Statische ip zuweisen eines VPN Client

[Megavolt20]

Hey leute also ich habe einen umts router der als pptp client fungiert. Der client verbindet sich auf meiner ds 214play die als server angiert.
jetzt kann man ja nur bei der pptp einstellung die startaddresse eingeben. Standartmässig steht sie auf 10.0.0.1 oder so. Wenn sich nun der client anmeldet nimmt er eine ip adresse an z.b. 10.0.0.2. wenn ich mich mit meinem Windows rechner anmelde bekomme ich die nächste adresse. Wie bekomme ich es nun hin das der client immer die gleiche adresse zugewiesen bekommt?

mfg megavolt20

 

[fpo4711]

Hallo,

setze auf der Serverseite eine statische Route und sprich den Clienten mit seiner lokalen IP an. Eine statische Zuordnung der Tunnel-IP ist über PPTP meines Wissen nicht möglich. Sollte dein Clientsubnetz beispielsweise die 192.168.0.0/24 sein dann auf der Serverseite folgendes eingeben:

route add -net 192.168.0.0 netmask 255.255.255.0 dev ppp0

Wenn alle Geräte im Netz auf diesen Clienten zugreifen sollen evt. ein statische Route auf dem Router setzen.

Ansonsten würde ich OpenVPN auf Grund einer Sicherheitslücke bei PPTP empfehlen und da hier gerade das Management von Routen besser gelöst ist.

Gruß Frank

 

[Megavolt20]

mhh son mist das ich das so nicht zuweisen kann. also werde ich unter umständen immer zuerst auf der serverseite schauen welche ip der client bekommen hat.geht es den über open vpn? ich habe gelesen das ich mit open vpn geschwindigkeitseinbussen habe. mir ist es sehr wichtig eine stabile und relativ schnelle verbindung zu haben da ich über diese verbindung programmieren möchte..

 

[fpo4711]

Ist mir nicht bekannt das das jetzt Performanceunterschiede gibt. Ich wende auch kein PPTP mehr an. Fixe Zurodnungen von Client IP's gehen auch per PPTP mir ist nur kein Weg auf der DS bekannt. Vielleicht kennt ja Jemand einen Weg. Ich finde es aber auch transparenter die Geräte mit ihren lokalen IPs anzusprechen als mit ihren Tunnel-IPs.

In OpenVPN kannst Du jedem einzelnen Clienten entsprechende Daten zuweisen. Stichwort: Client Configuration bzw. ccd siehe OpenVPN-Webseite

Das meiste ist auch über die ServerConfig des Pakets VPN Server zu realisieren.

Gruß Frank

 

[bvrulez]

Gruß Frank,

wo genau muss die route eingegeben werden, im Terminal? Und wie ist die IP 192.168.0.0 im Beispiel von Dir zu verstehen - ist das die IP, die der VPN-Client hat? Bei mir ist das so, dass das lokale Netz mit 192.168.0. den VPN-Client enthält und das entfernte Netz mit 192.168.10. den VPN-Server. Wenn ich auf der DS im entfernten Netz die IP 192.168.0.XXX eingebe, woher weiß denn die DS, dass sie durch den Tunnel muss? Oder wird das irgendwo hinterlegt, dass 10.0.0.1 (oder wie die aktuelle VPN-IP ist) mit der IP verbunden ist? Oder ist das der Hinweis im Befehl, dass unter "ppp0" die Clients mit 192.168.0.XX zu finden sind?

Vielen Dank!
Ben

 

[fpo4711]

Hallo Ben,

da hättest Du auch mit der Antwort ein paar Tage warten können, dann wäre es genau ein Jahr

wo genau muss die route eingegeben werden, im Terminal?

Genau. Per telnet oder ssh auf der DS anmelden. Benutzer root - Passwort von admin

Und wie ist die IP 192.168.0.0 im Beispiel von Dir zu verstehen - ist das die IP, die der VPN-Client hat?

Nein, das ist das Subnetz welches sich auf der Clientseite des VPN-Servers befindet.

Bei mir ist das so, dass das lokale Netz mit 192.168.0. den VPN-Client enthält

Na perfekt, dann passt doch das Beispiel wie die Faust aufs Auge.

route add -net 192.168.0.0 netmask 255.255.255.0 dev ppp0

woher weiß denn die DS, dass sie durch den Tunnel muss? Oder wird das irgendwo hinterlegt, dass 10.0.0.1 (oder wie die aktuelle VPN-IP ist) mit der IP verbunden ist? Oder ist das der Hinweis im Befehl, dass unter "ppp0" die Clients mit 192.168.0.XX zu finden sind?

Und genau so ist es. Diese Route sagt, das das Netz 192.168.0.0/24 über das Device ppp0 zu erreichen ist.

Auf der Clientseite sollte auch "Standardgateway für Remotenetz verwenden." oder so ähnlich angehakt sein.

Wenn Du trotzdem die Möglichkeit hast eventuell OpenVPN oder L2TP/IPSec zu verwenden, würde ich Dir das nach wie vor ans Herz legen.

Gruß Frank

 

[bvrulez]

Danke vielmals für die klasser Erklärungen! Ich bin übrigens nicht der originale Thread-Ersteller. Ich weiß, PPTP ist unsicher, aber momentan reicht mir das noch, denke ich. Meine Frage ist nun noch, was passiert, wenn ich das Netz, in dem der VPN-Server steht, in 192.168.0 umändere. Gäbe das ein Problem? Ich hab noch nie manuell die Routing-Tabellen verändert und habe damit absolut keine Erfahrung.

 

[fpo4711]

Meine Frage ist nun noch, was passiert, wenn ich das Netz, in dem der VPN-Server steht, in 192.168.0 umändere. Gäbe das ein Problem?

Ein ganz klares JA. Geroutet werden kann nur wenn die Subnetzte unterschiedlich sind. Hier zur Sicherheit der übliche Leitspruch für VPN auf der DS.

Clientsubnetz ungleich Tunnelsubnetz ungleich Serversubnetz

Gruß Frank

 

[bvrulez]

Okay, das dachte ich mir. Aber was mache ich in so einem Fall? Wie einfach ist es, alle getätigten Routing-Änderungen rückgängig zu machen? Kann man das leicht resetten?

 

[laserdesign]

Hallo,

hier mal ein paar Syntax zum routing

route -n # Routen anzeigen lassen
route add -net 192.168.0.0 netmask 255.255.255.0 dev ppp0 # Route setzen
route delete -net 192.168.0.0 netmask 255.255.255.0 dev ppp0 # Route löschen

 

[bvrulez]

Danke für die Info. Dann muss man natürlich wissen, welche Routings man selbst angelegt hat und daher löschen möchte. Sollte in dem Fall kein Problem sein und relativ einfach rauszufinden. Aber es könnte ja auch sein, dass automatisch eine Route zu pptp angelegt wird, oder? Es gibt wohl aber keinen Befehl, mit dem alle manuell angelegten Routings entfernt werden.

 

[bvrulez]

Grüße nochmal,

ich habe heute versucht das Routing zu ändern.

Zusammenhang, wie oben:

- Netz des VPN-Servers: 192.168.0.X
- Netz des VPN-Clients: 192.168.10.X

Ich verbinde mich per PPTP vom Client zum Server (automatisches Wiederverbinden). Bisher hat der Client dann die IP 10.0.0.1 oder 10.0.0.2 bekommen, je nachdem, ob ich parallel mit dem admin in der DSM Oberfläche drin war und so schon die erste IP vergeben war.

Der Server soll dann rückwärts durch diesen Tunnel zum Client einen Ordner synchronisieren. Das funktioniert auch. Der Server hat die Angabe, dass der Client zum synchronisieren unter 10.0.0.1 zu finden ist.

Da es vorkommt, dass andere User per VPN zugreifen bekommt der Client dann gelegentlich eine andere IP (10.0.0.2) und kann so nicht mehr gefunden werden vom Synchonisierungsdienst.

Da ich das umgehen wollte, habe ich heute die oben vorgeschlagene Route im Terminal angelegt und auch im Client angehakt, dass das Gateway des Remote-Servers verwendet werden soll (Ist das nötig? Wenn ja, warum?). Der Synchronisierungsdienst hat jetzt die Angabe auf 192.168.0.X zuzugreifen, also auf eine IP in dem anderen Netz.

Das funktioniert aber nicht. Es kommt die Meldung, dass die SSH-Verbindung nicht hergestellt werden konnte, dass ich Benutzernamen und Passwort überprüfen soll und dass ich sicherstellen soll, dass der SSH-Dienst auf dem Zielserver normal ist.

Der Eintrag der Routing-Tabelle auf dem Server:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.10.1 0.0.0.0 UG 0 0 0 eth0
10.0.0.1 * 255.255.255.255 UH 0 0 0 ppp0
10.0.0.2 * 255.255.255.255 UH 0 0 0 ppp1
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 * 255.255.255.0 U 0 0 0 ppp0
192.168.10.0 * 255.255.255.0 U 0 0 0 eth0

Was bedeutet hier denn die fortlaufende Nummerierung von ppp0, ppp1, etc.? Ich hatte das so verstanden, dass ppp0 immer den VPN-Server meint. Wenn jetzt aber ppp0 den ersten User, der mit dem VPN-Server verbunden ist meint und ppp1 den zweiten User - so sieht das hier ja aus, weil die IPs 10.0.0.1 und 10.0.0.2 zu ppp0 bzw. ppp1 zugeordnet werden, dann hat das ganze doch gar keinen Sinn, weil diese IPs ja immer unterschiedlichen Clients zugeordnet werden, je nachdem wer sich zuerst einwählt.

(Ich habe übrigens jetzt auch versucht noch eine zweite Route zusätzlich anzulegen, mit dem Ziel ppp1. Jetzt geht es. Aber jetzt muss ich ja für jeden potentiellen Fall eine Route hinterlegen. Kann man nicht auf "ppp" verweisen und die ID hinten weglassen oder variabel gestalten?)

Etwas merkwürdig finde ich übrigens auch, dass ich auf meiner Server-Synology (DS214se) im DSM unter Systemsteuern/Netzwerk keine (!) Einstellungen für eine statische Route sehe, bei meiner Client-Syno (DS114) aber dieser extra Reiter vorhanden ist.

Gruß,
Ben

 

[bvrulez]

UPDATE:

Mittlerweile ist die angelegte route wieder verschwunden. Ich hatte es so gelöst, dass ich gleich mehrere ppp-Interfaces auf das entfernte Netz geroutet habe. Muss das nach jedem Neustart der Syno erneut angelegt werden?

Oder ist es so, dass das Device pppX immer nur dann vorhanden ist, wenn auch ein Client vom VPN-Server eine IP zugewiesen bekommen hat? Sprich: Sind alle VPN-Verbindungen getrennt gibt es keine PPP-Devices mehr und die angelegten routings verschwinden?

Grüße,
Ben