OpenVPN Option Clients den Server-LAN-Zugriff erlauben

fpo4711 · 19. Dez 2014

Hallo,

hatte heute mal ein wenig Zeit und habe mir die Einstellmöglichkeit unter DSM 5.1 VPN-Server 1.2.2427 "Clients den Server-LAN-Zugriff erlauben" angeschaut. Anfänglich dachte ich noch chic was Synology da macht. Dachte erst hier wird das ip-forwarding deaktiviert oder noch besser endlich mal Definitionen für iptables (Firewall) gesetzt. Aber jetzt kann ich sagen was Synology da macht ist Murks. Wer also denkt wenn er diesen Haken entfernt, das der Client dann keinen Zugriff mehr auf das Server-LAN hätte sei enttäuscht. Nur der Unwissende kommt da nicht weiter.

Dieser Haken sorgt einzig und allein dafür das die Route nicht mehr auf den Clienten "gepusht" wird.

Wenn also ein Client hier bei deaktiviertem Häkchen eine Verbindung herstellen darf, dann kann er auch manuell auf dem Clienten eine Route setzen und hat somit Zugriff auf das Server-LAN. Na ja, ein Schutz sieht anders aus. Aber VPN kommt ja von private und da sollte man schon Vertrauen haben

Gruß Frank

Anzeige · 19. Dez 2014

Hallo fpo4711,

Bücher und Hardware zum Thema gibt es bei Amazon: OpenVPN Option Clients den Server-LAN-Zugriff erlauben

Frogman · 19. Dez 2014

Yep, darüber bin ich auch schon gestolpert (und hab's Synology auch geschrieben, dass man das definitiv anders bezeichnen sollte oder aber tatsächlich verhindern muss) :-/

snas · 07. Apr 2015

Hallo Zusammen

Entschuldigt dass ich diesen alten Thread aufgrabe (in den Nutzungsbedingungen fand ich aber nichts, dass das verbietet

).

Meine Frage: Könnt ihr eventuell sagen ob das mit der aktuellsten Synology VPN Server Plugin (1.2-2434) immer noch so ist?

Wenn ich mir die Konfigfiles vor und nach der Aktivierung dieser Option ("Clients den Server-LAN-Zugriff erlauben") anschaue, finde ich keinen einzigen Unterschied. Ich finde mit der Aktivierung keinen push Eintrag in der server.conf mit meiner Netzadresse.

Dabei prüfe ich folgende Dateien:
/volume3/@appstore/VPNCenter/etc/openvpn/openvpn.conf
/volume3/@appstore/VPNCenter/etc/openvpn/server.conf

Ich habe auch nachgeschaut ob ohne die Aktivierung, Firewall Regeln hinterlegt sind. Es sind aber keine rules hinterlegt mit denen ich mir erklären könnte, wie diese Option im Hintergrund konfigurationstechnisch hinterlegt wird.

Clientseitig kann ich bisher den Unterschied (z.B in der Routingtabelle) nicht prüfen, da ich gerade testweise nur mit meinem iPhone über das Mobilnetz verbinde.

Vielleicht könnt ihr mich aufklären

Danke!

Gruss,
snas

fpo4711 · 07. Apr 2015

snas schrieb:
Vielleicht könnt ihr mich aufklären

Bis Dato war es so, das nur bei aktivierter Option die push-directive ins lokale Subnetz gesetzt wurde. Routing wurde niemals verändert, sondern nur zusätzlichen push oder nicht (Je nach Haken). Also nicht unbedingt die sicherste Lösung. Kann gerade nicht auf eine aktuelle Machine schauen, sollte mich aber sehr wundern wenn sich dort was geändert hat. Auch "Übernehmen" nach Änderung des Hakens geklickt?

Gruß Frank

Edit: Hab mich mal Remote auf eine aktuelle Machine gewählt. Es ist aktuell nach wie vor so. Push wird bei aktiviertem Haken eingefügt. Und bei deaktiviertem Haken entfernt. Also Serverseitig wird auch kein Routing verändert, nur clientseitig über die push-directive.
/var/packages/VPNCenter/etc/openvpn/openvpn.conf

snas · 12. Apr 2015

Hallo Frank

Oh, ich hatte im falschen Verzeichnis nachgeschaut.

Im Verzeichnis "/volume3/@appstore/VPNCenter/etc/openvpn" statt im "/var/packages/VPNCenter/etc/openvpn/". Vielen Dank für den Hinweis und deine Überprüfung.

Nun ist das für mich klar. Zu OpenVPN und Synology möchte ich noch allgemein anmerken, dass das natürlich eher was für den Privatgebrauch so ist. Hat man viele User und möchte man die Zugriffsberechtigungen auf allen Ebenen genau definieren, da muss man auf eine richtige Firewall zurückgreifen. Es gibt auch Open Source Lösungen, wie beispielsweise PFSense.

Danke nochmal

Gruss,
snas

fpo4711 · 12. Apr 2015

snas schrieb:
Oh, ich hatte im falschen Verzeichnis nachgeschaut.
Im Verzeichnis "/volume3/@appstore/VPNCenter/etc/openvpn" statt im "/var/packages/VPNCenter/etc/openvpn/". Vielen Dank für den Hinweis und deine Überprüfung.

Eigentlich sollte das auch zum Ziel führen, denn /var/packages/VPNCenter ist eh als Symlink ausgeführt und sollte wenn Du das Paket auf /volume3 installiert hast auch unter /volume3/@appstore/VPNCenter zu finden sein. Diese Angabe macht es nur einfacher, da ja jeder das VPNCenter (oder auch andere Pakete) auf beliebigen volumes installieren kann und somit die Pfadangabe /var/packages/... für alle passt.

Im Zweifelsfall kannst Du dir die Ziele der Symlinks mit

Rich (BBCode):

ls -l /var/packages/VPNCenter

anzeigen lassen.

Gruß Frank

snas · 12. Apr 2015

Nicht ganz. Der zeigt auf ein anderes Verzeichnis: "etc -> /usr/syno/etc/packages/VPNCenter"

HIer befinde ich mich in /var/packages/VPNCenter

Es ist für mich schon fraglich, was das für Konfigurationsfiles im Verzeichnis (/volume3/@appstore/VPNCenter/...) sind, wenn diese offensichtlich (auch) wo anders liegen?!

Gruss,
snas

Suche

OpenVPN Option Clients den Server-LAN-Zugriff erlauben

fpo4711

Benutzer

Anzeige

Frogman

Benutzer

snas

Benutzer

fpo4711

Benutzer

snas

Benutzer

fpo4711

Benutzer

snas

Benutzer

Kaffeautomat