OpenVPN Option Clients den Server-LAN-Zugriff erlauben

Status
Für weitere Antworten geschlossen.

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo,

hatte heute mal ein wenig Zeit und habe mir die Einstellmöglichkeit unter DSM 5.1 VPN-Server 1.2.2427 "Clients den Server-LAN-Zugriff erlauben" angeschaut. Anfänglich dachte ich noch chic was Synology da macht. Dachte erst hier wird das ip-forwarding deaktiviert oder noch besser endlich mal Definitionen für iptables (Firewall) gesetzt. Aber jetzt kann ich sagen was Synology da macht ist Murks. Wer also denkt wenn er diesen Haken entfernt, das der Client dann keinen Zugriff mehr auf das Server-LAN hätte sei enttäuscht. Nur der Unwissende kommt da nicht weiter.

Dieser Haken sorgt einzig und allein dafür das die Route nicht mehr auf den Clienten "gepusht" wird.

Wenn also ein Client hier bei deaktiviertem Häkchen eine Verbindung herstellen darf, dann kann er auch manuell auf dem Clienten eine Route setzen und hat somit Zugriff auf das Server-LAN. Na ja, ein Schutz sieht anders aus. Aber VPN kommt ja von private und da sollte man schon Vertrauen haben :)

Gruß Frank
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Yep, darüber bin ich auch schon gestolpert (und hab's Synology auch geschrieben, dass man das definitiv anders bezeichnen sollte oder aber tatsächlich verhindern muss) :-/
 

snas

Benutzer
Mitglied seit
26. Jun 2014
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Hallo Zusammen

Entschuldigt dass ich diesen alten Thread aufgrabe (in den Nutzungsbedingungen fand ich aber nichts, dass das verbietet:rolleyes:).

Meine Frage: Könnt ihr eventuell sagen ob das mit der aktuellsten Synology VPN Server Plugin (1.2-2434) immer noch so ist?

Wenn ich mir die Konfigfiles vor und nach der Aktivierung dieser Option ("Clients den Server-LAN-Zugriff erlauben") anschaue, finde ich keinen einzigen Unterschied. Ich finde mit der Aktivierung keinen push Eintrag in der server.conf mit meiner Netzadresse.

Dabei prüfe ich folgende Dateien:
/volume3/@appstore/VPNCenter/etc/openvpn/openvpn.conf
/volume3/@appstore/VPNCenter/etc/openvpn/server.conf

Ich habe auch nachgeschaut ob ohne die Aktivierung, Firewall Regeln hinterlegt sind. Es sind aber keine rules hinterlegt mit denen ich mir erklären könnte, wie diese Option im Hintergrund konfigurationstechnisch hinterlegt wird.

Clientseitig kann ich bisher den Unterschied (z.B in der Routingtabelle) nicht prüfen, da ich gerade testweise nur mit meinem iPhone über das Mobilnetz verbinde.

Vielleicht könnt ihr mich aufklären :D

Danke!

Gruss,
snas
 
Zuletzt bearbeitet:

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Vielleicht könnt ihr mich aufklären

Bis Dato war es so, das nur bei aktivierter Option die push-directive ins lokale Subnetz gesetzt wurde. Routing wurde niemals verändert, sondern nur zusätzlichen push oder nicht (Je nach Haken). Also nicht unbedingt die sicherste Lösung. Kann gerade nicht auf eine aktuelle Machine schauen, sollte mich aber sehr wundern wenn sich dort was geändert hat. Auch "Übernehmen" nach Änderung des Hakens geklickt? :)

Gruß Frank

Edit: Hab mich mal Remote auf eine aktuelle Machine gewählt. Es ist aktuell nach wie vor so. Push wird bei aktiviertem Haken eingefügt. Und bei deaktiviertem Haken entfernt. Also Serverseitig wird auch kein Routing verändert, nur clientseitig über die push-directive.
/var/packages/VPNCenter/etc/openvpn/openvpn.conf
 
Zuletzt bearbeitet:

snas

Benutzer
Mitglied seit
26. Jun 2014
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Hallo Frank

Oh, ich hatte im falschen Verzeichnis nachgeschaut.

Im Verzeichnis "/volume3/@appstore/VPNCenter/etc/openvpn" statt im "/var/packages/VPNCenter/etc/openvpn/". Vielen Dank für den Hinweis und deine Überprüfung.

Nun ist das für mich klar. Zu OpenVPN und Synology möchte ich noch allgemein anmerken, dass das natürlich eher was für den Privatgebrauch so ist. Hat man viele User und möchte man die Zugriffsberechtigungen auf allen Ebenen genau definieren, da muss man auf eine richtige Firewall zurückgreifen. Es gibt auch Open Source Lösungen, wie beispielsweise PFSense.

Danke nochmal :)

Gruss,
snas
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Oh, ich hatte im falschen Verzeichnis nachgeschaut.
Im Verzeichnis "/volume3/@appstore/VPNCenter/etc/openvpn" statt im "/var/packages/VPNCenter/etc/openvpn/". Vielen Dank für den Hinweis und deine Überprüfung.

Eigentlich sollte das auch zum Ziel führen, denn /var/packages/VPNCenter ist eh als Symlink ausgeführt und sollte wenn Du das Paket auf /volume3 installiert hast auch unter /volume3/@appstore/VPNCenter zu finden sein. Diese Angabe macht es nur einfacher, da ja jeder das VPNCenter (oder auch andere Pakete) auf beliebigen volumes installieren kann und somit die Pfadangabe /var/packages/... für alle passt.

Im Zweifelsfall kannst Du dir die Ziele der Symlinks mit

Rich (BBCode):
ls -l /var/packages/VPNCenter

anzeigen lassen.

Gruß Frank
 

snas

Benutzer
Mitglied seit
26. Jun 2014
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Nicht ganz. Der zeigt auf ein anderes Verzeichnis: "etc -> /usr/syno/etc/packages/VPNCenter"

HIer befinde ich mich in /var/packages/VPNCenter
packages_path.PNG

Es ist für mich schon fraglich, was das für Konfigurationsfiles im Verzeichnis (/volume3/@appstore/VPNCenter/...) sind, wenn diese offensichtlich (auch) wo anders liegen?!

Gruss,
snas
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat