Nur noch VPN-Netzwerkschnittstelle?

[unrealSpeedy]

Hallo zusammen,

bei den Synology NAS kann man ja super eine VPN-Verbindung als Netzwerkschnittstelle hinzufügen.
Ich möchte mein NAS nun im Optimalfall mit mehreren weiteren Netzwerkschnittstellen in Form einer OpenVPN-Verbindung ausstatten (Es ist NICHT ausgewählt, dass der gesamte Traffic über die VPN-Verbindung laufen soll).
Gleichzeitig habe ich noch die Standard-Schnittstelle LAN1 in Benutzung.
Mein Router leitet einige Ports von außen weiter (über LAN1 zur vom Router vergebenen IP des DSM).

Mein Problem ist nun:
Sobald ich eine VPN-Verbindung herstelle, also verbinde, ist das NAS nur noch über diese Verbindung erreichbar und nicht mehr über die IP, die der Router vergeben hat.
Die Weiterleitungen klappen nicht mehr und die Dienste/Webseiten der Webstation sind nicht mehr erreichbar.
Ich wollte eigentlich die Schnittstellen bzw. LAN und OpenVPN parallel betreiben.

Das müsste doch eigentlich gehen, oder habe ich einen Denkfehler?

Beste Grüße
unrealSpeedy

 

[the other]

Moinsen,
mir erschließt sich der Sinn deines Vorhabens nicht. Du willst dein NAS als vpn Server laufen lassen, um ne Verbindung herzustellen. Warum daneben noch mit pwl für was weiß ich nicht alles öffnen?
Und warum gleich mehrere netzwerkinterfaces mit vpn?

 

[the other]

Moinsen,
Kennste den:
https://www.synology-forum.de/threads/lokale-ip-adresse-auch-bei-openvpn-nutzen.71260/
?

 

[Fusion]

Anders rum, er hat die DS als vpn client, nicht als Server.

 

[unrealSpeedy]

Vielen Dank zunächst für Eure Antworten

Ganz genau, die DS ist VPNClient und verbindet sich über OpenVPN (VPN-Profil bzw. neue Netzwerkschnittstelle) mit einem entfernten VPN-Server.
Wieso?
Ich ziehe aktuell um und es ist mir mit meinem neuen Provider nicht möglich, statische IP-Adressen zu bekommen.
Diese brauche ich jedoch, um diverse Dienste, die auf der DS laufen (wie z.B. einen Webserver) von außen konstant erreichbar zu machen.

Es gibt nun Dienstleister, die statische IP-Adressen über VPN-Verbindungen anbieten (siehe: https://addictedtocode.de/nas-und-co/statische-ip-adressen-fuer-dslite-anschluesse-oder-lte/).

Ich dachte nun, ich könnte mein NAS mit mehreren dieser Verbindungen unter mehreren IP-Adressen verfügbar machen.
Und gleichzeitig noch die "normale" Verbindung über den LAN-Port nutzen.

Das scheint aber nicht zu klappen (vor allem nicht LAN und VPN gleichzeitig). Die Frage ist, wieso?^^

Beste Grüße
unrealSpeedy

 

[tschortsch]

Weil wenn VPN auf der ds aktiv ist wie bei einem normalen clienten der Traffic entweder ganz über vpn läuft ( dann erreichst du die ds aber nicht mehr übers Lan) oder eben nur teilweise dann musst du aber entsprechende Routen eintragen und eventuell auch mit dem revers Proxy arbeiten.
Aus Gründen der Einfachheit halber würde ich aber einen gescheiten Router (zb mit openwrt) nehmen und dort den vpn clienten aktivieren. Somit ist im LAN alles wie gehabt, du musst nur alles am Router machen und keine extra Klimmzüge auch der Konsole der ds machen.

 

[unrealSpeedy]

Vielen Dank für Deine Antwort!
Das heißt, wenn ich nun zwei parallele OVPN-Verbindungen einrichten würde als Netzwerkschnittstellen, würde quasi vermutlich nur die zuletzt gestartete funktionieren, oder?

Bzgl. der Routen und Reverse Proxy müsste ich mich mal belesen, wie ich das damit bewerkstelligen könnte
Hattest Du soetwas schonmal in Betrieb?

Gibt es ein Routermodell, welches Du für OpenWERT empfehlen würdest (vermutlich die Linksys aus deiner Signatur)?
Die Anforderung wäre schon im Optimalfall mehrere VPN-Verbindungen herzustellen (als Client) und diese dann weiter zu routen.

Gruß unrealSpeedy

 

[tschortsch]

Du kannst soviele VPN Verbinungen starten wie du willst. Ob die DS das kann weiß ich aber nicht. Deshalb der hinweis mit dem Router.
Mit zwei gleichzeitigen Verbindungen musst du dann defintiv je nach Servereineinstelluignen deines VPN Anbietes routen für die einzelnen Dienste setzen.

Ich hatte mal eine meiner Beiden DS als VPN server aktiviert und der Router am Standort 2 hat sich damit verbunden. Damit hab ich beide Netze verbunden. Dazu mußte aber auch der VPN server manuel über die Konsole angepasst werden weil ich sonst nich von der OVPN server seite auf die Clientseite zugreifen konnte. Das lief zwar, ist aber regelmäßig ausgefallen.
Seitdem nutze ich nur noch Wireguard auf den Routern die beide Netze verbinden. War erheblich leichter und aktuell ist die Dauerverbindung beider NEtze schon etwa 4 Monate ohne Problem aktiv

Warum überhaupt brauchst du mehrere VPN verbindungen? Einr reicht ja, über dies kannst du dann alles nach aussen anbieten.

Die Linksys sind gut, haben aber ein etwas schlechtes WLAN. TPlink ist gut, da hab ich eine zuhause leigen aber noch nicht als WLAN AP eingerichtet
Im prinzip kannst du jeden Router nehmen auf dem du OWRT installieren kannst. Einzig mindestesn 32MB Ram sollte er haben damit er zukunftsicher ist. Mit OWRT hast du die größte Freiheit aber auch defintiv ein steile Lernkurve beim einrichten

 

[Synchrotron]

Geht auch ohne OWRT. 2 Fritzboxen können als VPN-Netzwerkbrücke konfiguriert werden. Oder 2 irgendwas-Router und an jedem Ende einen Raspi mit OpenVPN oder Wireguard.

Wenn du allerdings Durchsatz haben willst, wirst du um (semi-)professionelle Technik kaum herum kommen.

Was können die beiden Internetanschlüsse denn liefern, die verbunden werden sollen ?

 

[tschortsch]

@Synchrotron er will nicht 2 anschlüssse, wie ich, verbinden sondern einen Anschloss ohne echter ip mit hilfe eines VPN Dienstleister mehrere eine echte IP holen und diese über mehrere VPN Verbindungen gleichzeitig in Betrieb nehmen und darüber verschieden Dienste laufen lassen.

Der Hinweis von meinem Netz war nur rein zur Info und sollte aufzeigen das schon ein simpler Zugriff von LAN Clienten auf der Serverseite auf die OVPN-Clienten (Router des zweiten Standorts) eine Änderung an der Server VPN Konfiguration über die Konsole bedürfen um eine Netz zu Netz Verbindung zu realisieren.

 

[Synchrotron]

Ja, das habe ich schon verstanden.

Teilen wir die Aufgabe in ihre Teilaufgaben:

Die DS, die erreicht werden soll, hat keine statische IP. Daher soll sie an ein zweites Netzwerk angebunden werden, die eine statische IP hat. Zur Verbindung dient ein VPN-Tunnel zwischen den beiden Netzwerken. Wichtig ist, dass die VPN-Verbindung dabei nur die Verbindung absichert - im Ergebnis muß ein gemeinsames, übergreifendes Netzwerk stehen, mit realen Netzwerkadressen.
(Kann man machen, ich würde eher einen DDNS-Dienst nehmen, und mir das Geraffel sparen)

Am Standort mit der statischen IP sollen verschiedene Zugänge geöffnet werden, und über die VPN-Verbindung an den ersten Standort weiter geleitet werden. Dazu wird man verschiedene Portfreigaben dort benötigen, die jeweils ins erste Netzwerk durchgereicht werden müssen. Dabei dient der VPN-Tunnel nur als Mittel zum Zweck, adressiert wird Netzwerk 1.

So versteh ich das. Was nicht funktioniert (mein Verständnis): Am „statischen“ Standort das VPN selbst ansprechen und darauf hoffen, dass man damit verschiedene Dienste getrennt bekommt.

 

[blurrrr]

@unrealSpeedy : Was den initialen Post angeht: Macht einen sehr komischen Eindruck, hört sich aber auch eher so an, als würde das Standard-Gateway geändert, das darf natürlich nicht sein. Bei aktivierter VPN-Verbindung das Standard-Gateway prüfen (da es einen Haken GIBT... setzen, übernehmen, rausnehmen, übernehmen, dann erst VPN wiederherstellen).

Alternativ mal (bei aktiviertem VPN!) die Routen checken (via SSH auf die Box und dann den Befehlt "route" ausführen) und ggf. Routingtabelle (Ergebnis vom Befehl vorher) einfach mal hier posten. Was die VPN-Verbindung selbst angeht, da sollte es nur eine einzige Route ins Remotenetz geben... Kannste ggf. auch mal ohne und einmal mit VPN posten

Was das - wenn ich die anderen Vorredner richtig verstanden habe - sonstige Routing durch den VPN-Tunnel angeht (also Folgeposts), ist das soweit kein Problem, solange Dein Router (auf der einen Seite) das Remote-Netz kennt (Stichwort "statische Routen", Fritzboxen z.B. können sowas) und das Remote-Netz (bzw. Remote-NAS) "muss" dann wohl oder übel das Remote-Netz bzw. Remote-Router als Gateway nutzen. Remote-NAS ist aber noch am Remote-Netz nutzbar (aber nicht mehr von extern, oder via Portweiterleitung vom "lokalen" Router).

Kurzer Hinweis dazu: Normalerweise gilt: Alles was nicht im gleichen Netzsegment ist, wird ans Gateway geschickt, es SEI DENN... es ist eine Route bekommt. Heisst beim Remote-VPN ist eine Route bekannt, das funktioniert. Aber wenn "irgendwer" aus dem Internet bei Dir via Portweiterleitung an ein NAS im Remote-Netz geschickt wird, schaut das NAS "Ist dat hier? Nö! Ist das im Remote-Netz? Nö! Also schick ich es an MEIN Gateway..." Das wäre dann allerdings der Router vom Remote-Netz und nicht Deiner. An diesen ging die Anfrage aber... Heisst kurzum: Quellhost (aus dem Internet) fragt Router A an... kriegt aber keine Antwort... Kriegt aber ein Paket von Router B, was direkt wieder verworfen wird, weil Router B wurde ja garnicht gefragt.

So, ich hoffe, dass das jetzt so einigermaßen den Kern der Sache trifft und ich nicht zuviel Müll geschrieben hab, ist schon spät

 

[Synchrotron]

Ergänzend: Um die "remote" besser erreichbar zu machen, könnte man sie 2x mit LAN anschließen. 1x für das vorstehende, 1x über den zweiten LAN-Port für alles andere. Da jeder LAN-Port seine eigene Adresse hat, können sie virtuell wie 2 Geräte angemeldet werden.

 

[unrealSpeedy]

Sooo, vielen lieben Dank für eure tiefgründigen Antworten!
Jetzt muss ich mich und die ganzen Vorschläger ersteinmal sortieren )

Nochmal zur Situation:
Also noch einmal kurz zu meinem Anliegen (mit Beispiel):
Genau, ich habe quasi je statischer IP einen VPN-Server als Endpunkt in einem Rechenzentrum.
An diesem Endpunkt kann ich auch die entsprechend geöffneten Ports konfigurieren (standardmäßig habe ich alle zu, für die Dienste öffne ich dann nach und nach die notwendigen Ports).
Im Optimalfall würde ich die DS nun mit mehreren VPN-Endpunkten verbinden und erreichbar machen.

Angenommen ich habe IP 123.456.789 und 987.654.321 sowie DienstXY auf der DS am laufen.
Jetzt war mein Plan zunächst, dass DienstXY dann unter beiden IP-Adressen parallel verfügbar ist.
Später wollte ich dann andere Dienste jeweils einer separaten IP zuordnen und so trennen.
Also eigentlich genau so, wie es @tschortsch zusammengefasst hat

Als "blödes" Beispiel aus der Praxis:
Ich habe auf der DS die Webstation und den Mailserver laufen. Aktuell habe ich eine statische IP meines ISP. Die Ports werden übermeinen Router weitergeleitet und die Webseiten sind so erreichbar. Bei allen Domains steht die IP in den DNS-Einträgen.
Jetzt ziehe ich in Kürze um und an der neuen Adresse kann mir der neue ISP keine statische IP mehr anbieten. Also "miete" ich mir die IP und binde sie über die VPN-Schnittstelle auf meine DS.
Den Weg über DynDNS würde ich gerne vermeiden (Auswirkungen auf den "Trust" des Mailservers usw).Eigentlich wollte ich jetzt gerne (um Ausfallzeiten zu vermeiden die DS sowohl unter der aktuellen statischen IP des ISP, als auch bereits unter der neuen statischen IP durch das VPN erreichbar machen und dann nach und nach die DNS-Einträge anpassen, sodass diese fließend geupdated werden.
Das geht so jetzt leider nicht, da sobald ich das VPN verbinde, die jetzige statische IP, die an LAN1 ankommt, nicht mehr funktioniert.

Zu Eurem Input:
@Synchrotron
Genau, die erste Aufgabe würde ich gerne umsetzen. BZW. tut der Tunnel im Prinzip.

Wichtig ist, dass die VPN-Verbindung dabei nur die Verbindung absichert - im Ergebnis muß ein gemeinsames, übergreifendes Netzwerk stehen, mit realen Netzwerkadressen.

Das verstehe ich nicht so ganz bzw. das scheint ja insofern zu klappen, als dass die DS in das VPN eingebunden wird und die Dienste über die VPN-IP erreichbar sind. Allerdings scheint dadurch das "alte" Netzwerk zerstört/geblockt zu werden. Kann man diese nicht parallel betreiben?

Zur zweiten Teilaufgabe:

Am Standort mit der statischen IP sollen verschiedene Zugänge geöffnet werden, und über die VPN-Verbindung an den ersten Standort weiter geleitet werden. Dazu wird man verschiedene Portfreigaben dort benötigen, die jeweils ins erste Netzwerk durchgereicht werden müssen. Dabei dient der VPN-Tunnel nur als Mittel zum Zweck, adressiert wird Netzwerk 1.

Jein. Pro IP würde ich eine VPN-Verbindung verwenden. Die jeweiligen Ports, würde ich im RZ, also am VPN-Server freigeben.

@blurrrr
Vielen Dank auch für Deine Hilfe!
Ich habe nun während bestehender VPN-Verbindung bei der LAN-Schnittstelle den Haken "Standardgateway" entfernt und wieder gesetzt. Leider trit keine Änderung ein.

Einmal das Routing bei aktiviertem und bei deaktiviertem VPN:


Beste Grüße und vielen Dank!
unrealSpeedy

 

[blurrrr]

Bei Deinem Screenshot - die ersten 3 Einträge - da sind div. Routen angegeben:

- default: Alles was nicht in der Routingtabelle steht, wird an dieses Gateway geschickt
- 0.0.0.0/1 + 128.0.0.0/1 ( = 0.0.0.0/0) - diese Route besagt, dass "alles" (also nicht nur unbekannte Netze) in den Tunnel (tun0) geschickt wird, somit sind also "doppelte" Routen vorhanden, denn: "0.0.0.0/0" beinhaltet auch "192.168.177.0/24" (also das "lokale" Netz). Normalerweise wird bei redundanten Routen nach der Metrik unterschieden, das ist eine Gewichtung der Route. Die stehen bei Dir aber alle auf "0"... Hier könnte man die Metriken entsprechend so anpassen, dass 192.168.177.0/24 bevorzugt via LAN (eth0) läuft und der Rest (0.0.0.0/0) halt via VPN (tun0, GW: 185.62.151.129).

Da das Default-Gateway via VPN laufen "muss" (damit die Antwort-Pakete für extern auch entsprechend darüber laufen können - kannst ja nicht das halbe Internet als Route dort eintragen...), wäre wohl der Gateway-Haken bei der VPN-Verbindung zu setzen und beim LAN zu entfernen (alternativ eben wieder Metriken anpassen). Dadurch ist die DS dann "öffentlich" nur noch über den VPN-Einwahlpunkt erreichbar und ansonsten nur noch aus dem LAN.

Sollte zumindestens so sein... aber ich hab auch keine Ahnung bzgl. Portmapper.de...