VPN per IPSEC ohne Internet über VPN-Server

Status
Für weitere Antworten geschlossen.

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Moin miteinander....

habe ein kleines Problem. Hab bei mir im Büro eine DS stehen die ein VPN-Server (IPSEC) zur Verfügung stellt.
Verbindung klappt auch super, kann auf das entfernte (192.168.39.x) Netz zugreifen.

Leider routet mein PC hier zu Hause nun aber ALLE anfragen über den Tunnel. Also auch jeden Download im Internet usw...
Gibt es eine Möglichkeit dem Client zu sagen, er soll bloß die Anfragen an 192.168.39.x über die VPN Verbindung herstellen?

Da muss es doch irgendwo eine Einstellung geben! Leider bin ich auf dem Gebiet noch nicht ganz so erfahren.
Der Client ist ein Windows 7 und ein Windows 10 Rechner und bedindet sich in 192.168.178.x

An beiden Orten ist eine FritzBox Cable. Ob das wichtig ist weiß ich nicht, denn die Verbindung an sich läuft ja.
Und wenn wir schon dabei sind, gibt es eine Option, dass ich vom Client auf den die entfernte DS per "NAMEN" zugereifen kann, oder geht das dann immer nur über die IP?

Nun los..... hackt auf mich ein.... bin gespannt und sage schon mal Danke!
 

NEWDS

Benutzer
Mitglied seit
05. Aug 2012
Beiträge
115
Punkte für Reaktionen
4
Punkte
18
Die Option ist ein bisschen versteckt.

Unter Windows 10:
Rechtsklick auf Start
---> Netzwerkverbindungen
---> Recktsklick auf deine VPN Verbindung
---> Eigenschaften
---> Im Reiter auf Netzwerk klicken
---> IPV4
---> Erweitert
---> Dort den Haken für das Standardgateway raussnehmen


VPN.JPG

Unter Windows 7 ist die vorgehensweise ähnlich.
 

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Das habe ich genau so gemacht. Nur dann kann ich mich nicht mehr mit der entfernt DS verbinden. Also Tunnel steht zwar, aber keine Verbindung über die 192.168.39.x

Irgendwas mache ich doch falsch?
 

NEWDS

Benutzer
Mitglied seit
05. Aug 2012
Beiträge
115
Punkte für Reaktionen
4
Punkte
18
Du musst dich mit der VPN Server IP verbinden, die im VPN Server hinterlegt ist (z.B. 10.0.0.0).
In deinem Fall sucht der Computer die 192.168.39.x in dem Netzwerk des Computers und nicht im Netzwerk der DS.
 

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Okay... über die 10.2.0.0 gehts....
Gibt es denn irgendwie die Möglichkeit dem Client beizubringen dass er auch das 192.168.39.x Netz kennt, bzw ggf. auch den Namen der entfernten DS?
Wäre irgendwie viel cooler :)
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo,

Du musst dich mit der VPN Server IP verbinden, die im VPN Server hinterlegt ist (z.B. 10.0.0.0).
In deinem Fall sucht der Computer die 192.168.39.x in dem Netzwerk des Computers und nicht im Netzwerk der DS.

generell ist das keine gute Idee die TunnelIP zu nehmen. Das funktioniert nur sporadisch. Denn jeder Client bekommt hier eine IP aus dem Pool, Das ist nur eindeutig wenn es die erste Verbindung ist. Das kann auch bereits bei einem Client und einer Übertragungsstörung bereits eine andere IP sein. Und so ist auch keine Zugriff auf das Netz, sondern nur auf die DS möglich.

Richtig wäre nach dem Verbindungsaufbau des VPN eine Route zu setzen zum Netz 192.168.39.x. (route add ....) Das geht aber meines Wissens auch mit Bordmitteln unter Windows10 nur manuell.

Sinnvoller wäre es meiner Meinung nach hier OpenVPN zu verwenden. Das ist komfortabler und kann die Routen automatisch setzen auch wenn das Standardgateway nicht das VPN ist.

Gruß Frank
 

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Aber hat der VPN Server nicht immer die gleiche IP, also immer die 10.2.0.0 und die Clients dann zufällig die folgenden?

OpenVPN war eine alternative, lief bei mir auch so schon und auch mit zugriff über die lokalen IPs (192.168.39.x)
Leider gab es immer wieder probleme beim Verbinden. Verbidnung wurde aufgebaut (dauerte sehr lang) und dann war trotzdem kein durchsuchen des Netzwerkes möglich.
Geholfen hat dann immer nur den O-VPN Server neu zu starten, was auf dauer keine Lösung war. Leider kontte ich den Fehler jetzt nicht reproduzieren und kein Logfile schicken.

Jemand dazu spontan eine Idee?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Aber hat der VPN Server nicht immer die gleiche IP, also immer die 10.2.0.0 und die Clients dann zufällig die folgenden?

Jeweils die erste und letzte IP eines Subnetzes sollten nicht als Host verwendet werden. Die 10.2.0.0 ist die Netzwerkadresse des Subnetzes des VPN-Servers. Der Tunnelendpunkt des Clienten kann also nur über eine IP oberhalb angesprochen werden. Und die bekommt jede Clientverbindung wie schon beschrieben aus einem Pool.

... und dann war trotzdem kein durchsuchen des Netzwerkes möglich.

Das Durchsuchen eines Netzwerks funktioniert per Broadcasts (wie auch der Computerbrowser von Windows) und die werden bei allen Lösungen von Synology nicht übertragen. Kann also per VPN nicht funktionieren.

Warum OpenVPN bei Dir nicht richtig funktionierte kann man so nicht sagen. Auf jeden Fall sollte OpenVPN per UDP betrieben werden. Erstens ist es für UDP optimiert und zum zweiten bringt das Vorteile bei Störungen.

Gruß Frank
 

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Du bist echt ne Nummer zu Hoch für mich :)

Also wenn ich mit per IPSEC mit der entfernten DS verbinde kann ich auf die Shares unter 10.2.0.0 zugreifen. Also hat doch die DS für mich als Client die 10.2.0.0 bekommen (VPN-Server)

Netzwerk durchsuchen war falsch ausgedrückt. Ich kam dann nicht auf die Shares der DS!
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Nicht alles was im ersten Augenblick geht ist richtig. Auch verkehrt herum durch eine Einbahnstrasse fahren geht, muß aber nicht unbedingt die richtige Wahl sein. :)

Siehe hier

Wenn nicht auf die Shares der DS nach erfolgreicher Verbindung zugegriffen werden konnte, hat das mit Sicherheit andere Gründe gehabt. Zugriffsrechte oder der typische Anwendungsfehler ist meist folgender. Die Subnetze müssen unterschiedlich sein. Bei VPN gilt:

Subnetz-Client ungleich Subnetz-Tunnel (nennt sich bei Synology dynamische IP) ungleich Subnetz-Server

Gruß Frank
 

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Das mit der Einbahnstraße leuchtet ein....
Aber..... wie kann ich das ändern das der VPN Server nicht die 10.2.0.0 bekommt??
Finde da keine Einstellung in der GUI von der DS. Und die nächste Frage... ist es einfach nur nicht ordentlich, oder fliegt mir dann irgendwas mal um die Ohren?! Denn aktuell funktioniert es so ja sehr gut.

Und zum Thema o-vpn: Anwenderfehler und Zugriffsrechte kann es nicht sein. Startet man auf der DS den ovpn neu, versucht sich einzuwählen geht alles! Ohne etwas am Client zu ändern!
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Aber..... wie kann ich das ändern das der VPN Server nicht die 10.2.0.0 bekommt??

In der GUI kann man das Subnetz für den VPN-Server ändern. Dynamische IP. Es gibt aber nur einen einzigen Grund dies zu ändern, wenn nämlich das Client- oder Serversubnetz sich in diesem Subnetz befinden sollte.

... ist es einfach nur nicht ordentlich, oder fliegt mir dann irgendwas mal um die Ohren?! Denn aktuell funktioniert es so ja sehr gut.

Es ist schlichtweg falsch und führt früher oder später zu nicht vorhersehbaren Problemen. Gerade in Verbindung mit Windows.

Und zum Thema o-vpn: Anwenderfehler und Zugriffsrechte kann es nicht sein. Startet man auf der DS den ovpn neu, versucht sich einzuwählen geht alles! Ohne etwas am Client zu ändern!

Das ist doch schon einmal gut. So soll es ja sein. Wenn es nach Verbindungsabbruch nicht mehr funktioniert, sollte an dieser Stelle angesetzt werden. OpenVPN schreibt einen LOG der dann wahrscheinlich Auskunft geben kann.

Der Parameter:

Rich (BBCode):
verb n

in der openvpn.conf bestimmt wie umfangreich das sein soll. Wobei n eine Zahl angibt die den Umfang definiert 0-11. Je höher, je detaillierter. Wobei 3 bzw. 4 schon einmal ein gute Wahl sind.

Gruß Frank
 

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Okay... ich werde die gesammelten Infos am kommenden Wochenende alle mal versuchen umzusetzten!
Bedanke mich schon mal bei allen die so viele Ideen und Infos einbringen!
 

NEWDS

Benutzer
Mitglied seit
05. Aug 2012
Beiträge
115
Punkte für Reaktionen
4
Punkte
18
Danke Frank, da hab ich auch noch etwas dazu gelernt :)
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Kleiner Denkanstoß, so mach ich es:
route -p add 192.168.178.0 mask 255.255.255.0 10.0.0.0
Hab mir jetzt keine Mühe gemacht die IPs zu ändern ...

MfG Matthieu
 

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Also wenn ich den Befehl route -p add 192.168.178.0 mask 255.255.255.0 10.2.0.0 (müsste ja in meinem Fall stimmen) eingebe, verändert sich nichts an meinem "Problem" dass ich nicht auf die lokalen Adressen 192.168.39.x zugreifen kann. Oder was genau macht der route befehl?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo,

Du mußt das natürlich, wie schon von Matthieu erwähnt, auf die IP-Angaben von deinem Subnetz anpassen. Wahrscheinlich bist Du mit

Rich (BBCode):
route -p add 192.168.39.0 mask 255.255.255.0 10.2.0.0

eher vom Erfolg gekrönt :)

Alternativ besteht auch bei einigen Routern die Möglichkeit eine statische Route einzugeben. Dann hat das sogar den Vorteil das dann alle Geräte aus dem Clientnetz auf das Servernetz zugreifen können wenn die VPN-Verbindung besteht.

Gruß Frank
 

mannyimnetz

Benutzer
Mitglied seit
16. Dez 2015
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Gebe ich den Befehl im CMD ein bekomme ich den Hinweis: "Hinzufügen der Route fehlgeschlagen: Das Objekt ist bereits vorhanden."
Also muss ich es ja doch richtig umgesetzt haben. Irgendwie drehe ich mich im kreis :)

Habe ich die Antwort überlesen, oder ist die Frage untergegengen, wie ich den VPN-Server von der IP 10.2.0.0 auf die 10.2.0.1 ändern kann... denn die .0.0 ist ja angeblich keine saubere lösung
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Hallo,
schau dir das route Kommando mal komplett an. Da siehst du die vollständige Routing-Tabelle und kannst sehen welches Paket welchen Weg nehmen müsste. Es kann auch sein dass in der DS noch eine statische Route hinterlegt werden muss. Ist bei mir schon etwas her dass ich das eingerichtet habe.
Konkret musst du erst mal die zuletzt angelegte Route löschen.

MfG Matthieu
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Naja und ggf. auch mal darüber nachdenken, ob nicht die Router der richtige Ort für die VPN-Verbindungen wären. Keine Ahnung ob Deine Fritten das können (hab 'ne persönliche Abneigung gegen avm), aber bevor Du jetzt dezentral Routen in NAS und PC anlegst, mal überlegen ob der Router nicht genau daher seinen Namen hat...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat