer Stelle verursacht hat und das damit das "Problem" nicht wirklich addressiert. Aber ich bin einer sauberen Lösung absolut aufgeschlossen und hänge nicht sklavisch an meiner Konfiguration (ok Budget wie immer Keins bis Wenig ;-))
An der Telekom-Büchse habe ich den Port 1194 udp für die (sorry im Bild falsch ebenso wie die IP vom Proxmox 192.168.178.10) 192.168.178.6 geöffnet und im LAN eine Statische Route Zielnetzwerk 10.8.0.0/24 mit Gateway 192.168.178.6 angelegt
Gruß Matthias
PS derCx Dateiexplorer zeigt bei den Samba-Shares zwar keine Dateien oder Verzeichnise an aber Informationen zu den Speichergrößen (belegt und gesamt) an. Die Fehlermeldung des Programs ist wenigsagend mit "Ladefehler! Überprüfen Sie Ihre Netzwerkverbindung"
 
Last edited:
  1. ich kenne die Telekom Büchse nicht, was hast du da Konfiguriert, oder was kannst du Konfigurieren?
  2. Ich sehe es immer noch so, das ist eigentlich kein Proxmox Problem auch wenn es auf dem Proxmox läuft
  3. Die OpenVPN sieht für mich nicht verkehrt aus (habe lange kein OpenVPN unter Linux gemacht, nutze nur pfSense)
  4. Bei der Telekom hat man meist DualStack, kannst du deinen Router von extern per ping erreichen?
  5. was passiert denn wenn du dich mit deinem OVPN Client verbindest, was steht in den Logs (Server/Client)?
PS: keine ahnung welche Bandbreite du hast, aber sowas würde ich dir empfehlen da du ja schon OpenWRT im Einsatz hast:
https://www.gl-inet.com/products/gl-be6500/?utm_source=website&utm_medium=menubar

PPS: Die von dir verlinkte Anleitung ist nach meinem Empfinden nicht vollständig. Es scheint, als würden dort noch Teile fehlen – oder das Skript übernimmt diesen Teil.
Allerdings werde ich mir das nicht im Detail ansehen, dafür habe ich weder Zeit noch Lust.
 
Last edited:
Matthias-BZ said:
gw=192.168.178
Click to expand...
Ist das wirklich ein Speedport oder eine Fritzbox?
Die Adresse gehört eigentlich zu einer Fritte. Zum einen könnte die selber VPN, und zum anderen müssten ggf die Ports für VPN dann weiterleiten uu Deinem VPN Server.
Bleibt auch noch der dateizugriff auf dein SMB Share, möglich das da auch ports nicht offen sind, wenn du von extern kommst. Wie greifst du mit dem CxDateiEplorer zu ftp, smb?
Nur mal ein paar gedanken und ansetze, sofern es intern funktioniert.
 
zu1.
Abgesehen von der Portfreigabe und der statischen Route sind DHCP aus, USB und Medienserver (Twonky) deaktiviert, Fernverwaltung und Providersuport deaktiviert sowie die lokale IPv4 Adresse 192.168.178.1 + Subnetzmaske 255.255.255.0 festgelegt und natürlich der DynDNS eingerichtet (rootpasswort natürlich geändert). Ansonsten ist die Box original / Telekom konfiguriert. Vieles von dem ich keine Ahnung habe geht sicher, anderes von dem ich noch weniger weis wird fehlen - ist halt die "Basic". Anforderung war damals schnelles DSL, ISDN Anschluss für die bestehenden ISDN DECT Telefone, 2 analoge Telefonanschlüsse für Fax und Wohnung und mitlerweile auch liebgewonnen die IP-Telefon Funktion für die "Standleitung" zur Verwandschaft. Spielkram halt aber man hat sich dran gewöhnt.
zu 2. da ich nur eine unqualifizierte "Meinung" habe stimme ich dir hier vollkommen zu. Wie gesagt das Handy kommt über das Mobilfunkinternet via OpenVPN ins lokale Netz, ein Testweise in einem LXC aufgesetzter Webserver (wieder deinstalliert) hat eine Webseite über das VPN ans Handy ausgeliefert.
zu 3 das würde mich freuen
zu 4 Welche IP? die externe IP - geht - oder die im lokalen Netzwerk über VPN (kleiner Tip für ein Android-tool das ggf auch weitere Infos liefern könnte sind hoch willkommen)
zu 5. muss ich mal schaun wie ich das log auf dem Handy rauskriege ... aktuell suche ich die Server-Logs im Syslog ... das ist aber leer bzw. grep VPN /var/log/syslog findet nichts
 
Last edited:
ThoSo said:
Ist das wirklich ein Speedport oder eine Fritzbox?
Die Adresse gehört eigentlich zu einer Fritte. Zum einen könnte die selber VPN, und zum anderen müssten ggf die Ports für VPN dann weiterleiten uu Deinem VPN Server.
Bleibt auch noch der dateizugriff auf dein SMB Share, möglich das da auch ports nicht offen sind, wenn du von extern kommst. Wie greifst du mit dem CxDateiEplorer zu ftp, smb?
Nur mal ein paar gedanken und ansetze, sofern es intern funktioniert.
Click to expand...
Es ist eine Digitalisierungsbox Basic, Hersteller ist Zyxel. Vorher werkelte an dieser Stelle ein 7490 davor eine andere Fritsbox die abgeraucht war... war einfache die IP in der Box zu ändern als alle statisch konfigurierten Netzwerkgeräte ...
CxDateiExplorer via SMB mit lokalen IP-Adressen (also \\192.168.178.8\Backup und nicht \\NAS-HWR-1\Backup
 
@Matthias-BZ Ich bin an dem Punkt langsam raus – wenn du nicht einmal weißt, wo die Logs liegen, wird es schwierig.
Als ich damals einen OpenVPN-Server (ohne irgendwelche Skripte) eingerichtet habe, wusste ich zumindest, wo die Logdateien zu finden sind.

Ich empfehle dir wirklich, dir einmal die offizielle OpenVPN-Dokumentation durchzulesen.
So kann und will ich dir nicht weiterhelfen, zumal das hier auch kein eigentliches Proxmox-Problem ist, sondern schlicht fehlendes Wissen über OpenVPN.
 
  • Like
Reactions: Johannes S and Browbeat
Hallo micneu,
ja du hast völli recht! wie ich schon im Startpost schrieb habe ich keine belastbare Ahnung, weder von OpenVPN noch von irgend einer anderen Software egal unter welchen BS. Ich nutze in der Regel Anleitungen die den gewünschten Vorgang verständlich Schritt für Schritt erklären (Howtos), die sehr Guten erklären nebenbei noch warum das genau So gemacht werden sollte. Ich weiß das ist nicht die nachhaltigste Variante, aber meistens die mit geringem Frust und gefühlt akzeptablen Geschwindigkeit.
Das es für die die ein solches oder ähnliches Setup bereits zum laufen gebracht haben Frustrierend sein kann wenn die doch "simplen Dinge" nicht sofort kommen vertehe ich und tut mir leid. Die Zeit seit meinem letzten Post habe ich genutz zu recherchieren wo die Statusmeldungen zu finden sind. Vielleicht liegt es an meinen Suchanfragen aber die ersten Treffer führten nicht zu verwetbaren Ergebnissen, da die genannten Speicherorte oder Befele zum Auslesen der üblichen Logdateien nicht zu den Logs oder Meldungen von openVPN führten. Die genaue Ursache kenne ich nicht aber aus irgendeinem Grund werden bei der Installation von OpenVPN nach der Anleitung aus dem Proxmox HOWTO keine Logeinträge in der Syslog vorgenommen (auszuschließen ist nicht das es an Änderungen im verwendeten Debian 13 LXC Abbild liegt)
Schließ habe ich aus einem Forumeintrag bei "AskUbuntu" herrausgefunden das man anstelle der Syslog in meiner server.conf einen Eintrag für das Logging / ein Logfile konfiguriert kann (Vorhanden war nur ein Eintrag über den Logumfang) - nie hätte ich das alleine aus der Dokumentation der Optionn herausgefunden das man das (bei meiner Installation) machen muss, da die Standardeinstellung ja das Syslog sein sollte und fast alle auf die Syslog verwiesen haben. Insofern hattes du Recht das da etwas fehlte (vielleicht noch mehr?), nur auch mir fehlte die Fähigkeit sofort zuerkennen was. Mit einen entsprechenden Eintrag laut OpenVPN Dokumentation und mehrfach Anpassung wurden schließlich Meldungen gelogt. Ich befürchte aber das es auf ähnliche Weise weitergehen würde. Wenn du dir das nicht antuen wills verstehe ich das - aber ich will dich natürlich locken das Erfolgserlebnis einem Newbie etwas meistern zu lassen nicht nehmen ;-).
Ja es ist höchstwarscheinlich kein Proxmoxthema ... wenn Du einschätzt das es für Proxmox-User uninteressant ist werde ich in einem anderem Forum die Fehlersuche abschließen. Schade is nur das vermutlich alles wieder von Vorne losgehen muss.
Gruß Matthias
 
Last edited:
@Browbeat Danke, genau so sehe ich das auch.
Ich konnte es 2009 in einer Firma, in der ich tätig war, auch nicht auf der Firewall/dem Router installieren – aber ich wusste, wie OpenVPN funktioniert und was ich tun muss.
Damals habe ich alles von Hand gemacht, ohne die Hilfe von Skripten.

@Matthias-BZ So habe ich mein Netzwerk aufgebaut – keine OpenWRT-Router-Kaskade.
Ich hänge dir mal meinen Netzwerkplan an.

Code: 
                                            ┌──────────────────────────┐                                     
                                            │  WAN / Internet (PPPoE)  │                                     
                                            │        Willy.tel         │                                     
                                            │ 1000/250Mbit/s Glasfaser │                                     
                                            │       (DualStack)        │                                     
                                            │                          │                                     
                                            └─────────────┬────────────┘                                     
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │                                                 
 ┌────────────────┐   ┌────────────────┐    ╔═════════════╩═════════════════════ pfSense+ ═══╗               
 │ TrueNAS SCALE  │   │     Switch     │    ║                                    Netgate 6100║   Stand: ─ ─ ┐
 │Beelink ME Mini ├───┤  USW-Flex-XG   ├────╣                   Netzwerk Block: 172.30.0.0/19║ │             
 │                │   │                │    ║                        LAN Block: 172.30.0.0/20║   17.12.2025 │
 └────────────────┘   └───┬─┬──┬───────┘    ║                       VPN Block: 172.30.16.0/20║ │             
 ┌────────────────┐       │ │  │            ║                              LAN: 172.30.3.0/24║  ─ ─ ─ ─ ─ ─ ┘
 │      UBNT      │       │ │  │            ║             Gäste (W)LAN (VLAN2): 172.30.2.0/24║               
 │UniFI AP AC Pro ├───────┘ │  │            ║                 IoT WLAN (VLAN4): 172.30.4.0/24║               
 │                │         │  │            ║         DynDNS über deSEC.io mit eigener Domain║               
 └────────────────┘         │  │            ║                                          VPN's:║               
 ┌────────────────┐         │  │            ║      1 x S2S WireGuard FB 7490 (172.30.20.0/24)║               
 │    Proxmox     │         │  │            ║      1 x S2S WireGuard FB 6591 (172.30.19.0/24)║               
 │   Intel NUC    ├─────────┘  │            ║            1 x pfSense S2S (Netgate 6100) IPSec║               
 │BNUC11TNHV50L00 │            │            ║   1 x OpenVPN Road Warrior DCO (172.30.16.0/24)║               
 └────────────────┘            │            ║       1 x WireGuard RA Hetzner (172.30.17.0/24)║               
                               │            ║     1 x WireGuard Road Warrior (172.30.18.0/24)║               
                               │            ╚════════════════════════════════════════════════╝               
 ┌────────────────┐   ┌────────┴───────────┐ ┌────────────────────┐ ┌──────────────────┐                     
 │ Fritzbox 7490  │   │       Switch       │ │       Switch       │ │       UBNT       │                     
 │    IPClient    ├───┤ USW Pro Max 16 PoE ├─┤  USW Pro XG 8 PoE  ├─┤ UniFi AP-Flex-HD │                     
 │   (Nur VoIP)   │   │                    │ │                    │ │                  │                     
 └────────────────┘   └────┬───────────────┘ └──┬─────────────────┘ └──────────────────┘                     
 ┌────────────────┐        │                    │    ┌───────────┐                                           
 │      UBNT      │        │                    │    │           │                                           
 │UniFI AP AC Pro ├────────┘                    └────┤  Clients  │                                           
 │                │                                  │           │                                           
 └────────────────┘                                  └───────────┘
 
  • Like
Reactions: Johannes S and Browbeat
You must log in or register to reply here.
Top Bottom
Back