OpenVPN - optionale Funktion unklar

[habop]

Kann mir bitte jemand erklären, was die OpenVPN-Option "Clients den Server-LAN-Zugriff erlauben" bedeutet und wofür die benötigt wird?

 

[luddi]

Wenn für "Clients den Server-LAN Zugirff"...

Checkbox ENABLED: dann kann man auf alle Clients Zugreifen die sich im lokalen Netzwerk zuhause befinden. Somit lassen sich die Clients von außerhalb per lokaler IP Adresse wie z.B. der Router, die Diskstation (DSM Webinterface) erreichen.

Checkbox DISABLED: dann werden die Clients im lokalen Netzwerk Zuhause nicht erreichbar sein. In diesem Fall dient der VPN Server nur als Gateway nach außen über die Router WAN IP.

Gruß
luddi

 

[habop]

o.k. also für den VPN-Server sind also alle anderen Netzwerkgeräte im lokalen Netzwerke "Clients"... könntest Du mir nur bitte noch kurz erläutern, was es heißt den VPN Server nur als "Gateway nach außen zu benützen" ... was bringt diese Gateway-Funktion, wenn ich ja eh von außerhalb auf den VPN-Server zugreife?

 

[luddi]

o.k. also für den VPN-Server sind also alle anderen Netzwerkgeräte im lokalen Netzwerke "Clients"...

Nicht nur für den VPN Server... sondern jedes Gerät im Netzwerk wird als Client bezeichnet, ob Diskstation, Router, PC etc.

könntest Du mir nur bitte noch kurz erläutern, was es heißt den VPN Server nur als "Gateway nach außen zu benützen" ... was bringt diese Gateway-Funktion, wenn ich ja eh von außerhalb auf den VPN-Server zugreife?

Also in beiden Fällen (ob checkbox aktiv oder nicht) werden alle Verbindungen über den Router (WAN Port) nach außen geroutet. Es gibt natürlich auch Konfigurationen bei denen diese Route nicht erlaubt wird.

Für mich persönlich ist solch ein Gateway über mein privaten Anschluss durch den VPN Server dann von Vorteil, wenn ich z.B. ein öffentliches WLAN Netzwerk verwende. Sobald ich mich in dem öffentlichen Netzwerk (z.B. in einem Café) eingeloggt habe, dann baue ich zuerst einen VPN Tunnel zu meinem Netzwerk auf. Anschließend verwende ich somit meine eigene private Leitung nach außen. Der entscheidende Vorteil den man durch den VPN Tunnel hat ist, dass der komplette Datenstrom von anderen Benutzern im gleichen WLAN Netzwerk abgeschottet ist. Es macht es somit Hacker-Angriffen schon sehr schwer bis unmöglich an deine Datenverbindung zu gelangen. Also wenn du Wert auf Sicherheit legst und den öffentlichen Netzwerken kein Vertrauen schenkst dann ist solch eine Verbindung genau das richtige in diesem Fall.

Andererseits solltest du anderen Usern, die dein VPN-Server nutzen dürfen mit bedacht auswählen. Denn macht jemand mit deiner IP Adresse nach außen hin Blödsinn (Illegales) dann wirst du dafür als Erster zur Verantwortung gezogen. Also auch in dieser Hinsicht die VPN User bewusst auswählen denen du vollkommen vertraust.

Gruß
luddi

 

[habop]

Danke für die ausführliche Antwort! damit kann ich was anfangen.

 

[habop]

Was ist mit der LZO-Komprimierung? Aktivieren oder lieber nicht?

 

[aportmann]

hänge mich hier schnell ein betreffend der option «clients den server-lan-zugriff erlauben.»
ich habe in meinem openvpn-client zwei konfigurationen umgesetzt:

1x mit redirect-gateway und 1x ohne.

was ich nicht verstehe, wenn der haken nicht aktiviert ist:

– konfiguration ohne redirect: kein zugriff auf ds und router
– konfiguration mit redirect: zugriff auf ds und router

wenn haken aktiv:
– konfiguration ohne redirect: zugriff auf ds und router
– konfiguration mit redirect: zugriff auf ds und router

gibts dazu eine erklärung, welche ich mir hinter die ohren schreiben kann? weil wenn ich kein redirect-gateway mache und keinen zugriff auf ds und co habe macht vpn herzlich keinen sinn, oder?


gruss andi

 

[jahlives]

weil du auf eine IP zugreifst (LAN-IP Serverseite) welche dein VPN Client nicht kennt. Also schickt er diese Pakete via seine default Route raus. Mit redirect gateway sagst du dem Client dass seine default Route der OVPN Server ist. Ohne redirect musst du in deinem OVPN Client Routen für das Servernetz erstellen, welche als Gateway die OVPN-IP der DS (OVPN-Server) haben. Dazu findest du einiges hier im Forum

 

[luddi]

Was ist mit der LZO-Komprimierung? Aktivieren oder lieber nicht?

Das kannst du für dich individuell entscheiden ob aktivieren oder nicht.
Die LZO Komprimierung ist eine verlustfreie Datenkompression. Der Vorteil wäre, dass der Traffic des gleichen Dateninhalts weniger Bandbreite benötigt.
Somit erzielt man bei schlechten Verbindungen mit geringem Datendurchsatz auch akzeptable Übertragungszeiten der Datenpakete.

Näheres über LZO findet man z.B. hier.

Gruß
luddi

 

[aportmann]

weil du auf eine IP zugreifst (LAN-IP Serverseite) welche dein VPN Client nicht kennt. Also schickt er diese Pakete via seine default Route raus. Mit redirect gateway sagst du dem Client dass seine default Route der OVPN Server ist. Ohne redirect musst du in deinem OVPN Client Routen für das Servernetz erstellen, welche als Gateway die OVPN-IP der DS (OVPN-Server) haben. Dazu findest du einiges hier im Forum

danke für die erläuterung. wenn ich den haken bei «clients den server-lan-zugriff erlauben.» setze funktioniert es ja auch bei der config «ohne redirect». das würde heissen, dass diese option der von dir vorgeschlagene weg für das definieren von routen für das servernetz eine alternative wäre?


gruss andi

 

[jahlives]

"clients-lan-zugriff-erlauben" (ohne redirect) schickt wohl Routen für das Servernetz an den OVPN Client. OVPN kann Routen senden (pushen) wenn sich ein Client verbindet