openvpn --> IP Range des VPN DHCP Teilbereich wie eigenes Netz möglich?

Status
Für weitere Antworten geschlossen.

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
hi Ihrs

Sagt mal, ist bei den Einstellungen des openvpn auch möglich einen Teilbereich des eigenen Heimnetzes fürs DHCP des VPN Servers anzugeben möglich?
ip.jpg

meine Geräte befinden sich alle in der Range 192.168.0.1 bis 192.168.0.200, ich würde nun gerne den Bereich 192.168.0.201 bis 192.168.0.211 für openvpn verwenden, würde das klappen?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Nein, das VPN Transportnetz sollte immer ungleich dem lokalen und remote LAN sein.

Was ist der Hintergrund der Frage? Was willst du erreichen?
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
ich habe im Heimischen Netz auf der Syno ioBroker als Master laufen und will nun von extern, also vom zweiten Wohnort per VPN mich mit einem zweiten ioBroker der als Slave läuft auf den Master zuhause verbinden, VPN funktioniert aber ich bekomme die Verbindung zum Master 192.168.0.11 nicht hin

slave.PNG
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
1. nein ich erreiche vom Slave per ping nicht die 192.168.0.11 aber google.at erreiche ich
2. ja habe ich gemacht und auch einen reboot durchgeführt
3. der Slave ist zur Zeit im selben Netz mit der ip 192.168.0.24, hat aber jetzt die VPN ip 10.8.0.6 (deswegen im selben Netz weil ich erst alles einrichten will bevor ich den Standort wechsle)
4. nach dieser Anleitung die du verlinkt hast habe ich den Slave auch eingerichtet!

Der Master funktioniert, weil im Heimischen Netz bereits ein Slave erfolgreich angebunden wurde!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Was ist jetzt das Problem? Dass multihost browse in dieser unsäglichen Konstellation nicht geht, oder dass auch mit iobroker setup custom der Slave nicht im Master auftaucht?

Wie gesagt: VPN im gleichen Netz macht nur Ärger.
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
Der Slave taucht im Master nicht auf! Und da ich den Standort für diesen ändern werde ist das unbedingt notwendig!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
! machen es nicht besser ;)

Der Slave muss nachher mit 192.168.y.x laufen und nicht mit 192.168.0.x sonst gibt es mit dem VPN immer Probleme.
Der Grund: Entweder sucht der Slave sonst alle 192.168.0.x Adressen nachher im remote Netz und nicht via VPN, oder wenn man allen Traffic über das VPN zwingt wird er Probleme mit Sensoren etc im eigenen Netz haben.

Entweder kannst du den Slave ohne VPN mit 192.168.0.24 einrichten, und später dann auf 192.168.1.24 z.B. wechseln und von extern mit VPN anbinden, oder du richtest den Slave erst am Ziel ein (alle Sensoren/Kontakte für den Slave sind doch sowieso in dem anderen Netz, oder nicht?). Sollte sich ja auch machen lassen, dass man ein Teamviewer oder eine direkte SSH Verbindung etc dorthin aufbaut und es dann trotzdem vom Master-Netz aus konfiguriert bekommt.

Edit:
Oder man setzt den Slave aktuell auf ein anderes Netz, dann geht es vielleicht auch lokal per VPN. Dann wirst du aber irgendein Rechner in deinem Netz auch in dieses Netz stellen müssen, damit du noch Display/Tastatur Zugriff hast (weil ich davon ausgehe dass der Slave ein Konsolen-Server ist).
Eine rückwärtige Verbindung durch das VPN ginge zwar auch, aber das Bedarf noch weiterer Konsolen-Konfiguration des VPN Servers auf der DS.
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
kurz mal ein paar Infos zum Netzwerk im Garten

Ich habe im Garten einen "AC750-Dualband-4G/LTE-WLAN-Router
Archer MR200
" dieser ist mit einer Externen Dachantenne "WITTENBERG" verbunden und somit habe ich im Garten und im Haus Internet! Läuft also über GSM Sim --> VPN wäre also deswegen schon sehr wichtig, weil ich sonst nicht von zuhause in das Gartennetz kommen würde, weil es ja GSM ist und die externe IP sich immer ändert!

da gibt es ja noch den Befehlt push route 192.168.0.0 255.255.255.0 muss dieser am client oder am nas eingetragen werden und wo finde ich auf der Syno das config file dazu ?
und irgendwas mit bind habe ich auch noch gelesen!
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Auch der Archer MR200 kann dynDNS und wäre damit theoretisch per Domain erreichbar auch bei wechselnder IP, ohne VPN.
Man braucht halt nur ein Ziel im Netz dort auf dem man arbeiten kann, ob das der iobroker-Slave oder ein anderes ist sei mal dahin gestellt.

VPN, du meinst für den Zugriff vom Master auf das Slave Netz?
Weil vom Slave auf das Master Netz erledigt das schon die Option "Clients den Server LAN Zugriff erlauben".
Dadurch landet die "push "route 192.168.0.0 255.255.255.0"" im openVPN Server in der config.

Der umgekehrte Weg ist etwas schwieriger
https://www.synology-forum.de/showt...ide-Richtungen&p=395676&viewfull=1#post395676
https://www.synology-forum.de/showthread.html?73026-openVPN-site-to-site-Verbindung-zwischen-zwei-DS

Für den Zugriff vom VPN Server Rechner auf das Slave Netz dürfte ein "route 192.168.x.0 255.255.255.0" in der VPN Server config reichen. Will man auch noch feste Tunnel-IPs braucht es die genannten CCD Dateien/config-Erweiterungen.
Und für alle anderen Geräte im Master Netz musst du ebenfalls im zugehörigen Router eine Route setzen, damit alle Anfragen an 192.168.x.0 vom Router an die DS und den VPN Tunnel kommen.
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
Weil vom Slave auf das Master Netz erledigt das schon die Option "Clients den Server LAN Zugriff erlauben".
Dadurch landet die "push "route 192.168.0.0 255.255.255.0"" im openVPN Server in der config

wo steht dieser Eintrag im NAS oder beim Client ?

Was DynDNS betrifft, so benötige ich dies ja nicht unbedingt, wenn ich mit dem Slave per VPN auf mein NAS zuhause zugreife und dieser sich mit dem Master verbindet ?

Leider kann ich es im Moment eh nicht testen, der Slave steht bei mir in der Wohnung, weil ich diesen Vorab schon einrichten wollte, klappt aber nicht, VPN funktioniert und nur wenn ich es stoppe sehe ich den Slave im Master!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Der Eintrag steht nach dem setzen der Option in der Server Config, also auf dem NAS (/var/packages/VPNCenter/etc/openvpn/openvpn.conf)

dynDNS, war nur angesprochen, als (temporärer) Zugang zum Slave Netz für die Konfiguration.

Was kannst du da groß vorab einrichten, wenn alle Geräte mit denen der Slave nachher kommuniziert eh nicht in deinem Netz anwesend sind?
Kenne mich mit ioBroker nicht sehr gut aus, deshalb die Frage, interessehalber.
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
Was kannst du da groß vorab einrichten, wenn alle Geräte mit denen der Slave nachher kommuniziert eh nicht in deinem Netz anwesend sind?
Kenne mich mit ioBroker nicht sehr gut aus, deshalb die Frage, interessehalber.

Erstens zum testen ob es funktioniert, sonst müsst ich hin und her fahren, falls es Probleme gibt und es sind doch 40km. Und ich kann das Backup sowie einige Adapter schon installieren und muss dann nur noch vor Ort die Aktoren einrichten!

das steht in der openvpn.conf

openvpn.conf.jpg

wobei wenn ich im Garten bin, kann ich auf jeden Fall per VPN auf mein Heimnetz zugreifen das funktioniert ja tadellos, brauch auch keine DynDNS, da ich eine Fixe IP zu-hause habe !
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Bezugnehmend auf die Eingangsfrage, einfach einen vernünftigen VPN Router kaufen, dann gibt es diese Problematik nicht. Mit so einem Gerät kann man, muss man aber nicht den VPN Clients einen eigenen Bereich im normalen DHCP Bereich zuordnen.
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
@NSFH

du meinst mit einem Router im Heimnetz der auch VPN kann funktioniert das ?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
so ist es!
Ich habe mich nach viel Frust mit den üblichen Verdächtigen wie AVM, Netgear oder D-Link von diesen Firmen abgewendet, weil der Support mehr als düftig ist und Sicherheitslücken einfach ignoriert werden.
Seit einiger verwende ich auch im Business Bereich nur noch Router von Draytek.
Schau mal hier https://www.draytek.de/dual-wan.html
und auf der Herstellerseite kannst du dir die Konfiguration (virtueller Zugang zu den Einstellungen) der Router live ansehen https://www.draytek.com/products/vpn-routers/
Die Router machen alle VPN Arten und haben eine sehr detailliert einstellbare Firewall. Kein Vergleich zu Fritz etc.
Sind halt etwas teurer, weil VPN höhere Anforderungen an die CPU erfordert.
Umfangreiche Anleitungen findest du hier: https://www.draytek.com/support/knowledge-base/
und in deutsch: https://www.draytek.de/faq-.html

Intern kannst du deinen DHCP Bereich in mehrere Segmente unterteilen für zB LAN, VPN oder andere Einwahlgeräte. Du kannst auch mehrere Subnets anlegen und alle mit einem eigenen DHCP Server versehen. Die Dinger können richtig viel.
Mir war/ist auch der deutsche Support wichtig und der klappt super, sowohl telefonisch als auch per Mail!
Ob du nun einen "nur" Router kaufst oder einen mit integriertem Modem musst du selber wissen. Ich ziehe Geräte ohne Modem vor. Das erleichtert den Umstieg bei Providerwechseln.
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
die können wirklich viel, aber weiss nicht ob mir das nicht zu komplex ist , das meiste würd ich nie nutzen und nicht gerade billig, Router mit Wlan 357€

ich brauche aber nur auf einer seite einen VPN router ?
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Kommt drauf an was du willst, site2site oder client2server.
Wenn du nur von Aussen auf dein LAN zu Hause zugreifen willst also client2server.
Was Draytek angeht, dass muss ja nicht die teuerste Serie sein. Schau dir mal das hier an um festzustellen, was du überhaupt brauchst
https://www.draytek.de/vergleichstabelle-router-aps.html
 

Mexx

Benutzer
Mitglied seit
27. Aug 2007
Beiträge
553
Punkte für Reaktionen
0
Punkte
42
mir würde client2server reichen , wobei client "Garten" wäre und der Server zu-hause wäre, also der Router dann bei mir in der Wohnung steht , den den Router im Garten würde ich gerne so lassen wie er ist!

und ADSL kann ich gar nicht gebrauchen, normaler RJ45 für WAN sollte es sein!

es gibt ja von Synology auch Router, die können auch VPN, wäre das nicht eine Lösung für mich?!
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
ADSL hat nichts mit RJ45 zu tun, sind 2 verschiedene Dinge.
Es gibt viele Router die VPN können, sie sind nur langsam. Von dem Synologyteil halte ich recht wenig.
Fragt sich was du aktuell schon hast, mit 2 Fritzboxen lässt sich das auch leicht bewerstelligen ist halt nur nicht performant.
Wenn du Garten meinst nutze dort doch einfach LTE plus zu Hause einen Router, der als VPN Server arbeiten kann.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat