openVPN und Lokales LAN

[starpvtpaula]

Servus,

ich hab es heute endlich einmal geschafft mir die Zeit zum einrichten des VPN Servers zu nehmen. Da ich einen krüppel Router habe und der kein IPsec o.ä. kann hab ich openVPN gewählt. Soweit klappt alles Prima. Ich kann mich anmelden und kann auch auf die Dienste der DS zugreifen. Was mich stört ist das ich im Lokalen LAN diverse Seiten erreichen kann zum Beispiel die Konfiguration vom Router, IP Cam Repeater und was halt alles so rumfliegt.

der Haken bei Clients den Server LAN Zugriff erlauben ist nicht gesetzt (wobei mir die Aussage nun auch nicht eindeutig genug ist)

Was mach ich da falsch bzw. wie stell ich es an zumindest einiges zu sperren?

vg

Pvt.Paula

DSM 6.0.1-7393 Update 1
VPN Paket von Synology mit Version 1.3.2.-2738

 

[Nebelkrähe]

Schau doch mal in der Config-Datei (OPVN-Datei) nach einer Zeile, die folgendes enthält:

dhcp-option DNS ....

davor eine Raute (#) setzen und noch einmal probieren.

 

[jahlives]

dhcp-option DNS ....

davor eine Raute (#) setzen und noch einmal probieren.

das hilft mit Sicherheit nicht. Denn das würde nur verhindern, dass man die Seiten via Namen ansprechen kann. Direkt auf die IP geht aber am DNS vorbei.

@starpvtpaula
von welchem lokalen LAN sprechen wird hier? Das LAN auf der Seite des OVPN-Servers oder auf der Seite deines OVPN Clients?

 

[Nebelkrähe]

komisch, bei mir hat es auch die Zugriffe über die IP ein- und ausgeschaltet. Er kann es ja mal testen.

 

[jahlives]

komisch, bei mir hat es auch die Zugriffe über die IP ein- und ausgeschaltet. Er kann es ja mal testen.

dann hast du bei dir ein anderes Konzept von DNS als der Rest der Welt
Diese Option definiert nur welche DNS Server dem Client geliefert werden. Wenn du diese jetzt auskommentierst kann maximal der Zugriff via Name nicht funzen. Zudem könnte der Client einen anderen DNS abfragen, der den Namen noch zur IP auflöst.
Was der TS will geht nur mit Firewalls und entsprechenden Regeln (zuverlässig)

 

[starpvtpaula]

Guten Abend zusammen,

ich habe Probehalber mal die Raute gesetzt. Ich kann dann tatsächlich die Router Konfig nicht mehr erreichen weder IP noch über die Domain aber leider auch meine WebStation auf der NAS nicht mehr und das sollte ja bestehen bleiben.

Ich hab mir auch schon einmal die Firewall angeschaut der DS aber da blick ich nicht so ganz durch. Ich bin davon ausgegangen das der Router die Seite per Port 80 ausgibt und habe den pauschal mal für die VPN Nutzer gesperrt. Irgendwo muss ich einen Fehler gemacht haben denn ich konnte die Seite trotzdem aufrufen. Vielleicht ist der Port auch falsch.

Es ist bestimmt nicht so einfach möglich mit DSM GUI einzelne IPs im Lokalen LAN, das heißt bei mir zu hause wo die DS steht, für die VPN Clients ( Smartphone) zu sperren oder?

hier mal die config

dev tun
tls-client

remote IP_USW 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

vg