Synology OVPN Client als Gateway für das gesamte Netzwerk verwenden?

[mmiii]

Moin,

ich versuche nun schon seit 2 Tagen die Internetanbindung unterschiedlicher Netzwerkgeräte über das Synology VPN Gateway (OpenVpn Client) zu ermöglichen und komme leider nicht weiter.

Config OVPN (verbunden)
- IP 192.168.178.99 Synology
- Standard Gateway auf Remote Netzwerk verwenden
- Anderern Netzwerkgeräten ermöglichen die Verbindung über diesen Server herzustellen

Bsp Config Client im Netzwerk
- DHCP nein
- IP 192.168.178.110
- Netzmaske 255.255.255.0
- Gateway verwenden ja
- Gateway 192.168.178.99
- Primärer DNS 192.168.178.1 (Fritzbox)
- Sekundärer DNS 8.8.8.8

Sobald ich die Netzwerkverbindung aktiviere sind die meisten Clients offline, Zugriff auf andere Geräte innerhalb des Netzwerkes funktionieren.


traceroute google.de
traceroute to google.de (172.217.16.67), 30 hops max, 38 byte packets
1 syn.fritz.box (192.168.178.99) 0.451 ms 0.343 ms 0.254 ms
2 * * *
3 * * * timeout



Zugriff über das VPN z.B. über eine Chromebox mit Gateway 192.168.178.99 funktioniert zumindest soweit, dass über

tenta.com/test/
oder
dein-ip-check.de/

die externe VPN IP der Syno angezeigt wird.

ein traceroute bleibt aber auch hier an der Syno hängen

crosh> tracepath google.de
1?: [LOCALHOST] pmtu 1500
1: syn.fritz.box 0.742ms
1:

SInd noch Routen zu ergänzen?

Kann bitte jemand Unterstützen, ich habe keine Idee mehr....
Danke!

mmiii

 

[Mettigel]

Ich kann leider nicht helfen. Ich habe meine Versuche damals erfolglos aufgeben. Ganz selten hatten einzelne Seiten funktioniert, aber nie zufriedenstellend.
Ich habe dann einen Router mit VPN Client Funktion genommen. Ab da lief's problemlos.

https://www.synology-forum.de/showthread.html?78944-DS-als-VPN-Client-und-die-Verbindung-freigeben-manche-Seiten-nicht-erreichbar

 

[Nomad]

Ich versuche mich mal zu erinnern:

- Erst einmal sicherstellen, dass Synology OpenVPN Client eine VPN Verbindung zum Server aufbauen kann.
- Dann so etwas wie "andere Rechner im Netzwerk erlauben diese OpenVPN Verbindung zu nutzen".
- Danach muss im Router eine statische Router eingetragen werden. Entferntes Netzwerk erreicht man via IP-Adresse des Synology NAS das als OpenVPN Client konfiguriert ist.

Mir persönlich war der OpenVPN Client zu unzuverlässig. War die Verbindung einmal weg, versuchte er nicht hartnäckig genug die Verbindung wieder herzustellen. So musste ich die Verbindung oft genug händisch initiieren. Wenn das sowieso einen Eingriff erfordert, dann lieber etwas anderes mit leistungsfähigerer Hardware hinstellen.

 

[NSFH]

Nur mal zum drüber nachdenken: Wer stellt seinen File-Server direkt ins Internet um ihn als Gateway zu verwenden?
Eigentlich steht der Fileserver auch hardwaretechnisch am Ende einer Sicherheitskette und nicht am Anfang.

 

[Nomad]

Ich tappe auch oft in die Falle zu glauben, dass es keine sinnvolle Konfiguration gibt als die, die ich gerade nutze.

Mein NAS dient in erster Linie als Datenmülleimer und sparsamer Server für alles was der Router nicht kann und wo es zu schade ist einen ausgewachsenen Server hinzustellen. Daher kommen da die schrottigsten HDDs rein wo ich mich wundere, dass sie noch überhaupt laufen und ich jeden Tag mit ihrem Ableben rechne oder auch mal SSDs wenn der Platz nicht benötigt wird.

Anfangs hatte ich VPN auf dem Router laufen aber mit immer schnelleren Internetbandbreiten kommen die Router an die Grenzen ihrer Hardware in Sachen Verschlüsselung.

Daher nutze ich das nächstschnelleres Gerät das durchläuft für diese Aufgabe und in meinem Fall ist es mein NAS.

 

[mmiii]

Da läuft schon ein Tor Relay drauf von daher ist es egal...
Ich probier das mit der Route mal aus, es scheint mir aktuell aber tatsächlich praktikabler zu sein den VPN Zugang direkt auf den Geräten zu aktivieren wo ich Ihn benötige.

Danke für die Tipps!

 

[NSFH]

Praktikabel schlägt Sicherheit, kann man verstehen, muss man aber nicht.
Warum nimmt niemand etwas mehr Geld in die Hand der VPN wirklich braucht und kauft sich dann einen richtigen Router und nicht die kleinen SoHos? Geiz-ist-geil?
Wenn man seinen Fileserver als Gateway ins Internet stellt kann man auch auf VPN komplett verzichten und die die Standarddienste verwenden. Ich sehe da keinen Sicherheitsgewinn oder -verlust.

 

[diver68]

Was würdest Du denen empfehlen, die über Kabelprovider ihren Internetzugang haben (müssen) und auf entsprechende Kabel(Fritz)boxen angewiesen sind. Draytek bietet m.E. keine Kabellösung an? Modem, wie früher, gibt es vom Kabelprovider ja auch nicht mehr.

Gruß

 

[Fusion]

Man kauft sich halt ein Modem, bsp TC4400, und verwendet den Router der Wahl (ohne Modem). Flexibilität hat ihren Preis.

 

[Nomad]

Was macht man eigentlich mit der Telefonie wenn man MODEM + Router im Einsatz hat? Für große Standorte mit TK Anlagen findet man sicherlich etwas aber wenn man nur drei Telefone und 10 Nummern braucht? Gibt es da auch etwas anderes als Fritzbox?

Ich fand die Idee einen pfSense Router hinzustellen schon nett aber die Telefonie hat mich bisher abgeschreckt.

 

[Fusion]

Da mein Anbieter (Unitymedia Baden-Württemberg) die VoIP Daten nicht rausrückt nutze ich das gar nicht mehr sondern direkt VoIP Anbieter wie Easybell, Sipgate oder andere. Endgeräte dann alle VoIP fähigen Adapter, Softphones, VoIP-Phones etc
Hängt bisschen davon ab, ob man alte analog/isdn Telefone weiternutzen will.
Persönlich habe ich zu Hause gar kein "Telefon" mehr.
Zoiper App auf dem ausgemusterten Smartphone ersetzt das Telefon mit Easybell "Festnetz" VoIP Nummer, wenn ich zu Hause bin.
Auf dem aktuellen Smartphone bin ich darüber auch erreichbar, wenn die App angemeldet ist, andernfalls eben nur Mobil.
Mit den Team/Cloud TK "Anlagen" hab ich mich noch nicht beschäftigt.

 

[Uwe96]

Was spricht gegen einen Rapspi mit Open VPN?
kostet fast nichts. Und klappt bei mir einwandfrei.

 

[Nomad]

Zu langsam?

 

[NormalZeit]

Zu langsam?

Wie kommst Du da drauf? Schneller als eine Fritz!Box ist das auf einem RasPi 3B+ allemal.

 

[NSFH]

Nutzer von zB Unitymedia benötigen ein Docsis Modem. Leider gibt es nur ein einziges auf dem Markt, welches funktioniert, das schon erwähnte TC4400. Dahinter hängt dann ein modemloser Router.
Im Router sind die Standardports für VOIP weitergeleitet zur Fritzbox, die aus sicherheitsgründen nur noch als Telefonanlage dient und aus dem normalen LAN Netzwerkverkehr mit der Firewall im Router herauusgefiltert wird. Hier funktionieren VOIP und DECT Telefone gleichermassen wie eine Telefonanlage mit ISDN-Anschluss an der Fritz (Funkwerk Telefonanlage mit Systemtelefonen).

 

[mmiii]

Praktikabel schlägt Sicherheit, kann man verstehen, muss man aber nicht.
Warum nimmt niemand etwas mehr Geld in die Hand der VPN wirklich braucht und kauft sich dann einen richtigen Router und nicht die kleinen SoHos? Geiz-ist-geil?
Wenn man seinen Fileserver als Gateway ins Internet stellt kann man auch auf VPN komplett verzichten und die die Standarddienste verwenden. Ich sehe da keinen Sicherheitsgewinn oder -verlust.

Kannst du einen Router <150EUR für mein Vorhaben empfehlen. Config sollte vollständig über WebUI möglich sein.

 

[NSFH]

In dieser Preisklasse bekommst du nur SoHo Geräte und die sind für VPN auf Grund ihrer mangelhaften CPU für performantes VPN untauglich wozu auch AVM gehört. Ich kenne tatsächlich kein Gerät unter 300€ welches ich empfehlen könnte.
Raspi wäre die einzige Billig-Lösung als VPN-Server hinter der SoHo Firewall.

 

[goetz]

Hallo,
es muß ja nicht immer nagelneu und top aktuell sein. Bin vor 4 Wochen von Netgear ProSafe (Serie abgekündigt, Firmwaresupport eingestellt) auf Draytek Vigor 2925 (ohne WLAN da im Rack) umgestiegen, 20,50€ incl. Versand bei ebay. Für den Privatgebrauch mehr als ausreichend, laut Website 60Mbit/s VPN, das aktuelle Modell 2926 schafft 80Mbit/s. Jetzt muß Draytek zeigen wie lange das Modell supportet wird.

Gruß Götz

 

[Nomad]

Kommt ihr mit solchen Raten zurecht?

Als alter Hase hat sich in mein Hirn festgebrannt, dass Bandbreite zu teuer ist, um durch eigene Knauserigkeit bzw. Sparen am falschen Ende verschwendet zu werden.

Erinnere mich noch wie ich mit Caching Proxy versuchte noch ein paar Prozent aus der schmalen Internetbandbreite rauszuquetschen.

Nun hat man hunderte von MBIT/s am Kabel die durch eigene Hardware abgewürgt wird.

Mir persönlich wären 80 MBIT/s zu wenig. Wenn eigens Hardware nur für diese Aufgabe angeschafft wird würde ich mindestens 250 MBIT/s anpeilen.

 

[goetz]

Hallo,
für 250Mbit/s VPN mußt Du aber schon recht tief in die Tasche greifen, für eine Firma OK. Für meinen 100Mbit Down, 6Mbit Up ist der Draytek absolut ausreichend und wesentlich besser als jede Fritte und Konsorten.

Gruß Götz