OpenVPN: Definierte Ports über das VPN Gateway routen

[fpo4711]

ok ich komme nur nicht auf die DS, andere Geräte im LAN sind erreichbar.
Jemand ne Idee?

Da hatten wir glaube ich schon einmal. Wenn ich mich recht erinnere hat hier ein Reboot nach aktivieren von "Mehreren Gateways" Wunder gewirkt. Finde den Post jetzt nicht. Für dein Vorhaben sollte eigentlich auch nicht mehr nötig sein.

@jahlives
Interessanter Ansatz die Dienste an unterschiedliche IP's zu binden. Auch das die DS nun ab DSM5 iproute2 mit Multi_Table_Support implementiert hat war mir neu. Naja, man sollte sich eben öfter mal mit den Kisten intensiver beschäftigen. Es fehlt ja leider nur immer die Zeit. Vielleicht könnte ja auch mal Jemand posten was genau sich hinter "Mehrere Gateways verwenden" auf der DS abspielt.

Ein protokollabhängiges Routing habe ich beispielsweise in der Vergangenheit auf anderen Kisten beispielsweise so gelöst (Zugriff auf einen Webserver per http nur über tun0):

Entsprechendes Protokoll markieren

iptables -A PREROUTING -t mangle -p tcp -d x.x.x.x --dport 80 -j MARK --set-mark 8

Regel wenn markiert dann Tabelle http verwenden

ip rule add fwmark 8 table http

Und entsprechende Tabelle http

ip route add x.x.x.x table http via 10.8.0.20 dev tun0

PBR auf der DS das wäre doch mal was für einen Blog, da könnte man das mal schnell nachlesen. Ich bin ja so faul und dein Blog über den syslog bringt einen schnell wieder auf den aktuellen Stand. Ein bischen OT. Trotzdem toller Blog.

Gruß Frank

 

[horstepipe]

hmm schade das wär zu einfach gewesen
neugestartet, leider dasselbe Ergebnis :-/

 

[jahlives]

@Frank
PBR ist genial. Ich nutze das intensiv auf meinem Server zu Hause, der insgesamt vier Subs auf zwei phys Interfaces hat. Habe es früher mit iptables gemacht, also Pakete markiert und dann durch Routing Tabellen gejagt. War aber wesentlich aufwändiger einzurichten, als mit ip rule basierend auf der SRC Adresse

@horstepipe
also mir kommt die Tabelle eth0 von Synology etwas spanisch vor. Die DS ist ja 192.168.0.3? Wieso sollte der Traffic für ein am Interface anliegendes Netz darüber geroutet werden? Das macht für mich keinen Sinn. Dort müsste imho eine Netzwerkroute hin, welche festlegt welches Subnetz an eth0 anliegt, damit der Kernel weiss, welche Ziele er direkt (also via arp) erreichen und welche er via Gateway routen muss.
Der Zugriff auf die 1.3 aus deinem LAN kann nicht gehen, denn die Antworten gehen ja via 1.1 zurück.
Der Zugriff aus deinem LAN auf 0.3 muss gehen, sonst ist die Routing Tabelle ****
Der Zugriff aus den VPN auf 1.3 und 0.3 kann auch nicht gehen, denn die Antworten werden dabei ja nicht zurück in den Tunnel geroutet. Beim Zugriff via VPN kann nur der Zugriff auf die VPN-IP der DS funzen, denn nur dort werden die Antworten in den Tunnel geschickt.

Also wichtig wäre mal: geht der Zugriff aus dem LAN auf das LAN Interface der DS? Geht der Zugriff aus dem VPN auf die VPN IP der DS?

 

[horstepipe]

Die DS ist ja 192.168.0.3?

Genau!

Der Zugriff auf die 1.3 aus deinem LAN kann nicht gehen, denn die Antworten gehen ja via 1.1 zurück.

Wie gesagt, 1.3 ist die DS-IP vom zweiten LAN-Anschluss, an dem der Router meines Nachbarn hängt. Der Bereich kann ignoriert werden. Ich kann, wenn es hilft, die zweite LAN-Schnittstelle auch erstmal deaktivieren. Dort ist aber auch kein Gateway und keine DNS eingetragen...

Der Zugriff aus deinem LAN auf 0.3 muss gehen, sonst ist die Routing Tabelle ****

Tja und genau da hapert es :-/
Klar, lokal ohne VPN komme ich natürlich drauf, aber sobald ich mich über VPN einwähle, nicht mehr. Hat es was damit zu tun, dass ich über vpn in einem anderen IP-Bereich bin? (192.168.3.x statt 192.168.0.x) Letzteren kann ich aber auch nicht in der VPN-Server-App auswählen, das war ja aber schon immer so und ging ja sonst auch.
Wenn ich (wie ich es vorher gemacht hatte, da mir die Erkenntnis fehlte, dass man die DS als VPN-Client auch mit der lokalen IP erreichbar machen kann) via PPTP (andere Protokolle nicht möglich, da mein VPN-Anbieter das öffnen der benötigten Ports nicht zulässt/zulassen kann) mit dem iPhone eine VPN-Verbindung auf die VPN-IP herstelle, klappt es auch alles. Das hat jedoch die zwei gravierenden Nachteile, dass PPTP nicht gerade sicher ist und mein VPN-Anbieter keinen hohen Upload bietet, wodurch der Fernzugriff auf größere PDFs zur Qual wird. Da ich daheim 40Mbit Upload habe, möchte ich diese auch (annähernd) nutzen können.

Der Zugriff aus den VPN auf 1.3 und 0.3 kann auch nicht gehen, denn die Antworten werden dabei ja nicht zurück in den Tunnel geroutet. Beim Zugriff via VPN kann nur der Zugriff auf die VPN-IP der DS funzen, denn nur dort werden die Antworten in den Tunnel geschickt.

Also das verwirrt mich jetzt etwas: Heißt das im Klartext ich habe keine Möglichkeit beim Aufbau einer VPN zu meiner DS die maximale Bandbreite meines ISPs auszunutzen, sondern werde immer durch die maximale Bandbreite des VPN-Anbieters limitiert, solange sich die DS zu diesem als Client verbindet?

Also wichtig wäre mal: geht der Zugriff aus dem LAN auf das LAN Interface der DS?

Ja!
Ich sitze gerade zuhause am Desktop-PC (192.168.0.10) und komme problemlos auf die DS (192.168.0.3)

Geht der Zugriff aus dem VPN auf die VPN IP der DS?

[/QUOTE]
Das habe ich bisher noch gar nicht probiert:
Nein, klappt auch nicht :-/

 

[jahlives]

Klar, lokal ohne VPN komme ich natürlich drauf, aber sobald ich mich über VPN einwähle, nicht mehr. Hat es was damit zu tun, dass ich über vpn in einem anderen IP-Bereich bin?

bei einem Policy Based Routing ist weniger wichtig woher (welche IP) du kommst, sondern auf welche IP du zugreifst. Denn die Routingentscheidung wird aufgrund der SRC Adresse des Antwortpaketes getroffen. Wenn du dich im VPN befindest und auf die VPN IP Adresse der DS zugreifst muss das gehen, sonst stimmt was mit dem Routing nicht oder eine Firewall pfuscht dir rein

Also das verwirrt mich jetzt etwas: Heißt das im Klartext ich habe keine Möglichkeit beim Aufbau einer VPN zu meiner DS die maximale Bandbreite meines ISPs auszunutzen, sondern werde immer durch die maximale Bandbreite des VPN-Anbieters limitiert, solange sich die DS zu diesem als Client verbindet?

solange du via VPN reinkommst, musst du auch wieder via VPN raus. Von dem her bist du durch die Bandbreite des VPN limitiert. Verbindungen ohne VPN sollten aber nur durch die Bandbreite deines Anschlusses limitiert sein.
Wenn ich dich jetzt richtig verstehe, dann klappen die Verbindungen nicht mehr sauber sobald deine DS mit dem VPN-Provider verbunden ist? Hast du nach dem Starten der VPN Verbindung die Routing Tabellen überprüft v.a. diejenigen welche du mit ip rule/route erstellt hast? Eventuell werden die ja gelöscht sobald der VPN-Tunnel aufgebaut ist... Firewall kannst du ausschliessen?

 

[horstepipe]

solange du via VPN reinkommst, musst du auch wieder via VPN raus. Von dem her bist du durch die Bandbreite des VPN limitiert

Wenn das unumgänglich ist, ist das für mich sowieso ein Ausschlusskriterium.
Dann werde ich mir einen VPN-Server fähigen Router oder einen Raspberry Pi holen, der separat als VPN-Server dient. Damit sollte ich ja dann problemlos mit voller Bandbreite Daten von der DS holen können, oder? Die DS wird dann nur noch als VPN-Client verwendet.

 

[jahlives]

Damit sollte ich ja dann problemlos mit voller Bandbreite Daten von der DS holen können, oder? Die DS wird dann nur noch als VPN-Client verwendet.

WENN die Verbindung via VPN reinkommt bringt auch der VPN fähige Router nicht wirklich was. Du kannst dann zwar volles Rohr von der DS zum Router Daten senden, aber dort müssen sie wieder in den VPN Tunnel und werden entsprechend entschleunigt ;-)

 

[horstepipe]

wieso werden die Daten dann entschleuningt? Der Router ist doch selber VPN-Server und unterliegt keinen Geschwindigkeitsbeschränkungen??? (Abgesehen von den Limitierungen meines ISPs).
Wenn ich die DS NUR als VPN-Server nutze bekomme ich über VPN doch auch einen Datendurchsatz von ca. 3,5MByte/s (Obergrenze vom ISP liegt bei ca. 4MByte/s), was eine deutliche Steigerung zu 200KByte über den VPN-Server von nvpn ist...

Oder wo liegt hier jetzt mein Denkfehler?

 

[heavy]

Die Daten müssen erst in den VPN Tunnel gepackt werden und dieses Packen kostet geschwindigkeit bzw ping zeit.

 

[horstepipe]

Gut Ping-Zeit ist mir wurscht, es geht mir nur darum mittelgroße Dokumente relativ zügig öffnen zu können.
Einen Geschwindigkeitsverlust scheine ich ja auch kaum einzubüßen, über den DS-VPN-Server wird meine maximale Uploadbandbreite ja fast ausgenutzt.
Wichtig ist mir jetzt nur, dass das dann mit dem Router als quasi "externen" VPN-Server auch wirklich so funktioniert, und dass dann nicht doch aus irgendeinem Grund der Traffic noch durch den Tunnel von nvpn läuft und damit auf 200KByte/s limitiert wird.
Dann hàtte ich den Router umsonst gekauft...

lG

 

[jahlives]

@horstepipe
dann habe ich dich falsch interpretiert. Dachte du wolltest dann den Router als VPN-Client zu deinem OVPN-Anbieter verbinden. In dem Fall bist du durch deinen Upload und die Power des Routers bei VPN limitiert