Open VPN: Netzlaufwerk verbinden und nicht den ganzen Traffic über VPN

Progoles

Benutzer
Mitglied seit
22. Okt 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,
ich habe ein Problem, würde gerne mehrere Rechner eines Vereins auf meine NAS zugreifen lassen, bzw. nur auf die Daten via OPen VPN. Dabei würde ich gerne mit den kompfortablen Funktionen unter Windows "Netzlaufwerk verbinden" arbeiten. Soweit mir bekannt wird das über das SMB Protokoll realisiert. Funktioniert alles, insofern man in der Open VPN Konfigurationsdatei den gesamten Traffic, auch den gesamten Traffic (inkl. Internet) der anderen Rechner auf der NAS terminiert. Nur heißt das, das die Rechner jetzt allen Traffic über meine NAS routen, somit von aussen in mein Netz terminieren. Sobald ich in der Konfig Datei den Internet traffic lokal routen lasse, funktioniert die "Netzlaufwerk verbinden" Funktion allerdings nicht mehr. Habt ihr einen Vorschlag wie ich das umgehen kann, bzw. was ich konfigurieren muss?
Ziel wäre, das die Rechner von aussen nur den Netzlaufwerk Traffic auf die NAS terminieren und Internet etc. über deren lokale Internetverbindung.

Setup:
- auf den Rechnern Open VPN
- Fritzbox 7590 vor der NAS mit gesondertem physischen Port für die NAS
- NAS: DS224+

Dank und Gruß
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.364
Punkte
194
GRüße ,

also mal 2 punkte.

1.
Warum machst das VPN nicht über die Fritzbox ? Da könntest auch WG nehmen .
Das ist schneller als OpenVPN

2.
Auch bei OpenVPN musst aber auch nicht alles über den VPN Tunnel routen lassen.
Vermutlich stimmen auf den VPN CLients die routen nicht .
 
  • Like
Reaktionen: Progoles

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
375
Punkte für Reaktionen
136
Punkte
43
Was Du erreichen willst, heißt Split-Tunnel - sollte eigentlich kein Problem sein.
Über die VPN-Verbindung hast Du in der Regel keine Namensauflösung, d.h. Du musst das Netzlaufwerk über die IP-Adresse des NAS verbinden.
 
  • Like
Reaktionen: Tuxnet und Progoles

Progoles

Benutzer
Mitglied seit
22. Okt 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
GRüße ,

also mal 2 punkte.

1.
Warum machst das VPN nicht über die Fritzbox ? Da könntest auch WG nehmen .
Das ist schneller als OpenVPN

2.
Auch bei OpenVPN musst aber auch nicht alles über den VPN Tunnel routen lassen.
Vermutlich stimmen auf den VPN CLients die routen nicht .
Hallo metalwoker,
Zu 1: dann wäre der Client in meinem Netz und terminiert nicht auf der NAS, hatte mich damals dagegen entschieden, damit nicht ein direkter Zugriff aufs Netz notwendig ist. Der VPN Port ist in der Fritzbox direkt durch geroutet.
So oder so wäre das gleiche Problem, ich müsste den Traffic am Client. So einstellen, das kur das "Netzlaufwerk verbinden" funktioniert, oder übersehe ich was?

Zu 2: Wo kann ich die Routen einstellen? Es gibt für OpenVpn eine Konfigurationsdatei, die ich rein lade, hier kann ich aber laut Erklärung für den Befehlssatz nur allen Traffic oder nur den NAS Traffic einstellen über die Zeile: #redirect-gateway def1
Vielleicht könnt ihr hier weiterhelfen, wenn ich das dort mit einem anderen Befehlssatz an Open VPN zu konfigurieren, das das Protokoll für das "Netzlaufwerk verbinden" auch über den VPN läuft, aber nicht der gesamte Traffic?
 

Progoles

Benutzer
Mitglied seit
22. Okt 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Was Du erreichen willst, heißt Split-Tunnel - sollte eigentlich kein Problem sein.
Über die VPN-Verbindung hast Du in der Regel keine Namensauflösung, d.h. Du musst das Netzlaufwerk über die IP-Adresse des NAS verbinden.
Danke, nur kann ich von aussen nicht auf eine globale IP zugreifen, dafür nutze ich DDNS von der NAS, und damit habe ich nur eine namentliche Adresse, aber keine IP Adresse als Ziel. Oder übersehe ich was? Satische IP ist leider nicht möglich.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.364
Punkte
194
nee du musst die Lokale IP vom NAS ,

und in der Firtzbox kannst auch sagen das die VPN Clients nur auf das NAS Zugreifen können,


Mit dem Netzlaufwerk verbinden hat das nichts zu tun.
 
  • Like
Reaktionen: Progoles

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
375
Punkte für Reaktionen
136
Punkte
43
Du musst den Tunnelaufbau selbst (läuft über DDNS-Name) vom Traffic im Tunnel unterscheiden (läuft über IP-Adressen).
Routen musst Du eigentlich nicht extra einstellen, das ergibt sich aus der OpenVPN-Konfiguration.
 
  • Like
Reaktionen: Tuxnet und Progoles

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Verstehe hier etwas nicht.
Man kann den Traffic via SMB nicht vom VPN trennen.
Erstens dürfte selbst der grösste Dummie nicht mehr auf die Idee kommen SMB über das Internet laufen zu lassen.
Zweitens: Das Verbinden mit einem Nw-Laufwerk erfolgt nach Herstellung des VPN Tunnels mit den lokalen Adressen deines LAN.
Und das alles bleibt im VPN, untrennbar!
Man landet also nach Herstellung des VPN zB via Fritzbox im Ziel-LAN.
Jetzt am besten mit einem Script die Laufwerke mappen und das war es dann.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
375
Punkte für Reaktionen
136
Punkte
43
Man kann den Traffic via SMB nicht vom VPN trennen.
Das will ja auch niemand bzw. wie sollte so etwas überhaupt funktionieren? Der TE möchte lediglich den übrigen Internetverkehr seiner Clients trennen vom Traffic zum NAS - eben einen Split-Tunnel realisieren. Dass SMB über den VPN-Tunnel laufen soll, ist eigentlich schon klar.

Es wäre mal hilfreich, wenn der TE etwas detaillierter seine Netzwerkumgebung schildern würde und beispielsweise konkrete (nur private) IP-Adressen nennen würde. Auch hoffe ich, dass ihm klar ist, dass er einen VPN-Tunnel nicht aus seinem eigenen Netz heraus aufbauen kann. Aus dem ersten Beitrag lässt sich ja schließen, dass er es prinzipiell schon mal zum Laufen bekommen hat.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Progoles

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.059
Punkte für Reaktionen
3.872
Punkte
488
dass er einen VPN-Tunnel nicht aus seinem eigenen Netz heraus aufbauen kann
Geht das nicht? Ich hab spaßeshalber mal sowas konfiguriert. Ohne Wireguard hat mein PC die 192.168.0.10, mit WG dann die 192.168.0.200, sonst funktioniert alles weiter. Klar, über die Sinnhaftigkeit lässt sich streiten.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Progoles

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Na das bezweifle ich jetzt aber, dass diese Verbindung vollständig über den Tunnel lief.
Eine korrekte Funktion ist nur möglich wenn Source und Ziel unterschiedliche Subnets haben.
Ich vermute mal da hat DHCP abkürzend helfend eingegriffen hat.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.059
Punkte für Reaktionen
3.872
Punkte
488
Mmh, irgendwie scheint es schon alles über den Tunnel zu laufen, ist ja keine LAN-LAN-, sondern eine Host-LAN-Kopplung. Wireguard legt einfach ein weiteres Interface an
Code:
Unbekannter Adapter pcgerhard-vpn:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : WireGuard Tunnel
   Physische Adresse . . . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.0.200(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 0.0.0.0
   DNS-Server  . . . . . . . . . . . : 192.168.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
   Suchliste für verbindungsspezifische DNS-Suffixe:
                                       fritz.box
und routet wohl alles darüber (Metrik beachten)
Code:
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.10     25
          0.0.0.0          0.0.0.0   Auf Verbindung     192.168.0.200      0
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      192.168.0.0    255.255.255.0   Auf Verbindung      192.168.0.10    281
      192.168.0.0    255.255.255.0   Auf Verbindung     192.168.0.200      0
     192.168.0.10  255.255.255.255   Auf Verbindung      192.168.0.10    281
    192.168.0.200  255.255.255.255   Auf Verbindung     192.168.0.200    256
    192.168.0.255  255.255.255.255   Auf Verbindung      192.168.0.10    281
    192.168.0.255  255.255.255.255   Auf Verbindung     192.168.0.200    256
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.0.10    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.0.10    281
===========================================================================
Ständige Routen:
  Keine
Kein Sinnvolles, aber ein sehr interessantes Konstrukt.
 
  • Like
Reaktionen: Progoles

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
375
Punkte für Reaktionen
136
Punkte
43
Das ist jetzt ein Full-Tunnel - oder? Mach doch mal den Test mit einem Split-Tunnel. Das müsste dann schon etwas Verwirrung in deinem Netz geben ;)
 
  • Like
Reaktionen: Progoles

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.059
Punkte für Reaktionen
3.872
Punkte
488
Du meinst jetzt mit Full-Tunnel "AllowedIPs = 192.168.0.0/24, 0.0.0.0/0"? Ja, steht so drin.
Ich weiß jetzt nicht, wie es mit IPv6 ist, das läuft wohl nicht über den Tunnel.
Na ja, war ja nur mal ein Experiment.
 
  • Like
Reaktionen: Progoles

Progoles

Benutzer
Mitglied seit
22. Okt 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,
Vielen Dank an alle, die Diskussion hilft mir immens das Thema mehr zu durchdringen. Mein Studium ist schon >15 Jahre her und arbeite seitdem nicht mehr technisch.

Zum Vorgehen:

ich habe meinen Versuchsrechner zuerst im Netz selbst eingerichtet, auch die OPEN VPN Verbindung. Zu der Zeit natürlich alles erreichbar. Habe hierbei 2 Configs erzeugt für Open VPN. Einmal mit Befehl redirect-gateway def1 und einmal ohne.
Dann bin ich über einen mobilen Hotspot vom Handy eingewählt jeweils bin mal über die 2 Konfigs per Open VPN verbunden gewesen.

Die NAS hat für die VPN Verbindung eine 10.8. er privat Adresse bekommen und lokal im Netz eine 192.168.er Privat Adresse

Bei der Variante mit komplettem Traffic über VPN konnte ich die NAS erreichen per SMB "Netzlaufwerk verbinden". Jedesmal hat Open VPN eine Verbindung selbst funktionierend angezeigt.

Jetzt mein Fehler Nummer 1: Ich habe die NAS per Name versucht zu erreichen in der Variante ohne Internet über VPN, Danke an Hagen2000 für den Hinweis. Jetzt als IP hinterlegt.

und Fehler Nummer 2: ganz klar ist mir das immer noch nicht, aber ich habe danach über den 192.268 IP Adressberecih versucht die NAS nach aufgebautem Tunnel zu erreichen, nachdem ich das jetzt auf den 10.8.er Bereich umgestellt habe (also anderes Subnetz) ist das jetzt auch erreichbar mit "Netzlaufwerk verbinden". Vermutlich ist jetzt alles wie es sein sollte, nur,
komme ich mit dem Tracert nicht raus bzw. der läuft ins leere. Daher kann ich nur anhand der Ping Länge aktuell vermuten, das der Internetverkehr im Netz des Clients abgeführt wird und nicht in meinem Heimnetz. Quercheck mit "wie ist meine IP" bestätigt mir das, sodass ich jetzt nicht auf die Suche des Tracert Problems gehe (Bitdefender, Fritzbox Firewall etc.). Hier ist ersichtlich, das ich mit der globalen IP des Mobilfunknetzes raus gehe und nict mit meiner Heimnetz globalen IP.

Danke nochmal und sonnige Grüße aus Mitteldeutschland
 
Zuletzt bearbeitet:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
375
Punkte für Reaktionen
136
Punkte
43
Wenn Du auf dein NAS über die 192.168.x.y-Adresse zugreifen möchtest, dann müsstest Du die Serverkonfiguration erweitern, Stichwort „push route“, siehe auch https://openvpn.net/community-resou...achines-on-either-the-client-or-server-subnet
Jetzt benutzt Du das Transfernetz der VPN-Verbindung (10.8.x.y). Allerdings weiß ich nicht, ob Du die OpenVPN-Serverkonfiguration so flexibel bearbeiten kannst.

Das mit dem tracert müsstest Du genauer erläutern: Auf welcher Maschine startest Du den und welches Ziel willst Du erreichen?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat