OpenVPN nur auf NAS, nicht auf komplettes Netzwerk

[schlo]

Hallo zusammen,
ich habe bereits länger einen openVPN Server auf meiner Syno laufen.
Ich kann Backups via HyperBackup auf eine zweite Syno ziehen, die in einem anderen Netzwerk steht. Zudem kann ich mich mit dem Handy über die openVPN-App (Android) einwählen und habe so Zugriff auf das NAS und Dienste die ich auf dem NAS, z.B. auch über Docker eingerichtet habe. Ich erreiche diese dann über die IP des NAS und den entsprechenden Port. Was jedoch nicht funktioniert ist der Zugriff auf das restliche Netzwerk. Ich habe z.B. einen Raspberry laufen und wenn ich dessen IP mit einem verwendeten Port eingebe (z.B. für Pihole oder Portainer) tut sich nichts. Ich hätte auch gedacht, dass ich beim Surfen mit eingeschaltetem VPN auch automatisch durch das Pihole gehe und keine Werbung bekomme, das ist aber auch nicht der Fall.

Meine config Datei sieht wie folgt aus:

dev tun
tls-client
remote YOUR_SERVER_IP 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

#redirect-gateway ipv6 #REQUIRED for iOS 7 and above.
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
client-cert-not-required
-----BEGIN CERTIFICATE-----
[YOUR CERTIFICATE WILL BE HERE. LEAVE THIS ALL AS DEFAULT]
-----END CERTIFICATE-----

Müsste der Zugang ins Netzwerk nicht durch das redirect-gateway def1 offen sein? Habe zudem bei der Einrichtung auf der Syno den Haken bei "Allow clients to access server's LAN" gesetzt. Testweise hatte ich auch mal die Option "dhcp-option DNS IP-vom-Pihole-bzw-Raspberry" gesetzt, aber das war nicht erfolgreich.

Fehlt mir noch was, bzw. hab ich einen Denkfehler?

 

[Benares]

Lies mal hier, bzw. auch die Beiträge davor, und schau dir auch das verlinkte Video an.
Ich kenn OpenVPN nicht sehr gut, aber da wird noch einiges mehr gemacht, als nur die Option "Clients den Server-LAN-Zugriff erlauben" zu setzen, z.B. wird noch eine statische Route im Router gesetzt.

 

[schlo]

Hi @Benares , besten Dank schon mal. Das Video hab ich tatsächlich schon einige Male gesehen... SpaceRex schau ich immer gern
Ich verstehe es aber so, das die statische Route nur dazu da ist den umgekehrten Weg zu gehen. Also von meinem Heimnetzwerk auf ein Gerät im VPN Tunnel in einem anderen Netzwerk zuzugreifen. (Tatsächlich auch eine Sache die ich immer mal ausprobieren wollte...)

 

[Benares]

Wenn ein internes Gerät über den Tunnel angesprochen wird, muss es ja auch wissen, wohin es Antworten soll. Ich denke, dafür ist die Route notwendig. Ansonsten ginge die Antwort an das Default-Gateway (Router) raus, sie muss aber zurück an die DS.

 

[schlo]

Hm ja ich glaub du hast Recht. Bin über folgendes gestolpert, auch wenn nun noch nicht 100% weiß was ich tun muss: https://openvpn.net/community-resou...chines-on-either-the-client-or-server-subnet/

Denke mich betrifft da direkt das erste Szenario. Aber wie setze ich den Befehl

push "route 10.66.0.0 255.255.255.0"

auf der Synology ab? Wobei 10.66.0.0 hier meinem Heimnetz entsprechen soll wenn ich das richtig verstehe.
Der zweite Schritt scheint dann ja genau die statische Route zu sein über die wir sprechen...

 

[MMD*]

Es passieren zwei dinge wen die option "Allow clients to access server's LAN" gezetzt ist.

ip_forward wird auf 1 gesetzt (routing mode), das erlaubt traffic zwischen interfaces.

MASQUERADE wird im NAT table gesetzt, das sorgt dafür das traffic mit source vpn netz (10.66.x) und mit destination out_if (eth0)
überschrieben wird mit das IP von NAS.
Das bedeutet, traffic aus vpn netz das via NAS ins LAN kommt ein source address bekommt von NAS.
Gerate ins LAN wissen dann das zurückgehende traffic zum NAS muss.

Man braucht, wen so konfiguriert, also keine route ein zu tragen aufs gateway (router/modem).

Kontrolliere das firewall..... fur test versuch eine regel die alles erlaubt aufs VPN interface.


--redirect-gateway hat hier nichts damit zu tun.
Das erzählt nur den client ob es alle seine traffic über vpn link schicken soll (full tunnel) oder nur traffic mit destination NAS/LAN (split tunnel)

Edit:
vpn netz angepasst

 

[schlo]

Ich werd verrückt.. immer wieder diese Firewall
Besten Dank @MMD* !

Wenn ich sie für VPN komplett öffne klappt alles... Aber was muss ich denn jetzt explizit aufmachen um z.B. an den Raspberry zu kommen? Dachte jetzt an Port 80, aber der scheint es nicht zu sein.

 

[Benares]

Ich denke, du musst einfach auch 10.66.0.0/24 in der FW zulassen, oder?

 

[MMD*]

Gut,

Ich war nicht vollständig mit meine antwort, es passieren 3 dinge.
Die zwei die ich schon geschrieben habe und die
push "route 10.66.0.0 255.255.255.0"
im server config wird gezetzt.

Die 10.66.x.x sollte dein LAN sein.....
.

Aber was muss ich denn jetzt explizit aufmachen um z.B. an den Raspberry zu kommen?

In der client config
dhcp-option DNS IP.VON.R.PI
reinschreiben. Mehrere DNS eintrage sind möglich.
.
Nachdem du verbunden bist sollte das webif von pihole zu erreichen sein:
IP.VON.R.PI/admin

 

[MMD*]

Ein fehler in mein bericht:
https://www.synology-forum.de/threa...-auf-komplettes-netzwerk.122594/#post-1019837
10.66.x sollte das vpn netz (10.8.x) sein.

Kann aber nicht bearbeiten.

 

[schlo]

Ok, ich glaub ich komme nicht ganz mit, sorry. Ich dachte jetzt es liegt an der Firewall, zumal alles klappt wenn ich sie komplett deaktiviere?! Aber ich verstehe es richtig, dass ich da nichts ändern muss, bzw. ich muss da die IP meines Heimnetzes freigeben (Idee von @Benares ) ? Ich hab da bisher immer nur einzelne Ports freigegeben, da muss ich mir anschauen wie das mit IPs funktioniert.

In der client config
dhcp-option DNS IP.VON.R.PI
reinschreiben. Mehrere DNS eintrage sind möglich.
.
Nachdem du verbunden bist sollte das webif von pihole zu erreichen sein:
IP.VON.R.PI/admin

Das hatte ich tatsächlich schon mal getestet, leider ohne Erfolg.

@MMD* : Verstehe ich es richtig, das deine 3 Dinge die durch "Allow clients to access server's LAN" gesetzt werden automatisch passieren und deine Auflistung nur eine Erklärung ist? Oder muss ich da selbst noch etwas machen? Insbesondere der Teil mit MASQUERADE und der NAT table überfordert mich aktuell. Also bis zu dem Teil wo ich die Firewall ausgeschaltet habe komme ich mit, danach komm ich irgendwie nicht hinterher

 

[Gulliver]

Wenn du doch schon einen RPi mit pihole laufen hast, dann wäre es möglich eine vpn-Verbindung direkt zum RPi zu führen. Wireguard ist mit pivpn.io leicht einzurichten.

 

[schlo]

Hi @Gulliver
vielen Dank für deinen Beitrag. Ich würde es eigentlich gern vermeiden noch eine weitere VPN-Verbindung aufzubauen. Die VPN-Verbindung der Synology brauche ich ja eh für das Backup, daher dachte ich das es charmant wäre den gleichen Tunnel einfach mitzubenutzen.
Ich habe leider den beschriebenen Lösungsweg hier nicht verstanden. Nach meinem Verständnis muss ich einen oder mehrere Ports in der Firewall der Synology öffnen, zumal es funktioniert wenn ich alle öffne.. Ich weiß nur nicht welchen?!

 

[schlo]

Eine Neuigkeit gibt es tatsächlich. Ich habe spaßeshalber jetzt mal den Pihole Container in ein Macvlan gesteckt. Mit 192.168.XXX.XXX/admin habe ich nun über VPN Zugriff auf das Pihole Interface. Es scheint also nur Probleme zu geben wenn ich bestimmte Ports anfragen will die sich nicht auf der Synology befinden, sondern z.B. auf meinem Raspberry a la 192.168.XXX.XXX:8083 oder ähnliches.