Zugriff auf DSM und diverse Apps über VPN - ohne Portweiterleitungen

Status
Für weitere Antworten geschlossen.

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Guten Abend!

Ich möchte einen letzten Versuch starten, in der Hoffung, dass mir jemand „Licht ans Fahrrad machen“ kann..:)

Ich habe bei der DS die VPN Server OpenVPN und L2TP installiert und aktiviert und die drei entsprechenden Ports bei der FB an die DS weitergeleitet. Auch meine Clients können über das Internet eine VPN Verbindung zur DS herstellen.

Ich möchte VPN nutzen, damit ich nicht mehr so viele Ports öffnen muss (lediglich die drei für die VPN Server).

Sobald ich nun aber in der FB z. B. den Port 5001 nicht mehr weiterleite, komme ich nicht mehr auf das DSM und auch die VPN Verbindung funktioniert nicht mehr. Und hier fehlt mir das Verständnis! Ziel von VPN sollte es m. E. doch sein, eben nicht mehr alle erforderlichen Ports zu öffnen. Wenn ich z. B. zuvor https://domain.de:5001 eingegeben habe, muss ich dann den Port immer noch anführen, obwohl ich diesen nicht mehr weiterleite? Und was ist mit den Apps, die den Port 5001 ja auch nutzen?

Oder muss der Port dennoch stets angegeben, aber nicht mehr in der FB weitergeleitet werden? Und muss ich in der Firewall in der DS dann dennoch die Ports öffnen?

Ohne Öffnung der Ports komme ich nicht auf die DS.. Muss ich da evtl. noch weitere Einstellugen ändern?

Sorry, für diese „blöden“ Fragen, aber es fehlt mir hier einfach am Verständnis.

P. S. Ich habe eine feste IP.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Sobald du im Vpn bist, bist du ja intern.
Bei ovpn muss man ein Hackerl setzen, um Clients den Zugriff ins LAN zu erlauben. Zum NAS sollte man aber glaub ich, immer kommen.

Greif mal mit der internen IP aufs NAS zu, tippe mal darauf dass das NAT Loopback nicht stimmt oder nicht vorhanden ist und der Aufruf über meineDomaine.de:5001 von außen kommt. Also prüf die IP und verwende zB. 192.168.xx.yy:5001

Von außen würde der Portforward auf 5001 notwendig sein.
Wie du schon schreibst, willst du das nicht. Was ja auch der Sinn von vpn ist.

Warum ovpn und l2tp? Habe noch keinen modernen Client gehabt, der ovpn nicht kann. Würde nur eine Schnittstelle nach außen öffnen!
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Hallo und Danke für die schnelle Antwort - wenn für mich auch sehr „kryptisch“..:)

Kannst du mir das auch einfacher erklären (NAT Loopback???)? Würde mich freuen, wenn ich mit nachvollziehbaren Schritten dem Problem auf den Grund gehen könnte..

Was die Frage nach zwei VPN Anwendungen angeht: Ich nutze ein iPhone und bei OpenVPN muss (so glaube ich) ich eine zusätzliche App nutzen, da ich in den originären Einstellungen kein OpenVPN einrichten kann. Auch dachte ich mir, dass ich bei Ausfall eines VPN Servers (z. B. Programmabsturz) noch eine Alternative habe.

P. S. Das mit der IP anstatt des Domainname habe ich verstanden, teste ich morgen mal. Aber: Wenn das mit der IP geht, wie löse ich das dann mit der Domain? Möchte ja nicht immer die IP angeben.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Stimmt für openvpn gibt es die gleichnamige App im AppleStore.

Vergiss sonst einfach mal dem Rest.
Finde die interne IP deiner Synology raus und verwende diese, wenn du im VPN drin bist.

Einstellungen - Netzwerk - da siehst du die IP sicher wo.

Und anstelle von https://domaine.de:5001 nimmst du https://192.168.xx.yy:5001


--------

Habe gerade gesehen, dass dein VPN ohne Portweiterleitung von 5001 nicht gehen soll?
Wie bzw. was meinst du da genau? Was geht nicht mehr, kannst du keine VPN Verbindung aufbauen, (1) oder meinst du, dass du nicht mehr auf das NAS kommst (2)?

Bei (2) liegt es mMn am falschen Aufruf der externen IP an statt der internen.
 
Zuletzt bearbeitet:

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
War neugierig..:) Klasse, hat geklappt, wenn ich die IP eingebe..

Dennoch eine Bitte: Sowohl ich als auch meine Benutzer sollen über VPN zugreifen können, indem sie die Domain und nicht die IP eingeben. Außerdem habe ich der Domain ein Zertifikat beigefügt. Beim Zugriff über die IP kommt natürlich die Warnung.

Daher: Wie stelle ich das nun korrekt so ein, dass der Zugriff per VPN auch mit dem Domainnamen klappt?
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
via VPN oder intern kannst du auch den Namen der DS verwenden, klappt auch.
Natürlich musst du den Port immer noch angeben, weil Port=Anwendung, also kommt darauf an welche Anwendung auf der DS du erreichen willst.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
@ottosykora
Das war nochmal ein wichtiger Hinweis für mich, ebenfalls vielen Dank!

Allerdings:
1. Woran kann es nun liegen, dass ich auf das DSM via VPN zugreifen kann, wenn ich die IP eintrage, und eben nicht, wenn ich den Domainname eintrage? Wo muss ich da was ändern?
2. Hab’s gerade versucht: wie kann ich die Apps von Synology nutzen, wenn ich den Port 5001 dicht mache?

Nr. 2 habe ich herausgefunden: ebenfalls die IP eingeben, anstatt des Domainname. Aber geht das nicht dennoch, wenn richtig konfiguriert?
 
Zuletzt bearbeitet:

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ja. NAT Loopback!

Sorry, aber hier hilft wohl nur mehr googlen und durchlesen. Du solltest schon verstehen, was du hier machst und warum.

Die Fritzbox kann das angeblich (habe selber keine FB).
Und hier der erste Suchtreffer von google.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
Bei mir ging der Loop früher, aber dann hat der Provider ein Update seines Routers gemacht und weg war es.
Begründet wurde es mit Sicherheitsgründen.
Es gibt Router die es können und solche die es nicht können.

Wenn man einen Router hat der Loopback nicht kann, dann geht es von innerhalb des Netzwerkes nicht.
Auf einem PC kann man die Datei hosts anlegen oder wenn vorhanden editieren, dann geht es wieder.

Auf meinem Android habe ich halt dann beides konfiguriert, einerseits was mit Domain wenn ich es von aussen anspreche und dann noch mit IP wenn ich es von innen anspreche. Das ist zumindest auf den portablen Geräten wohl einfacher.

Wenn du in deinem Netz bist, egal ob direkt oder via LAN, dann kannst du IP:port angeben damit die entsprechende Anwendung auf der DS aufgerufen wird.
Man kann auch den Namen der DS verwenden, das der Namen den man der DS gegeben hat und nicht die Domain. Geht in heutigen Netzen in der Regel auch.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Stimmt, ottosykora hat das gut zusammengefasst.

Ich benutze auf allen meinen Geräten (Androids, iphone, Samsung TV und Linux bzw. Windows PCs immer die interne IP.

Geht sowohl wirklich intern als auch via VPN.

Die Nachteile dabei sind, dass man pro Gerät die Zertifikatsausnahme bestätigen muss. Bei den LetsEncrypt Zertifikaten wiederholt sich das Spiel dann halt leider alle 3 Monate bei der Erneuerung. Da der Benutzerkreis limitiert ist auf 2 Personen, kann ich aber gut damit leben.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Vielen Dank für die weiteren prima Hinweise.

Eine abschließende Frage: Es wurde ja der Begriff Loopback genannt. Habe mal ein wenig gegoogelt. Wäre es ebenfalls eine Option, DHCP auf der DS zu betreiben (und bei der FB auszuschalten) und dann den DNS-Server der DS zu nutzen?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
nein
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Kurz - knapp und präzise! ;-)
 

alexs1988

Benutzer
Mitglied seit
08. Jun 2011
Beiträge
193
Punkte für Reaktionen
0
Punkte
16
Sicher wäre das eine option. Habe das genau so laufen. wenn der DNS verweis als erstes auf die DS wandert und der die Domain abfängt funktioniert das auch intern und das Loopback wird umgangen.
das einzige was man ändern muss ist als Primären DNS die DS mitgeben und als Sekundären die Fritzbox.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Danke dir! Werde am Wochende mal gucken, ob ich es hinbekomme..

Einen schönen Abend noch..
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Guten Abend!

Ich habe es hinbekommen, DHCP läuft nun über die DS, ebenso habe ich auf der DS den DNS-Server eingerichtet, beides i.O., Namensauflösung im LAN funktioniert, bei Zugriff über VPN nun keine Eingabe der IPs mehr erforderlich!
 
Zuletzt bearbeitet:

FrAntje

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
353
Punkte für Reaktionen
13
Punkte
18
In dem OpenVPN Config File einfach den # dhcp-option nutzen, dann klappen auch die Namen im Netzwerk
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Danke!!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat