Synology OpenVPN - Ich komm nicht weiter

[bosk]

Hallo zusammen,

ich hab seit gestern meinen RC1900ac.
Ich hab alles soweit eingerichtet, und es funktioniert auch alles..

Nur 1 bekomme ich nicht sauber hin: Den OpenVPN-Zugriff. Der Tunnel wird aufgebaut, aber ich kann auf nix zugreifen.
Wenn ich in der OpenVPN-Konfigurationsdatei den Gateway mitgebe, funktioniert alles, ich kann auf mein Subnetz zugreifen.

Den Gateway will ich aber nicht mitgeben, da ich sonst auf meinem Rechner, von dem aus ich arbeite, nicht mehr auf mein "normales" Netz zugreifen kann.

Anbei meine Konfiguration:

Router:
- IP: 10.10.10.1
- IP-OpenVPN: 10.10.11.1

Was muß ich noch einstellen, damit das ganze sauber funktioniert? Ich will praktisch auf das ganze Subnetz (10.10.10.0/24) zugreifen.

Vielen Dank für eure Hilfe, und viele Grüße

 

[bosk]

Hi...
Hat keiner eine Idee von euch, was ich noch machen müsste?
Eine feste Route? Evtl. eine Firewall-Regel?

Nochmals vielen Dank

 

[voltshock]

LAN-Zugriff im Router für das VPN freigegeben und Firewall entsprechend geöffnet?

 

[bosk]

Hi,

In der Firewall sind folgende Regeln aktiviert:

- Ports:
--- VPN-Server (OpenVPN) (Port 1194)
- Quell-IP:
--- Alle
- Ziel-IP:
--- Alle
- Aktion:
--- Zulassen

Sonst habe ich nichts aktiviert....

Wie mache ich denn die Option: LAN-Zugriff im Router für das VPN freigeben?

Vielen Dank für Deine Antwort, und viele Grüße

 

[voltshock]

VPN-Server App > OpenVPN > "Clients den Server-LAN-Zugriff erlauben".

In der Firewall solltest du übrigens bei "Ziel-IP" auf SRM stellen, ist sicherer, wenn du nur einen OpenVPN-Server betreibst.

 

[bosk]

Vielen Dank....

Hab die beiden Einstellungen gemacht, komm leider trotzdem nur bis zum Router (und auch den kann ich leider nicht pingen)...

Ich glaube, irgendwas fehlt mir noch...

 

[voltshock]

Poste doch mal alle deine Firewall-Einstellungen, mindestens für Ping benötigt man ggf. weitere.

 

[bosk]

Hi, überhaupt kein Problem:


Mehr habe ich aber auch nicht konfiguriert....

 

[voltshock]

Dann kann natürlich noch nichts funtionieren.... Der VPN-Server lässt sich verbinden aber dann ist Schluss in der Firewall...

Bei mir gibt es noch weitere Regeln für
- die Durchleitung von HTTPS (einmal an SRM und dann noch ins Netzwerk an einen weiteren Webserver), Quelle ist IPBereich des OpenVPN
- SSH auf SRM, Quelle ist IPBereich des OpenVPN

Pingen kannst du natürlich nicht, denn das ist auch gesperrt. Allerdings solltest du deine Clients im LAN pingen können (sofern die nicht auch per Firewall selbiges unterbinden, was Windows 7 und neuer definitiv Werksseitig tun).

 

[bosk]

Hallo voltshock,

vielen Dank für Deine Antwort...

Könntest Du mit bitte mal einen Screenshot Deine Firewall schicken? Ich komm trotz Deiner Anleitung irgendwie nicht weiter...

Meine Firewalleinstellungen sehen jetzt so aus:


Internes Netz: 10.10.10.1/24
OpenVPN: 10.10.11.1

Nochmals vielen Dank

 

[voltshock]

So sieht es bei mir aus.
Geht denn überhaupt etwas bei dir oder verbindet das OpenVPN und dann ist Ende?

 

[bosk]

Hi,
Danke Dir

OpenVPN verbindet sich, und das wars.
Ich hab jetzt gerade auch mal die Firewall-Regeln angepasst, bekomme aber dann auch keine Webseite (meiner DS1813+) angezeigt....

Hier ist noch mein VPN-Profil (exportiert vom SRM):

dev tun
tls-client

remote IP.... 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

Wie gesagt: Wenn ich den Gateway mitgebe, dann haut alles wunderbar hin.... Allerdings läuft dann auch der ganze Traffic über den VPN durch....

 

[Fusion]

Der Zugriff ins Server LAN sollte in der vpn config am server eine route eintragen, die an Clients gepushed wird.
Ist das vorhanden in der Art (wobei die IP natürlich gegen die deines eigenen Server LAN zu tauschen ist, hoffe ich habe die richtige IP im Gedächtnis)
push "route 10.10.10.0 255.255.255.0"

Du willst ja nur Traffic an die IPs im Server LAN durch den Tunnel schicken, alles andere über das normale Gateway am Rechner.

Edit:
http://www.synology-forum.de/showthread.html?73026-openVPN-site-to-site-Verbindung-zwischen-zwei-DS

 

[voltshock]

Kein Gateway bzw. keine statische Route. Habe ich auch nicht und offensichtlich nutzt du ein ähnliches Szenario wie ich.

Nutzt dein DS1813+ Port 443? Ansonsten klappt es natürlich nicht. Auch müsstest du noch das Port Forwarding auf die DS1813+ hinzufügen, damit du sie erreichen kannst.

 

[bosk]

Hallo zusammen,

ich wollte euch noch informieren:
Ich hab seit 1 Woche die Beta-Version vom SRM installiert, und siehe da: Alles funktioniert nun ohne Probleme... Ich kann mich ohne Probleme verbinden (auch ohne fest eingestellen Gateway)..

Nochmals vielen Dank