via VPN Client der DS auf andere DS zugreifen

[ClasT]

Hallo,

ich habe 2 Wohnungen, in jeder steht eine DS214. Eine habe ich als VPN Server eingerichtet und die andere greift über den VPN Client (aus der Systemsteuerung) auf diesen VPN Server zu, dass funktioniert auch gut!

Jetzt möchte ich mit meinen Laptops aber auf die DS zugreifen, die als VPN Server fungiert - und zwar aus der Wohnung wo ich via VPN Client verbunden bin.

Ich möchte dabei nicht den gesamten Traffic durch die DS schicken, sondern nur dann wenn ich auf die andere DS zugreifen will. Ich habe schon die Funktionen

"Andere Netzwerkgeräte ermögliche, Verbindungen über die Internetverbindung dieses Synology Servers herzustellen" aktiviert und diese Diskstation dann als Gateway auf meinen Laptop eingetragen, aber ich erreiche die andere DS einfach nicht.

Habe auch mal die FUnktion "Sämtlichen Client-Verkehr durch den VPN Server" aktiviert, aber hier das gleiche.

Ich habe irgendwie einen schweren Denkfehler in meinem Plan

Durch die VPN Verbindung sichere ich schon Daten von einer DS auf die andere, also das geht - jetzt muss es doch mögich sein über die bestehende VPN Leitung ein Teil des Traffics zu Routen ?!?

Vielleicht kann mir ja hier jemand helfen.

Danke

 

[fpo4711]

Hallo und willkommen im Forum,

wichtig wäre erst einmal was Du für ein VPN benutzt (PPTP/L2TP/OpenVPN). Der Weg den Du beschreibst sollte funktionieren wenn Du als Gateway die DS einträgst. Bei OpenVPN werden die Routen automatisch gesetzt. Bei PPTP / IPSec müssen eventuell manuelle Routen auf der Client-DS gesetzt werden um nicht allen Verkehr über den Tunnel zu leiten. Die Server-DS mit ihrer lokalen IP ansprechen.

Hast Du auch sowohl Client- als auch Serverseitig unterschiedliche Subnetze?

Gruß Frank

 

[ClasT]

Sorry, vergessen zu schreiben - OpenVPN habe ich auf der einen DS214 laufen.

Gut ich versuche mal mein Netzwerk zu beschreiben.

Whg1. DS214 - 192.168.50.0/24 - VPN Server
Whg2. DS214 - 192.168.100.0/24 - VPN Client

Beim VPN Server habe ich die Standard 10.8.0.0 Adresse gelassen, weiß jetzt gar nicht die genau Konfiguration - default halt

Hoffe das reicht aus.

Wenn ich den den VPN CLient als Gateway bei meinen Clients eintrage, dann passiert gar nix - kann nicht auf die lokale IP connecten - aber das Internet geht dann auch nicht mehr!

/e: Kann ich mir die Routen irgendwo ansehen?!?

/e2: Habe mich mal via ssh auf die DS der Whg2 geschaltet, die per VPN Client connectet ist, dort kann ich per Ping die anderen IPs aus WHG1 erreichen, also wieso geht es nicht, wenn er die Route doch findet, wenn ich die DS als Gateway eintrage ?!?


/E: GELÖST - Man sollte es auch als Gateway eintragen und nicht als DNS Server, wobei mir dabei die nächste Frage eingefallen ist - wäre es nicht besser auf dem DS der WHG2 einen DNS Server zu installieren und dann dort die Route zu definieren und dann auf den Clients den Standard Gateway des Routers lassen und als zusätzlichen DNS Server die DS?

 

[fpo4711]

Hallo,

das sieht doch erst einmal gut aus. Nur zur Sicherheit. Dein Ziel ist es nur den Traffic der für die DS auf der Serverseite bestimmt ist über den Tunnel zu leiten. Solltest Du einen Router haben der die Möglichkeit bietet eine statische Route zu definieren, kannst Du das auch etwas komfortabler lösen. Also zuerst einmal auf der DS-Client in den erweiterten Einstellungen das Häkchen deaktivieren unter "Sämtlichen Verkehr....", dann das Häkchen setzen unter "Anderen Teilnehmern erlauben ..."

Wenn Du jetzt nachdem die Verbindung aufgebaut ist auf deinem Laptop als Gateway die IP der DS-Client angibst, solltest Du schon auf die DS-Server mit der lokalen IP der DS-Server vom Laptop aus zugreifen können. Ein zusätzlicher VPN-Client ist auf dem Laptop nicht nötig.

Wenn Du jetzt wie oben schon angedeutet einen Router hast, der die Eingabe von statischen Routen zuläßt wie beispielsweise die Fritzbox, dann kannst Du dort eine statische Route definieren mit dem Subnetz der Serverseite 192.168.50.0/24 und als Gateway die IP der DS-Client. Somit könntest Du dann auf dem Laptop als Gateway die IP des Routers stehen lassen. Somit würde dann der "normale" Verkehr wie gewohnt über den Internetzugang laufen und nur der Traffic für die DS-Server dann eben über das VPN.

Auf deinem Laptop kannst Du auch den Weg der Pakete verfolgen wenn Du folgendes auf der Kommandozeile eingibst.

tracert <Lokale_IP_SERVER_DS>

Gruß Frank

 

[ClasT]

Danke für die schnelle Antwort, also ich habe jetzt genau das mal gemacht - weil vorher der ganze Traffic über die DS ging und das will ich ja nicht. Also habe ich nur den Haken bei "Anderen Teilnehmern erlauben..." - aber jetzt geht es nicht mehr.

Mache ich ganzen Traffic geht es wieder ?!?

/e: Kurios, wenn ich die Einstellungen wie oben einstelle dann komme ich auf den Router der Gegenseite also 192.168.50.1 - aber alle anderen IPs (z.B: die der DS) gehen nicht!

 

[fpo4711]

Schon etwas komisch. Aber prüfen kannst Du das in dem Du auf der DS-Client mal in der Kommandozeile

route

eingibst. Da sollte dann so etwas wie hier rauskommen.

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
192.168.0.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.192.0   *               255.255.255.0   U     0      0        0 eth0

In diesem Fall ist das Clientnetz 192.168.192.0/24 und das Serversubnetz 192.168.0.0/24 Die vorletzte Zeile ist eigentlich die wichtige Route zum Server und sollte dann auch vorhanden sein. Glück gehabt, das ich hier gerade zwei verbundene DS habe

Gruß Frank

 

[ClasT]

Hatte komischerweise als ich traceroute (bin Mac User) auf die IP 192.168.50.1 gemacht habe, ging er durch den Tunnel und bei 192.168.50.117 (DS) ging er über den lokalen Router (192.168.100.1).

Nach DNS Flush und Netzwerkreset geht es wieder, war wohl noch ein alter Eintrag der ihn gestört hat.

Ok, soweit gut geht also - leider habe ich eine EasyBox da scheint man keine separeten Routen einstellen zu können.

 

[fpo4711]

Bei der EasyBox hilft nur das hier.

 

[ClasT]

Bei der EasyBox hilft nur das hier.

Der ist gut, kenn ich

Ich mag die Box auch nicht, da mir dieses Feature schon wichtig ist - weil ich auch nicht alle Clients manuell konfigurieren möchte, werde ich mir wohl eine FritzBox zulegen. Von Haus aus können das alle aktuellen FritBox'en ? z.B. die 7390 bzw. 7490 ?

 

[fpo4711]

Von Haus aus können das alle aktuellen FritBox'en ? z.B. die 7390 bzw. 7490 ?

Ja.

 

[ClasT]

Super, dann möchte ich dir vielmals für deine Hilfe danken!

 

[pagru]

Hallo allerseits

Möchte gerne eine erweiterte Frage nachschieben:

Mein DS ist mit einer anderen DS via VPN verbunden. In den Verbindungseigenschaften bei "Verbindung wieder aufnehmen, wenn verloren gegangen" ist ein Häckchen gesetzt. Meine Frage: Wenn die DS die Verbindung tatsächlich verliert, wird keine neue Verbindung aufgebaut.
Woran liegts wirklich?