VPN Client nur als Server nutzen, default gateway weiterhin über normales LAN

[yoadey]

Hallo zusammen,

nach einigem

wie viele andere auch bin ich Kunde bei Unitymedia und habe infolgedessen jetzt nur eine ipv6 Adresse zugewiesen bekommen. Um dennoch die Diskstation von ausserhalb erreichbar zu halten habe ich mir über einen VPN-Anbieter eine statische ipv4-Adresse geholt und mich mit der Diskstation (eine DS213j) per openVPN mit dem Anbieter verbunden. Verbindung steht, ich kann von aussen drauf zugreifen, soweit erstmal alles wie ich es haben will.

Das große Aber: die Verbindung von aussen klappt nur, wenn ich das vpn als default-gateway einrichte, was ich eigentlich nicht machen will. Ansonsten kommen die Anfragen bei der DS zwar an, aber die Antworten werden ins Nirvana geschickt, landen auf jedem Fall nicht beim anfragenden Host.

Meine Frage: ist das normal und muss ich jeden Server, der von aussen erreichbar sein soll umkonfigurieren, dass er das vpn-interface benutzen soll? Oder sollte trotzdem die Antwort über das VPN zurückgesendet werden und alles funktionieren?

Vielen Dank

 

[fpo4711]

Hallo,

definitiv sagen kann ich das ich deiner Schilderung nicht folgen konnte. Ich versuche aber trotzdem Dir mal zu helfen. Der Synology OpenVPN-Server übermittelt dem Clienten per Push-Option das Subnetz welches sich hinter dem Server befindet. Hier werden dann auch Clientseitig die entsprechenden Routen gesetzt. Somit ist dann das lokale Netz auf der Serverseite ganz normal von der Clientseite erreichbar. Ist in der Client-Config das Doppelkreuz vor dem redirect-gateway entfernt so wird der gesammte Traffic über den VPN-Tunnel geleitet. Voraussetzung für das ganze Spiel ist das der Client, sofern Windows, den OpenVPN-Clienten auch mit Administratorrechten ausführt. Benutzer mit Adminrechten reicht nicht sonst können die entsprechenden Routen nicht gesetzt werden.

Falls kein Windows und wenn deine Lösung funktioniert sofern Du das Standardgateway setzt, dann sollte es auch mit einer direkt definierten Route funktionieren. Dann einfach die Route zu deinem entsprechenden Subnetz setzen und fertig. Eentuell auch mal prüfen ob dein Client Push/Pull Optionen zuläßt.

Willst Du von der VPN-Serverseite auf das Clientsubnetz oder auch mehrere zugreifen, wird es etwas schwieriger. Hier findest Du entsprechende Infos.

Gruß Frank

 

[yoadey]

Hmm, da habe ich mich dann scheinbar wirklich etwas unklar ausgedrückt, sry

Meine Diskstation baut als Client eine Verbindung zu einem openVPN Server im Internet auf. Aller traffic der an die Adresse des Servers im Intenet geht wird direkt zu meiner Diskstation umgeleitet. Meine Diskstation hat verschieden Server laufen, unter anderem auch einen normalen Apache. Momentan gibt es zwei Situationen:

1) Wenn ich den openVPN client auf der Diskstation so konfiguriere, dass der openVPN Server im Internet mein standard-gateway ist, kann ich von aussen auf meinen Apache server zugreifen. Nachteil: Ich möchte diese openVPN verbindung nicht als standard-gateway konfiguriert haben, da dann auch alle Downloads die von der DS gestartet wurden über diese Verbindung gehen und ich nur begrenzt Traffic zur Verfügung habe.
2) Wenn ich den openVPN client so konfiguriere, dass dass mein lokaler Router das standard-gateway ist kommen zwar alle Anfragen, die ich an meinen Apache auf der DS sende an, aber wenn die DS antworten sendet gehen diese verloren, kommen also nicht beim aufrufenden Browser an.

Zusammengefasst also: DS ist openVPN client mit laufendem Apache, wenn standard-gateway -> Apache kann aufgerufen werden, wenn kein standard-gateway -> Antworten des apache kommen nicht im Browser an.

Hoffe, ich habe mein Problem jetzt etwas klarer formuliert

 

[fpo4711]

Nur zur Sicherheit, das Subnetz auf der Clientseite ist auch wirklich ein anderes als das auf der Serverseite.

Leitsatz: Subnetz-Client ungleich Subnetz-Tunnel ungleich Subnetz-Server

und ansprechen kannst Du die Geräte mit ihren lokalen IP's. Die kann man übrigens auch in ihrer gesamten Pracht ohne Risiko veröffentlichen

Gruß Frank

 

[jahlives]

zu 2) wie genau greifst du in dem Fall auf den Apache zu? Auf einen Namen der auf die VPN-IP der DS geht oder auf deine öffentliche IP?
zudem dein lokaler Rechner kann kaum der Default Gateway sein, das müsste eher dein lokaler Router sein. Ich vermute mal, dass die Antworten wohl zurückkommen, aber es zu einem asymetrischen Routing kommt. Dazu müsste man im Fall 2) aber wirklich den Weg der Pakete kennen, also auch wie du auf den Apache zugreifst. Kann es sein, dass dein Gateway (Router) eine Route für das OVPN-Netz hat, die über deinen lokalen Client geht?

 

[Elador]

Vielleicht malst du mal ein Bild von deinem Netzwerksetup, vom lesen der Posts hab ich das Gefühl dass die meisten dein Problem noch misverstehen. Eine Lösung für dein Problem hab ich aber leider nicht.