"Komische" IP-Adressen

SwissSabai · 28. Jan 2022

Hallo

ich habe den VPN-Server auf der Diskstation eingerichtet und so konfiguriert, dass er dynamische IP-Adressen im Bereich von 10.2.0.x vergibt.
Nun habe ich auf dem Mobiltelefon (connected über das Telefon-netz und nicht WiFi) VPN enabled, und sehe im VPN Server nun eine verbundenes Gerät mit IP-Adresse 178.197.x.x gibt. Woher kommt diese IP-Adresse? Es handelt sich definitiv um mein iPhone. Die DiskStation ist am Router meines Kabelproviders angehängt und ich habe auf dem Router Port Forwarding für UDP 500, 1701, 4500 konfiguriert.

Ich versuche gherauszufinden, wie ich meinen Router, den VPN Server und die Synology Firewall konfigurieren muss, dass die DiskStation Zugriffe von ausserhalb des lokalen Netzes nur via VPN zulässt. Habe hierzu Für LAN 1 in der Firewall das lokale Netz freigegeben und wollte nun für's VPN Interface den Bereich 10.2.0.x-Bereich freigeben. Habe nun aber erst mal temporär die Firewall wieder deaktiviert, da ich erst mal Klarheit über die VPN Konfiguration erlangen muss und ich mich nicht aussperren will (dass VPN nicht mehr geht oder dass ich selbst von der Firewall ausgesperrt werde).

Bin dankbar fur Hinweise.

Anzeige · 28. Jan 2022

Hallo SwissSabai,

Bücher und Hardware zum Thema gibt es bei Amazon: "Komische" IP-Adressen

plang.pl · 28. Jan 2022

Dein iPhone ist im Mobilfunk-Netz und hat eine öffentliche IP-Adresse, mit der es von außen kommt. Nur intern in deinem Heimnetzwerk kannst du mit einer IP aus deinem 10.0.2.x-Netz arbeiten, die der VPN-Server bereitstellt. Wenn du nun die Firewall auf dem VPN-Interface so konfigurierst, dass sie nur 10.0.2.x-Adressen reinlässt, kommst du mit deinem iPhone von extern nicht mehr rein.

SwissSabai · 28. Jan 2022

Hallo @plang.pl

Langsam reift mein Verständnis bezüglich dem Setup, aber ein Puzzle Teil fehlt mir noch... Ohne VPN habe ich die Firewall nun so konfiguriert, dass über das LAN 1 Interface, das lokale Subnetz (192.168.0.x), die praktisch statische externe Adresse meines Providers auf alles Zugriff haben, für alle anderen nur Ports 80 und 443 offen sind und ansonsten alle Zugriffe von LAN 1 abgeblockt werden.

Nun möchte ich aber auch mir von überall her auf der ganzen Welt Zugriff geben, allerdings nur über VPN. Es war mein Verständnis, dass ich nun im VPN Interface die dynamischen Adressen die der VPN Server gibt zulassen müsste. Aber wie Du schreibst, sperre ich mich damit aus. Ist mein Verstandes korrekt, dass wenn es um VPN Zugriffe geht nur die Firewall Regeln für's VPN interface relevant sind? Da es sich um "mein" VPN handelt, ist es sicher, in diesem Tab praktisch den Zugriff aus der ganzen Welt zuzulassen?

Habe eine solche Konfiguration eben wieder probiert, dann kann ich aber auf dem iPhone VPN nicht mehr enablen. Irgendwie scheint meine Firewall LAN 1 Konfiguration meine VPN Aktivierungsversuche auszubremsen :-(

ottosykora · 28. Jan 2022

ich würde sonst dringend vor Versuchen abzuraten einen Anschluss mit einer 10er IP ins Internet zu stellen, das kann unvorsehbare Folgen haben

plang.pl · 29. Jan 2022

SwissSabai schrieb:
praktisch den Zugriff aus der ganzen Welt zuzulassen?

Ich würde eine Regel erstellen, die den Zugriff für öffentliche Adressen nur auf den VPN-Server bzw dessen Ports zulässt.

SwissSabai schrieb:
überall her auf der ganzen Welt

Dennoch kannst du Geoblocking aktivieren für Länder, aus denen du mit Sicherheit nicht zugreifen würdest.

SwissSabai · 29. Jan 2022

Danke für eure wertvollen Tipps, aber leider erschliesst sich mir die “richtige” Konfiguration noch immer nicht.

Wenn ich nun im LAN 1 Interface ganz grundsätzlich alle Zugriffe aus der Schweiz zulasse, dann kann ich auch VPN aus dem Mobilfunknetz aktivieren.

Wenn zum LAN 1- Interface eine Regel hinzufüge, die nur die UDP VPN-Ports freigibt (für z.B. Zugriffe aus der Schweiz), dann kann ich zwar aus dem Mobilfunknetz VPN aktivieren,
- komme aber nicht mehr auf das Web-Interface der DSM (ohne weitere Dienste/Ports freizugeben)
- und kann nicht von ausserhalb der Schweiz zugreifen (ohne zusätzliche Länder freizugeben).

(Wenn ich zusätzlich den Port für die Verwaltungsprogramme / DSM über https freigebe, habe ich immerhin eine Chance auch im Ausland im Resource Monitor die effektive IP Adresse des verbundenen Gerätes zu sehen, für welche ich dann in einem zweiten Schritt mit einer temporären Regel vollständige Zugriffsrechte gewähren könnte)

Ich frage mich auch für was denn schliesslich das VPN Interface in der Firewall Konfiguration gut ist, wenn ich alle Freigaben im LAN 1 Interface vornehmen muss.

Irgendwie schaffe ich es noch nicht ein schlüssiges Gesamtbild zu bekommen. Wo habe ich noch ein “Brett vor dem Kopf”?

SwissSabai · 29. Jan 2022

ottosykora schrieb:
ich würde sonst dringend vor Versuchen abzuraten einen Anschluss mit einer 10er IP ins Internet zu stellen, das kann unvorsehbare Folgen haben

Ich dachte ich müsse diesen Range freigeben, da der VPN-Server diese dynamischen Adressen zuweist.
Dennoch dir Frage: weshalb sollte dies riskant sein? Es wäre ja dann ein “lokales” Netz, oder nicht?