Open-VPN Verbindung zwischen zwei Netzen

[Apfelsaft]

Hallo liebe Community,

wie schon im Titel beschrieben versuche ich einen Open-VPN Verbindung zwischen zwei Netzen aufzubauen.

Im Netz 1 (172.16.0.0/16) ist die Synology Rackstation als Open-VPN Server hinter einer Fritzbox

Im Netz 2 (192.168.0.0/24) ein Router als Open-VPN Client

Das Open-VPN Netz ist eingestellt auf 10.2.0.0/24

Die VPN-Verbindung kommt zu Stande und der Open-VPN Client bekommt die 10.2.0.6 von der Rackstation zugewiesen.

Nun zum Problem:
Ein Ping aus Netz 2 auf einen beliebigen Teilnehmer aus Netz 1 funktioniert.

Ein Ping aus Netz 1 auf einen beliebigen Teilnehmer aus Netz 2 nicht!

Hier ein paar Bilder:

Netzaufbau:


Routing Table Router 2 in Netz 2 (HIER HABE ICH NICHTS SELBST EINGETRAGEN):


Routing Table Router 1 in Netz 1 (ALLE MANUELL HINZUGEFUEGT DA IM NETZ 1 DER ROUTER 1 ALSO DIE FRITZ BOX ALS STANDARDGATEWAY VERWENDET WIRD)


Open-VPN Server Settings:


Danke schon mal für eure Hilfe!!!

 

[Nomad]

Es liegt daran, dass der Router die über den Tunnel ankommende Daten nicht weiterleitet, wenn sie denn ankommen.

An sich eine sinnvolle Einstellung denn wer will sein ganzes Netz freilegen nur weil man sich in einen VPN Server eingewählt hat?

OpenVPN Doku sagt serverseitig soll man im server.conf

client-server-dir ccd
route 192.168.0.0 255.255.255.0

und im Unterverzeichnis "ccd" eine Datei anlegen mit dem VPN Benutzernamen mit folgendem Inhalt

iroute 192.168.0.0 255.255.255.0

Damit hat man dafür gesorgt, dass die Netzwerktraffik über den Tunnel beim Router ankommen.

Auf der Clientseite muss dann dafür gesorgt werden, dass der Router die Daten weiterleitet.

Wenn der Router mit DD-WRT läuft, dann muss man iptables anschmeissen.

Du solltest überlegen ob der Router schnell genug ist. Selbst Geräte in etwa 200 EUR Klasse machen bei 5MBIT/s schlapp. Deshalb habe ich ein DJ216j als VPN Client konfiguriert. 12MBIT/s schafft er mühelos und hat wohl noch jede Menge Reserven.

Das ganze ohne Gewähr weil ich festellen musste, dass iptables bei Synology beschnitten ist(?). Ich konnte die notwendige SNAT Eintrag nicht vornehmen... Andererseits, wenn Synology als OpenVPN Server funktioniert müsste er in der Lage sein auch die notwendige Weiterleitung einzutragen... Bringt das VPN Server App evtl. eine eigene iptables mit?

 

[Apfelsaft]

Puh danke mal für die Antwort!

Kannst Du mir eine etwas detailliertere Anleitung dafür geben wie ich das auf der Rackstation mache?

In welchem Verzeichnis liegt diese Config genau und sicher, dass die Befehle so lauten?

Danke Dir nochmals!

 

[Nomad]

Link zur OpenVPN Dok:

https://openvpn.net/index.php/open-source/documentation/howto.html#scope

 

[MMD*]

Wurde die 10.2.0.0/24 andern weil die auch von L2TP/IPSec benutzt wird.

 

[Apfelsaft]

Danke für eure Hilfe!

Mit der Anleitung hats geklappt.

Die entsprechenden Dateien lieben bei der Synology in:

/var/packages/VPNCenter/etc/openvpn/

Ich habe auch einen ccd Ordner angelegt und dort ein File für den User "fernwartung" und da iroute 192.168.0.0 255.255.255.0 eingetragen. Leider überschreibt er das File immer wieder mit ifconfig-push 10.2.0.6 255.255.255.0 und dann geht nichts mehr.
Hat da noch jemand ne Idee?

@MMD: Ich habe extra L2TP/IPSec auf nen anderen Bereich eingestellt.

 

[MMD*]

Im
/volume1/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnf

overwriteccfiles=false
setzen.

 

[Apfelsaft]

Super danke für die schnelle Antwort!

Das habe ich gesetzt.

Jetzt aber zum Verständnis:
Wieso überschreibt er die Files überhaupt?
Was ist der Unterschied zwischen den Verzeichnissen /var/packages/VPNCenter/etc/openvpn/ und /volume1/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnf und wo muss ich die ganzen oben genannten Sachen eintragen?

Danke nochmals!