Synology als VPN-Client - Nur bestimmte Pakete tunneln

Status
Für weitere Antworten geschlossen.

horstepipe

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
67
Punkte für Reaktionen
0
Punkte
0
Hey
ich möchte mir einen Account bei https://nvpn.net/ erstellen und meine Synology als Client damit verbinden.
Ich möchte jedoch nicht den gesamten Traffic der Synology über die VPN laufen lassen, sondern NUR den Traffic einer einzigen App aus dem Paketzentrum. Diese App soll dann aber auch wirklich NUR über die VPN von außen erreichbar sein, und nicht über meine "normale" externe IP.

Ist das möglich?

lG
 

cyorps

Benutzer
Mitglied seit
05. Nov 2011
Beiträge
441
Punkte für Reaktionen
0
Punkte
0
Moin,

horstepipe schrieb:
ich möchte mir einen Account bei https://nvpn.net/ erstellen und meine Synology als Client damit verbinden.
Dafür ist der VPN-Server der falsche Ansatz, da sich die Synology selbst zu einem VPN-Server verbinden soll. Du kannst für dein Vorhaben über die Systemsteuerung -> Netzwerk, ein VPN-Profil erstellen das sich mit dem Provider (als Client) verbindet.

horstepipe schrieb:
Ich möchte jedoch nicht den gesamten Traffic der Synology über die VPN laufen lassen, sondern NUR den Traffic einer einzigen App aus dem Paketzentrum.
Dafür musst du dann für diese Verbindung in der Systemsteuerung -> Sicherheit eine entsprechende Firewall-Regel erstellen.

horstepipe schrieb:
Diese App soll dann aber auch wirklich NUR über die VPN von außen erreichbar sein, und nicht über meine "normale" externe IP.
Solange dein Router den für die App genutzten Port selbst nicht weiterleitet, ist das der Fall.
 

netguru

Benutzer
Mitglied seit
03. Jan 2015
Beiträge
128
Punkte für Reaktionen
0
Punkte
16
"Dafür musst du dann für diese Verbindung in der Systemsteuerung -> Sicherheit eine entsprechende Firewall-Regel erstellen."

Bist Du da sicher? Die Firewall hat meiner Ansicht nach nichts mit dem VPN zu tun.
Da die DS kein extra Netzwerkinterface für VPN aufmacht (Linux normal tun0) wird doch intern auch gar nicht zwischen VPN und nicht VPn unterschieden??

Meiner Ansicht nach (ich bin kein Profi), kann man der Syno nur sagen, dass Sie alles oder nichts über das VPN abwickeln soll.
Das es nur für eine APP gehen kann, bezweifele ich, ich frage mich auch, wo der Sinn darin besteht, bestimmte Bereiche der Syno NICHT über das VPN laufen zu lassen?
 

cyorps

Benutzer
Mitglied seit
05. Nov 2011
Beiträge
441
Punkte für Reaktionen
0
Punkte
0
netguru schrieb:
Bist Du da sicher? Die Firewall hat meiner Ansicht nach nichts mit dem VPN zu tun.
Da ihm die IP(-Range) der VPN bekannt sein sollte, kann er durchaus einen einzeln Port für diese Verbindung freigeben und den Rest sperren.
 

horstepipe

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
67
Punkte für Reaktionen
0
Punkte
0
hmm also ich habe die vpn jetzt einfach mal ohne Firewall-Regeln erstellt, ich scheine mit der DS nicht mehr ins Internet zu kommen.
Bei Gateway steht auch nur --
 

horstepipe

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
67
Punkte für Reaktionen
0
Punkte
0
soo es klappt jetzt soweit, danke.
Glaube es lag daran, dass "Anderen Netzwerkgeräten gestatten, eine Verbindung über die Internetverbindung dieses Computers herzustellen" deaktiviert war.

Also VPN ist eingerichtet, am Router wurde der Port für die App entfernt und bei nvpn.net eingetragen. Dann noch die Dyndns auf die feste, nicht shared, IP angepasst und alles läuft wie es soll.

Jetzt stehe ich nur mit den Firewall-Regeln aufm Schlauch.
Was genau muss ich da eintragen, damit alles außer besagter App die VPN nicht benutzt?


BTW: Wenn ich die VPN-Verbindung der Synology mal mit einem anderen Gerät (iPhone, PC) nutzen möchte, wie muss ich da vorgehen? Kann ich einfach die IP der Synology als Standardgateway eintragen?

lG
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.849
Punkte für Reaktionen
1.144
Punkte
288
dass "Anderen Netzwerkgeräten gestatten, eine Verbindung über die Internetverbindung dieses Computers herzustellen" deaktiviert war.

Also VPN ist eingerichtet, am Router wurde der Port für die App entfernt und bei nvpn.net eingetragen. Dann noch die Dyndns auf die feste, nicht shared, IP angepasst und alles läuft wie es soll.

also irgendwie sprichst du in Rätseln.
Wo hast du diese Einstellung aktiviert? Das kenne ich vom windows PC. Das ist dazu da um andere Geräte die vielleicht selber nicht die Hardware besitzen mit dem Internet via dieses PC zu kommunizieren. Hat kaum was damit zu tun ob die DS mit dem VPN kommuniziert oder nicht.
Es sei denn du baust die VPN irgendwie vom PC aus.

Oder hast du doch den VPN Client der DS aktiviert?

Du musst schon etwas Informationen geben, dann gibt es da schon Leute die dir helfen können.




Jetzt stehe ich nur mit den Firewall-Regeln aufm Schlauch.
Was genau muss ich da eintragen, damit alles außer besagter App die VPN nicht benutzt?

du kannst alles sperren ausser VPN. Aber das ist kaum was du willst wie ich es bis jetzt verstanden habe.

Ich denke du möchtest eigentlich Routing vermutlich.

Das geht so ganz einfach wohl nicht. Ich denke jemand wird eine Lösung finden etwas auf der Linux Ebene auszudenken.
 

cyorps

Benutzer
Mitglied seit
05. Nov 2011
Beiträge
441
Punkte für Reaktionen
0
Punkte
0
Ich würde die entsprechende LAN-Schnittstelle auswählen und eine Regeln erstellen die alle Ports außer deinen Wunschkandidaten verbietet. Als Quell-IP würde ich die IP-Adresse eintragen, den du über die VPN zugewiesen bekommst.
Kannst du einmal mit einer ssh auf die DS gehen und z.B. mit ifconfig nachschauen, welche Netzwerkschnittstellen der DS mit verbundenen VPN zur Verfügung stehen?
 

horstepipe

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
67
Punkte für Reaktionen
0
Punkte
0
Das ist dazu da um andere Geräte die vielleicht selber nicht die Hardware besitzen mit dem Internet via dieses PC zu kommunizieren. Hat kaum was damit zu tun ob die DS mit dem VPN kommuniziert oder nicht.

ja das dachte ich auch, aber es schien so, als ob die DS ohne diese Einstellung keine Internetverbindung mehr aufbauen konnte. Vielleicht war es auch einfach nur Zufall, werde es nachher noch mal rausnehmen.

also irgendwie sprichst du in Rätseln.

Sorry, dann versuche ich mich noch einmal klarer auszudrücken:
Es geht zur Zeit erstmal nur um die DS, welche einen VPN-Tunnel aufbauen soll/aufgebaut hat. Habe das VPN-Profil unter "Systemsteuerungen -> Netzwerk -> Netzwerkschnittstelle -> Erstellen -> VPN-Profil erstellen" erstellt.

Das klappt ja jetzt auch schon mal alles soweit. Zur Zeit scheint es so zu sein, dass alle Services der DS nur über die VPN erreichbar sind.

Ich denke du möchtest eigentlich Routing vermutlich.

Ja, wahrscheinlich möchte ich das :)

Also, der Tunnel läuft ja jetzt ne Weile und inzwischen habe ich eigentlich nichts mehr dagegen, dass alles darüber getunnelt wird, steinigt mich bitte nicht :)

ABER: Auf der DS läuft auch der VPN-Server-Dienst. Diesen habe ich immer benutzt, um von unterwegs auf die Dateien/Geräte in meinem Heimnetzwerk zuzugreifen. Dieser funktioniert jetzt nicht mehr. Ich hoffe jetzt nicht wieder in Rätseln zu sprechen:
Müsste ich jetzt die Ports 500, 1701, 4500 für den Synology VPN Server (L2TP/IPSec) bei nvpn.net, dem Tunnelanbieter, über den sich meine DS als Client einwählt, öffnen? Wenn ja, fänd ich das ziemlich unsinnig. Ich würde gerne meinen Synology VPN-Server weiter wie gehabt nutzen können. Sprich dieser soll unberührt von dem nvpn.net-Tunnel sein, wenn dies denn überhaupt möglich ist.

Hier meine ifconfig:

Rich (BBCode):
http://pastebin.com/pBpBnGYA
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.849
Punkte für Reaktionen
1.144
Punkte
288
hmm, also leider kann Syno nicht gleichzeitig VPN Client und VPN Server sein. Darum geht der VPN Server nun nicht mehr. Also wird dieser Weg nicht gehen.

Habe von Konfigurationen gelesen bei denen die DS die Client Aufgabe gemacht hat und ein anderes Gerät dann den Server (Fritz).
Selber nicht ausprobiert.
 

netguru

Benutzer
Mitglied seit
03. Jan 2015
Beiträge
128
Punkte für Reaktionen
0
Punkte
16
@cyorps
Je nach DS gibt es doch nur eine Schnittstelle?

@horstepipe
"BTW: Wenn ich die VPN-Verbindung der Synology mal mit einem anderen Gerät (iPhone, PC) nutzen möchte, wie muss ich da vorgehen? Kann ich einfach die IP der Synology als Standardgateway eintragen?"
Ja, dann einfach mit whoer.net IP prüfen ...
Zudem würde ich die DNS im Router UND/ODER in der Syno auf eine "alternative" DNS ändern ...

Du kannst von extern über die VPN IP rein (in/bei NVPN freigeben), Freigabe hier nur die Ports die Du benötigst, also die https Ports für die Oberfläche und die Apps etc ...

Ob die reine VPN (Server-) Funktion noch funktioniert, weiss ich nicht.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.849
Punkte für Reaktionen
1.144
Punkte
288
Ob die reine VPN (Server-) Funktion noch funktioniert, weiss ich nicht.

eben nicht, VPN Server und VPN Client können nicht gleichzeitig verwendet werden

Das Eintragen der Ports bei dem VPN Provider wird also kaum was nutzen.
 

netguru

Benutzer
Mitglied seit
03. Jan 2015
Beiträge
128
Punkte für Reaktionen
0
Punkte
16
Vielleicht reden wir einander vorbei ...
Wenn mein Syno WEBIF auf Port 8000 läuft, geb ich bei meinem VPN Provider (mit dem ich als CLIENT verbunden bin) den Port 8000 frei und auch in meiner Router Firewall.
Dann https://VPNProviderIP:8000 und ich bin auf dem WEBIF meiner Synology ...
Dafür brauch ich ja keinen VPN Server auf der Synology.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Für mich gehören Routing und Firewall nicht auf die NAS.

Für EUR 35.- bekommst Du einen richtigen Router mit Firewall...
 

horstepipe

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
67
Punkte für Reaktionen
0
Punkte
0
Habe von Konfigurationen gelesen bei denen die DS die Client Aufgabe gemacht hat und ein anderes Gerät dann den Server (Fritz).
Selber nicht ausprobiert.

Gute Idee, so werd ich's versuchen.

Du kannst von extern über die VPN IP rein (in/bei NVPN freigeben), Freigabe hier nur die Ports die Du benötigst, also die https Ports für die Oberfläche und die Apps etc ..

Ich nehme lieber den oben beschriebenen Weg, da ich nicht nur Zugriff auf die Weboberfläche der DS haben möchte, sondern auf mein gesamtes Heimnetzwerk.

Zudem würde ich die DNS im Router UND/ODER in der Syno auf eine "alternative" DNS ändern

Kannst du das noch mal erläutern? Welchen Sinn/Vorteil hat das?
 

netguru

Benutzer
Mitglied seit
03. Jan 2015
Beiträge
128
Punkte für Reaktionen
0
Punkte
16
Da ich vermute, dass du deine IP nicht zeigen willst, solltest Du Sie auch über die DNS nicht zeigen (DNS leak).

Wenn Du VPN etc. von der Synology weg haben willst, les mal in der FAQ bei NVPN über DD-WRT Router und VPN.
Kostet zwar bissi mehr als 35€ (wenn man auch den Speed will) aber sonst auch eine Möglichkeit.

EDIT:

NVPN hat aktuell noch keine eigenen DNS Server ...
https://community.hide.me/threads/dns-leak-erkennen-und-verhindern.20/
Ich habe bei mir zwei alternative DNS Server direkt in der Fritzbox hinterlegt.

Gruß
 
Zuletzt bearbeitet:

horstepipe

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
67
Punkte für Reaktionen
0
Punkte
0
danke dir.
Kannst du mir noch sagen, was die Einstellung "Standard-Gateway auf Remote-Netzwerk verwenden" beim Erstellen des VPN-Profils genau meint?
lG
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat