Open VPN: Netzlaufwerk verbinden und nicht den ganzen Traffic über VPN

[Progoles]

Hallo zusammen,
ich habe ein Problem, würde gerne mehrere Rechner eines Vereins auf meine NAS zugreifen lassen, bzw. nur auf die Daten via OPen VPN. Dabei würde ich gerne mit den kompfortablen Funktionen unter Windows "Netzlaufwerk verbinden" arbeiten. Soweit mir bekannt wird das über das SMB Protokoll realisiert. Funktioniert alles, insofern man in der Open VPN Konfigurationsdatei den gesamten Traffic, auch den gesamten Traffic (inkl. Internet) der anderen Rechner auf der NAS terminiert. Nur heißt das, das die Rechner jetzt allen Traffic über meine NAS routen, somit von aussen in mein Netz terminieren. Sobald ich in der Konfig Datei den Internet traffic lokal routen lasse, funktioniert die "Netzlaufwerk verbinden" Funktion allerdings nicht mehr. Habt ihr einen Vorschlag wie ich das umgehen kann, bzw. was ich konfigurieren muss?
Ziel wäre, das die Rechner von aussen nur den Netzlaufwerk Traffic auf die NAS terminieren und Internet etc. über deren lokale Internetverbindung.

Setup:
- auf den Rechnern Open VPN
- Fritzbox 7590 vor der NAS mit gesondertem physischen Port für die NAS
- NAS: DS224+

Dank und Gruß

 

[metalworker]

GRüße ,

also mal 2 punkte.

1.
Warum machst das VPN nicht über die Fritzbox ? Da könntest auch WG nehmen .
Das ist schneller als OpenVPN

2.
Auch bei OpenVPN musst aber auch nicht alles über den VPN Tunnel routen lassen.
Vermutlich stimmen auf den VPN CLients die routen nicht .

 

[Hagen2000]

Was Du erreichen willst, heißt Split-Tunnel - sollte eigentlich kein Problem sein.
Über die VPN-Verbindung hast Du in der Regel keine Namensauflösung, d.h. Du musst das Netzlaufwerk über die IP-Adresse des NAS verbinden.

 

[Progoles]

GRüße ,

also mal 2 punkte.

1.
Warum machst das VPN nicht über die Fritzbox ? Da könntest auch WG nehmen .
Das ist schneller als OpenVPN

2.
Auch bei OpenVPN musst aber auch nicht alles über den VPN Tunnel routen lassen.
Vermutlich stimmen auf den VPN CLients die routen nicht .

Hallo metalwoker,
Zu 1: dann wäre der Client in meinem Netz und terminiert nicht auf der NAS, hatte mich damals dagegen entschieden, damit nicht ein direkter Zugriff aufs Netz notwendig ist. Der VPN Port ist in der Fritzbox direkt durch geroutet.
So oder so wäre das gleiche Problem, ich müsste den Traffic am Client. So einstellen, das kur das "Netzlaufwerk verbinden" funktioniert, oder übersehe ich was?

Zu 2: Wo kann ich die Routen einstellen? Es gibt für OpenVpn eine Konfigurationsdatei, die ich rein lade, hier kann ich aber laut Erklärung für den Befehlssatz nur allen Traffic oder nur den NAS Traffic einstellen über die Zeile: #redirect-gateway def1
Vielleicht könnt ihr hier weiterhelfen, wenn ich das dort mit einem anderen Befehlssatz an Open VPN zu konfigurieren, das das Protokoll für das "Netzlaufwerk verbinden" auch über den VPN läuft, aber nicht der gesamte Traffic?

 

[Progoles]

Was Du erreichen willst, heißt Split-Tunnel - sollte eigentlich kein Problem sein.
Über die VPN-Verbindung hast Du in der Regel keine Namensauflösung, d.h. Du musst das Netzlaufwerk über die IP-Adresse des NAS verbinden.

Danke, nur kann ich von aussen nicht auf eine globale IP zugreifen, dafür nutze ich DDNS von der NAS, und damit habe ich nur eine namentliche Adresse, aber keine IP Adresse als Ziel. Oder übersehe ich was? Satische IP ist leider nicht möglich.

 

[metalworker]

nee du musst die Lokale IP vom NAS ,

und in der Firtzbox kannst auch sagen das die VPN Clients nur auf das NAS Zugreifen können,


Mit dem Netzlaufwerk verbinden hat das nichts zu tun.

 

[Hagen2000]

Du musst den Tunnelaufbau selbst (läuft über DDNS-Name) vom Traffic im Tunnel unterscheiden (läuft über IP-Adressen).
Routen musst Du eigentlich nicht extra einstellen, das ergibt sich aus der OpenVPN-Konfiguration.

 

[NSFH]

Verstehe hier etwas nicht.
Man kann den Traffic via SMB nicht vom VPN trennen.
Erstens dürfte selbst der grösste Dummie nicht mehr auf die Idee kommen SMB über das Internet laufen zu lassen.
Zweitens: Das Verbinden mit einem Nw-Laufwerk erfolgt nach Herstellung des VPN Tunnels mit den lokalen Adressen deines LAN.
Und das alles bleibt im VPN, untrennbar!
Man landet also nach Herstellung des VPN zB via Fritzbox im Ziel-LAN.
Jetzt am besten mit einem Script die Laufwerke mappen und das war es dann.

 

[Hagen2000]

Man kann den Traffic via SMB nicht vom VPN trennen.

Das will ja auch niemand bzw. wie sollte so etwas überhaupt funktionieren? Der TE möchte lediglich den übrigen Internetverkehr seiner Clients trennen vom Traffic zum NAS - eben einen Split-Tunnel realisieren. Dass SMB über den VPN-Tunnel laufen soll, ist eigentlich schon klar.

Es wäre mal hilfreich, wenn der TE etwas detaillierter seine Netzwerkumgebung schildern würde und beispielsweise konkrete (nur private) IP-Adressen nennen würde. Auch hoffe ich, dass ihm klar ist, dass er einen VPN-Tunnel nicht aus seinem eigenen Netz heraus aufbauen kann. Aus dem ersten Beitrag lässt sich ja schließen, dass er es prinzipiell schon mal zum Laufen bekommen hat.

 

[Benares]

dass er einen VPN-Tunnel nicht aus seinem eigenen Netz heraus aufbauen kann

Geht das nicht? Ich hab spaßeshalber mal sowas konfiguriert. Ohne Wireguard hat mein PC die 192.168.0.10, mit WG dann die 192.168.0.200, sonst funktioniert alles weiter. Klar, über die Sinnhaftigkeit lässt sich streiten.

 

[NSFH]

Na das bezweifle ich jetzt aber, dass diese Verbindung vollständig über den Tunnel lief.
Eine korrekte Funktion ist nur möglich wenn Source und Ziel unterschiedliche Subnets haben.
Ich vermute mal da hat DHCP abkürzend helfend eingegriffen hat.

 

[Benares]

Mmh, irgendwie scheint es schon alles über den Tunnel zu laufen, ist ja keine LAN-LAN-, sondern eine Host-LAN-Kopplung. Wireguard legt einfach ein weiteres Interface an

Unbekannter Adapter pcgerhard-vpn:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : WireGuard Tunnel
   Physische Adresse . . . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.0.200(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 0.0.0.0
   DNS-Server  . . . . . . . . . . . : 192.168.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
   Suchliste für verbindungsspezifische DNS-Suffixe:
                                       fritz.box

und routet wohl alles darüber (Metrik beachten)

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.10     25
          0.0.0.0          0.0.0.0   Auf Verbindung     192.168.0.200      0
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      192.168.0.0    255.255.255.0   Auf Verbindung      192.168.0.10    281
      192.168.0.0    255.255.255.0   Auf Verbindung     192.168.0.200      0
     192.168.0.10  255.255.255.255   Auf Verbindung      192.168.0.10    281
    192.168.0.200  255.255.255.255   Auf Verbindung     192.168.0.200    256
    192.168.0.255  255.255.255.255   Auf Verbindung      192.168.0.10    281
    192.168.0.255  255.255.255.255   Auf Verbindung     192.168.0.200    256
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.0.10    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.0.10    281
===========================================================================
Ständige Routen:
  Keine

Kein Sinnvolles, aber ein sehr interessantes Konstrukt.

 

[Hagen2000]

Das ist jetzt ein Full-Tunnel - oder? Mach doch mal den Test mit einem Split-Tunnel. Das müsste dann schon etwas Verwirrung in deinem Netz geben

 

[Benares]

Du meinst jetzt mit Full-Tunnel "AllowedIPs = 192.168.0.0/24, 0.0.0.0/0"? Ja, steht so drin.
Ich weiß jetzt nicht, wie es mit IPv6 ist, das läuft wohl nicht über den Tunnel.
Na ja, war ja nur mal ein Experiment.

 

[Progoles]

Hallo zusammen,
Vielen Dank an alle, die Diskussion hilft mir immens das Thema mehr zu durchdringen. Mein Studium ist schon >15 Jahre her und arbeite seitdem nicht mehr technisch.

Zum Vorgehen:

ich habe meinen Versuchsrechner zuerst im Netz selbst eingerichtet, auch die OPEN VPN Verbindung. Zu der Zeit natürlich alles erreichbar. Habe hierbei 2 Configs erzeugt für Open VPN. Einmal mit Befehl redirect-gateway def1 und einmal ohne.
Dann bin ich über einen mobilen Hotspot vom Handy eingewählt jeweils bin mal über die 2 Konfigs per Open VPN verbunden gewesen.

Die NAS hat für die VPN Verbindung eine 10.8. er privat Adresse bekommen und lokal im Netz eine 192.168.er Privat Adresse

Bei der Variante mit komplettem Traffic über VPN konnte ich die NAS erreichen per SMB "Netzlaufwerk verbinden". Jedesmal hat Open VPN eine Verbindung selbst funktionierend angezeigt.

Jetzt mein Fehler Nummer 1: Ich habe die NAS per Name versucht zu erreichen in der Variante ohne Internet über VPN, Danke an Hagen2000 für den Hinweis. Jetzt als IP hinterlegt.

und Fehler Nummer 2: ganz klar ist mir das immer noch nicht, aber ich habe danach über den 192.268 IP Adressberecih versucht die NAS nach aufgebautem Tunnel zu erreichen, nachdem ich das jetzt auf den 10.8.er Bereich umgestellt habe (also anderes Subnetz) ist das jetzt auch erreichbar mit "Netzlaufwerk verbinden". Vermutlich ist jetzt alles wie es sein sollte, nur,
komme ich mit dem Tracert nicht raus bzw. der läuft ins leere. Daher kann ich nur anhand der Ping Länge aktuell vermuten, das der Internetverkehr im Netz des Clients abgeführt wird und nicht in meinem Heimnetz. Quercheck mit "wie ist meine IP" bestätigt mir das, sodass ich jetzt nicht auf die Suche des Tracert Problems gehe (Bitdefender, Fritzbox Firewall etc.). Hier ist ersichtlich, das ich mit der globalen IP des Mobilfunknetzes raus gehe und nict mit meiner Heimnetz globalen IP.

Danke nochmal und sonnige Grüße aus Mitteldeutschland

 

[Hagen2000]

Wenn Du auf dein NAS über die 192.168.x.y-Adresse zugreifen möchtest, dann müsstest Du die Serverkonfiguration erweitern, Stichwort „push route“, siehe auch https://openvpn.net/community-resou...achines-on-either-the-client-or-server-subnet
Jetzt benutzt Du das Transfernetz der VPN-Verbindung (10.8.x.y). Allerdings weiß ich nicht, ob Du die OpenVPN-Serverkonfiguration so flexibel bearbeiten kannst.

Das mit dem tracert müsstest Du genauer erläutern: Auf welcher Maschine startest Du den und welches Ziel willst Du erreichen?