openVPN: interne Client IP wechselt nach Reconnect

[chrissig]

Hallo,

ich habe am Standort A eine Synology DS215J mit DSM 6.0.1-7393 Update 2 als openVPN Server laufen. Am Standort B läuft eine DS212+ als als openVPN Client. (DSM 5.2-5967 Update 2). Sinn und Zweck ist die tägliche Sicherung per Hyperbackup von A nach B. Das klappt auch alles soweit.

Wird die Verbindung getrennt, erfolgt auch ein Reconnect. allerdings kommt es hier zu einem Problem: Die interne IP des VPN Netzwerks des Clients wechselt zwischen 10.8.0.6 und 10.8.0.10 hin und her, was nervig ist, da ich im Hyper-Backup immer das Datensicherungsziel anpassen muss.

Interessanterweise funktioniert das ganze problemlos zwischen den Standorten C und D mit einer DS215j und einer DS115J.

Standort B ist übrigens der einzige Client von Standort A. Auch nicht zu Testzwecken, kann zwischen den Standorten A/B und C/D "gemixt" werden.

Gibt es eine Möglichkeit, mit der ich beim (open)VPN Client eine bestimmte IP beim Reconnect erzwingen kann?

Gruß: Chris

 

[jahlives]

z.B. https://thomas-leister.de/openvpn-statische-ips-clients-vergeben/

 

[tschortsch]

Wenn du OpenVPN benutzt bruachst du nur die richtige IP nehmen.
Du verwendest aktuell die 10.8.0.x - das sind die Adressen der Tunnelendpunkte.
Richtigerweis sollteste du für das Backup aber ganz einfach die interne LAN IP der DS nehmen zb 192.168.1.x. Dann hast du auch keine probleme mit wechselnden Tunnel-IPs.

Einzig problematisch ist das wenn dein lokales Netz und das entfernte im selben IP bereich arbeiten zb 192.168.1.x. Dann mußt du vorher in beiden LANs verschieden IP Adressen vergeben zb LAN1 192.168.1.x und LAN2 192.168.2.x

Auch hilft es das eigene LAN in einen komplett anderen IP Bereich zu geben zb 10.10.200.x. So bin ich mir sicher, wenn ich mich von extern verbinde, das ich alle Geräte erreich und hatte noch nie Probleme mit den IPs aus den LANs von denen ich mich "einwähle". So handhabe ich das.

 

[jahlives]

Dann hast du auch keine probleme mit wechselnden Tunnel-IPs.

da würde ich jetzt ein gepflegtes jenachdem einwerfen Gerade wenn auf dem Weg noch Firewalls involviert sind könnte es Probleme geben. Denn du sprichst die LAN IP der DS an, ergo erwartet die Firewall auch Antworten von dieser IP. Effektiv werden die Antworten aber von der OVPN IP der DS kommen. Diese Anworten werdem dann nicht als "related estabilshed" gesehen sondern als "new". Wenn dann die Firewall so konfiguriert ist keine eingehenden neuen Verbindungen zuzulassen werden diese Pakete weggeschmissen

 

[tschortsch]

Gut da kenne ich mich zu wenig aus und kann nichts sagen.
Bei meinem IPCOP der Router/Firewall/OPENVPN Server in einem ist klappt das von mir beschriebene Vorgehen, bei Fritzboxen sollte es auch klappen und bei der DS auch soweit ich das hier im Forum in einigen Beiträgen mitgelesen habe.
Gerade bei den 0815 Router der Provider deren "Firewall" rudimentär ist sollte mit einer simplen Portweiterleitung keine Probleme auftauchen.

Versuch macht hier klug

 

[chrissig]

@tschortsch: Kurz war ich verwirrt und dachte, etwas wesentliches übersehen zu haben. Allerdings kann ich tatsächlich nur über die Tunnelendpunkt IP (10.8.0.x) auf das Backupziel zugreifen. Wenn ich die LAN IP der DS B bei Hyperbackup Eingebe, bekomme ich die Meldung "Ziel nicht erreichbar".

Beide LANs sind in unterschiedlichen Subnetzen (192.168.1.x und 192.168.2.x) aber ich kann nicht von Standort A auf die LAN-IP von Standort B zugreifen (also z.B. von DS_A 192.168.1.10 auf DS_B 192.168.2.12) sondern nur auf den Tunnelendpunkt
.
Das openVPN Netzwerk wird nicht über die Fritzboxen (o.ä.) der beiden Standorte hergestellt, sondern nur zwischen den beiden DS. Sonst müsste ich ja theoretisch auch von der DS im Standort A auf einen Drucker im Standort B ansprechen können. Oder übersehe ich hier etwas?

@jahlives: Das klingt nach einer Lösung, die beim nächsten DSM Update wieder überschrieben wird. Werde ich einmal ausprobieren, wenn sich keine andere Lösung findet.

 

[chrissig]

... ahh währende ich meine Antwort getippt habe, sind hier noch weitere Beiträge reingekommen, die meine Erfahrungen bestätigten. Klappt leider nicht mit der LAN-IP bei direkter openVPN-Verbrindung zwischen zwei DS.

 

[tschortsch]

Dann musst du eventuell auf der DS die den VPN Server macht über irgend ein Häckchen das LAN erreichbar machen. (Weiß jetzt nicht genau wie das heißt, gitbs aber) Somit sollten dann auch die DS über Ihre lokale IP erreichbar sein

Wenn du das VPN Netzwerk von den Fritzboxen direkt machen läßt kannst du dann natürlich auch zb auf den von dir genannten Drucker zugreifen. Hat sicher auch seine Vorteile wenn es gewünscht ist.
Ich bevorzug deshalb meinen Router als VPN Server da er auch für DHCP, DNS etc im LAN zuständig ist und "über alles bescheid " weiß.

Der von jahilves verlinkte Beitrag funktioniert wahrscheinlich auch, aber hier mußt du aufpassen da manuell Änderungen am VPN Server nach jedem Update der DS weg sein können (nicht müssen).

 

[MaCoM]

 

[chrissig]

"Clients den Server LAN-Zugriff erlauben". => hier leider genau die falsche Richtung, ich bräuchte Zugriff auf das Client-LAN... Ein "Umdrehen" der Konfiguration ist aus anderen Gründen nicht möglich.

 

[tschortsch]

Wenn dich das richtig verstanden habe startet der Client die Verbindung und der Server schiebt dann seine Daten auf den Clienten rüber.
Dann klappt das so nicht. Würde ich aber auch nicht machen das du so 2 Fehlerquellen haben kannst wenn das Backup ausfällt.

Wenn du die Konfiguration nicht umdrehen kannst ist folgendes Szenario möglich:
Erstelle am Standort B (jetziger Client) ebenfalls einen VPN Server (muß kein OpenVPN sein). Am Standort A (jetziger Server) erstellst du ein VPN Profil (unter Netzwerkschnittstellen) mit dem du dich exklusiv zum Standort B verbindest. Somit erstellt der Server dann die Verbindung und führt gleichzeitig das Backup durch.
Ich habe das noch nie in der Praxis umgesetzt,sollte aber theoretisch gehen.

Der leichtere Weg wäre natürlich wenn die Fritzboxen das VPN übernehmen.

 

[Fusion]

Umgekehrte Richtung (Zugriff auf LAN IPs des VPN Client Netzes)
http://www.synology-forum.de/showth...skstations-Datensicherung-in-beide-Richtungen
http://www.synology-forum.de/showth...f-aus-lokalem-Netz-auf-verbundenen-VPN-Client