Toggle sidebar

OpenVPN über eigene Schnittstelle

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Z

zyklone

Benutzer
Registriert
19. Jan. 2017
Beiträge
40
Reaktionspunkte
0
Punkte
6
hat jemand es hinbekommen VPN über einen dedizierten Anschluss zu betreiben?

Man kann im VPN Server eine Schnittstelle angeben, aber am Router Weiterleitung dazu funktioniert nicht!
Was funktioniert ist wenn man am Router die Weiterleitung zum Default Gateway an der NAS macht.... dann frage ich mich wozu
ich eine Schnittstelle bei VPN wähle!?

Ich habe eine 1621+ und wollte eth1 als VPN angeben, eth1 hat eigenes Netz und eigene GW und funktioniert als solches.

Aber am Router(OPNSense) läuft die Weiterleitung nur zum NAS Default GW nicht zum eth1, und Default GW ist bei mir 10Gbe Karte.
....falsch ausgedruckt... forward läuft, nur antwortet VPN Server nicht.


Gibt es da ein Trick? Statische Route etc?`

Hatte schon Ticket bei Synology = 0 Reaktion.
 
Jetzt muss ich mal blöd fragen: Warum machst du die VPN in deinem Fall, nicht dort wo Sie hinkönnte? AUF DIE OPNSENSE?

Ich habe habe bei mir Wireguard auf der OpnSense eingerichtet und man kann ja dort über die FW-Regeln auch den Zugriff auf das NAS steuern. Oder verstehe ich hier etwas falsch?

Du kannst doch die NICs der Synology auf verschiedene Netze verteilen und von auf der OpnSense auf diese Netze verteilen.

Heißt:
NIC 1 der Synology 192.168.1.x -> KEIN VPN
NIC 2 der Synology 10.8.0.x -> VPN Netz

Erlaubnis für die Wireguard Geräte in der OpnSense für 10.8.0.x (Synology) erteilen. So habe ich es gemacht und so funktioniert es auch.

Wenn ich etwas falsch verstanden habe, bitte noch einmal melden.
 
@Ronny1978

Klar, ich habe mehrere VPN's auch Wireguard auf der Sense, und plane auch OpernVPN darauf mit unterschiedlichen Zugriffsleveln.

Der Eth1 von der Syno ist direkt mit der Sense verbunden, also Sense 192.168.20.1/30 Syno 192.168.20.2/30

Default GW läuft über dem Netzwerkswitch.

Es ist auch so das ich die FW auf der Syno per Interface habe, und so kann ich steuern, auf welche App über welches VPN
zugegriffen werden kann.
 
zyklone schrieb:
Klar, ich habe mehrere VPN's auch Wireguard auf der Sense, und plane auch OpernVPN darauf mit unterschiedlichen Zugriffsleveln
Zum Vergrößern anklicken....
Warum nicht unterschiedliche Wireguard Tunnel? Dann kannst du doch auch steuern? Geht aber auch mit OpenVPN.
zyklone schrieb:
also Sense 192.168.20.1/30 Syno 192.168.20.2/30
Zum Vergrößern anklicken....
Ich habe ein normales 24er Netz. So tief stecke ich aber in der Netzmaterie nicht drin, sollte aber eigentlich gehen. Wir sehen denn deine Firewall Regeln für die Wireguard Verbindungen in der OpnSense aus?

zyklone schrieb:
Es ist auch so das ich die FW auf der Syno per Interface habe, und so kann ich steuern, auf welche App über welches VPN
zugegriffen werden kann.
Zum Vergrößern anklicken....
Erstmal ausschalten/deaktivieren. Wenn alles geht, kannst du gern wieder anschalten.
 
habe schon mehrmals alles probiert... auch ohne FW.
wenn ich in der VPN App eth1 auswähle und Forward auf 192.168.20.2 mache läuft nichts.
wenn ich in der VPN App eth1 auswähle und Forward auf 192.168.10.2 (Default GW Eth4) läuft alles
wenn ich eth1 als default GW deklariere läuft es mit forward 192.168.20.2 auch.

Es hat was mit Default Gateway oder Routing zutun....
hatte auch schon in den Netzwerken "mehrere Gateways " aktiviert gehabt nichts geholfen.

Irgendwie rafft VPN Server nicht das der den Traffik zu der Schnittstelle senden soll die in der App ausgewählt ist.....
der Sendet alles zum Default GW.
 
zyklone schrieb:
VPN App eth1 auswähle
Zum Vergrößern anklicken....
Sorry ich verstehe dich immer noch nicht. Wieso auswählen??? Ich erkläre mal kurz wie ich das mache:

VPN 1 Wireguard-Netz 10.8.1.1
VPN 1 Handy 10.8.1.40
Synology IoT Netz 192.168.10.1
DS918+ 192.168.10.220 (255.255.255.0 / Gateway 192.168.10.1)

NIX NAT, NIX Forward
Zugriff VPN 1 (IP 10.8.1.40) auf 192.168.10.220 ERLAUBEN

Wenn du jetzt die Firewall der DS noch einschaltest, kann man mit Sicherheit auch nur die Filestation für die 10.8.1.40 erlauben. Notwendigkeit habe ich bei mir aber nicht. In der App wähle ich dann zum Beispiel bei DS File https://192.168.10.220: Port und gut ist.
 
1728293424471.png





Ich möchte Bond 1 (ob eth1 als Beispiel oder Bond Egal) das direkt mit der Sense verbunden ist nutzen.

....aber egal welche Schnittstelle ich auswähle es funktioniert nur zum Default GW.

also Bond1 ist direkt peer to peer mit der Sense verbunden ohne mein Netzwerk.
 
Jetzt muss ich meine Frage aus Post #2 noch einmal wiederholen? Wieso eine VPN Server auf der Synology und nicht auf der OpnSense??? Beim VPN Server auf der Synology in Verbindung mit der OpnSense kann ich dir leider nicht wirklich helfen.

Ich sehe den Sinn nicht, VPN Ports auf der OpnSense auf die DS weiterzuleiten, wenn die OpnSense als ÄUßERSTER Schutzwall das auch kann. Und du wärst deine ganzen Probleme mit der Weiterleitung und Separierung los. ;)
 
muss ich überlegen es wären auch DDNS, Letzencrypt etc. mit betroffen,

Bisher läuft ja alles... aber es fuchst mich das hier Syno irgendwie halbe Sachen macht, dann hätten die auch die Option mit der Schnittstelle streichen können.....
 
Naja, ob das halbe Sachen sind, weiß ich nicht, da ich im Zweifelsfall IMMER die äußerste Barriere für die VPN nutze. Und das ist nun mal die OpnSense. Installiere dir das Wireguard Plugin für die OpnSense. Aktiviere die Schnittstelle. Es gibt wunderschöne Youtube Videos. Eigentlich einfach nur nachbauen. Das DDNS kannst du ja auch das von Synology nutzen. Wenn du einen Reverse Proxy auf der DS hast, dann gebe ich dir recht, dann wird es evtl. etwas komplizierter. Vielleicht aber auch nicht. Wireguard Tunnel 1 bis ... erstellen. Peers hinzufügen und Regeln in der OpnSense schreiben. -> Fertig.

Ich nutze sowohl den RP, LE und auch VPN auf der OpnSense. Wobei ich ehrlich sagen muss, dass die Firewall der DS dann "zum Teil" sinnlos ist, weil ich viel über den RP abbilde. Daher ist die angezeigte IP immer die interne des RP der OpnSense. Aber dafür läuft CrowdSec und die Geo Blocklisten auch auf der OpnSense. Wenn ich den Netzwerkaufbau etwas genauer kenne, kann ich dir evtl. bei der Einrichtung von Wireguard auf der OpnSense und den Firewallregeln helfen.

Ist für MICH die bessere Variante wie der VPN Server des DS.
 
zyklone schrieb:
fuchst mich das hier Syno irgendwie halbe Sachen macht
Zum Vergrößern anklicken....
Vielleicht hängt das aber auch mit einem Rebindschutz zusammen. :rolleyes: Muss ja nicht zwangsläuft an der DS liegen, sondern evtl. an der Konstellation DS VPN und OpnSense.
 
Wireguard läuft bei mir auf der Sense bereits hervorragend,.da ich aber auch Drive etc nutze ist für mich hald Doppelt hält besser.

"Vielleicht hängt das aber auch mit einem Rebindschutz zusammen. :rolleyes: Muss ja nicht zwangsläuft an der DS liegen, sondern evtl. an der Konstellation DS VPN und OpnSense."

Das hast auch mit einem Draytek Router nicht geklappt.
 
Das erhalte ich wenn ich Bond Nutze....

1728296482370.png
 
Also so recht verstehe ich nicht was du erreichen willst .

Du hast ja schon ne vernünftigte Firewall , wo du alles abbilden kannst.
Warum wilslst nur das gefrickel mit OVPN auf deiner Synology machen ?

Was macht es da beim DS Drive sicherer ?
 
ich nutze halt VPN Lokal um zb Management IP's zu erreichen, ich nutze ein anderes VPN vom Ausland,
mit Synos Geoblock, (Ausland ist ein Thema um Port Block/Filter umzugehen)
ich nutze VPN um auf lokale Netze zu kommen und eine anderes VPN um einfach darüber zu Surfen ohne lokalen Zugriff.

Es ist ein Bisschen kompliziert und Synos VPN ist nur einer von vielen.
:)
 
klingt komplex , aber erklärt ja immernoch warum das gespiele über die Synology ?

Also mir fällt da kein Grund ein warum du den VPN Server auf der synology laufen lässt.
 
Welchen Vorteil würde Dir die Verwendung einer separaten LAN-Verbindung zwischen Router und NAS für den VPN-Tunnel bieten?
 
Hagen2000 schrieb:
Welchen Vorteil würde Dir die Verwendung einer separaten LAN-Verbindung zwischen Router und NAS für den VPN-Tunnel
Zum Vergrößern anklicken....
Naja, so wie ich es verstanden habe, soll für die VPN generell nur eine "separate" LAN Leitung genommen werden und dort per Firewall die Apps bzw. Zugriffe eingeschränkt werden. Ich denke aber auch, dass man das anderes lösen kann. Es sei denn es geht viel Traffic drüber, aber da sollte dann auch der Bond aufgelöst werden.
metalworker schrieb:
Also mir fällt da kein Grund ein warum du den VPN Server auf der synology laufen lässt.
Zum Vergrößern anklicken....
Hier muss ich leider zustimmen. 😬

zyklone schrieb:
ich nutze halt VPN Lokal um zb Management IP's zu erreichen, ich nutze ein anderes VPN vom Ausland,
mit Synos Geoblock, (Ausland ist ein Thema um Port Block/Filter umzugehen)
ich nutze VPN um auf lokale Netze zu kommen und eine anderes VPN um einfach darüber zu Surfen ohne lokalen Zugriff.
Zum Vergrößern anklicken....
Also das klingt für mich für INTERNE Nutzung kompliziert. Ich bilde das über die OpnSense ab. Aber jeder nach seinem Geschmack.
zyklone schrieb:
Es ist ein Bisschen kompliziert und Synos VPN ist nur einer von vielen
Zum Vergrößern anklicken....
Klingt für mich nicht nur kompliziert, sondern ist es wahrscheinlich auch. Die OpnSense packt mehrere VPNs mit Sicherheit besser UND komfortabler, wie die DS. Und die Steuerung kannst du über die Regeln in der OpnSense regeln und ggf. zusätzlich noch in der DS. Aber intern VPN zu verwenden, hatte ich bis noch nicht auf dem Schirm.

Wir hatten hier mal die Sache/das Thema mit dem "Nachlass": Ich befürchte bis sich ein Hilfsadmin ein Überblick über dein Netzwerk verschafft hat UND dann auch noch versteht, wo du was gesteuerst und regulierst, gibt er auf. Einfach mal darüber nachdenken, es einfacher aufzubauen, ohne die Sicherheit zu schwächen. Interne VPNs zu nutzen, ist für mich keine Option.
metalworker schrieb:
Du hast ja schon ne vernünftigte Firewall , wo du alles abbilden kannst.
Zum Vergrößern anklicken....
Meine Rede... 👍
 
vielleicht gibts ja auch nen bestimmten grund.

Aber ich arbeite gern nach dem KISS Prinzip.

Und erfahrungsgemäß sind zu komplexe strukturen eher ein Nachteil als Vorteil.
 
  • Like
Reaktionen: Ronny1978
OPNSense ist eine Gute Firewall... weiß ich, aber auch die äußere.

Was ich mir Verspreche? das der VPN Traffik separat läuft und ich muss nicht auch noch auf den Switchen ACL's und Routen dafür erstellen.

Ich betreibe mehrere 10gbe Switche und Vlans die gegeneinander isoliert sind, nur die Syno kann alle sehen, so das z.zeit ich auf alles über VPN komme.... muss in der Zukunft so nicht sein.

Klar kann ich ALLES auf die Sense abwälzen und wenn die Fällt?
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten