VPN NAS zu NAS ip adresse des VPN-Server ?

[Ghoster]

Hallo,

folgendes:

Ich habe über OPENVPN eine nas - nas Verbindung, Verbindung steht auch kein Problem.

NAS1 (eine DS) steht RZ-Frankfurt als VPN-SERVER
NAS2 (auch eine DS) steht zu Hause. VPN-Client

NAS2 bekommt eine IP zugewiesen,. Ich kann diese auch vom Lan(PC) anpingen.

NAS1 kann ich nicht anpingen, weil ich die VPN-Server ip-Adresse nicht habe. Ich meine die VPN-IP nicht die öffendliche IP, die kann ich pingen kein Problem.


Ip-range: VPN-Server 192.168.205.0 Sub 255.255.255.0

Client bekommt Dynamisch 192.168.205.6 zugewiesen diese ist im lokalen Lan pingbar

Frage nun: Welche VPN-IP hat den der VPN-Server jetzt ? (z.B. 192.168.205.1- irgendwas ?) die 192.168.205.0 geht ja nicht

Danke für eure Hilfe

Andreas

 

[g202e]

Normalerweise die 1 hinten

 

[fpo4711]

Vergesst doch mal völlig die IP's des Tunnels. Sprich von der Clientseite den Server mit seiner lokalen IP an. Die entsprechenden Routen werden auf der Clientseite automatisch gesetzt. Die IP's des Tunnels kannst Du getrost vergessen. Hier ist einzig wichtig das sich die Subnetze unterscheiden. Und nebenbei schon gar nicht die .0 oder .1 Die erste Verbindung wird mit Sicherheit andere Tunnelendpunkte haben und die können sich bei jeder Verbindung ändern. Bis zu der mir letzten bekannten Version von OpenVPN lief das unter der DS als topology net30 Also völlig transparent und einfach die lokale IP des VPN-Servers verwenden. Die ändert sich nämlich nicht. Auch wenn eine VPN-Verbindung aufgebaut wird.

Daran denken Subnetz-Client ungleich Subnetz Tunnel ungleich Subnetz-Server

Einzig wenn ein Zugriff von der Server auf die Clientseite gewünscht ist dann wird es schwieriger. Siehe hier im Forum Stichwort "ccd"

Gruß Frank

 

[g202e]

@Frank: Er wollte aber die IP-Adresse des Servers haben, ohne zu konkretisieren, wozu.
Und das ist bei mir immer die 1.

 

[fpo4711]

@Frank: Er wollte aber die IP-Adresse des Servers haben, ohne zu konkretisieren, wozu.
Und das ist bei mir immer die 1.

Klar geht das. Es geht auch die .5 genauso wie verkehrt herrum durch eine Einbahnstrasse fahren. Nur ob das der richtige Weg ist stelle ich mal in den Raum. Prinzipiell sollte der Server das Geschehen kontrollieren und der Client möglichst unter allen möglichen Bedingungen funktionieren. Beispielsweise wird das Tunnel-Subnetz auf der Serverseite geändert und ich nehme die .1 des Tunnels geht somit von der Clientseite nichts mehr. Spreche ich die .5 oder .9 .... an und ich bin nicht gerade in der richtigen Reihenfolge der Clientverbindung - Nichts geht mehr. (Kann auch bei einem Reconnect passieren)

Spreche ich den Server mit seiner lokalen IP an wird das unter allen Bedingungen weiter sauber funktionieren. Hinzu kommt noch das auch Synology mal seinen VPN-Server updaten könnte denn net30 ist schon seit einiger Zeit "deprecated" dann werden sich auch die Tunnel-IP's ändern. Und Du wirst es schon ahnen warscheinlich geht es dann nicht mehr.

Also warum dann nicht gleich, so wie es der Erfinder vorgesehen hat, einfach die lokale IP des Servers nehmen und alles wird gut.

Gruß Frank

 

[g202e]

Schon klar, mache ICH ja auch so...
Da du dich wohl damit gut auskennst: Warum wird immer verlangt, dass Subnetz-Client ungleich Subnetz Tunnel ungleich Subnetz-Server sein muss?
Es funktioniert erstmal auch wenn Subnetz-Client gleich Subnetz-Server ist.

 

[fpo4711]

Es funktioniert erstmal auch wenn Subnetz-Client gleich Subnetz-Server ist.

Das funktioniert nicht! Wenn das Zielsubnetz das gleiche wäre wie das Clientsubnetz würde ein Paket NIEMALS das Clientsubnetz verlasssen.

Wie kommst Du auf dieses schmale Brett. Würde Dir dringend einmal Grundlagen zu Subnetting und Routing empfehlen.

Gruß Frank