VPN Server + ProxyServer

[Seyfert]

H,

nachdem Syno ja beide Pakete anbietet, habe ich geglaubt, man könnte die beiden einfach verbinden.

Ich versuche gerade folgendes Setup:
* Verbindung von außen (Laptop, Händy) auf meine DS über VPN (wegen ungeschützer WLANs in Hotels, Bahnhöfen, etc.)
* Filterung auf der DS mit ProxyServer (aka Squid, Adware, .xxx)
* Weiterleitung ins Zwischennetz
Auf der DS muß also das VPN mit dem Squid verbunden werden.

Das funktioniert händisch ganz gut (iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j REDIRECT --to-port 3128), allerdings nicht automatisch... im Gegenteil, das böhse VPN-Script (/var/packages/VPNCenter/target/scripts/l2tpd.sh) verwirft sogar extra die vorher eingerichteten Redirects, wenn man sich verbindet.

Ich bin mir sicher, die anwesenden Pro's kennen irgendwelche Hooks, die man nutzen kann, um das zu Bewerkstelligen. Sooo exotisch scheint mir mein Setup schließlich nicht zu sein!
Was meint Ihr?

TX, Sy

 

[Seyfert]

Update:

Das genannte Script ist gar nicht schuld; vielmehr beendet sich offenbar der VPN-Server nach dem letzten Lastabwurf. Dadurch wird das Interface "ppp0" gelöscht und die entsprechenden Feiawoll-Regeln (vom Kernel vmtl.) verworfen.

Was also nötig wäre, ist ein automatisches Einrichten der FW-Regel, nachdem ppp0 etabliert wurde.
Hat sich schon jemand soweit in die Netzwerk-Konfiguration eingelesen (ifconfig, /etc/synoconfig/ etc.), daß sie mir Tips dazu geben könnte?

Vielen!
Sy

 

[Iarn]

Interessantes Setup, würde mich auch interessieren allerdings kann ich fürchte ich außer meiner Neugier nichts beitragen.

 

[fpo4711]

Sooo exotisch scheint mir mein Setup schließlich nicht zu sein!
Was meint Ihr?

Das sehe ich eher als exotisch an. Warum dir selbst Restriktionen durch einen Proxy auferlegen? Hast Du kein Vertrauen zu dir selbst. Schließlich hast Du ja von deinem Laptop eine Verschlüsselung zu deinem VPN-Server. Da kommt auch keiner dazwischen ausser Dir selbst.

Wenn Du das aber trotzdem realisieren willst passe entweder die Startscripte an (das wird dann allerdings kein Update überleben) oder nutze OpenVPN. Hier kannst Du nach Verbindungsaufbau und nach Verbindungsende eigene Scripte mit den entsprechenden Definitionen ausführen.

Gruß Frank

 

[Seyfert]

Hallo Frank,

Warum dir selbst Restriktionen durch einen Proxy auferlegen? Hast Du kein Vertrauen zu dir selbst.

War das eine Frage.

Es geht mir gar nicht um großartige Geheimhaltung, sondern um Müllvermeidung -- ich will nicht tonnenweise Adware und Tracking-Scripte zu meinen Kosten über das Mobilnetz übertragen, wenn ich schon über die DS sörfe -- ein filtering Proxy ist da sehr gut am Platz IMHO.

Welche Startscripte meinst Du?
War da nicht etwas mit Hooks in ifup/ifdown?

(und OpenVPN funktioniert nicht gut auf Android2. Es bleibt nur PPTP (leider) oder L2TP (ansatzweise)).
Gruß Sy

 

[fpo4711]

Welche Startscripte meinst Du?

Die unter /usr/syno/etc/packages/VPNCenter.

Viel Spaß damit.

(und OpenVPN funktioniert nicht gut auf Android2

Ist mir neu. Aber entgegen weitläufiger Meinungen ist OpenVPN für UDP optimiert. In Mobilnetzen würde ich das immer favorisieren.

Unter OpenVPN gibt es einen ganzen Sack voller Möglichkeiten Scripte auszuführen. Je nach dem wann gewünscht. Hier mal ein paar Besipiele für eine openvpn.conf Notfalls eigene openvpn.conf.user im Verzeichnis /usr/syno/etc/packages/VPNCenter/openvpn erstellen. Die wird dann nicht von der GUI beeinflußt.

script-security 2
client-connect connect.sh
client-disconnect disconnect.sh
up up.sh
down down.sh

Bei den up und down Scripten bin ich mir gerade nicht ganz sicher. Sollten vor und nach dem Erstellen des tun-device ausgeführt werden. Angaben stammen aus dem Kopf und der treibt ja manchmal Unwesen.

Gruß Frank

 

[Seyfert]

Hallo Frank,

danke für Deine Hinweise!

Ich habe also probiert, in /volume1/@appstore/VPNCenter/scripts/pptpd.sh die iptables-Regel einzutragen.
Bringt nix (wird offenbar beim Start der Verbindung nicht ausgeführt)...

Ich suche weiter.