DS als Client per VPN verbinden => Fragen, Probleme

[un1que]

Hallo,

wenn ich meine DS213+ mit einem VPN Server verbinde und so laufen zu lassen, damit der ganze Traffic über den VPN Server läuft, so stoße ich dabei leider auf folgendes Problem:
Ich habe dann über die DDNS keinen Zugriff auf die DS. Dann kann ich mich nur innerhalb des Heimnetzes verbinden. Kann ich das i-wie einrichten, dass beides parallel läuft, also sowohl die Verbindung per VPN, als auch der Zugriff per DDNS?

Und da wäre jetzt noch etwas, kann ich vllt. i-wie einstellen, dass sobald die VPN Verbindung abgebrochen wurde, alle aus- und eingehenden Verbindungen gestoppt werden (evtl. nur bei bestimmten Programmen, wie z.B. bei Downloadstation)?

 

[un1que]

Nach vielem Rumprobieren....
So, die Sache war ganz einfach, man muss nur bei dem Provider einen Port unter Portforwards hinterlegen und dann kann man die DS über die bereits bekannte DDNS+Port erreichen.

Allerdings bin ich mit der zweiten Frage kein Stück weitergekommen, ob man bei einem Verbindungsabbruch/-fehler zum VPN Server die Downloadstation stoppen könnte.

Ich habe es schon versucht mittels der Firewall zu lösen, indem ich dort für die Downloadstation nur die eine IP freigegeben und alle anderen gesperrt habe, allerdings hat das nichts gebracht. Vllt. mache ich was falsch?

 

[un1que]

Überhaupt keiner eine Idee?

 

[fpo4711]

Das Problem für mich ist, das ich deine Konfiguration gar nicht verstehe. Aber ich versuch es mal. Vieleicht könntest Du auch mal sagen was für ein VPN Du überhaupt verwendest.

Also ich hab das so verstanden, das Du eine VPN-Verbindung aufbaust und dann den kompletten Verkehr über die VPN-Verbindung schicken willst incl. dem der Download Station. Wenn jetzt die Verbindung getrennt wird, soll die Download Station den Download nicht mehr fortführen sondern aufhören. Hoffe das richtig verstanden zu haben.

Warum Du das so machst hinterfrage ich jetzt mal nicht, sondern weise nur daruaf hin, das dann die Übertragungsrate durch den Upload des VPN-Server bzw. dessen Anbindung bestimmt wird. Und bei VPN-Server gehe ich auch mal von einem Synology-Server oder ähnlich konfigurierten aus.

Sofern Du OpenVPN als VPN verwendest, könntest Du beispielsweise das Standard-Gateway der DS auf die lokale Adresse des VPN-Servers stellen. Das hätte zur Folge, das wenn die Verbindung getrennt würde, die DS auch keinen Weg mehr nach draussen kennen würde. Und somit auch die Download Station nicht.

Andere Möglichkeit wäre den VPN-Server zyklisch zu pingen und bei nicht Erreichbarkeit die Download Station zu beenden. Würde aber entsprechende Scriptkenntnisse voraussetzen. Ein Script parat habe ich für diesen Anwendungsfall jetzt nicht.

Gruß Frank

 

[un1que]

Vielen Dank für die Antwort! Ja, Du hast meine Konfiguration richtig verstanden, nur verwende ich halt einen fremden VPN-Server (also keinen Synology-Server, wie Du dich ausgedrückt hast). Bzgl. der Übertragungsrate, bin ich es mir völlig bewusst.

Ja, es ist OpenVPN und nein, ich habe leider keinerlei Skriptkenntnisse. Da bleibt mir wohl nur die 1. Möglichkeit mit dem Standard-Gateway. Ich probiere es mal.

PS. (um mein Handeln ein wenig zu erklären) Ich habe versucht etwas mit der Firewall anzustellen, da es für Windows so ein Programm gibt, was sich Comodo-Firewall nennt und halt darauf achtet, ob die Programme über die IP des VPN Anbieters unterwegs sind oder über die eigene. Darum dachte ich mir, ich könnte es mal hier mit der integrierten FW auch i-wie anstellen^^

 

[fpo4711]

Für entsprechende Regeln muß ich zugeben kenne ich die Download Station zu wenig. Vieleicht wäre dies sogar möglich. Vieleicht findet sich ja zu diesem Thema noch ein schlauer Kopf im Forum.

Gruß Frank

 

[un1que]

Joa, mal abwarten, vllt. findet sich ja noch jemand der das anders lösen könnte.

Aber ich probiere Deine Lösung trotzdem mal, da es sich ja nicht sonderlich schwer anhört und man es ja jederzeit problemlos wieder rückgängig machen kann. Ist es nun richtig, dass ich im Menüpunkt Netzwerk quasi die IP meiner Fritz.Box 192.168.178.1 gegen die IP des Servers austausche (weil es so zu einem Fehler kommt, wo es heißt: "Die IP Adresse und der Standard-Gateway gehören zu zwei verschiedenen Subnetzen.")?

Und noch etwas worauf ich bisher nirgends eine Antwort gefunden habe: wie könnte ich überprüfen mit welcher IP & DNS Adresse die Syno-DS gerade unterwegs ist? Gibt es überhaupt solch eine Möglichkeit, z.B. über SSH/Telnet?

 

[fpo4711]

Nicht in der FritzBox, sondern in den Einstellungen der DS kommt das Standard-Gateway (die lokale IP des VPN-Servers). Hat dann allerdings einen kleinen Nachteil. Ohne Änderung kann dann die DS auch selbst nicht raus. Also Updates oder ähnliches.

Den Weg den die DS gerade nimmt kannst Du dir mit traceroute <ziel> anzeigen lassen. Also beispielsweise

traceroute www.heise.de

Gruß Frank

 

[un1que]

Nene, ich meinte auch auch in der DS selbst. Meinte halt anstatt der Fritz.Box IP die IP des Servers eintragen. Allerdings kommt bei mir ein Fehler: "Die IP Adresse und der Standard-Gateway gehören zu zwei verschiedenen Subnetzen."
(habe ich oben einige Augenblicke später reineditiert, was Du wahrscheinlich nicht mehr gesehen hast)

Danke für den Tipp!

 

[fpo4711]

Standard-Gateway einfach freilassen. Wird dann beim Verbinden von OpenVPN gesetzt. Voraussetzung das Doppelkreuz vor redirect-gateway ist in der openvpn.conf entfernt. Bzw. ein Haken im VPN-Client auf der DS ist gesetzt. Hab jetzt keine DS zur Verfügung.

Und mit folgendem Befehl kannst Du auf der Konsole die WAN-IP in Erfahrung bringen:

curl "http://www.networksecuritytoolkit.org/nst/cgi-bin/ip.cgi"

Und gute Nacht
Frank

 

[un1que]

Moin, also ich habe das jetzt mal mit dem freilassen versucht, aber dann bekomme ich gar keine VPN Verbindung zustande. Was ich nicht verstehe: was ist denn diese openvpn.conf? Ich melde mich mittels Serveradresse, Nutzername+PW und Zertifikat *.crt an.

Danke auch für den weiteren Befehl!

 

[fpo4711]

Oh sorry, das war auch ein völlig geistiger Durchfall von mir. Sorry für diesen Blödsinn. Muß wohl die Hitze gewesen sein Da bleibt wohl nur Vorschlag 2 oder aber eine Lösung über eine Firewall. Was wendest Du denn für einen Router an.

Gruß Frank

 

[un1que]

Hmm, schade. Kein Problem, passiert ja.

Ich habe eine Fritz.Box 7270v2.

 

[fpo4711]

Ich prüfe mal was, bevor hier nochmal so ein Müll rauskommt. Melde mich in Kürze.

Gruß Frank

 

[fpo4711]

Hallo un1que,

entweder seh ich den Wald vor lauter Bäumen nicht oder? Also ohne Script bzw. Befehlen auf der Konsole sehe ich keine Möglichkeit über die GUI. Über die Firewall kannst Du nur die eingehenden Verbindungen regeln und in der Datenflußkontrolle gibt es leider kein 0. Auch die Fritzbox bietet über die GUI keine entsprechende Firewall.

Vieleicht hat ja Jemand anders eine Idee wie man das realisieren kann.

Gruß Frank

 

[un1que]

Ok, wie umfangreich und schwierig ist es eig. überhaupt so ein Script zu schreiben?

 

[Russkij]

Ich nutze VPN, nur leider hat Synology immer reconnect. Mein VPN Anbieten braucht eine Logdatei. Wo finde ich die bei Synology.
Unter /usr/syno/etc/synovpnclient/openvpn finde ich keine

 

[fpo4711]

Ok, wie umfangreich und schwierig ist es eig. überhaupt so ein Script zu schreiben?

Sehr.

 

[fpo4711]

Ich nutze VPN, nur leider hat Synology immer reconnect. Mein VPN Anbieten braucht eine Logdatei. Wo finde ich die bei Synology.
Unter /usr/syno/etc/synovpnclient/openvpn finde ich keine

Die automatische Wiederverbindung kannst Du abschalten. Aber mit dem Log verwechselst Du bestimmt was. Ansonsten

/var/log/messages

Gruß Frank

 

[un1que]

Sehr.

Schade. Dann lässt sich wohl nur noch (wohl vergeblich^^) darauf hoffen, dass jemand eine andere Lösung auf Lager hat.
Solltest Du Dich mal i-wann damit beschäftigen oder auf so etwas stoßen, wäre ich Dir sehr dankbar, wenn Du Dich dann bei mir diesbezüglich melden könntest (hier, im Thread oder per PN).