Über OpenVPN kein Zugriff auf Switch

DS-Home

Benutzer
Mitglied seit
19. Jun 2016
Beiträge
56
Punkte für Reaktionen
1
Punkte
8
Hallo zusammen, ich benötige bitte eure Hilfe!
Ich greife über einen OpenVPN, der Server läuft auf dem NAS, auf mein Netzwerk zu Hause zu.
Das funktioniert auch, allerdings erreiche ich z.B. meinen Switch und die AccessPoints nicht über IP.
Auch das Surfen läuft nicht sehr performant.

Bandbreite (beide Standorte)
Down: 50 Mbit/s & Up: 10 Mbit/sek

Switch
Modell: HP 2530-24G PoE+ (J9773A)
IP: 192.168.7.11
Subnaetz: 255.255.255.0
Gateway: 192.168.7.1
DNS: 192.168.7.1
Trunk: Port 3/4
VLAN1: Untagged 1, Trunk1 (3/4), 5-24
VLAN2: Untagged 2, Tagged 5-8

Router
Switch-Port: 1
Modell: Fritz!Box 7590
IP: 192.168.7.1
Subnaetz: 255.255.255.0
Gateway: 192.168.7.1
DNS: 192.168.7.1

NAS
Switch-Port: 3/4 (Link Aggregation > Adaptive Load Balancing)
Modell: Synology DS920+
IP: 192.168.7.31
Subnaetz: 255.255.255.0
Gateway: 192.168.7.1
DNS: 192.168.7.1

AccessPoints
Switch-Port: 5-8
Modell: Aruba Instant On AP12
IP: 192.168.7.21-24
Subnaetz: 255.255.255.0
Gateway: 192.168.7.1
DNS: 192.168.7.1

OpenVPN-Konfiguration
dev tun
tls-client
remote subdomain.domain.de 1194
redirect-gateway def1
dhcp-option 192.168.7.1
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-nocache
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
 

Anhänge

  • Netzwerk1.JPG
    Netzwerk1.JPG
    70,8 KB · Aufrufe: 8
  • VPN1.JPG
    VPN1.JPG
    66,9 KB · Aufrufe: 9
  • VPN2.JPG
    VPN2.JPG
    57,8 KB · Aufrufe: 9

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
VLAN...Bonding... Jou, alles drin, alles dran... und... nicht wirklich verstanden ?

Ich drösel Dir dat ma kurz auf:

Erstmal 2 Bedingungen:

1) Sofern sich Client und Ziel im "gleichen" Netzsegment befinden, wird das Paket "direkt" (ohne Gateway) zugestellt.
2) Sofern sich Client und Ziel "nicht" im gleichen Netzsegment befinden, werden die Pakete an das "Standard-Gateway" geschickt (sofern keine anderweitige "Route" existiert)

So. Skizzieren wir mal kurz das "normale" Netz:

Client -> LAN -> Router (Standardgateway) -> Intenet

Heisst kurzum: Wollen die Clients mit etwas reden, was im gleichen Netz ist, gehen die Pakete "direkt" dorthin, andernfalls werden sie an den Router (Standardgateway) geschickt. Macht ja soweit auch Sinn. Die Geräte im LAN kennen allerdings auch "nur" ihr eigenes Netz... und das, was ihnen noch explizit gesagt wurde.

Jetzt kommt also ein VPN-Client (10.x.x.x) um die Ecke... Der kennt jetzt auch erstmal nur 10.x.x.x (ist ja u.a. auch "sein" Netz). Mit Haken "LAN-Zugriff etc. pp" auf der Syno wird dann vermutlich noch die Route für das "normale" Netz der Syno an den Client gepusht (192.168.7.0/24). Somit schickt der Client nun auch die Pakete für 192.168.7.0/24 durch den Tunnel.

Im Falle von z.B. Deinem Switch jetzt mal... der kennt nach wie vor nur "sein" Netz (192.168.7.0/24) und weiss man so "garnichts" von 10.x.x.x. Nun kommt der VPN-Client mit dem Paket, schickt es durch den VPN-Tunnel (gemäß seiner Routingtabelle), das Paket kommt beim Switch an und..... tja.... schade aber auch... Der Switch wird sogar antworten, aber dummerweise... in die falsche Richtung!

Da der Switch nix von dem Netz weiss, schickt er dieses Paket halt an sein Standard-Gateway (Router), in der Annahme, dass es dann schon irgendwie das Ziel erreichen würde. Nach dem Router wird das Paket dann sofort vom ISP weggeschmissen, da private Netze nicht öffentlich geroutet werden. Die Lösung wäre jetzt, dass man dem Switch beibringt, dass er doch gefälligst - das Netz 10.x.x.x betreffend - entsprechende Antworten an die Syno schickt, da diese als Gateway für das Netz 10.x.x.x agiert. Das wäre dann der Punkt mit dem "statischen Routen".

Würde für den Switch bedeuten:

192.168.7.0 = kein Gateway, direkte Zustellung
10.x.x.x = Syno-IP als Gateway nur für dieses Netz
0.0.0.0 = (alles andere) = Router als Standardgateway

Dann sollte es theoretisch auch mit dem Switch klappen (ausser natürlich, die Syno-Firewall würde irgendwas wegwerfen ;)).
 
  • Like
Reaktionen: the other


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat