Dynamische IP-Adressen beim VPN Server individuell festlegen

[wanderer99]

Hallo zusammen,
wenn ich beim Suchen hier etwas übersehen haben sollte, bitte um Entschuldigung.
Ich versuche jetzt den VPN Server auf meine Adressen zu bringen, aber ich finde keine Möglichkeit die Startadresse fest zu legen.
Bei Dynamische IP-Adressen kann ich die ersten drei beliebig festlegen, solange sie aus einem privat stammen. Mein Problem ist das sie auf der letzten Stelle alle Dienste eine 1 haben. Das geht bei mir aber nicht, da von 1- 50 die Adressen für fixe Netzwerkkomponenten reserviert sind. Ich habe allerdings nichts gefunden wie ich den Server dazu bringe dort die 51 als Startadresse zu akzeptieren. Kann mir einer sagen ob das überhaupt geht?
In der Orginal Doku von openVPN finde ich es, aber hier habe ich keine Möglichkeit gesehen.
kann ja auch sein das ich blind bin.
Danke für eure Mühen
Hans

 

[laserdesign]

Hallo,

meinst du die IP's aus dem 10er Netz, die brauchst du nicht ändern.

Das sind die IP's für die Tunnelendpunkte und werden dynamisch vergeben.

Am bessten du machst mal einen Screenshot und stelltst ihn hier rein,
aus deinem Text werde ich nicht richtig schlau.

 

[wanderer99]

Hallo Fred
wenn ich einen VPN Server habe, dann vergibt er die Tunnelendpunkte in meinem Netz.
wenn ich in meinem Netz dann Switche haben von 192.168.178.1 - 192.168.178.50, dann sollte der VPN server die Adressen dynamisch von 192.168.178.51 - 192.168.178.61 vergeben.
Nun kann ich beim VPN Server 192.168.178.-- vorgeben, habe aber keine Chance auf die letzte Ziffer.
Das ist auch hier zu sehen:
https://www.synology.com/de-de/knowledgebase/tutorials/459#t3.2
Entweder verstehe ich die Anleitung falsch, die für das aktuelle ist nahezu identisch, oder ich habe was übersehen.
danke
Hans

 

[laserdesign]

Hallo,

wenn ich in meinem Netz dann Switche haben von 192.168.178.1 - 192.168.178.50, dann sollte der VPN server die Adressen dynamisch von 192.168.178.51 - 192.168.178.61 vergeben.

ich verstehe nur Bahnhof

Nun kann ich beim VPN Server 192.168.178.-- vorgeben, habe aber keine Chance auf die letzte Ziffer.

Da kommt auch keine IP rein, sondern die NET-ID.

 

[goetz]

Hallo,
Du darfst nicht für das VPN Netz das selbe Netz nehmen wie das Heimnetz. Bei Synology gilt Client-Netz ungleich VPN-Netz ungleich Server-Netz. Wenn Du das einhältst kannst Du ganz normal auf das Heim- (Server-) Netz zugreifen.

Gruß Götz

 

[MMD*]

Hallo,
Es gelten diese regeln:
LAN netzwerk different als VPN netzwerk different als Remote netzwerk

Beispiel.
LAN =192.xxx.xxx.xxx
VPN =10.xxx.xxx.xxx
Remote = Hier hat man keine einfluss

VPN bereich solte man so wahlen das die chance auf gleichen bereich im Remote so klein wie moglich ist, sonst gibts IP conflicts.

 

[wanderer99]

Jetzt verstehe ich nur Bahnhof
bei mir steht vor der Maske: Dynamische IP-Adresse: und dazu als Erklärung: Geben Sie hier die Netzwerk-Mail-Adresse ein. VPN Server wird VPN-Clients virtuelle IP-Adressen entsprechend dem eingegebenen Wert zuweisen. Beispiel: Wenn „10.0.0.0“ eingegeben wird, reicht die zugewiesene virtuelle IP-Adresse für PPTP von „10.0.0.1“ bis „10.0.0. [Max. Anzahl von Verbindungen]“.
So, und genau da liegt das Problem, ich will nicht das er mit „10.0.0.1“ anfängt, sondern mit „10.0.0.51“
Ich habe hier schon ein IPsec VPN, da kann ich explizit vorgeben das der User Hurzliburzli die IP Adresse xy zugewiesen bekommt.
alles Gute
Hans

 

[wanderer99]

Hallo zusammen
ok, ich verstehe es nicht, wenn goetz Recht hat sollte es laufen, tut es aber nicht und ich kann leider auch nicht sehen was der Server da exportiert und in das Zip File stellt. Wenn ich das so mache, das mein Remote Hobel ein anderes netz als mein Home hat und das VPN dann das dritte netz ist, dann bekomme ich einfach keinen Zugriff. Ich kann weder das Serverzertifikat noch sonst was überprüfen.
Eventuell bin ich einfach zu blöde.
danke euch
Hans

 

[MMD*]

"ich will nicht das er mit „10.0.0.1“ anfängt, sondern mit „10.0.0.51“
So funzt das nicht bei Synology.

"Ich habe hier schon ein IPsec VPN, da kann ich explizit vorgeben das der User Hurzliburzli die IP Adresse xy zugewiesen bekommt."
Nicht auf DS denk ich?

Warum den nicht 10.0.1.xxx?

 

[tobi-75]

Hallo!

Ich kann Dir nur sagen wie es bei mir funktioniert "hat". (Ich nutze mittlerweile die VPN Funktion der Fritzbox). Einen Unterschied in der Konfiguraton zwischen PPTP und OpenVPN sehe ich in meiner (veralteten DSM Version) jetzt nicht.

Ich habe mein lokales Netz auf 192.168.2.0 und das VPN-Netz hatte 192.168.5.0 (5 Verbindungen bedeutete x.x.x.1 bis x.x.x.5). Der erste der sich eingewählt hat bekam .1 usw.

Hier die Konfig:


Hier ein Protokollauszug:

 

[wanderer99]

Hallo Tobi,
ok, ich probier es noch mal, eigentlich sollte das funktionieren, so hatte ich das auch eingestellt, aber das würde ja bedeuten das der Server die Adresse weiter leitet. Bei mir ist dann ein Knopf für Konfigurationsdatei exportieren, aber da kann ich nicht überprüfen welches Zertifikat er nimmt, eventuell verursacht das die Probleme. Aber Ok, den VPN über eine vorgeschaltete Fritzbox wäre ebenfalls eine Möglichkeit, nur nicht so komfortabel.
danke
Hans

 

[ottosykora]

Frage aus Neugier:

wozu macht man solche Änderungen an den Adressbereichen des Tunnels genau?
Ich verwende die voreingestellten Bereiche so wie sie sind, das überschneidet sich nicht, es gibt keine Kollisionen untereinander etc.
Es sind doch nur die Tunnel Adressen.


---

hier ist es doch schön eingerichtet, man hat für jeden VPN Server separates vituelles Netz, wozu soll man das ändern wollen??
Die Bereiche sind unterschiedlich und da ja die meisten Leute intern 192.168xx verwenden werden die Tunnel auch davon nicht tangiert.
Wozu also die Änderungen?

aber das würde ja bedeuten das der Server die Adresse weiter leitet.

weiterleitet wohin und was und warum? Das ist doch die Tunnel Adresse und nicht die Client Adresse. Die sind davon nicht betroffen.

 

[wanderer99]

Hallo Ottosykora,
ich will das machen damit ich jedem User der einen VPN Tunnel bekommt eine feste IP Adresse in meinem Netz geben kann. Damit kann ich exakt protokollieren was der User tut und was nicht.
Das ich die adressen überhaupt nicht vorgeben kann hatte ich so nicht gesehen, ich war es garnicht anders gewöhnt. Ich wollte mir eigentlich nur ein weiteres Gerät für die VPN Tunnel sparen, muss aber nun doch noch ein zusätzliches Gerät ins netz nehmen wenn ich die Adressen exakt vorgeben will.
alles Gute
Hans

 

[laserdesign]

ich vermute mal, das hier wieder die IP vom Tunnelendpunkt genommen wird um die Verbindung zum Client oder Server herzustellen.
Das wäre aber falsch, die Geräte müssen mit ihrer lokalen IP angesprochen werden.
Wenn ich falsch liege, sorry.

 

[ottosykora]

Aha, klar, ja also so was geht da wirklich nicht, die Adressen werden dynamisch zugeteilt und werden nur während der Verbindung mit den lokalen verknüpft und werden dann wieder freigegeben.

Ich denke das ist vorgesehen damit die Installation einfacher wird. Die Leute wissen ja nicht genau voraus aus welchem Netz etc sie sich verbinden wollen und es soll möglichst flexibel funktionieren wenigen Klicks.
Es gibt zwar Leute, die eine VPN aufbauen und dann das Ziel mit der Tunnel Adresse ansprechen (die erste aus dem Pool) aber so was ist eigentlich nicht vorgesehen auch wenn es vielleicht gehen mag. Aber ausser den Tunnel zu organisieren haben diese dynamischen Adressen ja keine Bedeutung und eigentlich keinen Bezug zu dem entfernten Rechner.

Den User auf Grund von der Tunnel IP ist sicher nicht vorgesehen, die entfernten User werden allenfalls auf Grund ihrer eigenen IP erkannt.

 

[wanderer99]

Da ich die direkt mit ds file anspreche ist die Adresse korrekt, soweit kann ich das nachvollziehen, aber auch unter win 8.1 rennt die im Export angegeben Installation nicht, also kann ich das erst mal nur mit dem Tablet probieren, irgend wie kommt mir der openVPN server der Box schon sehr kastriert vor.
Mal schauen ob ich das Teil wenigstens mal zu einer Fehlermeldung bewegen kann, schade klang irgend wie gut den Linux Server abstellen zu können.
alles Gute
Hans

 

[ottosykora]

Da ich die direkt mit ds file anspreche ist die Adresse korrekt, soweit kann ich das nachvollziehen,

ja das machen einige Leute so, aber es ist nicht vorgesehen die Tunnel Adressen mit was auch immer direkt anzusprechen oder sonst irgendwie zu verwenden. Es kann gehen aber muss nicht.
Für alle Belange sind die wirklichen Adressen des Servers und des Clients zu verwenden.

 

[wanderer99]

Also in meiner Konfiguration steht die direkte Serveradresse des DS, genau do wie es auch im Netzwerk der Box angesprochen wird, keine von den virtuellen und die sollte dann ja eigentlich gegen die virtuelle übersetzt werden und durchgereicht werden. Oder verstehe ich das falsch?

 

[tobi-75]

Aber Ok, den VPN über eine vorgeschaltete Fritzbox wäre ebenfalls eine Möglichkeit, nur nicht so komfortabel.

Der VPN Server war meinerseits nur eine Notlösung, da mein Android Telefon nicht mit der FB wollte und ich es nur via PPTP schaffte eine VPN Verbindung herzustellen. Ich denke halt das der "Wächterdienst" auf dem Gerät liegen sollte das soweit wie möglich "draußen" ist. Die FB ist sowieso IMMER an - schon wegen Telefon usw. Die DS hab ich in letzter Zeit häufiger mal in den Winterschlaf geschickt und dann erst per WOL aufgeweckt.

Weiterhin brauche ich keine Ports oder sonstwas freigeben. Ist halt immer eine Frage der Konstellation zu hause / in der Firma.

 

[ottosykora]

eigentlich richtig, nur soll die Servernetz ungleich Tunnel ungleich Clientnetz sein

also ich kann auch dem Netz 192.168.110.x via den Tunnel ins Netz 192.168.1.x verbinden

Der Tunnel ist dann nebensächlich, so lange es auch definitiv anders ist.

Darum geht es meistens nicht wenn man es lokal versucht, sondern muss wirklich extern sein.

Sind die Ports richtig weitergeleitet auf der Seite des Servers, dann kann man den Aufbau natürlich mit der externen IP oder DDNS machen.

Dem Clienten erscheint dann das Servernetzwerk mit seiner lokalen Adresse, also 192.168.110.x und wird auch so dann angesprochen. Vorhandene Freigaben kann man dann eben als \\192.168.110.100\Freigabe ansprechen oder so ähnlich.

Das einfach nur weil es oft versucht wird aus dem eigenen Netz ein VPN aufzubauen und das geht dann meistens nicht.

Vielleicht noch was: der openVPN Client muss mit 'als Administrator ausführen' gestartet werden sonst geht manches nicht richtig.