Virtuelle Diskstation im getrennten IP Adressenbereich

vbuser · 03. Mai 2017

Hallo Synology Forum,

ich bin schon seit einiger Zeit fleißig am mitlesen und habe ebenfalls eine vituelle Diskstation am laufen.

Mein derzeitiges Vorhaben sieht wie folgt aus:

Ich würde gerne eine vituelle Diskstation in einem getrennten IP-Adressenbereich laufen lassen. Hintergrund ist, dass ich den gesammten IP-Adressenbereich über ein VPN- laufen lassen will. Das eigentliche Netzwerk soll davon unberührt bleiben, sodass auch die Geräte voneinander getrennt sind.

Das VPN auf der virtuellen Diskstation zu installieren ist ja kein Problem. Ebenfalls die virtuelle Diskstation in einen anderen IP-Adressenbereich zu verfrachten ist auch kein Problem. Das Problem entsteht aus der Kombination aus beiden, dass natürlich der Router (zum Internet) in dem anderem IP-Adressenbereich liegt. D.h. verfrachtet man die virtuelle Diskstation in einnen anderen Bereich, so kann diese keinen Zugang zum Internet mehr herstellen.

Jetzt meine Frage: Ich denke, dass hier ein typisches routing Problem vorliegt. Wo müssen hier in diesem Fall die IP-Routen gesetzt werden? Setze ich die in der virtualisierten Diskstation oder in der bestehenden, nicht virtuellen Diskstation.

Ich hoffe, dass ich das Problem relativ eindeutig schildern konnte. Wenn nicht, sind fragen gerne gesehen

Freue mich schon auf kreative Ideen!!

whitbread · 03. Mai 2017

Die virtuelle Instanz ist immer über den Netzwerkport erreichbar über den Sie auch verbunden ist.
Der Umweg über VPN erschliesst sich mir nicht. Denke doch lieber über VLAN nach.

vbuser · 04. Mai 2017

Die Virtuelle-Instanz lässt sich auch erreichen, wenn der Virtuellen-Instanz eine andere IP gegeben wird, die vom Host abweicht. Der Client muss natürlich im selben IP-Adressenbereich tätig sein.

Dort tritt jedoch ein Gateway Problem auf, da in dem Adressenbereich der Router natürlich nicht gefunden werden kann. Die Verbindung kann somit zum Internet nicht aufgebaut werden.
Daher die Überlegung des Anlegens einer Route, sodass der Router, der den Zugang zum Internet ermöglicht auch von dem neuen IP-Adressenbereich erreicht werden kann.

Mit VLan ist eine gute Anregung. Hab ich mich persönlich noch nicht mit auseinander gesetzt. Werde mich da gleich mal einlesen.

Bzgl. VPN hat in diesem Zusammenhang nichts mit dem oben geschilderten Problem zu tun, außer das die Verbindung natürlich nicht zum VPN hergestellt werden kann, wenn keine Internetverbindung hergestellt werden kann.

whitbread · 04. Mai 2017

Also ich kann Dir nicht ganz folgen. Da ich nicht sicher bin, ob wir vom Gleichen reden fange ich mal ziemlich weit vorne an.
Zunächst mal wäre interessant welche HW Du einsetzt (ggf. mal eine Signatur erstellen). Denn damit einher geht die Frage, ob Du DockerDSM oder VirtualDSM verwendest bzw. verwenden möchtest.
Also die virtuelle Instanz ist quasi wie eine weitere NAS, nur eben mit dem Unterschied, dass diese auf der gleichen Hardware läuft. CPU und RAM werden von der physischen Instanz bereitgestellt, ebenso wie ein abgetrennter Bereich der Festplatten. Um jetzt eine Netzwerkverbindung zur virtuellen Instanz herstellen zu können wird auch diese virtualisiert. Dies basiert auf openvswitch, d.h. zwischen einer Deiner physischen Ports und Deinem virtuellen Port für die virtuelle Maschine steckt auch ein virtueller Switch. Somit ist der Traffic zwischen physischer NAS, virtueller NAS und dem was Du physisch an dem Port angeschlossen hast, also bspw. Deinem Router erstmal völlig transparent, d.h. uneingeschränkt.
Andererseits müssen Router, physische NAS und virtuelle NAS per se erstmal in einem Netzwerksegment stehen, um Traffic zu ermöglichen.
Um jetzt weiterzumachen wäre noch wichtig zu wissen über was für einen Router (einfacher DSL-Einwahlrouter vs. "richtiger" Router) wir sprechen und was Du jetzt genau trennen willst und warum.

vbuser · 04. Mai 2017

Zur Hardware:

-Synology DS415+ 8gb Ram
-Virtual DSM wird verwendet

Meine Vision:
-Netzwerk A: IP 192.168.178.0 -> 192.168.178.1 = Router,... 192.168.178.2 = Diskstation Lan1,.... 192.168.178.3 = Diskstation Lan2,... usw.
-Netzwerk B: IP 192.168.68.0 -> 192.168.68.1 Virtuelle Diskstation; 192.168.68.2 Mein Laptop....

Netzwerk A und B sind nach meinem Verständnis so voneinander gentrennt. Ich möchte nun die virtuelle Diskstation dazu verwenden eine VPN-Verbindung herzustellen, die dauerhaft aufrechterhalten wird, die ich dann mit meinem Laptop und jedem weiterem Netzwerkgerät nutzen kann. Das heißt eine VPN Verbindung wird aufgebaut und x-Geräte können diese VPN Verbindung mit nutzen. Der gesamte Netzwerk und Internetverkehr von Netzwerk B soll über das VPN laufen.
Die Geräte von Netzwerk A sollen nicht mit den Geräten von Netzwerk B kommunizieren können.

whitbread · 04. Mai 2017

OK soweit.
Deine virtuelle NAS hat mit einem Deiner physischen Ports einen virtuellen Switch und befindet sich daher im gleichen Netzwerksegment. Also konkret belasse LAN1 im .178er Netz. Über LAN1 erreichst Du jetzt Deine physische NAS. Die Netze klingen arg nach Fritte - ist Dein "Router" eine?
Jetzt bekommt LAN2 vom Router das .68er Netz zugewiesen. Dies muss Dein Router aber auch unterstützen. LAN2 wird dann für VDSM verwendet und somit bekommt Deine virtuelle Instanz auch eine .68er Adresse. Jetzt erreichst Du aber über das .68er Netz eben auch Deine physische NAS. Das kannst Du nur verhindern, indem Du die Firewall der NAS für LAN2 benutzt (alles blockieren). Für Verbindungen von aussen schützt natürlich noch der Router, der ja (möglichst nur dedizierte) Dienste der virtuellen Instanz bereitstellt.
Was jetzt noch offen ist: Wo steht Dein Notebook - im eigenen Netz oder im www?
Und was ist mit VPN? Also Du kannst eine VPN-Verbindung nur aufbauen, wenn bereits eine "normale" Verbindung besteht. VPN baut zwischen zwei Endpunkten eine verschlüsselte Verbindung (Tunnel) auf. Klassischer Anwendungsfall wäre Dein Notebook baut von unterwegs (www) eine Verbindung zu Deiner NAS auf. Innerhalb des eigenen Netzes macht ein VPN nur in seltenen Fällen Sinn. Jedwede andere verschlüsselte Verbindung, bspw. HTTPS oder secure DSM (5001) ist aber generell genauso sicher wie VPN. VPN ermöglicht es halt auch unverschlüsselte Dienste über den verschlüsselten Tunnel sicher zu nutzen.

vbuser · 06. Mai 2017

Mit dem Router bekomm ich nicht hin, da beide Anschlüsse LAN1 und LAN2 auf einen Hub laufen und anschließend erst mit der Fitz!Box in kontakt treten.

Vergiss mal das VPN. Das ist an der Stelle nur mein Test ob das virtuelle Nas überhaupt eine Verbinung zum Internet aufbauen kann. (vielleicht ein schlechter test)

Für mich ist das ganze Thema ein klassisches routing Ding:

In der Fritz!Box ist folgende Route angelegt:
Ziel:192.168.68.0
Mask: 255.255.255.0
Gateway: 192.168.68.1

In der virtuellen Diskstation ist folgende Route angelegt:
Ziel:192.168.178.0
Mask: 255.255.255.0
Gateway: 192.168.178.1

Hier ist auffallend, dass sich die Route in der virtuellen Diskstation nicht aktivieren lässt.
Sobald der Gateway im eigenen IP-Adressenbereich liegt ist ein aktivieren der Route möglich.

Die Fritz!box hingegen frisst die Einstellungen.

Für mein Verständnis sollten die oben genannten Routen eine Kommunikation zwischen den beiden Netzen erlauben.

Oder habe ich da einen Gedankenfehler? Beide Geräte sollten somit wissen wo die Daten hin sollen

whitbread · 06. Mai 2017

Hast Du jetzt eine Fritte und einen weiteren Router, wenn ja welchen?

btw beide Routen sind Quatsch, sofern Du diese angelegt hast (statische Routen). Wenn Du auf einem Gerät eine IP-Adresse bspw. 192.168.178.x mit der o.a. Netzwerkmaske anlegst, wird die von Dir angegebene Route automatisch angelegt. Jetzt muss aber auf beiden Seiten des Kabels das gleiche Subnetz vergeben werden, also 192.168.178.1 beim Router und 192.168.178.20 bei der NAS (s.o.).