OpenVPN > port forwarding von Ports != 1194

[bivvo]

Hi, ich hab eine DS215J mit DSM7. OpenVPN und DDNS funktionieren prima. Ich habe zusätzlich am Router weitere Ports dem NAS freigegeben.

Leider sind diese, z.B. 5xxx, nicht über OpenVPN erreichbar. Allerdings finde ich auch nirgends eine Option, diese über OpenVPN "zu tunneln" bzw. den Systemen, die über das VPN verbunden sind, den Aufruf über bspw. 5xxx zu ermöglichen.

Geht das nicht oder hab ich die Einstellmöglichkeiten nur noch nicht gefunden?

 

[ottosykora]

also wenn du dich mit dem VPN verbinden kannst, dann brauchst du doch keine weiteren Ports freigeben, das ist doch der Zweck von VPN.
Du bist dann schon in lokal drin, gibst dann nur die IPderDS:5000 ein und schon hast du die Login Seite vor dir

 

[bivvo]

Ich versuche es noch mal zu präzisieren - ist etwas kompliziert:

Internetzugang1 : Router1 : NAS : DDNS + OpenVPN
Aufruf -> DNSURL:5xxx -> wird vom Router ans NAS weitergegeben, weil Portweiterleitung "erkennt" 5xxx
DSM-Firewall ist deaktiviert.

Internetzugang2 : Router2 : MacMini : Docker : Ubuntu : Server5xxx
Server5xxx lauscht auf 5xxx und ist über OpenVPN mit Internetzugang1 verbunden

Allerdings kommt der externe Aufruf von DNSURL:5xxx sind beim Server5xxx an.

Meine Vermutung ist, dass das NAS den Port 5xxx nicht an den OpenVPN-Client resp. Server5xxx weitergibt. Denn ich hätte jetzt vermutet, dass ich im DSM noch eine Portweiterleitung des eingehenden Ports 5xxx an den internen Port von OpenVPN (10.irgendwas) einrichten muss. Das finde ich aber nirgends.

rpc: dial tcp 79.x.x.x:5xxx: connect: connection refused

 

[ottosykora]

also auch das ist nicht verständlich

wenn der Port 1194 zu dem VPN Server geleitet wird und der VPN Server antwortet und die Verbindung aufbaut, dann bist du in dem Subnetz in dem sich der Server (hier als DS) befindet. Von da kannst du ganz normal arbeiten wie wenn du in dem Subnetz wärst. Da braucht es keine weitere Weiterleitung etc.
Die 10er Adressen sind lediglich für den Tunnel, die brauchen dich nicht zu interessieren.


Falls du jedoch mehr als einen Server im Netz hast welcher auf 5000 hört, dann musst du diesem halt einen anderen Port geben damit es nicht zu Kollisionen kommt.

 

[bivvo]

Hmm, es sind keine DS-eigenen Ports gemeint; 5xxx ist nur ein Beispiel - konkret geht es um einen Port 57280.
Ich weiß aktuell nicht an welcher Stelle im Routing die Verbindung unterbrochen wird:
Web > DDNS > Router1 > NAS > OpenVPN Server > OpenVPN Client > Server57280

 

[ottosykora]

hmm, ev gibt es hier ein Missverständnis
VPN Server auf NAS ist ein Client - Server VPN, du kannst also nur vom Client Richtung Server arbeiten
weiter kann eine DS nicht gleichzeitig Server und Client sein

du kannst also
Web > DDNS > Router1 > NAS > OpenVPN Server
machen und dann bist du in dem Subnetz in dem NAS steht, nicht mehr


Was du vermutlich suchst ist ein Site-Site VPN oder LAN-LAN

So was würde so viel ich weiss mit zwei Fritzboxen gehen

 

[bivvo]

Hmm, danke. Ich überlege gerade, ob ich vielleicht nur VPN Server und Client falsch herum aufgesetzt haben könnte:

Wenn der Server von außen erreichbar sein soll, kann es dann nicht ausreichen, auf dem NAS den VPN Client und neben dem Server auf meiner Seite den VPN zu hosten? Oder habe ich einen Denkfehler?

 

[ottosykora]

also irgendwie ist mir noch nicht 100% klar was genau du planst

was vorgesehen ist:
VPN Client1>Internet > Router1 > NAS > OpenVPN Server > Zugriff auf NAS und auch auf Internet via Router1 (redirect gateway)

damit kannst du wieder ins Internet aus deinem Router1

es können sich mehrere Clients mit dem VPN Server verbinden, aber alle können genau das was der VPN Client1 kann.

 

[bivvo]

Hab's hinbekommen. Das Problem war, dass OpenVPN mit UDP eingerichtet war, ich aber erwartet habe, Ports via TCP weitergeleitet zu bekommen. Anders herum funktioniert es komischerweise.

 

[ottosykora]

was genau hast du hinbekommen?

jetzt kannst du mit dem Synology VPN Server gleichzeitig auch Client machen?