Verständnisfragen zu VPN

Status
Für weitere Antworten geschlossen.

Chris122

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
35
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen!

Ich bin wirklich nicht der Netzwerk-Pro, ganz im Gegenteil bin ich noch Syno-Neuling (ein paar Monate) und würde mich freuen, wenn ihr mir mit einigen Inputs zum Verständnis hinsichtlich VPN weiterhelft :) ach ja, ich hab aber schon Programmierkenntnise in VB, VBA, bisschen Perl (CGI) und seitdem ich die Syno hab, befasse ich mich auch mit Python, da ja doch hin und wieder Scipte konfiguriert oder überhaupt erst gebaut werden müssen. Jaaa ... was ist Linux und wie funktioniert es - sobald ich Luft dafür hab, werd ich mich auch damit intensiver befassen, mit diesen Kenntnissen lassen sich wohl die meisten Syno- und DMS-Probleme tiefgehend erkunden und lösen.

Ich beginn mal mit dem einen Punkt, vielleicht hilft mir das schon für die restlichen Fragen:

Leider bin ich derzeit auf einen miesen DSL-Router vom Provider angewiesen, den ich auch nicht weiter gegen eine Fritzbox austauschen werde, weil der Vertrag in einigen Monaten ausläuft und dann wieder ein vernünftiger Kabelanschluss mit Cable-Fritzbox kommt. Soweit ich weiß, läuft auf allen Cable-Fritzboxen ein VPN-Server, womit ich mir dann den Syno-VPN-Server (mit all seinen Problemen) erspare.

Ausgangssituation ist also ein wenig beeindruckender DSL-Router, dahinter eine Synology 716+ii mit aktivem VPN-Server (L2TP). Ziel ist, 1) ein Laufwerk aus dem Heimnetzwerk auf einen Client außerhalb des Heimnetzwerkes einzubinden und 2) auch allen sonstigen Traffic der das Heimnetzwerk verlässt zu tunneln (also schlichter eMail-Verkehr, Webbrowsing).

Verstanden hab ich, dass alle rein netzwerkinternen aktivitäten natürlich nicht über den VPN laufen sollen, wozu auch, ich befinde mich ja im eigenen Netzwerk. Sinnvoll erscheint es mir aber, eine Internetverbindung der Netzwerkgeräte über den VPN laufen zu lassen, da ja der Weg der Daten(pakete) so aussieht:

[Client] ----- [VPN-Server] ----- [Internet]

Der rote Teil wird mit VPN getunnelt, der Rest ins WWW mit HTTPS abgesichert (sofern konfiguriert). Das bedeutet im Grunde, das Quelle und Inhalt der Daten nicht nachvollziehbar sind (außer an einem schwachen Ende der Verbindung im Internet), lediglich die Anzahl und Größe der Pakete.

Der VPN-Server bekommt eine IP-Range zugewiesen, bspw 10.6.0.0 und ich hab auch den DNS-Server manuell konfiguriert (auf die IP des Routers), damit die Internetverbindung funktioniert und die Firewall für den VPN ist dahingehend konfiguriert, dass HTTP/S und alle anderen Synodienste zugelassen werden für externe IPs, und alles offen ist für die Range 10.0.0.0-10.255.255.255, also das interne Netzwerk.

Wenn ich mich jetzt mit einigen Clients im Netzwerk des Routers befinde, werden den Clients IPs zugewiesen, ein iOS-Gerät zB erhält 10.0.0.8 und ein Win-PC erhält 10.0.0.2. Soweit die Information des Routers. Wenn ich nun die beiden Geräte mit dem VPN-Server verbinde, zeigt er mir folgende Verbindungsinformationen an:

[VPN-User-1] | Client-IP: 10.171.0.61 | Dynamische-IP: 10.6.0.1
[VPN-User-1] | Client-IP: 10.171.0.61 | Dynamische-IP: 10.6.0.2

Nun die Frage (soweit ihr mich bisher nicht schon korrigieren müsst :D ): wieso haben zwei verschiedene Clients die gleiche IP und wieso lauten sie ganz anders, als (nämlich richtig) im Router?

Überhaupt dürfen doch VPN-Server und Clients nicht im gleichen Netzwerk hängen. Tun sie aber wenn ich die Verbindung nicht über zB LTE sondern LAN laufen lasse, lassen sich auch verbinden und funktionieren auch (wenn auch nicht lange, nach einigen Minuten bis Stunden werden die Clients unerwartet getrennt).

Vielen Dank für eure Bemühungen!
Chris
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
So richtig verstanden habe ich deine Ausführungen nicht.
Sinnvoll ist einen Client via VPN ins Heimnetz zu lassen. (Was mit der FritzBox recht unproblematisch werden wird)
Aber warum willst du den Internetverkehr über den VPN-Server laufen lassen? Verwechselst du hier das Heim-VPN mit VPN Diensten wie NordVPN etc, welche für Anonymisierung sorgen? Das funktioniert nämlich nicht!
Derartige Dienste müsstest du zusätzlich zur Verfügung stellen. Was deinen Router verlässt ist also niemals anonymisiert!

Deine IP Vergabe habe ich auch nicht verstanden.
Im Heim-LAN müssten deine Geräte eigentlich IPs aus dem 198.168.x.x Bereich bekommen, so wie es jeder Router per DHCP macht.
Die 10.x.x.x Adressen sind nur für VPN, wenn sich die Geräte von Aussen einwählen.
Vielleicht versteht ja jemand anderes was du gemacht hast, aber ich brauche da Nachhilfe von dir.
 

Chris122

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
35
Punkte für Reaktionen
0
Punkte
6
Aber warum willst du den Internetverkehr über den VPN-Server laufen lassen? Verwechselst du hier das Heim-VPN mit VPN Diensten wie NordVPN etc, welche für Anonymisierung sorgen? Das funktioniert nämlich nicht!

Danke - genauso ist es. Bzgl. des zweiten Ziels (siehe oben), sollte eine VPN-Verbindung auch zur Anonymisierung dienen. Ich bin davon ausgegangen, dass der VPN-Dienst von Synology das ebenso realisieren kann. Ich bin daovn ausgegangen, dass die Syno mit ihrem VPN-Server ja auch nichts anderes ist, als irgendein Dritt-Server, der halt rein nur für den (anonymisierenden massen) VPN-Verkehr gedacht ist. Von der Konstruktion stell ich mir das gleich vor, weil ich ja immer die gleichen Datenströme habe.

Beispiel.:

[Client via LTE] ----- [Syno-VPN-Server] ----- [Internet]

bedeutet(e) für mich das gleiche wie

[Client via LTE] ----- [Dritt-VPN-Server zwecks Anonymisierung] ----- [Internet]

Der LTE-Client hat ja eine eigene (fremde) IP, diese könnte durch den Syno-VPN genauso verschleiert werden, wenn die Datenpakete dort drüber laufen. Dass sowas aus dem Heimnetz heraus natürlich nicht funktioniert, da dann Client und Syno-VPN-Server logischerweise über den gleichen Router rauslaufen und die (externe) IP daher ident sein wird, ist klar.

OK, das bedeutet, man muss zwischen VPN und VPN gewissermaßen unterscheiden.

Wenn die IP-Anonymisierung nicht über die Synology funktioniert, schade, aber macht auch nichts. Bleibt noch die Laufwerkseinbindung.



Zu den 10er-IP's: also die 10.x.x.x IP's haben doch genau die gleiche Funktion wie die 192.168.x.x IP's. Die unterschiedliche Zuteilung liegt doch hier am Provider, oder nicht? Als ich noch das gute Kabelnetz hatte, waren meine Heimnetz-IP's auch alle im Adressbereich 192.168.x.x, seit DSL arbeite ich im 10.x.x.x-Bereich (auch schon vor der Syno per se und dem darauf installierten VPN-Server, die 10er-IPs vergibt der DSL-Router im Heimnetz, der VPN-Server zeigt dann zwangsläufig IP's aus dem 10er-Bereich an, hat aber mit deren Vergabe erst untergeordnet zu tun).

Danke dir schonmal!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Das Anonymisierung nicht gehen wird hast du also verstanden! Das sind zwei unterschiedliche VPN Nutzungen.
Ich weiss jetzt nicht, ob ich hier alleine bin auf weiter Flur, aber mir ist in meinem Leben noch kein SoHo-Router untergekommen, der im LAN 10er Adressen als Standard verteilt.
Class A 10.0.0.0 - 10.255.255.255
Class B 172.16.0.0 - 172.31.255.255
Class C 192.168.0.0 - 192.168.255.255

Class A wird bei grossen Netzen verwendet, daher findet es bei den SoHo Routern eigentlich keine Verwendung, wird dann aber benutzt zB um bei VPN einen anderen Adressbereich zu nutzen als Class C.
Ist also nicht falsch was du machst, aber ich kenne sowas als Standard gar nicht.
Meinst du es jetzt also so, dass dein lokales LAN auf zB 10.0.1.0 seine IPs verteilt und der VPN Server nutzt 10.0.2.0 für VPN Clients?
 

Chris122

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
35
Punkte für Reaktionen
0
Punkte
6
Wobei, dem Prinzip nach funktioniert der Syno-VPN-Server ja doch gleich wie jeder andere VPN-Server.

Das Beispiel

[Client via LTE] ----- [Syno-VPN-Server] ----- [Internet]

funktioniert dem Prinzip der IP-Verschleierung nach ganz wunderbar. Ohne Syno-VPN-Verbindung hatte mein LTE-Gerät eine IP im Bereich 89.xxx.xxx.xxx, über den Syno-VPN hatte das gleiche Gerät sodann ein 193.xx.xxx.xx-IP, welche natürlich die gleiche ist, die meinem DSL-Anschluss zugeordnet ist.

Das Prinzip funktioniert also mit dem Syno-VPN-Server, es bringt nur absolut nichts, weil ja der LTE-Anschluss genauso mir gehört wie der DSL-Anschluss und somit keine Anonymisierung stattfinden kann. :D Da stand ich vorhin mächtig auf der Leitung!


Doch, die 10-er IP's vergibt mein elender ZTE-Router, den ich von meinem Telekom-Anbieter mitbekommen habe. Auszugsweise aus dem Router-Status:

LAN-Status:
LAN Client Status:

Client 1:
Port: LAN1
IPv4 Adress: 10.0.0.1
Name: Synology

Client 2:
Port: LAN 2
IPv4 Adress: 10.0.0.5
Name: Samsung TV


WLAN Client Status:

SSID: SSID1
IPv4 Adress: 10.0.0.2
Name: Notebook

...



Korrekt! Mein LAN baut auf 10.0.0.x auf, der Syno-VPN-Server auf 10.6.x.x für seine Clients.
 
Zuletzt bearbeitet:

Chris122

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
35
Punkte für Reaktionen
0
Punkte
6
Manchmal muss man sich die Wege echt skizzieren (oder niederschreiben), um den Knoten zu lösen ;)

Um bei der VPN für die Laufwerkseinbindung zu bleiben nochmal das Beispiel, welche Verbindungen der VPN-Server anzeigt:

[VPN-User-1] | Client-IP: 10.171.0.61 | Dynamische-IP: 10.6.0.1
[VPN-User-1] | Client-IP: 10.171.0.61 | Dynamische-IP: 10.6.0.2

Woher nimmt der VPN-Server diese Client-IP und wie können zwei verschiedene Clients die selbe Client-IP haben? Wieso werden nicht die Client-IPs verwendet, so wie sie der Router vergibt, also zB: 10.0.0.3 --> 10.6.0.1 (so sehe das für mich richtig aus)?

Wenn der VPN-Server dynamische IP's im Bereich 10.6.x.x vergeben darf und sauber vergibt, erfordert die Einbindung eines Netzlaufwerks dann aber, dass die Clients auf die von außerhalb zugegriffen werden soll, dauerhaft verbunden sind und im disconnect Fall, beim reconnect auch wieder die gleiche IP bekommen (was dann aber eine statische IP wäre). Richtig? Falls ja, wie vergibt man die statischen VPN-Server-IPs? Ich bilde mir ein, Shellbefehle zu dem Thema gesehen zu haben, kann sie aber grade nicht mehr finden. Und falls es zum disconnect kommt, wie bringe ich die einzelnen Clients (außer manuell) dazu, sich wieder mit dem VPN-Server zu verbinden?

Was passiert, wenn ein Client mit eigenem Anschluss (wieder zB LTE), im VPN-verbundenen Zustand sich ins Heimnetzwerk einloggt? Das geht (automatisch zB über WLAN) doch gar nicht, oder? Es müsste ja zum Verbindungsabbruch kommen, weil der Client eine neue (interne) IP zugewiesen bekommt. iOS macht das auch so, dass wenn man über LTE mit VPN verbunden ist, der automatische Login über WLAN ins Heimnetz nicht stattfindet - erst muss man aktiv die VPN trennen, damit iOS die WLAN-Verbindung herstellt. Man müsste also manuell die Verbindung zum VPN trennen, sich ins Heimnetz einloggen und die VPN wiederherstellen. Das macht aber keinen Sinn mehr, weil ich die Netzlaufwerke ja ohnehin mit den internen IPs verbinden kann.

Und dann hab ich noch gelesen, dass ein Client nicht im selben (internen) Netz sein darf, wie der VPN-Server (oder so in diesem Sinne). Damit ist gemeint, dass wenn der VPN-Server den Adressbereich 10.6.0.x zugewiesen hat, die Clients nicht auch im Adressbereich 10.6.x.x liegen dürfen, sondern irgendwo in 10.<6>.x.x
Richtig?

Hoffentlich ist euch das nicht zu blöd :D ich kam halt vor zwei Tagen erstmals mit VPN in Berührung :rolleyes:
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat