Open VPN und Docker

[power_nas]

Hallo zusammen,

folgendes Problem: Ich habe OpenVPN eingerichtet und der Zugang klappt auch problemlos. Allerdings muss ich, wenn ich via VPN von aussen auf die DS zugreife und Docker-Container aufrufen will, die interne OpenVPN IP statt der "normalen" lokalen IP nutzen. Das funktioniert zwar, ist aber nervig, weil ich bei beiden Verbindungsarten (lokal im Heimnetz und von außen über VPN) die gleiche IP für die Docker Container nutzen will.
Als Beispiel:
DS im Heimnetz: 192.168.178.xx : Portnummer zum Aufruf eines Docker-Containers
DS über VPN: 10.8.0.x : Portnummer zum Aufruf des gleichen Docker-Containers wie im Heimnetz

Ziel: Sowohl im Heimnetz als auch über VPN mit 192.168.178.xx den Docker-Container aufrufen können.


Ich nehme an, dass es eine einfache Möglichkeit gibt, das zu erreichen, da das Thema OpenVPN und DS für mich jedoch noch sehr neu ist, habe ich hier noch keine Idee.

Besten Dank für hilfreiche Lösungsansätze.

 

[metalworker]

in OpenVPN bin ich selbst nicht so drin.
Aber was hast du denn für einen Router?

Idealerweise macht der Router gleich das VPN , dann klappt auch das Routing meist besser

 

[power_nas]

Als Router dient eine FritzBox 6490, die schon mal WireGuard nicht unterstützt. Ich bin aber auch allgemein daran interessiert, das mit den aktuell zur Verfügung stehenden Mitteln zu lösen (d.h. ohne Einstellungen am Router zu verändern), da der Rest problemlos läuft, wenn die DS als VPN Server dient und ich dann per OpenVPN Client von ausserhalb auf die DS zugreife.

 

[Benie]

Aber ein Einfaches VPN ist mit der FB 6490 doch auch möglich, was auch recht einfach eingerichtet werden kann.

Letztendlich verstellt Du dabei nichts and der Fritte, Du fügst nur eine Aufgabe hinzu und hast dabei den Vorteil der Firewall bereits auch schon auf der Fritte liegen zu haben.

https://lu.avm.de/service/wissensdatenbank/dok/FRITZ-Box-6490-Cable/3448_VPN-mit-FRITZ/

 

[crammaster]

Moin,

ich nutze OpenVPN auch für die DS und habe dort eine 192.168.XXX.XXX IP-Adresse vergeben und kann ohne Probleme die IP-Adresse des Host-Netzes verwenden.

Hast du auch den Haken drin, bei der Option das Clients den Server-Lan-Zugriff nutzen dürfen?

Lg
Marc

 

[power_nas]

Aber ein Einfaches VPN ist mit der FB 6490 doch auch möglich, was auch recht einfach eingerichtet werden kann.

Das stimmt natürlich. Diese Option werde ich testen, wenn ich absolut nicht weiterkomme. Zum aktuellen Zeitpunkt will ich zumindest die Hintergründe nachvollziehen, warum es nicht so klappt, wie ich mir das vorstelle.

ich nutze OpenVPN auch für die DS und habe dort eine 192.168.XXX.XXX IP-Adresse vergeben und kann ohne Probleme die IP-Adresse des Host-Netzes verwenden.

Hast du auch den Haken drin, bei der Option das Clients den Server-Lan-Zugriff nutzen dürfen?

Die Checkbox "Clients den Server-LAN-Zugriff erlauben" ist bei mir aktiviert. Ich kann ja auch auf das Heimnetz zugreifen, nur eben, aus mir bisher noch nicht nachvollziehbaren Gründen, nicht mit der lokalen 192.168.xx IP. Nutze ich die OpenVPN IP, so kann ich problemlos auf den Docker-Container, der im Heimnetzt mit der lokalen IP erreichbar ist, zugreifen.

 

[crammaster]

Kannst du über VPN auf die DSM Oberfläche mit der LAN IP des NAS zugreifen?

Schon mal versucht, die VPN IP auf eine 192er zu ändern?

 

[Hagen2000]

Den Docker-Containern fehlt vermutlich die Rück-Route, etwa 10.8.0.0/255 Gateway <lokale IP deines NAS>.
Die Beantwortung der ersten Frage vom vorherigen Post wäre mal interessant.

 

[Hagen2000]

Du kannst die statische Route übrigens auch auf deiner FRITZ!Box aufsetzen - sofern die entsprechenden Menüs bei Dir freigeschaltet sind.

 

[power_nas]

Kannst du über VPN auf die DSM Oberfläche mit der LAN IP des NAS zugreifen?

Das funktioniert auch nicht, es gibt einen "ERR_CONNECTION_TIMED_OUT".

Schon mal versucht, die VPN IP auf eine 192er zu ändern?

Bisher noch nicht, ich werde die OpenVPN Konfiguration anpassen und Rückmeldung geben, ob sich etwas geändert hat.

Du kannst die statische Route übrigens auch auf deiner FRITZ!Box aufsetzen - sofern die entsprechenden Menüs bei Dir freigeschaltet sind.

Das schaue ich mir in der FritzBox nachher gleich mal an. Es ist sehr gut möglich, dass ich dann weitere Fragen dazu habe, da ich bisher auch mit statischen Routen noch nie etwas zu tun hatte.


Vielen Dank an euch für die Tips!

 

[crammaster]

Das funktioniert auch nicht, es gibt einen "ERR_CONNECTION_TIMED_OUT".

Erreichst du die Fritzbox über Ihre Lan-IP?

Welches OpenVPN Tool benutzt du zum Verbinden? bzw. schon mal in die Config-Datei geguckt?

 

[laserdesign]

um hier überhaupt helfen zu können solltest du mal die OVPN-Server- und OVPN-Client-Config zeigen, zusätzlich das Routing,
Da du nur über die Tunnel-IP verbinden kannst, vermute ich das es am Routing liegt so wie Hagen200 es schon geschrieben hat.

PS.: Warum installiertst du dir nicht Wireguard, ist wesentlich einfacher zu confen.
https://www.wireguardconfig.com/

 

[Benie]

Siehe Post # 3, weil seine Fritte das nicht kann.

 

[laserdesign]

naja, wenn man sich von der Fritte abhängig macht, geht vieles nicht.

 

[Benie]

Ist wohl auch eine Kostenfrage, die aktuelle Fritzbox Cable kostet je nach Model ca zwischen 200 und 250 Euro, vorallem ist das nicht nur für Wenige ein Batzen Geld, wenn man sich am Ende grad eine neue DS mit allem drum herum zugelegt hat.

 

[power_nas]

Erreichst du die Fritzbox über Ihre Lan-IP?

Nein, es kommt der gleiche "ERR_CONNECTION_TIMED_OUT" Fehler.

Welches OpenVPN Tool benutzt du zum Verbinden? bzw. schon mal in die Config-Datei geguckt?

Ich nutze den "normalen" OpenVPN-Client zum Verbinden. Einstellungen sind aus dem VPN-Server der DS exportiert.
Einstellungen kann ich nachreichen, wenn ich wieder zu Hause bin.

naja, wenn man sich von der Fritte abhängig macht, geht vieles nicht.

Gut, dass ich das nun weiss.
Ich habe mal spaßeshalber WireGuard installiert, alleine der Client ist ein Krampf, da er nur mit vollen Adminrechten läuft. OpenVPN habe ich installiert und das Teil lief. So viel dazu.

 

[laserdesign]

alleine der Client ist ein Krampf, da er nur mit vollen Adminrechten läuft

du arbeitest mit Windows?? wenn ja, da gibt es eine Lösung, komme gerade nicht dazu dir einen Link zu geben, musste mal selber recherchieren

 

[power_nas]

Das habe ich schon gemacht und den WireGuard Client auch zum Laufen bekommen. Warum ich dazu allerdings in der Registry herumfummeln muss, ist mir absolut schleierhaft. Und selbst dann werden für den Import der Config trotzdem 100% Adminrechte gebraucht. Beim OpenVPN-Client braucht man das alles nicht, der läuft einfach.

Ansonsten denke ich, dass ich die Ursache gefunden habe: Die Verbindung, mit der ich von aussen auf die DS zugreife, hat nur IPv6, IPv4 gibt's nicht. Ich werde das mal auf DualStack umstellen lassen und denke, dass sich das Problem dann erledigt haben sollte.

 

[crammaster]

Nutzt du IPv6 im Lan?

 

[Hagen2000]

Ansonsten denke ich, dass ich die Ursache gefunden habe: Die Verbindung, mit der ich von aussen auf die DS zugreife, hat nur IPv6, IPv4 gibt's nicht. Ich werde das mal auf DualStack umstellen lassen und denke, dass sich das Problem dann erledigt haben sollte.

Das glaube ich nicht, denn Du hast bereits einen funktionierenden VPN-Tunnel über den Du mit IPv4 kommunizieren kannst.

Deine Konfiguration ist jedoch anscheinend noch nicht ganz vollständig:
Der Client muss wissen, welches Netz sich noch hinter dem VPN-Tunnel befindet.

Dazu kann beispielsweise der VPN-Server eine entsprechende Route "puschen" - für das eigene LAN sollte die bereits angesprochene Checkbox das veranlassen. Du musst Dich in dem Fall jedoch um das Thema Rückrouten kümmern. Zumindest dein NAS - auf dem der OpenVPN-Server läuft - sollte die Rückroute automatisch kennen. Der Zugriff auf das NAS (also beispielsweise die DSM-Oberfläche) sollte also möglich sein, sofern keine Firewall-Einstellungen oder IP-Beschränkungen den Zugriff über VPN verbieten.