VPN Server und Netzwerkzugriff von Clients aus Netzwerk?

[Oetsch]

Hallo
erweiter gerade die Einrichtung der VPN Verbindung wobei die DS116 mit dem OPENVPN Paket als VPN Server dient.
Auf diesen greife ich mit VPN-Clients auf Endgeräten zu, aber jetzt neu wird ein Raspberry mit VPN-Client auch darauf zugreifen.
Dabei sollen dann die Netzwerke hinter Client und Server miteinander kommunizieren können.

Mein Problem, was ich gerne hier erfagen möchte ist der Zugriff vom Netzwerk hinter dem Server auf das Netzwerk hinter dem Client.

Die umgekehrte Richtung funktioniert und dies hat dieses Setting bewirkt:


Wie konfiguriere ich jedoch, dass Netzwerklclients hinter dem Server auch auf Clients hinter dem VPN-Client zugreifen können?

Prüfversuche mittels ping, pathping,tracert schlugen in diese Richtung selbst bis nur zum VPN-Client/Raspberry fehl.

Besten Dank vorab für Eure Tips!

 

[plang.pl]

Da musst du wahrscheinlich eine VPN-Verbindung zwischen den Routern herstellen (geht mit der FritzBox sehr einfach)

 

[Oetsch]

Da musst du wahrscheinlich eine VPN-Verbindung zwischen den Routern herstellen (geht mit der FritzBox sehr einfach)

Das ist leider nicht möglich, da eine Seite eine Vodafone Connect Box ohne diese Möglichkeiten am IPv6 DS-Lite Anschluß besitzt.
Darum mache ich ja diese "Klimmzüge" mit VPN-Server auf der Synology und VPN-Client auf dem Raspberry.

Vom Prinzip funktioniert auch schon sehr viel, lediglich durch die eingeschränkten Konfigurationsmöglichkeiten des OPENVPN-Server Paketes auf dem Synology NAS komme ich nicht wirklich weiter bzw. weiß nicht wie.

Auf der VPN-Client Seite am Raspberry waren die notwendigen Einstellungen das aktivierte IP Forwarding

sudo nano /etc/sysctl.conf
# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

und das Source NAT in den IPtables

sudo iptables -t nat -I POSTROUTING 1 -o eth0 -j MASQUERADE
sudo iptables -t nat -I POSTROUTING 2 -o tun0 -j MASQUERADE

Wie dies jedoch auf der Synology zu realisieren ist, ist genau meine Frage.

 

[Oetsch]

Habe es nun auf der Diskstation prüfen können und IP Forwarding ist aktiv:

admin@DiskStation:/$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

und das Source NAT ist auch aktiv:

root@DiskStation:~# iptables -t nat -v -L POSTROUTING -n --line-number
Chain DEFAULT_POSTROUTING (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     1628 85074 MASQUERADE  all  --  *      *       10.8.0.0/24          0.0.0.0/0

Leider komme ich aber von der Netzwerkseite des VPN-Servers/Diskstation nicht durch den Tunnel. Egal ob von einem Client im Netzwerk oder direkt von der Diskstation.
Die IP 10.8.0.1 für den Anfang des Tunnels auf der Diskstation kann erreicht werden, aber Das Ende IP 10.8.0.2 schlägt fehl.

Sobald ich die Richtung ändere und von der Seite des VPN-Clients so etwas versuche funktioniert es.

Ist hier der VPN-Server der Diskstation irgendwie speziell und er blockiert genau das?

 

[plang.pl]

So tief bin ich in der Materie leider nicht drin. Es müsste sich jemand anderes melden...

 

[Oetsch]

So tief bin ich in der Materie leider nicht drin. Es müsste sich jemand anderes melden...

Danke Dir. Hoffe es findet sich jemand der so nett ist.

Irgendwie hat es was mit den IP-Adressen des Tunnels zu tun.

Auf der Diskstation gibt er mir 10.8.0.1 und 10.8.0.2 für den Tunnel an:

5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever

Gucke ich aber auf der dem VPN-Client habe ich 10.8.0.10 und 10.8.9 für den Tunnel:

6: tunX: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.8.0.10 peer 10.8.0.9/32 scope global tunX
       valid_lft forever preferred_lft forever

Auf der Diskstation komme ich nur an die 10.8.0.10. Welche Seite des Tunnels das ist bin ich mir nicht sicher:

root@DiskStation:~# ping 10.8.0.10
PING 10.8.0.10 (10.8.0.10) 56(84) bytes of data.
64 bytes from 10.8.0.10: icmp_seq=1 ttl=64 time=35.7 ms
64 bytes from 10.8.0.10: icmp_seq=2 ttl=64 time=35.4 ms
64 bytes from 10.8.0.10: icmp_seq=3 ttl=64 time=30.7 ms
64 bytes from 10.8.0.10: icmp_seq=4 ttl=64 time=30.9 ms
64 bytes from 10.8.0.10: icmp_seq=5 ttl=64 time=31.2 ms
^C
--- 10.8.0.10 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 30.752/32.825/35.711/2.270 ms
root@DiskStation:~# ping 10.8.0.9
PING 10.8.0.9 (10.8.0.9) 56(84) bytes of data.
^C
--- 10.8.0.9 ping statistics ---
14 packets transmitted, 0 received, 100% packet loss, time 13000ms

 

[ottosykora]

bin nicht sicher ob da nicht ein Missverständniss vorliegt, aber Client-Server VPN ist keine Site to Site VPN

https://www.computerweekly.com/de/a...-VPN-und-VPN-Clients-mit-VPN-Serververbindung

 

[Oetsch]

bin nicht sicher ob da nicht ein Missverständniss vorliegt, aber Client-Server VPN ist keine Site to Site VPN

https://www.computerweekly.com/de/a...-VPN-und-VPN-Clients-mit-VPN-Serververbindung

Danke. Das der Unterschied so groß ist, war mir nicht bewusst und somit trifft es das Missverständnis voll.

Lässt sich denn mit dem Synology NAS und diesen Mitteln ein Site-To-Site VPN einrichten oder braucht es dort zwingen Dinge wie VPN Plus von Synology etc?

Da ich dies bei OPENVPN gelesen hatte war ich der Meinung es sollte damit funktionieren:
https://openvpn.net/vpn-server-resources/site-to-site-routing-explained-in-detail/

 

[ottosykora]

Ich selber verwende nur Client-Server VPN, weiss also nicht genau was die erweiterten Pakete bieten.
Hier müsste ich auch die entsprechenden Tutorials zuerst durchlesen.
Selber habe ich minim Erfahrung mit Fritzbox, aber so viel ich gehört habe, kann man damit eine Site2Site machen

 

[laserdesign]

Hallo Oetsch,
habe es mit dieser Anleitung und an jedem Standort ein Raspberry Pi gelöst.
PS.: dazu noch das hier und das hier, dann sollte es klappen

 

[Oetsch]

Hallo Oetsch,
habe es mit dieser Anleitung und an jedem Standort ein Raspberry Pi gelöst.
PS.: dazu noch das hier und das hier, dann sollte es klappen

Vielen Dank. Das ist eine Menge Futter zum verstehn
Kannst Du mir noch sagen warum Du nicht die Diskstation mit einbezogen hast?

Ich habe zwar in beiden Netzwerken RPIs laufen, aber auf diesen läuft auch gerade die Heimautomatisierung warum ich ggf. über den Tunnel oder zusätzlich noch von Draußen dort im Notfall ran möchte. Heißt es liegt ein Problem auf den RPIs warscheinlich dann vor. Da glaube ich ist es dann weniger gut, wenn die Verbindung auch noch dadrauf hängt und im Zweifel ist bei Störung keine Verbung möglich um das von extern zu beheben. Die Diskstation läuft auch 24/7 in dem Netz wäre aber lostgelöst von RPI der als Server dient.

 

[laserdesign]

Kannst Du mir noch sagen warum Du nicht die Diskstation mit einbezogen hast?

Kurz und knapp, weil Serverdienste wie openVPN nicht auf einem NAS gehören.

 

[Fusion]

Auf der Konsole geht es die Richtung ZUM Client Netzwerk einzurichten.

https://www.synology-forum.de/threa...cherung-in-beide-richtungen.49661/post-395676

 

[Oetsch]

Auf der Konsole geht es die Richtung ZUM Client Netzwerk einzurichten.

https://www.synology-forum.de/threa...cherung-in-beide-richtungen.49661/post-395676

Danke. Hat bei mir nicht funktioniert. Die Alternative über Wireguard läuft jetzt jetzt aber bestens.

 

[Synchrotron]

Selber habe ich minim Erfahrung mit Fritzbox, aber so viel ich gehört habe, kann man damit eine Site2Site machen

Die Fritz!Box kann über einen fest eingerichteten VPN-Tunnel 2 Netzwerke direkt miteinander verbinden. Voraussetzung: An jedem Ende eine FB mit halbwegs aktuellem OS (die unter Fuchtel des Providers hängen oft nach).

https://avm.de/service/wissensdaten...P-Netzwerke-hinter-einer-FRITZ-Box-zugreifen/

 

[Oetsch]

Auf der einen Seite hängt eine Vodafone Connect Box am DS-Lite Anschluß. Somit fällt das aus....
Sämtliche genutzte Hardware ist eh im Betrieb und somit kann ich für eine Notfallverbindung im privaten Umfeld ohne monatliche Kosten so sehr gut damit leben.