OpenVPN - keinen Internettraffic tunneln, nur Zugang zu dem Synology gewähren

Schakus · 23. Jan 2014

Hallo,
ich habe auf dem Synology einen Gameserver laufen. Nun würde ich gerne per OpenVPN meine Freunde mitspielen lassen, jedoch ohne, dass deren Internettraffic über meine Leitung getunnelt wird. Daher möchte ich denen auch den Zugang zu allen anderen IP's verweigern (andere PC's, NW-Drucker, Synology Dienste wie TV usw). Diese sollen über den Tunnel wirklich nur den Zugang zum Synology (Game) bekommen. Vielleicht kann man ja sogar nur den Port des Gameservers tunneln, das wäre ja dann sicherlich noch besser?
Ich habe viel gelesen, aber alle wollen immer nur den gesamten Traffic tunneln und nicht wie ich, nur einen Port/Ip...
Ich werde leider nicht schlauer...

Danke! Schönen Abend noch!

Anzeige · 23. Jan 2014

Hallo Schakus,

Bücher und Hardware zum Thema gibt es bei Amazon: OpenVPN - keinen Internettraffic tunneln, nur Zugang zu dem Synology gewähren

fpo4711 · 24. Jan 2014

Hallo,

in der Clientconfig das Doppelkreuz vor redirect-gateway lassen.

Rich (BBCode):

#redirect-gateway

Dann wird nur der Traffic für das Zielnetz über den Tunnel geschickt. Den Rest einzuschränken wird schwieriger. Hier kannst Du für die DS die Firewall nutzen. Gegebenenfalls ist das Einschränken nur auf der Console mit iptables möglich oder aber über eine speziell angepaßte Config des VPN-Servers. Das ist aber alles nicht ohne.

Viele Spiele nutzen im LAN für die Kommunikation Broadcasts. Diese werden bei der Synology-Lösung nicht übertragen. Vieleicht vorher erst mal testen ob das überhaupt funktioniert.

Gruß Frank

Schakus · 24. Jan 2014

Hey,
ja das habe ich gefunden. Jedoch möchte ich dies schon im Server verbieten, sonst kann der Client dies ja selbstständig ändern.

Kannst du mir einen Tipp geben, wie ich die Firewall für das konfigurieren müsste? Ich habe sie mir schon angeschaut, jedoch ist mir diese Möglichkeit nicht bewusst.
Danke!

fpo4711 · 24. Jan 2014

Hallo,

Du kannst in der Firewall der DS nur den Zugriff auf die Eingangsseite der DS beschränken. Für VPN kannst Du das nur sauber über die Kommandozeile/Script lösen. Das ist aber schon etwas komplexer und man kann sich da leicht selbst aussperren. Hier nur mal ein kleines Beispiel ohne Anspruch auf Funktion und Vollständigkeit.

Rich (BBCode):

iptables -A INPUT -i tun -s 10.8.0.0/24 -d 10.8.0.0/24 -j DROP
iptables -A FORWARD -i tun -s 10.8.0.0/24 -d 10.8.0.0/24 -j DROP

Wenn Du dabei schon denkst: hääh wie jetzt. Dann würde ich an deiner Stelle lieber die Finger vom Script lassen und nach einer anderen Lösung oder vertrauenswürdigeren Spielern suchen.

Gruß Frank

Schakus · 24. Jan 2014

fpo4711 schrieb:
Hallo,

Du kannst in der Firewall der DS nur den Zugriff auf die Eingangsseite der DS beschränken. Für VPN kannst Du das nur sauber über die Kommandozeile/Script lösen. Das ist aber schon etwas komplexer und man kann sich da leicht selbst aussperren. Hier nur mal ein kleines Beispiel ohne Anspruch auf Funktion und Vollständigkeit.

Rich (BBCode):

iptables -A INPUT -i tun -s 10.8.0.0/24 -d 10.8.0.0/24 -j DROP iptables -A FORWARD -i tun -s 10.8.0.0/24 -d 10.8.0.0/24 -j DROP

Wenn Du dabei schon denkst: hääh wie jetzt. Dann würde ich an deiner Stelle lieber die Finger vom Script lassen und nach einer anderen Lösung oder vertrauenswürdigeren Spielern suchen.

Gruß Frank

Hey,
ich denke nicht "hääh", jedoch muss ich die einzelnen Befehle dann doch nachschlagen

Hast du noch eine andere Idee, wie man das realisieren könnte?
Ansonsten werde ich das mal versuchen.
LG Lukas

Schakus · 25. Jan 2014

Ich habe nun Hamachi installiert. Ich werde es mal damit versuchen.
LG

Pete_RK · 26. Jan 2014

fpo4711 schrieb:
Hallo,

in der Clientconfig das Doppelkreuz vor redirect-gateway lassen.

Rich (BBCode):

#redirect-gateway

Dann wird nur der Traffic für das Zielnetz über den Tunnel geschickt. Den Rest einzuschränken wird schwieriger. Hier kannst Du für die DS die Firewall nutzen. Gegebenenfalls ist das Einschränken nur auf der Console mit iptables möglich oder aber über eine speziell angepaßte Config des VPN-Servers. Das ist aber alles nicht ohne.

Viele Spiele nutzen im LAN für die Kommunikation Broadcasts. Diese werden bei der Synology-Lösung nicht übertragen. Vieleicht vorher erst mal testen ob das überhaupt funktioniert.

Gruß Frank

Standardmäßig ist gateway redirect auskommentiert, d.h. es geht nur der traffic zur ds in den tunnel. Wenn man die raute weg lässt, wird das geändert und alles geht in den Tunnel, was er ja nicht will. Serverseitig kann man das auch über Push-Funktionen beeinflussen, egal in welcher Richtung. Einfach mal nach "OpenVPN redirect googeln" da findet man eine ganze Menge und muss es dann nur umgekehrt anwenden.

fpo4711 · 26. Jan 2014

Pete_RK schrieb:
Standardmäßig ist gateway redirect auskommentiert, d.h. es geht nur der traffic zur ds in den tunnel. Wenn man die raute weg lässt, wird das geändert und alles geht in den Tunnel, was er ja nicht will. Serverseitig kann man das auch über Push-Funktionen beeinflussen, egal in welcher Richtung. Einfach mal nach "OpenVPN redirect googeln" da findet man eine ganze Menge und muss es dann nur umgekehrt anwenden.

Häh, und was steht da bitteschön Anderes ?