OpenVPN ping IP remote VPN

Status
Für weitere Antworten geschlossen.

eyk107

Benutzer
Mitglied seit
08. Feb 2019
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich hatte schon im Forum gesucht, allerdings nichts brauchbares finden können :-/
Folgender Aufbau:
Ich habe meine Synology als VPN-Server eingerichtet. Als Client fungiert ein Raspberry und ein Verbindungsaufbau funktioniert auch problemlos:
Synology 192.168.0.20
Laptop 192.168.0.15
Raspberry 192.168.1.30

Jetzt würde ich gerne zwischen den beiden mit ihrer IP kommunizieren und nicht mit der "Tunnel-IP" (10.8.0.x)
Mit dem Raspberry kann ich auch die Synology mit der IP 192.168.0.20 anpingen, nur umgekehrt nicht. Versuche ich den Laptop vom Raspberry anzupingen, funktioniert dies auch. Anscheinend funktioniert die Kommunikation mit den festen IPs also nur in einer Richtung. Ich hatte auch schon versucht, den Wert 'push "route 192.168.1.30 255.255.255.0 "'
in der config der Syno zu setzen, allerdings hatte das auch nicht funktioniert. Hat jmd einen Tipp, was ich vergessen habe?
Vielen Dank im Voraus.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Da gab es meine ich einen Haken "Clients den Server-LAN-Zugriff erlauben" oder so. Der wäre eben dafür verantwortlich, dass der "Client" die DS auch unter ihrer "normalen" IP (eben nicht VPN-IP) ansprechen kann. Die Syno hingegen "kennt" auch "nur" die VPN-IP des Clients, den Rest eben nicht. Man müsste der Syno eben noch sagen, dass sich diese IP (192.168.1.30/32) durch das virtuelle Interface des VPN-Tunnels erreichen lässt (die VPN-IP vom Client wäre hier das entsprechende Gateway (denn "dahinter" wäre das entsprechende Netz), die virtuelle NIC der Syno das zu nutzende Interface). Das machst Du dann aber nicht in der VPN-Config der Syno... das was Du da gemacht hast, sagt dem "Client" jetzt, dass er sich selbst durch den Tunnel erreicht...:confused: Es wäre also eher ein statischer Eintrag in der "Routingtabelle" der Syno, also nichts was an den Client gepushed wird (der kennt sich ja schon selbst) :)

Ich denke einfacher (auch vom Verständnis) wäre es da eher, dass man ein entsprechendes Site-to-Site-VPN etabliert, damit wären beide Netze entsprechend verbunden und dann kannst Du auch problemlos über die "normalen" IPs kommunizieren. Einschränkungen kann man dann via Firewall vornehmen.

EDIT: Bzgl. S2S-VPN lautet das Konzept ganz einfach: Netz A links, Netz B rechts :)
 

eyk107

Benutzer
Mitglied seit
08. Feb 2019
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Hi, vielen Dank für die ausführliche Antwort. Mal eine Verständnisfrage: hab ich denn nicht schon S2S-VPN?!
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Das ist derzeit Roarwarrior (clienteinwahl) :)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Gibt 2 Varianten:

a) Site to Site
b) Client to Site (auch "Roadwarrior" genannt)
 

eyk107

Benutzer
Mitglied seit
08. Feb 2019
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
hab folgende config:

peter@SkyNET-NAS:~$ sudo cat /var/packages/VPNCenter/etc/openvpn/openvpn.conf
push "route 192.168.0.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun

management 127.0.0.1 1195

server 10.8.0.0 255.255.255.0


dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto tcp6-server
port 1194
cipher AES-256-CBC
auth SHA512

route 192.168.1.0 255.255.255.0
client-config-dir ccd
client-to-client
peter@SkyNET-NAS:~$ sudo cat /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
NAS-Identifier=OpenVpn
Service-Type=5
Framed-Protocol=1
NAS-Port-Type=5
NAS-IP-Address=127.0.0.1
OpenVPNConfig=/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
subnet=255.255.255.0
overwriteccfiles=false
server
{
acctport=31068
authport=31067
name=127.0.0.1
retry=1
wait=5
sharedsecret=4synovpn
}


peter@SkyNET-NAS:~$ sudo cat /var/packages/VPNCenter/etc/openvpn/ccd/Peter
iroute 192.168.1.0 255.255.255.0

Aber leider funzt es nicht. Kann jmd mal bitte gucken ob ich etwas vergessen habe?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248

eyk107

Benutzer
Mitglied seit
08. Feb 2019
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Könnte jemand bitte nochmal die Einstellungen prüfen? Leider funzt es so noch nicht
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ich kann dir nur sagen, dass es grundsätzlich die Configs sind und man die nach wie vor ohne GUI ändern kann.

Betreibe am syno router damit openvpn inkl. Client certds. Also ja, die configs können angepasst werden.

Zu deinem Problem selber kann ich leider nicht mehr besteuern.
Ich würde mal logging aktivieren (ovpn config log append) und dann mal im log mitlesen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat