OpenVPN über eigene Schnittstelle

[Ronny1978]

arbeite gern nach dem KISS Prinzip

Dem kann ich nur zustimmen.

vielleicht gibts ja auch nen bestimmten grund

Mag sein, aber ICH DENKE, dass kann man über die OpnSense regeln, wer, wo, was darf.

komplexe strukturen eher ein Nachteil als Vorteil

So sehe ich das auch. Man produziert VPN "Last", wo gar keine sein müsste.

@zyklone : Versuche mal zu schauen, ob du nicht vielleicht doch viel mehr mit der OpnSense abdecken kannst. Bei VPN bin ICH immer der Meinung so weit wie möglich außen am Netzwerk anzusetzen. Und die erste Option sollte IM REGELFALL der Router sein. Und wenn du schon eine OpnSense hast, gibt es eigentlich keinen Grund ZUSÄTZLICH NOCH EINEN VPN Server auf der Synology zu betreiben, außer eine VPN mit einer VPN zu verschlüsseln und ggf. Probleme zu bekommen.

 

[Ronny1978]

Klar kann ich ALLES auf die Sense abwälzen und wenn die Fällt?

Dann geht doch das restliche Netz auf nicht mehr, oder? Regelt die OpnSense nicht die Internetverbindung? Wenn die kaputt geht, hast du von außen auch keine VPN und im Regelfall auch kein Netz mehr.

und Vlans die gegeneinander isoliert sind

Ist doch grundsätzlich ok.

nur die Syno kann alle sehen

Und wenn ein Nutzer das Netzwerk und die DS kompromittiert, dann sieht auch auch gleich alles. Was wird sicherheitsseitig eher aktualisiert? Die DS oder die OpnSense Firmware???

so das z.zeit ich auf alles über VPN komme

Setzt du die Regel auf der OpnSense richtig, hast DU mit DEINER VPN auch Sicht auf alles, wenn das gewollt ist.

 

[metalworker]

Bei mir laufen auch mehre VLANS , und die Firewall kümmert sich um den kompletten Verkehr. Auch unter den VLANS .
Bei mir auf Arbeit läuft die Firewall noch als HA .

Ich kenne dein Netzt ja nun nicht . Aber vom Bauchgefühl gehst du das etwas falsch an.

Ist durchaus normal das der Verkehr zwischen den VLANS über nen Gateway läuft.
Kannst es natürlich auch über die Switche machen wenn es von der Perfomance nicht reicht. Aber hatte ich bis jetzt noch nie machen müssen.


Aber klar deine Firewall ist nen wichtiges Gerät im Netzwerk.

 

[zyklone]

Also ich habe extra Vlan für Default GW/Route, und intervlan Routing macht bei mir der Core Switch zum 0-Tarif....
ich werde 10Gbe nicht durch die Sense routen lassen obwohl ich eine Core i7 habe wird die das nicht packen....
glaube ich zumindest.

Bisher bin ich so gefahren, das wenn die Sense Grätsche macht, habe ich immer noch Fritzbox mit Sekundärem WAN wo dann doch alles laufen würde....auch mit Synos VPN.

 

[metalworker]

Ja man versucht natürlich das Haupttraffic im vlan bleibt .

Nen i7 im Server ? OK ungewöhnlich.

Aber grundlegend ist das von der Performance kein Problem .
Auch wenn da die Sense kein Effizienz wunder ist

 

[zyklone]

Deshalb präferiere ich die Dienste zu teilen n und nicht alles auf die "arme" Sense zu verlagern....
aber Jeder wie er meint.
Ich suchte eigentlich nach der Ursache bzw. Workaround für VPN.
denn Synology schreibt, aber es funktioniert nicht so... es müsste irgendwie ein Reverse Proxy für VPN geben oder so...

Specifications​

• Maximum number of concurrent connections: 40 (Actual supported number may vary depending on the model; see here to check your model’s specs)
• Manages access privileges to VPN connections for users and groups
• Keeps track of connections and VPN-related activities through logs
• Supports OpenVPN connections through a user-defined LAN port
• Supports a user-defined virtual IP address for the VPN server
• Supports multiple authentication mechanisms for available VPN protocols

 

[metalworker]

Ich vermute fast , Synolgy meint da wirklich den Port und nicht das Interface

 

[zyklone]

wofür dann in den Optionen>Allgemein Interface Feld? ich weiß früher war das Feld nicht da...

 

[Ronny1978]

Das vermute ich auch. Aber wie gesagt: "vermute".

 

[Hagen2000]

Für mich schaut das wie ein Routing-Problem aus. Da es nur funktioniert, wenn Du das Default-GW entsprechend verbiegst, kommen die Pakete vom Router m.E. mit einer Absender-IP, die das NAS eben nur über das Default-GW beantworten kann. Leider bin ich aus den von Dir gemachten Adressangaben nicht wirklich schlau geworden, da müsstest Du deinen Netzwerkaufbau und die verwendeten IP-Adressen etwas detaillierter schildern. Eventuell brauchst Du auch ein S-NAT auf deinem Router, damit die VPN-Pakete aus dem zur Schnittstelle passenden Subnetz kommen.