Indirekter Zugriff aus dem Internet über VPN

[avon]

Hallo,

ich habe folgende Frage:

Ich kann/darf für eine Diskstation keine Ports im dortigen Router öffnen. Eine zweite Diskstation an einem anderen Standort ist über das Internet erreichbar (Ports sind offen) und dort läuft auch der VPN Server. Wenn ich nun die erste Diskstation per VPN mit der zweiten verbinde, kann ich ja über diese Verbindung ins Internet. Ist es möglich das ganze so zu konfigurieren, dass die erste Diskstation über die zweite aus dem Internet herraus erreichbar ist, d.h. das bestimmt Ports auf die erste weitergeleitet werden?

Hier noch eine Skizze zum besseren Verständnis:



(Die QuickConnect-Option ist mir bekannt, aber da ich nicht die Standard-Dienste sondern z.B. OwnCloud oder die Netzwerksicherung erreichen will, bringt das nichts.)

 

[jahlives]

Grundsätzlich geht das, ABER es wird seinen Grund geben wieso du keine Ports öffnen darfst. Gerade auf der Arbeit sollte man sich das sehr genau überlegen und besser mit einem Verantwortlichen für das Netzwerk/Vorgesetzten sprechen und fragen ob man das machen darf. Je nach Arbeitsvertrag kann das sonst u.U. ziemlich viel Ärger geben!

 

[avon]

Die Diskstation 1 steht bei mir zu Hause, da ich aber hier wie alle Mieter an einer großen Hausanlage hänge und keine eigener Internet-Anschluß möglich ist (das würde laut Vermieter "technische Probleme" verursachen), ist das weniger ein "nicht Dürfen" als viel mehr ein "nicht Können" (der "IT-Zuständige" hat mir erklärt, dass "alle" Ports offen sind, aber der ja nicht wissen kann wo die Daten hin sollen - ob der im richtigen Beruf ist?). Daher meine Idee über eine VPN-Verbindung.

Wenn es grundsätzlich geht, könntest du vielleicht etwas detaillierter darauf eingehen, oder hast du evtl. einen Link zu einem Tutorial etc. (meine bisherige www-Recherche hat da nichts ergeben)?

 

[jahlives]

Du brauchst eine DS als VPN Server (dort wo du den Port eingehend öffnen und an die DS weiterleiten kannst). Auf der anderen Seite die DS als VPN Client.

https://www.synology.com/de-de/support/tutorials/459
https://www.synology.com/de-de/support/tutorials/523

 

[ottosykora]

Die Diskstation 1 steht bei mir zu Hause, da ich aber hier wie alle Mieter an einer großen Hausanlage hänge und keine eigener Internet-Anschluß möglich ist (das würde laut Vermieter "technische Probleme" verursachen), ist das weniger ein "nicht Dürfen" als viel mehr ein "nicht Können" (der "IT-Zuständige" hat mir erklärt, dass "alle" Ports offen sind, aber der ja nicht wissen kann wo die Daten hin sollen - ob der im richtigen Beruf ist?). Daher meine Idee über eine VPN-Verbindung.

also ob und was offen ist kann man doch von aussen testen, wenn man einen Dienst, zum Bsp mit der DS anbietet und dann von aussen scannt ob es erreichbar ist.
http://www.dnstools.ch/port-scanner.html

Es ist durchaus möglich dass der primäre Router als 'transparent Host' geschaltet ist und dann kann man es eben mit einem Router dahinter einzeln freischalten.
Bei mir zu hause ist es auch so. Der Provider Router ist voll offen für alles und dahinter steht dann mein eigener Router und macht die eigentliche Arbeit.
Und welche Adresse bekommt man in so einem Netz bei dir zu hause? Interne per DHCP?

 

[avon]

Du brauchst eine DS als VPN Server (dort wo du den Port eingehend öffnen und an die DS weiterleiten kannst). Auf der anderen Seite die DS als VPN Client.

https://www.synology.com/de-de/support/tutorials/459
https://www.synology.com/de-de/support/tutorials/523

In den Links wird ja nur beschrieben wie ich eine VPN-Verbindung zwischen den Diskstations aufbauen kann. Das läuft bereits. Meine Frage zielt mehr darauf ab, wie ich nun die Ports weiterleiten kann, da die Diskstation 1 ja in einem eigenen Netz (Default 10.8.0.x) hängt und die Diskstation 2 wahrscheinlich als Gateway nützt um über das lokale Netz ins Internet zu gelangen?

 

[avon]

Es ist durchaus möglich dass der primäre Router als 'transparent Host' geschaltet ist und dann kann man es eben mit einem Router dahinter einzeln freischalten.
Bei mir zu hause ist es auch so. Der Provider Router ist voll offen für alles und dahinter steht dann mein eigener Router und macht die eigentliche Arbeit.
Und welche Adresse bekommt man in so einem Netz bei dir zu hause? Interne per DHCP?

Jede Wohnung hat einen eigenen IP-Range (ohne DHCP) mit einer einzelnen vorgegeben festen IP für den Rechner. Ich habe dann noch einen eigenen Router dazwischen hängen, der DHCP/WLAN/etc. anbietet und mir damit auch mehr als nur eine IP-Adresse ermöglicht. Der IT-Typ hatte jedoch gesagt, dass "die Weiterleitung nicht funktioniert da der Router (der große vom Hausnetz) ja nicht wüsste wohin" - dafür gibt es doch eigentlich Routing?

 

[Thorndike]

Ich vermute einmal das es für das Hausnetz eine eigenen Anschluss gibt und innerhalb des Hauses ein Intranet aufgebaut wird. In sofern ist es verständlich das der IT-Typ davon spricht das alles offen ist da kein ausgehender Traffic ins Internet blockiert wird. Auch ist verständlich das er keine Portweiterleitung an deinen privaten Rechner machen will da er dann ja für jeden Hausbewohner diese Weiterleitungen konfigurieren müsste. Warum man ein Haus so anschließt ist mir zwar nicht klar, machen kann man das aber. Ich möchte Wetten das deine IP-Range sich in einem privaten bereich bewegt.
Es gibt also keine Firewall die zu überwinden wäre sondern einen Router bei dem man keine Portweiterleitungen auf interne Rechner einrichten will.

 

[JudgeDredd]

Das ist ja wirklich mal ein ganz abstruses Konstrukt. Ich hoffe nur, das Du auch nur den x-ten Anteil an den Internetproviderkosten zahlst. Sonst würde sich ja der Vermieter von allen den vollwertigen Anschluss bezahlen lassen, aber selbst nur 1-mal die Kosten an den ISP abführen.

 

[jahlives]

In den Links wird ja nur beschrieben wie ich eine VPN-Verbindung zwischen den Diskstations aufbauen kann. Das läuft bereits. Meine Frage zielt mehr darauf ab, wie ich nun die Ports weiterleiten kann, da die Diskstation 1 ja in einem eigenen Netz (Default 10.8.0.x) hängt und die Diskstation 2 wahrscheinlich als Gateway nützt um über das lokale Netz ins Internet zu gelangen?

beide DS gehen per default Route direkt ins Netz Wenn du willst dass eine DS ihren Traffic fürs Internet durch den VPN Tunnel jagt, dann brauchst du Routen, die das dem System "sagen".

Wenn du z.B. am anderen System (dort wo du einen Ports weiterleiten kannst) einen bestimmten Port an die remote DS (wo keine Portweiterleitung geht) durchreichen willst, musst du dich mit iptables anfreunden
Sagen wir du willst den Port 80 an deine remote DS weiterleiten, welche die OVPN IP 10.0.8.12 hat. Die DS mit dem OVPN Server hat dabei die OVPN-IP 10.0.8.1

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.8.12
iptables -t nat -I POSTROUTING -i eth0 -p tcp --dport 80 -j SNAT --to 10.0.8.1

die erste Regel ersetzt die Ziel IP der zutreffenden Pakete durch die OVPN IP der zweiten DS. Die zweite Regel ersetzt die Quell-IP der Pakete mit der OVPN IP der Server DS. Damit wird sichergestellt, dass die Antworten den korrekten Weg zurückkommen. Lässt du die zweite Regel weg, dann wird die andere DS ihre Antworten direkt ins Netz senden und nicht via Tunnel.

 

[avon]

Die iptables muss ich doch im Router setzen?

 

[avon]

Ich versuche das ganze gerade über VirtualHost zu realisieren. Dazu habe ich im Router Port 8321 freigegeben und auf die Diskstation (lokale IP 192.168.69.50) weitergeleitet, im DSM den zusätzlichen HTTPS-Port 8321 angelegt und in der httpd.conf-user folgenden VirtualHost hinzugefügt:

<VirtualHost *:8321>
    SSLEngine On
    ProxyPreserveHost On
    ProxyRequests off
    ServerName www.meineurl.de
    ProxyPass / https://192.168.69.50/owncloud
    ProxyPassReverse / https://192.168.69.50/owncloud
</VirtualHost>

Damit soll testweise die Verbindung über Port 8321 (https://www.meineurl.de:8321) auf die lokale OwnCloud-Seite (https://www.meineurl.de/owncloud) umgeleitet werden. Das Ergebis ist, dass er versucht zu http://meineurl.de:5000 umzuleiten, was vom Router natürlich geblockt wird.

Hat jemand eine Idee woran das liegen könnte?

 

[avon]

Hier geht's weiter: http://www.synology-forum.de/showthread.html?54728-Virtual-Host-als-Reverse-Proxy