OpenVPN: Wünsche Zugriff nur auf Netzlaufwerke nicht auf Netzumgebung

[FredAnna]

Hallo und schön hier zu sein.

Ich möchte auf meiner Synology OpenVPN einrichten. Ziel ist es, auf die Netzlaufwerke Zugriff zu haben, aber nicht auf die Umgebung also etwa auf 192.168.178.100 und nicht auf alle 192.168.178.X
Ich habe schon einige Tutorials durchgearbeitet, bin aber leider nicht erfolgreich gewesen. z.B. das hier https://www.youtube.com/watch?v=cHyBxGUDJyw
Entweder habe ich Zugriff auf alles oder auf nichts.

Hat jemand einen Tipp oder spezielles Tutorial für mich?

Vielen Dank!

Fred

 

[Ronny1978]

Hallo @FredAnna ,

willkommen im Forum. Ich kann dir nur empfehlen Wireguard auf deiner Fritzbox zu nutzen. Der VPN Tunnel sollte aus Sicherheitsgründen dort stehen, wo die äußerste Grenze zum Netzwerk ist.

Ziel ist es, auf die Netzlaufwerke Zugriff zu haben, aber nicht auf die Umgebung also etwa auf 192.168.178.100 und nicht auf alle 192.168.178.X

Ich denke jedoch, dass du das auf Seiten der Fritzbox nicht steuern kann. Daher müsstest du dann eine "richtige" Firewall nehmen oder die Firewall der DS einschalten und nutzen. Aber ob man das dort so detailliert einstellen kann, weiß ich nicht. Rein aus Neugier: Warum auf die Netzlaufwerke und nicht auf diese speziellen IP's?

 

[FredAnna]

Hallo @Ronny1978 .

Vielen Dank für den schnellen Input.
Vielleicht habe ich mich unklar ausgedrückt, was ich machen möchte. Daher hole ich ein wenig weiter aus.

• Wie Du wahrscheinlich schon aus meiner IP "gelesen" hast, habe ich eine Fritzbox und eine DS. Nun möchte ich externen Nutzern Zugang auf die Netzlaufwerke gewähren.
• Ob das auf die Laufwerke an sich oder die IP dazu ist, ist mir eigentlich egal. Ich hatte den Unterschied nicht auf dem Schirm.
• Einen Wireguard-Zugang auf meine Fritzbox habe ich bereits. Das funktioniert super.
• Ich selbst - oder ausgewählte Personen - sollen auf alle IP-Bereiche zugreifen können und manche eben nur auf die Laufwerke bzw. deren IPs.

Ich habe ein wenig recherchiert und herausgefunden, dass es dafür sog. AllowedIPs bei der Konfiguration gibt. Darin müsste ich dann die IP der Laufwerke schreiben, oder?

Beste Grüße
Fred

 

[Stationary]

Ich weiß zwar nicht, wie man aus der IP-Adresse die FritzBox hätte herauslesen sollen, die ist schließlich frei wählbar, auch in der FB - und beim Nutzen von VPN ist auch nie falsch, die zu ändern, weil sonst das Risiko/Problem besteht, daß man aus einem Netzwerk mit der gleichen internen IP nach Hause kommen möchte und das klappt dann nicht, aber: man sollte durchaus auf Einzelgeräte beschränken können (letzter Punkt der erweiterten Einstellungen):

 

[Stationary]

Wireguard ist zudem gerätegebunden, d.h. für jedes Gerät, das von außen zugreifen soll,,muß ein eigener Zugang konfiguriert werden. Mit IPSec kann man auch einen Zugang für viele Geräte konfigurieren, dann aber immer nur einmal nutzen, also kein gleichzeitiger Zugriff.

 

[Ronny1978]

IP-Adresse die FritzBox hätte herauslesen sollen

Weil 192.168.178.x typisch Fritzbox ist.

Wireguard ist zudem gerätegebunden, d.h. für jedes Gerät, das von außen zugreifen soll

Das wäre ja der Weg, dann noch mit der DS Firewall zu arbeiten und bestimmte Dienste für bestimmte Benutzer zu sperren. Die IP steht ja fest und ist auf das Gerät und Benutzer "gemünzt".

 

[Hagen2000]

Hallo Fred,
wie hier https://kb.synology.com/de-de/DSM/help/VPNCenter/vpn_setup?version=7 unter 10. im Abschnitt OpenVPN beschrieben, kann man doch steuern, ob Clients auf andere Adressen im Server-LAN Zugriff haben dürfen oder nicht. Klappt das bei Dir nicht?

 

[Ronny1978]

Für ihn ging es darum -> Netzlaufwerke ja / Rest vom Netzwerk NEIN, So hatte ich es verstanden. Unter 10. würde bedeuten -> alles oder nichts.

 

[Hagen2000]

Unter Netzlaufwerke hatte ich jetzt die Freigaben des NAS verstanden, die ja alle unter der IP-Adresse des NAS erreichbar sind. Wenn es auch um Netzlaufwerke anderer Geräte geht, dann hilft mein Vorschlag natürlich nicht.

 

[Ronny1978]

@Hagen2000 : Kein Problem. Ich finde es hier schwierig das zu regeln. In meiner OpnSense ist es ganz leicht. Aber von der DS aus??? Und bei der Fritzbox geht es meiner Meinung nach, auch nicht.