Open VPN und Docker

power_nas

Benutzer
Mitglied seit
23. Jul 2024
Beiträge
16
Punkte für Reaktionen
2
Punkte
3
Hallo zusammen,

folgendes Problem: Ich habe OpenVPN eingerichtet und der Zugang klappt auch problemlos. Allerdings muss ich, wenn ich via VPN von aussen auf die DS zugreife und Docker-Container aufrufen will, die interne OpenVPN IP statt der "normalen" lokalen IP nutzen. Das funktioniert zwar, ist aber nervig, weil ich bei beiden Verbindungsarten (lokal im Heimnetz und von außen über VPN) die gleiche IP für die Docker Container nutzen will.
Als Beispiel:
DS im Heimnetz: 192.168.178.xx : Portnummer zum Aufruf eines Docker-Containers
DS über VPN: 10.8.0.x : Portnummer zum Aufruf des gleichen Docker-Containers wie im Heimnetz

Ziel: Sowohl im Heimnetz als auch über VPN mit 192.168.178.xx den Docker-Container aufrufen können.


Ich nehme an, dass es eine einfache Möglichkeit gibt, das zu erreichen, da das Thema OpenVPN und DS für mich jedoch noch sehr neu ist, habe ich hier noch keine Idee.

Besten Dank für hilfreiche Lösungsansätze.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.168
Punkte für Reaktionen
1.133
Punkte
194
in OpenVPN bin ich selbst nicht so drin.
Aber was hast du denn für einen Router?

Idealerweise macht der Router gleich das VPN , dann klappt auch das Routing meist besser
 

power_nas

Benutzer
Mitglied seit
23. Jul 2024
Beiträge
16
Punkte für Reaktionen
2
Punkte
3
Als Router dient eine FritzBox 6490, die schon mal WireGuard nicht unterstützt. Ich bin aber auch allgemein daran interessiert, das mit den aktuell zur Verfügung stehenden Mitteln zu lösen (d.h. ohne Einstellungen am Router zu verändern), da der Rest problemlos läuft, wenn die DS als VPN Server dient und ich dann per OpenVPN Client von ausserhalb auf die DS zugreife.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.472
Punkte für Reaktionen
3.509
Punkte
344
  • Like
Reaktionen: power_nas

crammaster

Benutzer
Mitglied seit
14. Jul 2024
Beiträge
187
Punkte für Reaktionen
42
Punkte
28
Moin,

ich nutze OpenVPN auch für die DS und habe dort eine 192.168.XXX.XXX IP-Adresse vergeben und kann ohne Probleme die IP-Adresse des Host-Netzes verwenden.

Hast du auch den Haken drin, bei der Option das Clients den Server-Lan-Zugriff nutzen dürfen?

Lg
Marc
 
  • Like
Reaktionen: power_nas

power_nas

Benutzer
Mitglied seit
23. Jul 2024
Beiträge
16
Punkte für Reaktionen
2
Punkte
3
Aber ein Einfaches VPN ist mit der FB 6490 doch auch möglich, was auch recht einfach eingerichtet werden kann.
Das stimmt natürlich. Diese Option werde ich testen, wenn ich absolut nicht weiterkomme. Zum aktuellen Zeitpunkt will ich zumindest die Hintergründe nachvollziehen, warum es nicht so klappt, wie ich mir das vorstelle. :)

ich nutze OpenVPN auch für die DS und habe dort eine 192.168.XXX.XXX IP-Adresse vergeben und kann ohne Probleme die IP-Adresse des Host-Netzes verwenden.

Hast du auch den Haken drin, bei der Option das Clients den Server-Lan-Zugriff nutzen dürfen?
Die Checkbox "Clients den Server-LAN-Zugriff erlauben" ist bei mir aktiviert. Ich kann ja auch auf das Heimnetz zugreifen, nur eben, aus mir bisher noch nicht nachvollziehbaren Gründen, nicht mit der lokalen 192.168.xx IP. Nutze ich die OpenVPN IP, so kann ich problemlos auf den Docker-Container, der im Heimnetzt mit der lokalen IP erreichbar ist, zugreifen.
 
  • Like
Reaktionen: Benie

crammaster

Benutzer
Mitglied seit
14. Jul 2024
Beiträge
187
Punkte für Reaktionen
42
Punkte
28
Kannst du über VPN auf die DSM Oberfläche mit der LAN IP des NAS zugreifen?

Schon mal versucht, die VPN IP auf eine 192er zu ändern?
 
  • Like
Reaktionen: power_nas

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
339
Punkte für Reaktionen
117
Punkte
43
Den Docker-Containern fehlt vermutlich die Rück-Route, etwa 10.8.0.0/255 Gateway <lokale IP deines NAS>.
Die Beantwortung der ersten Frage vom vorherigen Post wäre mal interessant.
 
  • Like
Reaktionen: power_nas

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
339
Punkte für Reaktionen
117
Punkte
43
Du kannst die statische Route übrigens auch auf deiner FRITZ!Box aufsetzen - sofern die entsprechenden Menüs bei Dir freigeschaltet sind.
 
  • Like
Reaktionen: power_nas

power_nas

Benutzer
Mitglied seit
23. Jul 2024
Beiträge
16
Punkte für Reaktionen
2
Punkte
3
Kannst du über VPN auf die DSM Oberfläche mit der LAN IP des NAS zugreifen?
Das funktioniert auch nicht, es gibt einen "ERR_CONNECTION_TIMED_OUT".
Schon mal versucht, die VPN IP auf eine 192er zu ändern?
Bisher noch nicht, ich werde die OpenVPN Konfiguration anpassen und Rückmeldung geben, ob sich etwas geändert hat.

Du kannst die statische Route übrigens auch auf deiner FRITZ!Box aufsetzen - sofern die entsprechenden Menüs bei Dir freigeschaltet sind.
Das schaue ich mir in der FritzBox nachher gleich mal an. Es ist sehr gut möglich, dass ich dann weitere Fragen dazu habe, da ich bisher auch mit statischen Routen noch nie etwas zu tun hatte.


Vielen Dank an euch für die Tips! :)
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
um hier überhaupt helfen zu können solltest du mal die OVPN-Server- und OVPN-Client-Config zeigen, zusätzlich das Routing,
Da du nur über die Tunnel-IP verbinden kannst, vermute ich das es am Routing liegt so wie Hagen200 es schon geschrieben hat.

PS.: Warum installiertst du dir nicht Wireguard, ist wesentlich einfacher zu confen.
https://www.wireguardconfig.com/
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.472
Punkte für Reaktionen
3.509
Punkte
344
Siehe Post # 3, weil seine Fritte das nicht kann.
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
naja, wenn man sich von der Fritte abhängig macht, geht vieles nicht.
 
  • Wow
Reaktionen: Benie

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.472
Punkte für Reaktionen
3.509
Punkte
344
Ist wohl auch eine Kostenfrage, die aktuelle Fritzbox Cable kostet je nach Model ca zwischen 200 und 250 Euro, vorallem ist das nicht nur für Wenige ein Batzen Geld, wenn man sich am Ende grad eine neue DS mit allem drum herum zugelegt hat.
 
  • Like
Reaktionen: power_nas

power_nas

Benutzer
Mitglied seit
23. Jul 2024
Beiträge
16
Punkte für Reaktionen
2
Punkte
3
Erreichst du die Fritzbox über Ihre Lan-IP?
Nein, es kommt der gleiche "ERR_CONNECTION_TIMED_OUT" Fehler.

Welches OpenVPN Tool benutzt du zum Verbinden? bzw. schon mal in die Config-Datei geguckt?
Ich nutze den "normalen" OpenVPN-Client zum Verbinden. Einstellungen sind aus dem VPN-Server der DS exportiert.
Einstellungen kann ich nachreichen, wenn ich wieder zu Hause bin.

naja, wenn man sich von der Fritte abhängig macht, geht vieles nicht.
Gut, dass ich das nun weiss.
Ich habe mal spaßeshalber WireGuard installiert, alleine der Client ist ein Krampf, da er nur mit vollen Adminrechten läuft. OpenVPN habe ich installiert und das Teil lief. So viel dazu.
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
alleine der Client ist ein Krampf, da er nur mit vollen Adminrechten läuft
du arbeitest mit Windows?? wenn ja, da gibt es eine Lösung, komme gerade nicht dazu dir einen Link zu geben, musste mal selber recherchieren
 

power_nas

Benutzer
Mitglied seit
23. Jul 2024
Beiträge
16
Punkte für Reaktionen
2
Punkte
3
Das habe ich schon gemacht und den WireGuard Client auch zum Laufen bekommen. Warum ich dazu allerdings in der Registry herumfummeln muss, ist mir absolut schleierhaft. Und selbst dann werden für den Import der Config trotzdem 100% Adminrechte gebraucht. Beim OpenVPN-Client braucht man das alles nicht, der läuft einfach.

Ansonsten denke ich, dass ich die Ursache gefunden habe: Die Verbindung, mit der ich von aussen auf die DS zugreife, hat nur IPv6, IPv4 gibt's nicht. Ich werde das mal auf DualStack umstellen lassen und denke, dass sich das Problem dann erledigt haben sollte.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
339
Punkte für Reaktionen
117
Punkte
43
Ansonsten denke ich, dass ich die Ursache gefunden habe: Die Verbindung, mit der ich von aussen auf die DS zugreife, hat nur IPv6, IPv4 gibt's nicht. Ich werde das mal auf DualStack umstellen lassen und denke, dass sich das Problem dann erledigt haben sollte.
Das glaube ich nicht, denn Du hast bereits einen funktionierenden VPN-Tunnel über den Du mit IPv4 kommunizieren kannst.

Deine Konfiguration ist jedoch anscheinend noch nicht ganz vollständig:
Der Client muss wissen, welches Netz sich noch hinter dem VPN-Tunnel befindet.

Dazu kann beispielsweise der VPN-Server eine entsprechende Route "puschen" - für das eigene LAN sollte die bereits angesprochene Checkbox das veranlassen. Du musst Dich in dem Fall jedoch um das Thema Rückrouten kümmern. Zumindest dein NAS - auf dem der OpenVPN-Server läuft - sollte die Rückroute automatisch kennen. Der Zugriff auf das NAS (also beispielsweise die DSM-Oberfläche) sollte also möglich sein, sofern keine Firewall-Einstellungen oder IP-Beschränkungen den Zugriff über VPN verbieten.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat