VPN Aufbau (IPKG oder Synology OpenVPN)

[Brian!]

Hallo zusammen,

ich habe mittlerweile ein immer größeres Interesse an einer guten VPN Lösung und bin nun auch mit der Synology OpenVPN Lösung nicht mehr so ganz zufrieden.

Gibt es eine Möglichkeit, entweder das bestehende Synology OpenVPN oder das IPKG OpenVPN so zu nutzen, dass ich

- weiterhin einen Nutzerbasieres Login habe (idealerweise verknüpft mit dem Windows XP/Vista/7 Logon)
- weiterhin die zugriffe umfangreich mit geloged werden
- ich ebenfalls auf das Client-Netzwerk aus dem DS-Netzwerk zugreifen kann (ist nur im Bridge Mode möglich?)
- ich den jeweiligen Clients den Zugriff zum Internet gesteuert entweder über die DS oder nur über den Client gewähren kann

(Anmerkung: bei der Synolgoy Lösung gibt es für den Internet Zugriff über Client/Server zwar im .ovpn Script den Eintrag "redirect_gateway", bei meinen Tests mit einem entfernten Windows 7 Rechner hat dieser Eintrag aber keine Rolle gespielt, egal ob ein- oder auskommentiert - der Internetverkehr lief immer über die DS!)

Ich kenne natürlich die IPKG OpenVPN Anleitung aus dem Wiki, allerdings geht mir diese nicht auf meine oben genannte punkte ein. Auch wäre es zwecks Zentralisierung im DSM meines Erachtens nach schöner, das ganze mit nem "verbogenen" Synology OpenVPN hin zu bekommen...

Für Ideen oder Anregungen hierzu wäre ich von erfahrenen Nutzern sehr dankbar!

Grüße,
Brian

 

[jahlives]

- weiterhin einen Nutzerbasieres Login habe (idealerweise verknüpft mit dem Windows XP/Vista/7 Logon)
Bei ipkg OpenVPN kannst du auf jeden Fall Clientzertifikate verwenden
- weiterhin die zugriffe umfangreich mit geloged werden
Sollte sowohl bei der Syno Lösung als auch bei ipkg möglich sein, den Loglevel zu beeinflussen
- ich ebenfalls auf das Client-Netzwerk aus dem DS-Netzwerk zugreifen kann (ist nur im Bridge Mode möglich?)
das geht mit ipkg OpenVPN problemlos. ggf muss man noch Routingeinträge machen
- ich den jeweiligen Clients den Zugriff zum Internet gesteuert entweder über die DS oder nur über den Client gewähren kann
du kannst mit ipkg OpenVPN pro Cert festlegen wie ins Internet verbunden wird. Entweder alles via OpenVPN oder der Client direkt ins Netz

Der Vorteil der ipkg Lösung wäre v.a. dass du nach einem Firmware Update nicht die gesamten Konfs neuschreiben musst

 

[ubuntulinux]

Meint er nicht vom DS Netzwerk ins Clientnetzwerk? Dann müsste man am client NATten Bridging bzw Side2Side ist aufgrund der fehlenden Kernelunterstützung von BRIDGE nicht möglich

 

[Brian!]

- weiterhin einen Nutzerbasieres Login habe (idealerweise verknüpft mit dem Windows XP/Vista/7 Logon)
Bei ipkg OpenVPN kannst du auf jeden Fall Clientzertifikate verwenden

Da bin ich jetzt etwas verwirrt, wie kann ich denn mit Clientzertifikaten ein Nutzer/Passwort Login erstellen? Vor allem auch noch idealerweise passend zu dem Windows Logon? Dachte ich würde hauptsächlich deshalb Zertifikate benutzen, um mich eben nicht mehr per Nutzer/Passwort anmelden zu müssen?

- ich ebenfalls auf das Client-Netzwerk aus dem DS-Netzwerk zugreifen kann (ist nur im Bridge Mode möglich?)
das geht mit ipkg OpenVPN problemlos. ggf muss man noch Routingeinträge machen

Das heißt, ich würde hierfür auch keinen besonderen Client benötigen sondern kann im Client .ovpn Script (und den Server Scripts) "einfach" die entsprechenden einträge machen (plus ggf. Routingeinträge -> die dann auch seitens des Clients?) und es sollte gehen?

- ich den jeweiligen Clients den Zugriff zum Internet gesteuert entweder über die DS oder nur über den Client gewähren kann
du kannst mit ipkg OpenVPN pro Cert festlegen wie ins Internet verbunden wird. Entweder alles via OpenVPN oder der Client direkt ins Netz

Um auch das mit meinen Worten zusammen zufassen: ich kann also die OpenVPN Server Config in Abhängigkeit der vergebenen Cert's so konfigurieren, dass einige Client's alles über OpenVPN leiten und einige nicht? Das hört sich für mich, insofern ich es richtig interpretiert habe, schon sehr verlockend an ...

 

[Brian!]

Meint er nicht vom DS Netzwerk ins Clientnetzwerk?

Genau, meinte er!

Dann müsste man am client NATten

Ich würde allerdings eine Lösung benötigen, bei dem der Client nichts mehr weiter "basteln" müsste ...

 

[ubuntulinux]

Du kannst sagen, welchen Clients ein Standard-Gateway für die default-Route (0.0.0.0/0) definiert wird. Dann wird der Traffic über den VPN geleitet. Ansonsten geht nur der Traffic vom OpenVPN, bzw dem Netz dahinter, über das VPN.

Diese Route kann man auch selber anlegen, dass man mit Clients ins Internet kann, bei denen keine Route gepusht wurde.

 

[jahlives]

Sorry da habe ich die Datenrichtung verwechselt. Meinte du wolltest vom Client Netz auf Clients im Servernetz zugreifen, welche aber selber nicht am OpenVPN angemeldet sind. Der umgekehrte Weg müsste wie von ubuntulinux beschrieben ge-natted werden.
Beim Login mit Certs kann man afaik die PW Auth von OpenVPN weiterverwenden d.h. nur Clients mit einem korrekten Cert kommen überhaupt noch bis zum Login. Das schützt vor Bruteforce Attacken auf Passworte. Beim ipkg OpenVPN hast du dazu auf jeden Fall mehr Möglichkeiten.

Um auch das mit meinen Worten zusammen zufassen: ich kann also die OpenVPN Server Config in Abhängigkeit der vergebenen Cert's so konfigurieren, dass einige Client's alles über OpenVPN leiten und einige nicht? Das hört sich für mich, insofern ich es richtig interpretiert habe, schon sehr verlockend an ...

ja genau das ist damit möglich. Dazu gibt es pro Cert ein Conffile wo man fast alle Parameter der server.conf nutzen kann. So kannst du z.B. Cert-A die DS als default Gateway vorgeben und bei Cert-B keinen Gateway setzen d.h. der client mit cert-b kann alles was nicht explizit für das VPN ist direkt an den Gateway des Netzwerks schicken