openVPN mit NAS-Firewall

[Pfanne]

Wenn Subnetzfreigabe, dann sollte die:

IP:     192.168.0.0
SubNet: 255.255.252.0

in Frage kommen.

IP-Range wäre dann:

IP:     192.168.0.1
IP:     192.168.3.254

Klappt aber nicht......

 

[goetz]

Hallo,
hab das gerade noch mal getestet, nur mein PC erlauben alles andere sperren. Damit hab ich absolut kein Problem per pptp VPN auf die Weboberfläche des Druckers zuzugreifen (3G Verbindung).
Setz doch mal den VPN Server auf einen anderen IP Bereich zB 10.12.1.0 und teste noch mal.
Aus dem ppp Interface purzeln die Pakete mit der IP des VPN-Client heraus und verlassen die DS mit der IP der DS (NAT).

Gruß Götz

 

[Pfanne]

Hi,

auch nicht so richtig, damit klappt es auch nicht.



EDIT:
Hmmmmm, wie müsste denn bei dieser IP dieSubnetzmake aussehen?

 

[goetz]

Hallo,
Du brauchst gar keine Regel für VPN. Die Regeln greifen nur auf dem Kabelnetzwerk (eth0), 10.12.1.x Pakete kommen aber über den Tunnel (ppp0) rein und verlassen mit der IP der DS die DS. Die Antworten sind dann wieder direkt an die DS gerichtet und die weiß, daß die Pakete zum Tunnelinterface weitergereicht werden müssen.

Gruß Götz

 

[Pfanne]

Ja, aber......
Das ist doch nur der Fall wenn der Tunnel bereits aufgebaut ist.

Die Anfrage vom Client aus dem WAN kommt doch über den Router (192.168.1.1:1194) rein.
Der Router leitet den Port 1194 an die DS (192.168.1.100) weiter.

Demnach müsste der Router (192.168.1.1) in die Regel.

Geht aber beides definitiv nicht, weder keine Regel noch die Router Regel......
Nur wenn ich die Firewal ausschalte (keine Regel -> Zugriff erlauben) komme ich rein.

Gruß
Pf@nne

 

[Ap0phis]

Also wenn ich per VPN verbunden bin, dann werden Dateizugriffe mit der zugewiesenen IP des VPN-Servers (10.x.x.x) protokolliert.

 

[goetz]

Hallo,
stimmt, die Regel für den initialen Zugang muß natürlich da sein. Sie lautet
Ports: aus der Liste VPN pptp, Quell-IP: Alle, Aktion: zulassen.
Die Pakete kommen mit der Original-IP vom externen Client der die Verbindung aufbauen möchte.

@Ap0phis
das wird intern abgewickelt, dabei verläßt ja kein Paket die DS auf eth0


Gruß Götz

 

[Pfanne]

Hi,

Ports: aus der Liste VPN pptp, Quell-IP: Alle, Aktion: zulassen.

OK, das ist ein Kompromiss, somit werden inter eben nicht die IP´s sondern DS-Ports gesperrt.
Das sollte zum Aussperren der Zocker reichen.

Die Pakete kommen mit der Original-IP vom externen Client der die Verbindung aufbauen möchte.

Die hatte ich auch schon freigegeben, leider auch ohne Erfolg.

Bist du sicher, dass die IP meines Androids weiter gegeben wird und nicht die Router IP?
Ich krame morgen mal mein altes HUB raus und Wiresharke das mal.

Der Tip war in jedem Fall super, ich hab mich voll auf die IP´s versteift.

Danke....

Gruß
Pf@nne

 

[goetz]

Hallo,
ja ganz sicher, hatte gerade auch noch mal den KabelHai an, ist ja auch logisch wem sollte die DS sonst antworten. Das NAT geht beim Router ja in die andere Richtung, alle ausgehenden Pakete erhalten die IP des Routers, der muß sich dann merken wer was abgeschickt hat und die Antworten wieder richtig verteilen. Von extern werden immer die originalen IPs weitergereicht. Beim VPN über die DS ist die DS der Router und das lokale heimische Netz sozusagen das "Internet".

@Ap0phis
welch Protokollierung meinst Du eigentlich, in der DS, am Client oder am sonstigen internen Fileserver?

Gruß Götz

 

[Ap0phis]

Ich meinte aus den DSM-Systemprotokollen die Dateiübertragung.

 

[goetz]

Hallo,
wie gesagt, das bleibt alles intern, eth0 ist nicht beteiligt, somit wird auch der Verkehr auf pppX geloggt.

Gruß Götz