VPN - Firewall-Einstellungen

[rednag]

Nachdem ich schon zitiert werde, muß ich wohl auch was schreiben. Ich werde dazu genötigt.
VPN wird bei mir auf einer Sophos UTM terminiert.
SSL-VPN wurde mit einem OnePlus (Android 10) aufgebaut. Die Verbindung kam immer und problemlos zu Stande.
Der Client hat eine IP aus dem Bereich 10.242.4.0/24 bekommen. Nur die Geräte innerhalb des LANs konnten nicht erreicht werden.
Anhand des Logs konnte man keine Pakete finden, welche über die Sophos gegangen wären.
Und hier hat @blurrrr die Vermutung geäußert, daß es mit dem internen Routing des Providers (O²) zusammenhängt.
Ich habe dann den Bereich für VPN auf 172.16.16.0/24 geändert. Seidem keine Probleme mehr.

 

[Wollfuchs]

Hab´s getestet - bringt nix. Na Ja, ich hab ja keine Probleme, wenn ich für für die 10.11.0.x -Adressen alle Ports in der Synology Firewall zulasse - ich versteh halt nicht warum.

skurril .. dann wird ein hartes umbiegen auf 8.8.8.8 vermutlich auch keine besserung bringen?

 

[Inschinjör]

@blurrrr : Ich habe einen Vodafone Red XS - Vertrag und gehe nicht davon aus, dass ich damit keine öffentliche IPv4-Adresse habe. Der Haken bring, wie gesagt nix. Ich habe auch schon mal in der Fritz!Box den DNS-Server des Anbieters (Mnet, München) auf den von Google (vier mal die 8) umgestellt - Fehlanzeige. Wenn ich auf meinem Handy einen Mobile Hotspot einrichte und den PC darüber mit meiner DS verbinde, funktionieren die Firewall-Einstellungen. Und wie gesagt, wenn ich für den dyn. IP-Adressbereich der VPN in der Firewall bei Ports "All" eintrage funktioniert das auch problemlos.
Frage: Warum sind meine Firewall-Einstellungen (Einschränkungen) für die dyn. IP-Adressbereich der VPN blödsinnig - weil unnötig, oder warum sonst?
Es wird wohl etwas dauern, bis ich wieder etwas tiefer eingestiegen bin. Meine letzten Berufsjahre hatten mehr mit Bilanzen als mit Bits zu tun ?

 

[Inschinjör]

kurril .. dann wird ein hartes umbiegen auf 8.8.8.8 vermutlich auch keine besserung bringen?

Leider richtig.
Ich muss mich korrigieren: Ich gehe davon aus dass Vodafone mir KEINE öffentliche IP-Adresse gibt.

 

[blurrrr]

Stell mal das VPN-Netz um auf 172.[16-31].x.x (in der Syno, müsste derzeit 10.x.x.x sein), pass die entsprechende Firewall-Regel an und versuch es danach nochmal mit dem Handy.

 

[Inschinjör]

Hab auf 172.31.0.0 umgestellt (VPN und Firewall) - NIX. Hab´s dann nochmal mit "All" probiert (um sicherzustellen, dass ich bei den ganzen Änderungen - hin und zurück - nicht alles versaut habe), da geht es immer noch.

 

[blurrrr]

Najo, Firewall hat ja schon einen Zweck, die muss auch entsprechendes erlauben, da halt alles andere verboten ist Haken bei DNS -> Fritzbox beim Syno-VPN-Server auf jeden Fall rein, damit machst Du nix verkehrt. Probier das bitte mal Firewall-technisch NUR mit DNS (Port 53) und Web (http/https, Ports 80+443) für das VPN-Netz (Quelle).

 

[Inschinjör]

@blurrrr : Jetzt tut´s ! "Port 53, Protokolle: Alle, Port des Zielordners" zulassen, scheint´s zu sein. Vielen Dank!
Ich probiere das morgen mal systematisch durch und melde mich dann wieder. Wär ich nie draufgekommen.

 

[blurrrr]

Musste Dir halt überlegen, ob Du dann "alles" aus dem VPN-Netz erlaubst, oder halt nur bestimmte Dinge. In Deinem Fall war es vermutlich einfach so, dass DNS-Anfragen (Port 53) aus dem VPN-Netz (Quellnetz) schlichtweg nicht erlaubt waren und deswegen auch die Namensauflösung nicht ging. Warum das beim Computer nicht genauso gewesen sein soll, erschliesst sich mir allerdings nicht, da für diesen exakt die gleichen Regeln gelten (ausser natürlich das Testumfeld war eine anderes ).

Um Dir jetzt nochmal "richtig" auf die Füsse zu treten: Es wäre empfehlenswert, dass Du Deine heimische Netz-ID (192.168.178.0/24) präventiv abänderst um ggf. auftretenden Problemmöglichkeiten schon im Vorfeld aus dem Wege zu gehen. Heisst aber auch, dass alles statisch eingerichtete nochmal umkonfiguriert werden müsste (IP-technisch). Um das mal stark vereinfacht auszudrücken:

Du bist im Haus mit der Hausnummer 178. Nun bekommst Du die Anweisung in das Haus mit der Nummer 50 zu gehen. Soweit kein Problem. Was aber, wenn es heisst "Geh in das Haus mit der Nummer 178"? ..... ->Bin ich doch schon ?! (Das Thema hat etwas mit "Routing" zu tun). Normalerweise wird sowas noch über eine Gewichtung (Metrik) geregelt (wenn ABC dann bevorzugt über XY). Funktioniert an sich ganz gut, aber manchmal auch eben nicht. Mag jetzt "so" funktionieren, in Fremd-WLANs mitunter auch, aber irgendwann wirst Du auch mal in einem Fremd-WLAN mit einer Fritzbox sitzen, welche mitunter eben genau das gleiche Netz bedient (192.168.178.0/24, Hausnummer 178). Da "kann" es dann vorkommen, dass wenn Du die VPN-Verbindung aufbaust und sagst: Ab nach Hause! (178), dass Dein Rechner Dir dann sagt: Was? Warum? Sind doch schon da? ... Und schickt die Pakete (welche für Dein Heimnetz bestimmt sind) einfach in das lokale Netz des fremden WLANs.

Das ist jetzt aber auch nur ein "möglicher" Fallstrick und kein garantierter (wäre dem so, würde ich das schon anders ausdrücken). Reicht vielleicht auch aus, es einfach im Hinterkopf zu behalten, für den Fall der Fälle kannst Du im Notfall noch immer einen Hotspot mit dem Handy aufmachen und Dich darüber verbinden (falls das mit dem Fremd-WLAN nicht funktionieren sollte, teilweise werden auch VPN-Verbindungen schlichtweg blockiert). So, habe fertig

 

[Inschinjör]

Ich habe in der Zwischenzeit eine Reihe verschiedener Einstellungen für den L2TP/IPsec-Zugang vom Handy und von Windows10-PC (über Handy Hotspot) durchprobiert - hier meine Ergebnisse:
Essenziell für den Zugang vom Handy ist es Port 53, "Alle" Protokolle, Typ " Port des Zielordners" in der Synology Firewall zuzulassen.
Keine Auswirkungen hatten:
Die Wahl der "Dynamische IP-Adresse" in der VPN-Einstellung; 10.x.x.x oder 172.x.x.x - es geht beides.
Es spielt keine Rolle ob "Manuelle DNS verwenden" angekreuzt ist oder nicht.
Ob ich in der Fritz!Box bei "DNSv4-Server" den meines IP-Providers, oder den von Google (8888 und 8844) verwende, ist ebenfalls egal.
@blurrrr:
Bei mir reichen für den VPN-User mit meinen Anwendungen, dass ich ihm nur die "File Station" zulasse und in der Firewall nur den Port 443 und den Windows Dateiserver öffne.
Eine Änderung der Fritz!Box IP-Vorgabe 192.168.178.x an der die DS angeschlossen ist, ist bei mir nicht notwendig. Das Netz von den aus ich VPN verwende, hat keine Fritz!Box.

 

[the other]

Moinsen,
wobei es da nicht um das Gerät sondern auf den IP Adressbereich geht

Wenn du auf den vpn Geschmack gekommen bist, wäre es durchaus eine Überlegung wert, den vpn Server vom NAS zu trennen. Und eben dann auch, dieses zu nutzen beim Internet Gebrauch in zB öffentlichen WLANs...

Schön dass es nach dem ganzen heckmeck jetzt geht...!

Es ist völlig egal, welchen DNS Server du angegeben hast, solange die clients via vpn dorthin geschickt werden dürfen. Zb könntest du einen PiHole zwischen schalten, der surft dir dann im LAN wie auch beim Zugriff von außen die Werbung weg.