OpenVPN erfolgreich verbunden aber kein Ping zum Server möglich
- Ersteller bvrulez
- Erstellt am
- Status
Hallo bvrulez,
Bücher und Hardware zum Thema gibt es bei Amazon: OpenVPN erfolgreich verbunden aber kein Ping zum Server möglich
Bücher und Hardware zum Thema gibt es bei Amazon: OpenVPN erfolgreich verbunden aber kein Ping zum Server möglich
- Mitglied seit
- 11. Jun 2017
- Beiträge
- 2.101
- Punkte für Reaktionen
- 253
- Punkte
- 129
Die Portweiterleitung von zB. openVPN 1194 heißt mal nur, dass dein Router die Verbindung annimmt und zur Synology weiterreicht.
So, soweit mal ok, dann hast du eine openVPN Verbindung, bist mit deinem Heimnetz verbunden und hast eine interne VPN IP (zB. 10.8.0.100 oder was auch immer du bei OpenVPn für ein Subnetz angegeben hast.
Und jetzt wird es spannend, jetzt kommt es drauf an, was deine Syno für den IP Bereich 10.8.0.100 zulässt.
Das lässt sich pauschal nicht sagen, da Syno so Mechanismen hat wie "alles nicht erlaubte wird verhindert".
Aber grundsätzlich lässt sich das ja einfach testen, deaktiviere kurzfristig deine Firewall, geht dann alles, mit Firewall nichts, dann liegt es daran
Und hier jetzt das was ich gemeint habe, ich erlaube auf meiner Syno Firewall für den VPN IP Bereich zB. 10.8.0.1-255 sämtliche Anwendungen/Ports. Die gleichen Einstellungen habe ich auch für mein internes Netz (192.168.80.1-255). Zusätzlich musst du natürlich für bestimmte IP Ranges oder * den Port 1194 von außen verfügbar machen. Hier hat sich gezeigt, dass evt. gewisse Länder blockiert werden sollten. Aber das ist eher mühsam.
Die Syno Firewall beschränkt aber nur den Zugriff auf die Syno. Bist du in deinem Heimnetz, sollte der Zugriff auf zB. deinen Router via 192.168.80.1 möglich sein.
Das Syno VPN ist hier sowieso sehr bescheiden und nicht mehr State-of-the-Art. Jedes vernünftige VPN sollte mit Client Certs aufgebaut werden - nicht nur User+Passwort.
Ad Lets Encrypt Fehlermeldung. Dazu kann ich leider nicht viel sagen. Außer nur der Hinweis, du musst natürlich den Aufruf mit meine.domain.de machen, und nicht mit der IP Adresse. Sonst kommt sowieso immer eine Warnung.
So, soweit mal ok, dann hast du eine openVPN Verbindung, bist mit deinem Heimnetz verbunden und hast eine interne VPN IP (zB. 10.8.0.100 oder was auch immer du bei OpenVPn für ein Subnetz angegeben hast.
Und jetzt wird es spannend, jetzt kommt es drauf an, was deine Syno für den IP Bereich 10.8.0.100 zulässt.
Das lässt sich pauschal nicht sagen, da Syno so Mechanismen hat wie "alles nicht erlaubte wird verhindert".
Aber grundsätzlich lässt sich das ja einfach testen, deaktiviere kurzfristig deine Firewall, geht dann alles, mit Firewall nichts, dann liegt es daran
Und hier jetzt das was ich gemeint habe, ich erlaube auf meiner Syno Firewall für den VPN IP Bereich zB. 10.8.0.1-255 sämtliche Anwendungen/Ports. Die gleichen Einstellungen habe ich auch für mein internes Netz (192.168.80.1-255). Zusätzlich musst du natürlich für bestimmte IP Ranges oder * den Port 1194 von außen verfügbar machen. Hier hat sich gezeigt, dass evt. gewisse Länder blockiert werden sollten. Aber das ist eher mühsam.
Die Syno Firewall beschränkt aber nur den Zugriff auf die Syno. Bist du in deinem Heimnetz, sollte der Zugriff auf zB. deinen Router via 192.168.80.1 möglich sein.
Das Syno VPN ist hier sowieso sehr bescheiden und nicht mehr State-of-the-Art. Jedes vernünftige VPN sollte mit Client Certs aufgebaut werden - nicht nur User+Passwort.
Ad Lets Encrypt Fehlermeldung. Dazu kann ich leider nicht viel sagen. Außer nur der Hinweis, du musst natürlich den Aufruf mit meine.domain.de machen, und nicht mit der IP Adresse. Sonst kommt sowieso immer eine Warnung.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 3.986
- Punkte für Reaktionen
- 517
- Punkte
- 174
Ich lehne dieses Heimnetzwerkgebastel, welches eher auf Bequemlichkeit denn Sinnhaftigkeit beruht ab.
Wenn schon Firewall dann richtig oder besser weil einfacher gar nicht.
Wer seinen Server vernünftig aufsetzt lässt nur die IPs und Ports zu die wirklich benötigt werden, auch im heimischen LAN. Alles andere wird grundsätzlich gesperrt.
Und dann arbeitet man in Firewallregeln eher nicht mit Verboten sondern mit Erlaubnissen, auch bei Länder-Codes. Heisst man erlaubt die Länder, aus denen man selbst evtl via VPN auf die Syno zugreifen will, alles andere wird mit Block all gesperrt!
Das Problem der Syno VPN ist nicht ein fehlendes Zertifikat, dass wäre das i-Tüpfelchen an Sicherheit sondern die Tatsache, dass unter Umgehung der Routerfirewall durch Portweiterleitung ein direkter Zugriff auf den Fileserver erlaubt wird. Wer stellt ausser den 80% Synology-VPN-Nutzern seinen Fileserver schon direkt ins Internet?
Wenn schon Firewall dann richtig oder besser weil einfacher gar nicht.
Wer seinen Server vernünftig aufsetzt lässt nur die IPs und Ports zu die wirklich benötigt werden, auch im heimischen LAN. Alles andere wird grundsätzlich gesperrt.
Und dann arbeitet man in Firewallregeln eher nicht mit Verboten sondern mit Erlaubnissen, auch bei Länder-Codes. Heisst man erlaubt die Länder, aus denen man selbst evtl via VPN auf die Syno zugreifen will, alles andere wird mit Block all gesperrt!
Das Problem der Syno VPN ist nicht ein fehlendes Zertifikat, dass wäre das i-Tüpfelchen an Sicherheit sondern die Tatsache, dass unter Umgehung der Routerfirewall durch Portweiterleitung ein direkter Zugriff auf den Fileserver erlaubt wird. Wer stellt ausser den 80% Synology-VPN-Nutzern seinen Fileserver schon direkt ins Internet?
- Mitglied seit
- 11. Jun 2017
- Beiträge
- 2.101
- Punkte für Reaktionen
- 253
- Punkte
- 129
Die Syno ist einfach die Eierlegend-Vollmich-Syno die alles kann - so halb.
Natürlich macht eine eigene Hardware mit pfsense mehr Sinn und ein eigener VPN Router.
Hat halt nicht jeder. Und Syno macht es halt mit DSM super einfach, alles am besten mit Port 80 ins Internet zu bringen... also ja, entweder man beschäftigt sich mit der Materie oder nicht. Syno erlaubt halt schnell viel einzurichten, Vernünftig ist natürlich nicht alles.
Und ich geb dir Recht, die Syno Firewall bei einer nur lokal betriebenen Syno wäre/ist mir auch zu mühsam.
Router Firewall... das bringt mich jetzt echt total zum Schmunzeln. Jeder 0815 Benutzer würds so einstellen das nix mehr geht, und bei den ganzen LTE Tarifen bei uns in Ö gibts fast nur die Huawei Dinger mit beschränkter Firmware. Da kannst du quasi nichts machen...
Aber du hast natürlich Recht, wäre schön wenn alle Router dieser Welt VPN und Firewall könnten!
Natürlich macht eine eigene Hardware mit pfsense mehr Sinn und ein eigener VPN Router.
Hat halt nicht jeder. Und Syno macht es halt mit DSM super einfach, alles am besten mit Port 80 ins Internet zu bringen... also ja, entweder man beschäftigt sich mit der Materie oder nicht. Syno erlaubt halt schnell viel einzurichten, Vernünftig ist natürlich nicht alles.
Und ich geb dir Recht, die Syno Firewall bei einer nur lokal betriebenen Syno wäre/ist mir auch zu mühsam.
Router Firewall... das bringt mich jetzt echt total zum Schmunzeln. Jeder 0815 Benutzer würds so einstellen das nix mehr geht, und bei den ganzen LTE Tarifen bei uns in Ö gibts fast nur die Huawei Dinger mit beschränkter Firmware. Da kannst du quasi nichts machen...
Aber du hast natürlich Recht, wäre schön wenn alle Router dieser Welt VPN und Firewall könnten!
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.100
- Punkte für Reaktionen
- 541
- Punkte
- 154
Moinsen,
da musste ich auch etwas schmunzeln beim Lesen. Ich finde, @NSFH und tproko, ihr habt da beide echt wahre Worte geschrieben. Sieht man ja hier im Forum auch nahezu täglich: da steht der erste eigene "Server" mit Klicki-Bunti- Bedienung und, wow, was der ALLES KANN!! *freu
Dann wird ein halbes Dutzend Portweiterleitungen eingetragen, Dienste freigegeben, die Rechtevergabe mal auf alle dürfen alles gesetzt und plötzlich ist ALLES KOMPROMITTIERT! *heul
Ich finde trotzdem, dass es auch Vorteile hat, dass schon ein günstiges und schnell zu bedienendes NAS so viel bietet. Ich hoffe einfach immer, dass die Leute auf den Geschmack kommen, sich darüber dann damit beschäftigen, schließlich zu dem Entschluss kommen, dass nicht alles was kann auch muss und dass es eben eine gewisse Komplexität beinhaltet. Auch dafür ist dann das Forum hier (und gerade ja auch ihr beiden, da ihr ja sehr aktiv und helfend hier unterwegs seid) dann eine super Gelegenheit, dazu zu lernen.
Doof ist natürlich, dass viele user hier scheinbar manchmal erst machen und dann denken, was Sicherheit angeht. Und das ist in der Tat problematisch, da ggf. NOCH mehr Spam, Schadsoftware und Dreck ins Netz gepustet werden, wenn das eigene NAS erst mal geleert und zweckentfremdet wurde...
Aber, hey, ich hab genau so auch angefangen, Glück gehabt, und heute schüttel ich den Kopf über manche Idee, die ich mal umgesetzt hatte...never stop learning!
da musste ich auch etwas schmunzeln beim Lesen. Ich finde, @NSFH und tproko, ihr habt da beide echt wahre Worte geschrieben. Sieht man ja hier im Forum auch nahezu täglich: da steht der erste eigene "Server" mit Klicki-Bunti- Bedienung und, wow, was der ALLES KANN!! *freu
Dann wird ein halbes Dutzend Portweiterleitungen eingetragen, Dienste freigegeben, die Rechtevergabe mal auf alle dürfen alles gesetzt und plötzlich ist ALLES KOMPROMITTIERT! *heul
Ich finde trotzdem, dass es auch Vorteile hat, dass schon ein günstiges und schnell zu bedienendes NAS so viel bietet. Ich hoffe einfach immer, dass die Leute auf den Geschmack kommen, sich darüber dann damit beschäftigen, schließlich zu dem Entschluss kommen, dass nicht alles was kann auch muss und dass es eben eine gewisse Komplexität beinhaltet. Auch dafür ist dann das Forum hier (und gerade ja auch ihr beiden, da ihr ja sehr aktiv und helfend hier unterwegs seid) dann eine super Gelegenheit, dazu zu lernen.
Doof ist natürlich, dass viele user hier scheinbar manchmal erst machen und dann denken, was Sicherheit angeht. Und das ist in der Tat problematisch, da ggf. NOCH mehr Spam, Schadsoftware und Dreck ins Netz gepustet werden, wenn das eigene NAS erst mal geleert und zweckentfremdet wurde...
Aber, hey, ich hab genau so auch angefangen, Glück gehabt, und heute schüttel ich den Kopf über manche Idee, die ich mal umgesetzt hatte...never stop learning!
Heißt das, dass ein Rechner z.B. 10.8.0.11 einen anderen Rechner über VPN z.B. 10.8.0.12 nicht anpingen kann?
Und dementsprechend können diese zusammen auch keine Retro-Spiele spielen?
Die Diskstation kann ich von Standort 2 und 3 anpingen. Aber ich kann kein Ping von Standort 2 zu 3 senden und umgekehrt. Also können die zusammen auch nicht spielen?
Oder muss ich auf den Rechnern noch ein Gateway oder so einstellen?
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
