OpenVPN über eigene Schnittstelle

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
hat jemand es hinbekommen VPN über einen dedizierten Anschluss zu betreiben?

Man kann im VPN Server eine Schnittstelle angeben, aber am Router Weiterleitung dazu funktioniert nicht!
Was funktioniert ist wenn man am Router die Weiterleitung zum Default Gateway an der NAS macht.... dann frage ich mich wozu
ich eine Schnittstelle bei VPN wähle!?

Ich habe eine 1621+ und wollte eth1 als VPN angeben, eth1 hat eigenes Netz und eigene GW und funktioniert als solches.

Aber am Router(OPNSense) läuft die Weiterleitung nur zum NAS Default GW nicht zum eth1, und Default GW ist bei mir 10Gbe Karte.
....falsch ausgedruckt... forward läuft, nur antwortet VPN Server nicht.


Gibt es da ein Trick? Statische Route etc?`

Hatte schon Ticket bei Synology = 0 Reaktion.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
Jetzt muss ich mal blöd fragen: Warum machst du die VPN in deinem Fall, nicht dort wo Sie hinkönnte? AUF DIE OPNSENSE?

Ich habe habe bei mir Wireguard auf der OpnSense eingerichtet und man kann ja dort über die FW-Regeln auch den Zugriff auf das NAS steuern. Oder verstehe ich hier etwas falsch?

Du kannst doch die NICs der Synology auf verschiedene Netze verteilen und von auf der OpnSense auf diese Netze verteilen.

Heißt:
NIC 1 der Synology 192.168.1.x -> KEIN VPN
NIC 2 der Synology 10.8.0.x -> VPN Netz

Erlaubnis für die Wireguard Geräte in der OpnSense für 10.8.0.x (Synology) erteilen. So habe ich es gemacht und so funktioniert es auch.

Wenn ich etwas falsch verstanden habe, bitte noch einmal melden.
 

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
@Ronny1978

Klar, ich habe mehrere VPN's auch Wireguard auf der Sense, und plane auch OpernVPN darauf mit unterschiedlichen Zugriffsleveln.

Der Eth1 von der Syno ist direkt mit der Sense verbunden, also Sense 192.168.20.1/30 Syno 192.168.20.2/30

Default GW läuft über dem Netzwerkswitch.

Es ist auch so das ich die FW auf der Syno per Interface habe, und so kann ich steuern, auf welche App über welches VPN
zugegriffen werden kann.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
Klar, ich habe mehrere VPN's auch Wireguard auf der Sense, und plane auch OpernVPN darauf mit unterschiedlichen Zugriffsleveln
Warum nicht unterschiedliche Wireguard Tunnel? Dann kannst du doch auch steuern? Geht aber auch mit OpenVPN.
also Sense 192.168.20.1/30 Syno 192.168.20.2/30
Ich habe ein normales 24er Netz. So tief stecke ich aber in der Netzmaterie nicht drin, sollte aber eigentlich gehen. Wir sehen denn deine Firewall Regeln für die Wireguard Verbindungen in der OpnSense aus?

Es ist auch so das ich die FW auf der Syno per Interface habe, und so kann ich steuern, auf welche App über welches VPN
zugegriffen werden kann.
Erstmal ausschalten/deaktivieren. Wenn alles geht, kannst du gern wieder anschalten.
 

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
habe schon mehrmals alles probiert... auch ohne FW.
wenn ich in der VPN App eth1 auswähle und Forward auf 192.168.20.2 mache läuft nichts.
wenn ich in der VPN App eth1 auswähle und Forward auf 192.168.10.2 (Default GW Eth4) läuft alles
wenn ich eth1 als default GW deklariere läuft es mit forward 192.168.20.2 auch.

Es hat was mit Default Gateway oder Routing zutun....
hatte auch schon in den Netzwerken "mehrere Gateways " aktiviert gehabt nichts geholfen.

Irgendwie rafft VPN Server nicht das der den Traffik zu der Schnittstelle senden soll die in der App ausgewählt ist.....
der Sendet alles zum Default GW.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
VPN App eth1 auswähle
Sorry ich verstehe dich immer noch nicht. Wieso auswählen??? Ich erkläre mal kurz wie ich das mache:

VPN 1 Wireguard-Netz 10.8.1.1
VPN 1 Handy 10.8.1.40
Synology IoT Netz 192.168.10.1
DS918+ 192.168.10.220 (255.255.255.0 / Gateway 192.168.10.1)

NIX NAT, NIX Forward
Zugriff VPN 1 (IP 10.8.1.40) auf 192.168.10.220 ERLAUBEN

Wenn du jetzt die Firewall der DS noch einschaltest, kann man mit Sicherheit auch nur die Filestation für die 10.8.1.40 erlauben. Notwendigkeit habe ich bei mir aber nicht. In der App wähle ich dann zum Beispiel bei DS File https://192.168.10.220: Port und gut ist.
 

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
1728293424471.png





Ich möchte Bond 1 (ob eth1 als Beispiel oder Bond Egal) das direkt mit der Sense verbunden ist nutzen.

....aber egal welche Schnittstelle ich auswähle es funktioniert nur zum Default GW.

also Bond1 ist direkt peer to peer mit der Sense verbunden ohne mein Netzwerk.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
Jetzt muss ich meine Frage aus Post #2 noch einmal wiederholen? Wieso eine VPN Server auf der Synology und nicht auf der OpnSense??? Beim VPN Server auf der Synology in Verbindung mit der OpnSense kann ich dir leider nicht wirklich helfen.

Ich sehe den Sinn nicht, VPN Ports auf der OpnSense auf die DS weiterzuleiten, wenn die OpnSense als ÄUßERSTER Schutzwall das auch kann. Und du wärst deine ganzen Probleme mit der Weiterleitung und Separierung los. ;)
 

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
muss ich überlegen es wären auch DDNS, Letzencrypt etc. mit betroffen,

Bisher läuft ja alles... aber es fuchst mich das hier Syno irgendwie halbe Sachen macht, dann hätten die auch die Option mit der Schnittstelle streichen können.....
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
Naja, ob das halbe Sachen sind, weiß ich nicht, da ich im Zweifelsfall IMMER die äußerste Barriere für die VPN nutze. Und das ist nun mal die OpnSense. Installiere dir das Wireguard Plugin für die OpnSense. Aktiviere die Schnittstelle. Es gibt wunderschöne Youtube Videos. Eigentlich einfach nur nachbauen. Das DDNS kannst du ja auch das von Synology nutzen. Wenn du einen Reverse Proxy auf der DS hast, dann gebe ich dir recht, dann wird es evtl. etwas komplizierter. Vielleicht aber auch nicht. Wireguard Tunnel 1 bis ... erstellen. Peers hinzufügen und Regeln in der OpnSense schreiben. -> Fertig.

Ich nutze sowohl den RP, LE und auch VPN auf der OpnSense. Wobei ich ehrlich sagen muss, dass die Firewall der DS dann "zum Teil" sinnlos ist, weil ich viel über den RP abbilde. Daher ist die angezeigte IP immer die interne des RP der OpnSense. Aber dafür läuft CrowdSec und die Geo Blocklisten auch auf der OpnSense. Wenn ich den Netzwerkaufbau etwas genauer kenne, kann ich dir evtl. bei der Einrichtung von Wireguard auf der OpnSense und den Firewallregeln helfen.

Ist für MICH die bessere Variante wie der VPN Server des DS.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
fuchst mich das hier Syno irgendwie halbe Sachen macht
Vielleicht hängt das aber auch mit einem Rebindschutz zusammen. :rolleyes: Muss ja nicht zwangsläuft an der DS liegen, sondern evtl. an der Konstellation DS VPN und OpnSense.
 

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
Wireguard läuft bei mir auf der Sense bereits hervorragend,.da ich aber auch Drive etc nutze ist für mich hald Doppelt hält besser.

"Vielleicht hängt das aber auch mit einem Rebindschutz zusammen. :rolleyes: Muss ja nicht zwangsläuft an der DS liegen, sondern evtl. an der Konstellation DS VPN und OpnSense."

Das hast auch mit einem Draytek Router nicht geklappt.
 

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
Das erhalte ich wenn ich Bond Nutze....

1728296482370.png
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.187
Punkte für Reaktionen
1.143
Punkte
194
Also so recht verstehe ich nicht was du erreichen willst .

Du hast ja schon ne vernünftigte Firewall , wo du alles abbilden kannst.
Warum wilslst nur das gefrickel mit OVPN auf deiner Synology machen ?

Was macht es da beim DS Drive sicherer ?
 

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
ich nutze halt VPN Lokal um zb Management IP's zu erreichen, ich nutze ein anderes VPN vom Ausland,
mit Synos Geoblock, (Ausland ist ein Thema um Port Block/Filter umzugehen)
ich nutze VPN um auf lokale Netze zu kommen und eine anderes VPN um einfach darüber zu Surfen ohne lokalen Zugriff.

Es ist ein Bisschen kompliziert und Synos VPN ist nur einer von vielen.
:)
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.187
Punkte für Reaktionen
1.143
Punkte
194
klingt komplex , aber erklärt ja immernoch warum das gespiele über die Synology ?

Also mir fällt da kein Grund ein warum du den VPN Server auf der synology laufen lässt.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
342
Punkte für Reaktionen
119
Punkte
43
Welchen Vorteil würde Dir die Verwendung einer separaten LAN-Verbindung zwischen Router und NAS für den VPN-Tunnel bieten?
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
Welchen Vorteil würde Dir die Verwendung einer separaten LAN-Verbindung zwischen Router und NAS für den VPN-Tunnel
Naja, so wie ich es verstanden habe, soll für die VPN generell nur eine "separate" LAN Leitung genommen werden und dort per Firewall die Apps bzw. Zugriffe eingeschränkt werden. Ich denke aber auch, dass man das anderes lösen kann. Es sei denn es geht viel Traffic drüber, aber da sollte dann auch der Bond aufgelöst werden.
Also mir fällt da kein Grund ein warum du den VPN Server auf der synology laufen lässt.
Hier muss ich leider zustimmen. 😬

ich nutze halt VPN Lokal um zb Management IP's zu erreichen, ich nutze ein anderes VPN vom Ausland,
mit Synos Geoblock, (Ausland ist ein Thema um Port Block/Filter umzugehen)
ich nutze VPN um auf lokale Netze zu kommen und eine anderes VPN um einfach darüber zu Surfen ohne lokalen Zugriff.
Also das klingt für mich für INTERNE Nutzung kompliziert. Ich bilde das über die OpnSense ab. Aber jeder nach seinem Geschmack.
Es ist ein Bisschen kompliziert und Synos VPN ist nur einer von vielen
Klingt für mich nicht nur kompliziert, sondern ist es wahrscheinlich auch. Die OpnSense packt mehrere VPNs mit Sicherheit besser UND komfortabler, wie die DS. Und die Steuerung kannst du über die Regeln in der OpnSense regeln und ggf. zusätzlich noch in der DS. Aber intern VPN zu verwenden, hatte ich bis noch nicht auf dem Schirm.

Wir hatten hier mal die Sache/das Thema mit dem "Nachlass": Ich befürchte bis sich ein Hilfsadmin ein Überblick über dein Netzwerk verschafft hat UND dann auch noch versteht, wo du was gesteuerst und regulierst, gibt er auf. Einfach mal darüber nachdenken, es einfacher aufzubauen, ohne die Sicherheit zu schwächen. Interne VPNs zu nutzen, ist für mich keine Option.
Du hast ja schon ne vernünftigte Firewall , wo du alles abbilden kannst.
Meine Rede... 👍
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.187
Punkte für Reaktionen
1.143
Punkte
194
vielleicht gibts ja auch nen bestimmten grund.

Aber ich arbeite gern nach dem KISS Prinzip.

Und erfahrungsgemäß sind zu komplexe strukturen eher ein Nachteil als Vorteil.
 
  • Like
Reaktionen: Ronny1978

zyklone

Benutzer
Mitglied seit
19. Jan 2017
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
OPNSense ist eine Gute Firewall... weiß ich, aber auch die äußere.

Was ich mir Verspreche? das der VPN Traffik separat läuft und ich muss nicht auch noch auf den Switchen ACL's und Routen dafür erstellen.

Ich betreibe mehrere 10gbe Switche und Vlans die gegeneinander isoliert sind, nur die Syno kann alle sehen, so das z.zeit ich auf alles über VPN komme.... muss in der Zukunft so nicht sein.

Klar kann ich ALLES auf die Sense abwälzen und wenn die Fällt?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat