VPN IP Adresse lässt sich nicht wie beschrieben ändern - strange :)

[cirrus]

Hallo zusammen


Ich hoffe, ihr könnt etwas Licht ins Dunkle bringen

Ich scheitere seit einiger Zeit daran den VPN der SYN erfolgreich einzurichten.


Folgendes Szenario.

Ich nutze den Telekom Hybrid Anschluß, was diverse Probleme im Bezug auf VPN mit sich bringt. Der Hyb. Router kann kein VPN und die Fritzbox dahinter, welche der eigentliche Router im Netz ist kann im Client modus kein OPEN VPN. Alles doof. Also mußte ich die SYN dahinter als OPEN VPN Server nutzen. Klappte eigentlich auch ganz gut, nur nicht wie gewünscht. DENN :

Ich möchte den DYN IP Bereich im Syn VPN Client einrichten wie es in der Anleitung steht.. Nur sieht das bei mir etwas anders aus.

Normalerweise sollte das so aussehen 192.168.1.XXX (in meinem Fall). Leider kann ich aber nur folgendes eingeben XXX.XXX.XXX.1

Das führt dazu, dass mein Hybrid router eine andere IP benötigen würde (Hybrid hat 192.168.1.1 / FB hat 192.168.1.5 )

Wieso kann ich nicht "nur" den letzten Teil der IP ändern ? Sorry .. ich kapiers nich


Hat jmd eine Idee oder Erklärung für mich ? Wäre super - Vielen Dank im Voraus und ein schönes Wochenende


Grüße
Cirrus

 

[Ap0phis]

Nach welcher Anleitung installierst du denn?

Eigentlich hört sich das alles ganz richtig an.
Der "VPN"-IP-Bereich hat nichts mit deinem LAN (Router/Hybrid) zu tun.
Diese IP´s werden intern den eingewählten VPN-Teilnehmern dynamisch vergeben.

 

[Fusion]

Die dynamischen IPs innerhalb des VPN Transfernetzes setzt man ja normal z.B. auf 10.8.0.1. Das hat nichts mit deinen normalen LAN Einstellungen zu tun.
10.8.0.x sind die Tunnel IPs
192.168.1.x sind weiterhin die IPs der Geräte im LAN. Auch ein VPN Client bekommt nach der Herstellung des VPN Tunnels eine IP aus dem LAN zugewiesen.

 

[cirrus]

hi zusammen


das verwirrt mich ein wenig. Ich dachte ich gebe in der eingabe maske den einwählenden Geräten einen IP Bereich (den des bereits existierenden LANS) vor. hier : 192.168.1.XXX

Denn wenn ich hier einen anderen bereich vorgebe, bekommen die geräte natürlich auch eine der selbigen zugeordnet. Eine aus dem internen netz wird dem gerät nicht zugeordnet.

dadurch habe ich enorme probleme im internen netz geräte anzusprechen (IPCAMS). da ich mich hier nicht suuuuper auskenne, vermutete ich: die einwählenden Geräte müssen die selbe ip range haben wie auch die internen geräte.. oder irre ich mich da ?!


Grüße und danke

 

[Fusion]

Entschuldige ich habe mich da etwas unschön ausgedrückt und auch nicht ganz korrekt für den Standardfall (ein VPN Client bekommt keine IP aus dem VPN Server Netz).

Im VPN Server gibt man eine IP range/netz an welches für den VPN Tunnel gilt, z.B. eben die 10.8.0.x für OpenVPN im Standard
Das lokale und das remote LAN haben andere IPs.
z.B. lokales LAN 192.168.1.x
remote LAN 192.168.2.x (jeweils Subnet 255.255.255.0)
Das lokale LAN, das remote LAN und der VPN Tunnel sollten alle unterschiedliche IP-Netze

Ein Rechner im Remote LAN bekommt also z.B. 192.168.2.10 und wenn er per VPN verbunden ist noch eine Tunnel-IP z.B 10.0.8.6.
Wenn dieser Rechner jetzt auf eine IP im anderen LAN zugreifen will z.B. 192.168.1.5 schlägt dies erstmal fehl, da der Rechner nicht weiß, wo er diese IP finden soll, weil er zu 192.168.1.x keinerlei Infos hat.
Dafür dient jetzt eine Route. Die Option "Clients den Server LAN Zugriff erlauben" setzt genauso eine Route im VPN Server und überträgt diese an die VPN Clients, wenn sie sich verbinden.
Diese Route sagt praktisch: Hör zu 192.168.2.10, wenn du eine IP im Bereich 192.168.1.x erreichen willst, dann schicke den Verkehr dazu durch den VPN Tunnel.

 

[cirrus]

oh gott wie traurig... ich hätte es nie gedacht .. nie .... ich wollte nie ein DAU sein Aber du hast es so genial geschrieben, dass sogar ich es kapiert hab


DANKE


Habe es jetzt nochmal getestet.. also der zugriff trotz der option : CLIENTS DEN SERVER LAN ZUGRIFF ERLAUBEN (x) ins interne lan klappt nicht.


hier mal ein paar details : nutze openvpn aufm android smartphone. Connecte erfolgreich via UDP Port auf die synology. verbindung steht.
Das android gerät bekommt eine ip : 192.168.2.6
Rufe ich eine interne ip auf (192.168.1.1 zb), komme ich leider nicht weiter.


habt ihr noch eine idee was hier schief läuft !?

dank euch !

 

[Fusion]

Du könntest nochmal detailliert aufführen, welcher IP-Range jetzt wohin gehört und welche Netzwerkhardware hier noch alles mit beteiligt ist, wenn auch nicht aktiv mit dem VPN Tunnel.
Und wie die Tests genau aussehen. z.B. das Smartphone, in welchem Netz ist dies zum Testzeitpunkt eingewählt, welche IP hat es in seinem originären Netz? (welches WLAN, Mobilfunknetz, ...)
Ein Test mit einem anderen Client/Gerät wäre vielleicht als Schnell-Test auch noch hilfreich.

Danach müßte man mal schauen, welche Routen auf dem Android gesetzt sind und wie du die VPN config dort eingetragen hast. Und vielleicht wie die server config aussieht, um dann im Vergleich zu sehen, ob vielleicht eine Route nicht an den Client übertragen wird.
Hab jetzt leider mein Smartphone nicht zur Hand, ob man in OpenVPN dort schon diverse Infos nachsehen kann, oder ob man sich ein Netzwerk Tools installieren muss.
Ebenso was die Pfade zur Server config angeht solltest du hier im Forum fündig werden. Falls nicht bitte nochmal Bescheid geben.
Die Infos aus der ovpn export wären eventuell auch schon hilfereich.

Aktuell würde ich tippen, dass wenn die IP Netze jetzt getrennt sind, eine Routeneinstellung noch nicht passt.

 

[cirrus]

Du könntest nochmal detailliert aufführen, welcher IP-Range jetzt wohin gehört und welche Netzwerkhardware hier noch alles mit beteiligt ist, wenn auch nicht aktiv mit dem VPN Tunnel.
Und wie die Tests genau aussehen. z.B. das Smartphone, in welchem Netz ist dies zum Testzeitpunkt eingewählt, welche IP hat es in seinem originären Netz? (welches WLAN, Mobilfunknetz, ...)
Ein Test mit einem anderen Client/Gerät wäre vielleicht als Schnell-Test auch noch hilfreich.

Danach müßte man mal schauen, welche Routen auf dem Android gesetzt sind und wie du die VPN config dort eingetragen hast. Und vielleicht wie die server config aussieht, um dann im Vergleich zu sehen, ob vielleicht eine Route nicht an den Client übertragen wird.
Hab jetzt leider mein Smartphone nicht zur Hand, ob man in OpenVPN dort schon diverse Infos nachsehen kann, oder ob man sich ein Netzwerk Tools installieren muss.
Ebenso was die Pfade zur Server config angeht solltest du hier im Forum fündig werden. Falls nicht bitte nochmal Bescheid geben.
Die Infos aus der ovpn export wären eventuell auch schon hilfereich.

Aktuell würde ich tippen, dass wenn die IP Netze jetzt getrennt sind, eine Routeneinstellung noch nicht passt.

Gerne möchte ich euch eine kurze (selbstgemalte) grafik hier posten um das ganze etwas zu erklären.

Als info noch : jedes Gerät nutzt als Gateway die 192.168.1.5


Hier noch die openvpn.ovpn datei für den Android Client (openvpn connect)
dev tun
tls-client

remote MEINEDOMAIN.de 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass




Vielen Dank für eure Hilfe

 

[goetz]

Hallo,
@cirrus
bitte keine Vollzitate und erst recht nicht wenn Du direkt antwortest.
Danke.

Gruß Götz

 

[Fusion]

Da wäre mal das Log vom Android Client interessant. (dort taucht bei mir die vom server gepushte Route 192.168.1.0 255.255.255.0 auf)

Und mal die server config ansehen bezüglich Routen
/var/packages/VPNCenter/etc/openvpn/openvpn.conf

Ich habe das gerade bei mir unter DSM 5.2 nochmal angeworfen.
OpenVPN mit 10.8.0.0 Transfernetz. LAN 192.168.1.0 und Android 6.0.1 aus dem Mobilfunknetz (dynamische Tunnel-IP 10.8.0.6)
openvpn.ovpn den Servername angepasst und dann zusammen mit ca-bundle.crt auf das Android geladen und dort das Profil importiert.
upd 1194 Portweiterleitung aktiv
Dann kann ich alls LAN Geräte unter 192.168.1.x per IP erreichen