Hallo Forum-Gemeinde,
ehrlich gesagt verwirren mich die Bezeichnungen und Unterkategorien der DSM Firewall.
Ich bin bisher nur komplexe Firewallkonfigurationen von ZyXEL, LANCOM, Cisco gewohnt, bei denen ich immer einen Source- und Destinationport und eine Source- und DestinationIP habe.
Mein Plan:
Die DSM hängt hinter einer FritzBox, der Port 1194 UDP für OpenVPN wurde per Portforwarding auf die LAN-IP der DSM weitergeleitet.
Ein Router (OpenVPN-Client) verbindet sich über OpenVPN auf den VPN-Server der Synology. - (bis hierhin klappt alles)
Nun möchte ich von bestimmten LAN-IPs also z.B. 192.168.178.40, 192.168.178.50 oder notfalls auch dem ganzen Subnetz 192.168.178.0/24 auf den UDP + TCP-Port 6801 der VPN-Clients 10.8.0.1 - 10.8.0.254 zugreifen.
Die erste Policy würde also bedeuten: LAN - 192.168.178.40, 192.168.178.50 Port TCP + UDP 6801 -> VPN 10.8.0.1 - 10.8.0.254 Port TCP + UDP 6801
Um die Rückroute sicherheitshalber zu gewährleisten, würde die zweite Policy wie folgt aussehen: VPN - 10.8.0.1 - 10.8.0.254 Port TCP + UDP 6801 -> LAN 192.168.178.40, 192.168.178.60 Port TCP + UDP 6801
Subnetz der VPN-Clients: 10.8.0.0 - 10.8.0.255
Subnetz LAN1 der DSM: 192.168.178.0/24
Ich kann nun in der DSM-Firewall oben auswählen auf welchem Interface die Regel gelten soll. Ist das nun das Source-Interface oder das Destination-Interface?
Ich würde jetzt folgende Regeln anlegen:
auf LAN:
Quell-IP: 10.8.0.0 - 10.80.255
Protokoll: TCP + UDP, Ports 6801
Aktion: Zulassen
auf VPN:
Quell-IP: 192.168.178.40, 192.168.178.60
Protokoll: TCP + UDP, Ports 6801
Aktion: Zulassen
Passt das so oder mache ich hier einen Denkfehler?
Muss ich zusätzlich noch eine statische Route auf der DSM anlegen? Wenn ja, wo finde ich den Punkt?
Die 192.168.178.40 + 192.168.178.60 haben natürlich als Standard-GW die 192.168.178.1 (FritzBox) eingetragen. Somit werden diese das 10.8.0.0/24 Netz nicht kennen. Ich würde hier per add Route das Netz hinzufügen mit Next-Hop 192.168.178.50 (Synology) anlegen. Das müsste gehen, oder?
ehrlich gesagt verwirren mich die Bezeichnungen und Unterkategorien der DSM Firewall.
Ich bin bisher nur komplexe Firewallkonfigurationen von ZyXEL, LANCOM, Cisco gewohnt, bei denen ich immer einen Source- und Destinationport und eine Source- und DestinationIP habe.
Mein Plan:
Die DSM hängt hinter einer FritzBox, der Port 1194 UDP für OpenVPN wurde per Portforwarding auf die LAN-IP der DSM weitergeleitet.
Ein Router (OpenVPN-Client) verbindet sich über OpenVPN auf den VPN-Server der Synology. - (bis hierhin klappt alles)
Nun möchte ich von bestimmten LAN-IPs also z.B. 192.168.178.40, 192.168.178.50 oder notfalls auch dem ganzen Subnetz 192.168.178.0/24 auf den UDP + TCP-Port 6801 der VPN-Clients 10.8.0.1 - 10.8.0.254 zugreifen.
Die erste Policy würde also bedeuten: LAN - 192.168.178.40, 192.168.178.50 Port TCP + UDP 6801 -> VPN 10.8.0.1 - 10.8.0.254 Port TCP + UDP 6801
Um die Rückroute sicherheitshalber zu gewährleisten, würde die zweite Policy wie folgt aussehen: VPN - 10.8.0.1 - 10.8.0.254 Port TCP + UDP 6801 -> LAN 192.168.178.40, 192.168.178.60 Port TCP + UDP 6801
Subnetz der VPN-Clients: 10.8.0.0 - 10.8.0.255
Subnetz LAN1 der DSM: 192.168.178.0/24
Ich kann nun in der DSM-Firewall oben auswählen auf welchem Interface die Regel gelten soll. Ist das nun das Source-Interface oder das Destination-Interface?
Ich würde jetzt folgende Regeln anlegen:
auf LAN:
Quell-IP: 10.8.0.0 - 10.80.255
Protokoll: TCP + UDP, Ports 6801
Aktion: Zulassen
auf VPN:
Quell-IP: 192.168.178.40, 192.168.178.60
Protokoll: TCP + UDP, Ports 6801
Aktion: Zulassen
Passt das so oder mache ich hier einen Denkfehler?
Muss ich zusätzlich noch eine statische Route auf der DSM anlegen? Wenn ja, wo finde ich den Punkt?
Die 192.168.178.40 + 192.168.178.60 haben natürlich als Standard-GW die 192.168.178.1 (FritzBox) eingetragen. Somit werden diese das 10.8.0.0/24 Netz nicht kennen. Ich würde hier per add Route das Netz hinzufügen mit Next-Hop 192.168.178.50 (Synology) anlegen. Das müsste gehen, oder?
