Internet Access für PPTP-VPN verbundene User sperren

Status
Für weitere Antworten geschlossen.

ironist

Benutzer
Mitglied seit
23. Okt 2013
Beiträge
25
Punkte für Reaktionen
0
Punkte
1
Hallo Leute,

folgendes Szenario/Setting:
-ds413 ist direkt mit router/modem kombi verbunden
-installierter pptp vpn server (uneingeschränkt funktionstüchtig)
-user verbinden sich (uneingeschränkt funktionstüchtig)

problem:
verbindet sich ein user per vpn und surft nun im netz, läuft das über meine (router wan) ip. die schicken praktischen ihren ganzen internet-traffic über meinen router.

gewünschte lösung:
ich möchte usern, die sich per vpn verbinden lediglich den access auf meine diskstation gewähren.
sollten die user per vpn verbunden sein, und eine internetseite in ihrem browser öffnen, soll dies über deren gateway passieren und nicht über meines.
Access auf die diskstation (192.168.0.16) soll für die user (die eine 10.10.10.x) bekommen erlaubt sein, mehr jedoch nicht.
ideal wäre es hier eine ausnahme, zb. für den admin user zu machen wenn möglich.

danke im voraus für euren input.


mfg
ironist
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
Wenn du jemandem VPN-Zugriff gewährst, dann wird es wohl schwer nur ein Gerät aus deinem Netz sichtbar (zugreifbar) zu machen. Dazu ist VPN m.E. nicht ausgelegt (lasse mich aber gerne belehren! :)).
Im Übrigen ist es immer eine Einstellungssache des Clients, über welchen Weg das "restliche Internet" geroutet wird. Das heißt, dass du dann keinen Einfluss darauf haben wirst, wie der Benutzer das konfiguriert.

VPN würde ich immer nur persönlich als Zugriff auf mein Netz nutzen!
 

ironist

Benutzer
Mitglied seit
23. Okt 2013
Beiträge
25
Punkte für Reaktionen
0
Punkte
1
danke für deinen input puppetmaster.

wie wäre es denn lokal, bei mir möglich, wenn ich von extern auf meinen nas-vpn-server connecte den restlichen internet-traffic über mein lokales gateway zu schicken und nicht übers nas?
hast du hierfür ein konfig beispiel ?


mfg
ironist
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
Verstehe ich jetzt nicht ganz. Dein NAS geht doch auch über das normale Gateway, oder nicht? Also alles, was über deine DS geht, geht dann auch über dein Gateway...
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
ich möchte usern, die sich per vpn verbinden lediglich den access auf meine diskstation gewähren.
sollten die user per vpn verbunden sein, und eine internetseite in ihrem browser öffnen, soll dies über deren gateway passieren und nicht über meines.
Access auf die diskstation (192.168.0.16) soll für die user (die eine 10.10.10.x) bekommen erlaubt sein, mehr jedoch nicht.
ideal wäre es hier eine ausnahme, zb. für den admin user zu machen wenn möglich.
Hallo, solche Sachen kannst Du nur mit access listen machen.
Wenn es Dein Router zulässt, ist es machbar.

Gruß Jo
 

ironist

Benutzer
Mitglied seit
23. Okt 2013
Beiträge
25
Punkte für Reaktionen
0
Punkte
1
@puppetmaster:
ds steht zb. in wien
access erfolgt zb von berlin aus.
nun möchte ich dass ich mittels vpn mich im dsm anmelde und dort meine tätigkeiten auf der ds erledige.
wenn ich nebenbei jedoch internetsurfe, soll das gw von berlin hierfür verwendet werden (vonwo auch die vpn connection gestartet wird)

@jo:
danke für deine antwort.
das wären dann einträge am router wie
10.10.10.x darf auf 192.168.0.1
10.10.10.x dar nicht auf rest
denkansatz richtig ?


mfg
ironist
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.980
Punkte für Reaktionen
618
Punkte
484
wenn ich nebenbei jedoch internetsurfe, soll das gw von berlin hierfür verwendet werden (vonwo auch die vpn connection gestartet wird)

Ok, verstehe.
Zumindest bei Windows gibt es einen Punkt in der VPN-Client Einrichtung, in dem du das anhaken kannst. Aber ich komme gerade nicht darauf, wie der heisst... Erklärt sich aber (fast) von alleine, wenn man die Optionen durchguckt.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.998
Punkte für Reaktionen
264
Punkte
373
Hallo,
bei den Client Einstellungen zur VPN Verbindung Reiter Netzwerk -> TCP/IPv4 Doppelklick -> Erweitert -> Standardgateway für das Remotenetzwerk verwenden Haken entfernen.

Gruß Götz
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
und sonst könnte auch die Firewall auf der DS genutzt werden, um Internetzugriffe der VPN Clients zu unterbinden
 

ironist

Benutzer
Mitglied seit
23. Okt 2013
Beiträge
25
Punkte für Reaktionen
0
Punkte
1
@joku:
über den router lässt es sich leider nicht einstellen, da ich hier alle arten von access settings nur 192.168.0.x einstellen kann. 192.168.0.x adressen möchte ich den pptp-vpn usern nicht zuweisen, da ich keine bestimmte range angeben kann (wie zb. vpn-pptp= 192.168.0.100-130

@goetz:
danke für deine antwort. hab es auch gefunden, nur bewirkt bei mir das entfernen des häckchen dass der browser die dsm oberfläche nichtmehr ansteuern kann.
und surfen funktioniert dann, per vpn verbunden, weder über das gateway indem sich die ds befindet (das ist auch das ziel) NOCH über das "lokale" gateway von dem aus ich mich einwähle

@jahlives:
auch dir ein danke für deinen input. hast du hier vielleicht einen settingvorschlag ? die einstellungsmöglichkeiten sind hier für mich noch ein wenig undurchsichtig.
ip 10.10.10.0 mit entsprechendem subnetz sperren ? (was wird dann genau gesperrt?, access auf die ds soll ja nach wie vor uneingeschränkt gegeben sein)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Im Prinzip braucht es folgende Regel: Droppe alles aus dem 10-er Netz was nicht für die IP der DS ist
 

ironist

Benutzer
Mitglied seit
23. Okt 2013
Beiträge
25
Punkte für Reaktionen
0
Punkte
1
und die Settings sind über "Systemsteuerung -> Firewall & QoS -> LAN -> zulassen / verweigern" möglich ? oder bedarf es hier mit der shell zu basteln ?
Siehe:
fw.jpg

sieht mir nämlich nicht dannach aus, als könte man hier regeln detailiert definieren.
(zumindest würde ich keine range option sehen, oder von ziel und quell ip angaben)

mfg
ironist
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
über das GUI kann es sein, dass die Optionen nicht angeboten werden. Direkt auf der Konsole müsste es aber gehen. Sagen wir deine DS hat 10.0.0.1 im VPN und 192.168.0.1 im "normalen" LAN. Dein VPN Netz ist 10.0.0.0/24 und das VPN Interface ist eth1
Code:
iptables -I INPUT -i eth1 -m state --state NEW -s 10.0.0.0/24 -d 10.0.0.1 -j ACCEPT
iptables -I INPUT -i eth1 -m state --state NEW -s 10.0.0.0/24 -d 192.168.0.1 -j ACCEPT
iptables -I INPUT -i eth1 -m state --state NEW -j DROP
 

ironist

Benutzer
Mitglied seit
23. Okt 2013
Beiträge
25
Punkte für Reaktionen
0
Punkte
1
zunächst mal vielen dank jahlives für deinen Tipp.

verstehe deinen lösungsvorschlag und bin mir nur bei folgendem unsicher:
- ob mein vpn interface eht1 ist
- in welcher datei ich die regeln einzutragen habe (mir ist klar dass die dsm quasi ein linux system ist, und damit hab ich auch ein WENIG erfahrung, normalerweise würde ich hier die iptables datei editieren..)

wenn du so freundlich wärst und mir hier einen kurzen guide basteln kannst wäre ich dir sehr verbunden!


mfg
ironist
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
welches dein VPN-Interface ist kannst nur du wissen ;-)
Das sind direkt Kommandos für die Shell, also nicht um in ein File eingetragen zu werden. Problematisch könnte bei manuell (nicht via DSM) gesetzten Regeln sein, dass die einen Reboot nicht überleben. Zum Sichern und Wiederherstellen von iptables Regelsätzen kennt Linux eigentlich die beiden Kommandos iptables-save und iptables-restore.
Wegen dem Interface: den Namen solltest du über das ifconfig Kommando rausbekommen. Das sollte alle Interfaces auflisten. Dann guckst du einfach auf welchem Interface dein VPN Netz anliegt
 

ironist

Benutzer
Mitglied seit
23. Okt 2013
Beiträge
25
Punkte für Reaktionen
0
Punkte
1
vpn if name müsste ppp0 sein :)
habe die regeln nun eingetrage bis auf eine kleine änderung.
anstatt:
iptables -I INPUT -i eth1 -m state --state NEW -s 10.0.0.0/24 -d 10.0.0.1 -j ACCEPT
(damit ich allen vpn usern den zugriff auf die vpn adresse der ds gewähre)
habe ich:
iptables -I INPUT -i eth1 -m state --state NEW -s 10.0.0.0/24 -d 10.0.0.0 -j ACCEPT
genommen (da 10.0.0.1 bereits der erste angemeldete user hat, und die ds doch somit eine 0 haben muss)

jedenfalls funkioniert dies leider nicht, da mir die seite www.whatismyip.com bei vpn verbindung die ip meines gw zu hause listet (steige nicht von zu hause ein)
habe ich hier auf einen zusätzlichen befehl vergessen um die commands aktiv zu schalten ? hätte ein dienst reloaded werden müssen ?

mfg
ironist
 
Zuletzt bearbeitet:

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo,

müßtet ihr für den Erfolg nicht in der FORWARD oder POSTROUTING Kette droppen? ;) Was für ein deutsch. Englisch ist eben die Sprache der IT.

Gruß Frank
 
Zuletzt bearbeitet:

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hallo,

müßtet ihr für den Erfolg nicht in der FORWARD oder POSTROUTING Kette droppen? ;)
daran habe ich gar nicht gedacht :)
imho müsste es dann eher POSTROUTING sein. FORWARD ist glaub nur für Pakete welche geroutet werden, oder? Die DS routet ja aber nicht sondern macht ein NAT dazwischen
Allerdings frage ich mich gerade wie genau es ist: bei einem Proxy wird ja glaub alles via INPUT/OUTPUT abgehandelt. Ist ja kein FORWARD wenn die Verbindung terminiert und vom Server nach aussen neuaufgebaut wird
@topicstarter
Schau dir mal die POSTROUTING Kette an
Code:
iptables -t nat -L POSTROUTING -n
gibt dir die aktuellen Regeln der NAT Kette an. Dort wird es wohl eine Regel mit -j MASQUARADE geben
Kannst du die mal hier posten?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hab schon eine Weile keine Regeln mehr für iptables per Hand gesetzt. Für mein Verständnis läuft es aber so.

pppx -> PREROUTING -> FORWARD -> POSTROUTING ->(Bei GRE/IPsec -> OUTPUT -> POSTROUTING) -> ethx

Da wird die Input Kette nicht mehr durchlaufen. Wie gesagt schon eine Weile her, kann mich auch irren und bin im Augenblick ehrlich zu faul das nachzuschlagen, hab nämlich Hunger!

Hier noch - du weißt schon.

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.8.0.0/24 anywhere

Gruß Frank
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat