Toggle sidebar

Synology Router als VPN Client, was läuft alles über den Tunnel?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
M

mink

Benutzer
Registriert
27. Nov. 2016
Beiträge
5
Reaktionspunkte
0
Punkte
0
Hi Synologen,

ich möchte am RT 1900AC eine VPN Verbindung (openVPN) zu einer DS an entferntem Ort herstellen. Der Router läuft also als Client und die DS als Server. Geht dann der gesamte Router-Netz Traffic über den Tunnel? Bzw. wie kann man steuern was über std. Gateway läuft und was über die VPN Verbindung?

Danke für eure Hilfe.

Greetz
 
Solange das Standard-Gateway nicht geändert wird, geht nur Traffic der für das VPN-Server-Netz adressiert ist durch den Tunnel.
 
Hi Fusion,
danke für deine Antwort.

D.h. der Router erkennt an der Ziel IP ob die Daten über den Tunnel laufen oder nicht?

Also sollte das entfernte VPN Netz auf jeden Fall einen anderen Adressbereich haben als das Router Netz?
 
Grundsätzlich sollten alle beteiligten Netze verschieden Adressbereiche besetzen. Also LAN ungleich Remote LAN ungleich VPN Transfernetz.
Normal bekommt der VPN Client im Remote LAN beim Verbindungsaufbau vom VPN Server eine Route serviert die ihm sagt, welche Adressen im LAN erreichbar sind.
Je nachdem wohin eine Anfrage adressiert ist, sollte dann nach den Routen die Entscheidung getroffen werden auf welchen Weg die Päckchen gehen.
Die Routen sollte man auf dem Router auch nachsehen können. Wenn nicht in der GUI dann auf der Konsole.
 
ahh, danke für die ausführliche Erklärung.

In der GUI sehe ich die Routen leider nicht. Mit welchem Befehl kann man die Router auf der Konsole ansehen?
 
Im DSM unter Systemsteuerung > Netzwerk > Statische Routen. Aber da zählt er vermutlich VPN nicht dazu.
In der Konsole tut es ein "route" oder "route -v" für die Kernel-IP-Routentabelle.
 
Für die Config: "redirect-gateway" (Standardgateway umstellen) und "push "dhcp-option <DNS-Server-IP>" (DNS-Server des entfernten Netzes nutzen)
Traffic kannste verfolgen in der Eingabeaufforderung via "tracert <interne IP des entfernter Standortes>"
 
Hi blurrr,
danke für deinen Beitrag.

wenn ich das richtig verstehe bewirkt "redirect-gateway" dass alles über den Tunnel geht:

Aber was macht das Push bzw Pull?
 
push oder pull überträgt Einstellungen. Entweder pushed/liefert der Server Einstellungen an den Client, oder der Client pulled/holt Einstellungen vom Server oder umgekehrt
 
Wenn Du Dich ins VPN einwählst (ist das selbe wie wenn Du Zuhause das LAN-Kabel einsteckst, oder Dich via WLAN verbindest) bekommst Du von einem Gerät im entfernten Netzwerk vom "DHCP"-Dienst ( https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol ) die notwendigen Informationen mitgeteilt, damit sich Dein Client überhaupt im Netzwerk zurecht findet. Es werden z.B. IP-Adresse, Gateway und DNS-Server zugewiesen. die IP-Adresse sollte klar sein, das Gateway ist der Netzausgang (alles was nicht im lokalen Netzwerk liegt kann erstmal nicht gefunden werden, was tut der Client wenn er keine Ahnung hat, wohin er mit seinen Paketen soll? Er schickt sie an das Gateway... das wird schon bescheid wissen, daher), der DNS-Server ist erforderlich für die Namensauflösung (Name zu IP).

Wie gesagt, als Verständnishilfe lohnt ein Blick auf die Thematik Routingtabelle... um das mal "ganz" kurz anzureissen: In der Routingtabelle stehen "Ziele" und "Netzwerkadapter" (den Rest lassen wir mal beiseite). So findet sich eine Liste mit div. Netzwerkzielen, den entsprechenden Gateways und den dafür zuständigen Netzwerkadaptern. Du kannst in der Eingabeaufforderung mal mit "route print -4" schauen wie es bei Dir konkret aussieht (-4 zeigt nur IPv4-Einträge an).

Normalerweise erfolgen diese Einstellungen automatisch (meist) 1 Gerät: den heimischen Router. Da in diesem Fall allerdings das NAS als DNS-Server dienen soll, muss diese Einstellung entsprechend überschrieben werden. Heisst kurzum: Wenn Du Dich ins VPN einwählst, würdest Du normalerweise alle Daten vom Router bekommen. Dann funktioniert die Namensauflösung aber nicht korrekt (weil nur die Syno von Deiner ".de"-Domain weiss, Dein Router nicht und der würde "extern" nachfragen, also wird bei einer DNS-Anfrage immer die externe IP ausgegeben). Somit muss nun bei der VPN-Einwahl eben noch eine Option mitgegeben werden, welche besagt: "Als DNS-Server nimmst Du bitte die Syno". Das ist schon das Geheimnis hinter dem Push... :)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten