VPN und dynamische IP

[ubuntulinux]

Geht nicht um Side2Side etc. Ich hab zB Server (virtuelle sowie reale) an meinem VPN, sodass ich auf diese zugreifen kann, wie wenn sie im LAN wären. Mit NAT kann ich das nicht, somit wär das VPN für mich praktisch nutzlos

 

[Fixy]

Sorry, dass ich in diesem alten Thread poste!

Spielt es irgend eine Rolle, was für eine dynamische IP (von den erlaubten) ich verwende?

Was für Verschlüsselung wäre sinnvoll? BF-CBC und SHA1 lassen oder auf AES-???-CBC und RSA-SHA??? oder anderes umschalten?
Und wie beeinflusst das die Performance?

Thx!

 

[Fusion]

Was ist denn "eine erlaubte dynamische IP"?

Ich würde mindestens AES-128-CBC oder besser 256 nehmen. Je nachdem welche DS du hast sollte das die Performance überhaupt nicht beeinflussen.

 

[Fixy]

Aus der Synology-Hilfe für VPN...

Details der dynamischen IP-Adresse

Je nach der Zahl, die Sie unter Dynamische IP-Adresse eingegeben haben, trifft VPN Server unter einer Reihe virtueller IP-Adressen eine Auswahl und weist den VPN-Clients IP-Adressen zu. Wenn beispielsweise die dynamische IP-Adresse von VPN Server auf „10.0.0.0“ eingestellt ist, kann die virtuelle IP-Adresse eines VPN-Clients von „10.0.0.1“ bis „10.0.0.[max. Anzahl von Verbindungen]“ für PPTP und von „10.0.0.2“ bis „10.0.0.255“ für OpenVPN reichen.

Wichtig: Bevor Sie die dynamische IP-Adresse des VPN-Servers angeben, achten Sie bitte auf Folgendes:

1. Folgende dynamische IP-Adressen sind für VPN Server zugelassen:
Von „10.0.0.0“ bis „10.255.255.0“
Von „172.16.0.0“ bis „172,31.255,0“
Von „192.168.0.0“ bis „192.168.255.0“

2. Die angegebene dynamische IP-Adresse von VPN Server und die zugewiesenen virtuellen IP-Adressen für VPN-Clients sollten nicht mit IP-Adressen in Konflikt stehen, die derzeit in Ihrem lokalen Netzwerk genutzt werden.

Habe eine DS214play. Kenne mich mit VPN nicht aus. K. A. wo da wann was wie genau verschlüsselt wird (Anmeldung / Datenübertragung).

 

[Fusion]

Ach, die IP Adressen der VPN-Tunnel-Endpunkte, auch Transfernetz genannt.
Wichtig ist nur, dass LAN Adressen (lokales Netz des VPN Servers), Entferntes LAN (lokales Netz in dem sich der VPN-Client befindeet) und das Transfernetz NICHT im selben Netzbereich liegen.
Wenn also das LAN zum Beispiel 192.168.0.x lautet, dann sollte das entfernte LAN z.B 192.168.1.x lauten und das Transfernetz 192.168.2.x.
Genauso kann 192.168.0.x das LAN, 10.0.0.x das VPN und 172.17.0.x das entfernte LAN sein. Hauptsache verschieden.
Der VPN Client ist ja dann auch nicht unbedingt in einem entfernten LAN sondern in einem öffentlichen Netz unterwegs und hat eh ein anderes Netz.
Die genannten IP-Bereiche unterscheiden sich nur durch die Anzahl der enthaltenen/möglichen IPs. Welches du benutzt ist egal.

 

[Fixy]

Danke für deine Antwort. Bin mir jetzt nicht sicher, ob ich alles richtig verstanden habe...

Wenn also das LAN zum Beispiel 192.168.0.x lautet, dann sollte das entfernte LAN z.B 192.168.1.x lauten und das Transfernetz 192.168.2.x.

Mit "entferntes LAN" meinst du dort, wo ich jetzt mit dem Client angehängt bin? Das kann ich ja nicht beeinflussen und viele bis die meisten Heimrouter (die ich kenne) haben 192.168.0.x.

Die genannten IP-Bereiche unterscheiden sich nur durch die Anzahl der enthaltenen/möglichen IPs. Welches du benutzt ist egal.

Dachte, hat vlt. einen bestimmten Grund, wieso standardmässig L2TP/IPSec 10.2... hat und OpenVPN 10.8... bei Synology.

 

[Puppetmaster]

Das kann ich ja nicht beeinflussen und viele bis die meisten Heimrouter (die ich kenne) haben 192.168.0.x.

Dann wird's ggf. nicht funktionieren. Vorraussetzung ist eben, dass alle drei Netze unterschiedlich sind. Anderenfalls ist eine IP ja auch nicht mehr eindeutig und ein Gerät nicht mehr eindeutig identifizierbar/ansprechbar, was aber eine Grundvoraussetzung in einem funktionierenden Netz ist.

Fazit: nicht jede beliebigen zwei Netze eignen sich für die Verbindung per VPN.

 

[Fusion]

Nein, das hat keinen Grund, das haben die Projekte halt irgendwann mal festgelegt. ist auch nicht identisch, je nachdem, wer die verschiedenen VPN Typen dann auch in seine Produkte integriert.

Wie du bemerkt hast laufen viele Speedports auf 192.168.0.x und Fritzboxen auf 192.168.178.x etc. (die klassischen Bereiche pro Hersteller kann man im Internet suchen/finden).
Deshalb (weil du über Client Netze nicht unbedingt Kontrolle hast) kannst du ja für dein LAN, über das du die Kontrolle hast, und über das VPN einen (definitiv) abweichendes Netz wählen.
Und wenn du in öffentlichen Netzen (Mobilfunk z.B.) unterwegs bist hast du ja eh eindeutige öffentliche IPs die nicht doppelt vergeben sind (zu jedem Zeitpunkt)

 

[Fixy]

Das mit den VPN- etc. IP-Bereichen hab ich noch nicht vollständig verstanden. Muss den Zugriff aber mal bei jemandes Heimnetzwerk testen.
Wenn ich euch richtig verstanden habe, ist der einzige Weg, das Problem zu umgehen, dass ich für mein Heimnetzwerk einen unüblichen IP-Adressbereich festlege (und all meine fixen IPs wieder anpassen darf)...?

mfg

 

[TheGardner]

...WENN die IP-Range schon in den anderen Netzen vorkommt, welche Du über VPN mit Dir verbinden willst!
Falls nicht, dann müsstest Du nicht den Aufwand betreiben und Dein Netz ändern, sondern könntest auch die entfernten Netze ändern, wenn das weniger Aufwand wäre.

Aber wenn ich die Schlossallee per VPN mit einer anderen Schlossallee verbinden will, dann geht das nicht! Aber eine Schlossallee 10 könnte ich mit einer Schlossallee 11 verbinden! Das sind zwei verschiedene Netze und damit kommt VPN dann auch klar und funktioniert!