VPN und dynamische IP

[panjota]

hallo zusammen

ich will meine DS 209+ über VPN erreichen und habe probleme mit der einrichtung. vermutlich stolpere ich über eine kleinigkeit, jedenfalls klappts irgendwie nicht.

die DS ist im netzwerk mit der fixen ip 192.168.1.22 angeschlossen. der router ist ein zyxel ngb4615. unter nat habe ich den port 1723 auf 192.168.1.22 weitergeleitet.
bei dyndns habe ich mich registriert und die daten im router eingetragen.

soweit sollte alles gut sein.

auf der DS habe ich vpn installiert mit hilfe der deutschen übersetzung der hier aus dem forum. als windows user habe ich pppt gewählt. die anmeldung hat geklappt und laut windows steht die verbindung. aber ich sehe keine freigegebenen ordner der DS.

ich vermute das problem bei der dynamischen IP, die ich in der DS eingeben muss. da steht bei mir 10.0.0.0. versuche ich diese ip auf 192.168.1.0 zu wechseln, reklamiert das system. im router den port 1723 auf 10.0.0.0 umzuleiten geht auch nicht, da kommt die fehlermeldung "Invalid server ip address! It should be located in the same subnet of current LAN IP address".

kann mir da jemand weiterhelfen und das mit der dynamischen ip erklären. ich würde gerne von aussen per vpn auf freigegeben ordner der DS zugreifen.

vielen vielen dank schon mal!

 

[jahlives]

Die 10-er IP ist nur die interne IP für das VPN. Anhand derer kann der VPN Server unterscheiden ob ein Paket ins LAN oder ins VPN muss. Die Portweiterleitung erfolgt auf die 1.22-er IP
Deine DS müsste aber eigentlich auch eine 10-er IP bekommen haben im internen VPN. Versuch mal z.B. im Windows Explorer als Adresse \\10.0.0.X anzugeben. Dann solltest du eigentlich die Freigaben deiner DS via VPN sehen können. X einfach mit der korrekten Zahl ersetzen.

 

[Marian]

Es gibt zwei Möglichkeiten:

1. Greife über die IP 10.0.0.0 auf die DS zu, das funktioniert ohne weitere Maßnahmen
2. Füge zuerst in der Routing-Tabelle des PCs, der per VPN verbunden ist, eine neue Route hinzu, dazu die Eingabeaufforderung mti Administrator-Rechten öffnen und folgenden Befehl eingeben: route add 192.168.1.0 mask 255.255.255.0 10.0.0.1
   Es sollte ein OK! folgen
   Dies musst du nach jedem erneuten Verbinden wiederholen, alternativ kann man sich eine Batch-Datei erstellen, die man mit einem Klick ausführen kann. Vorteil dieser Methode: Du hast auf dein gesamtes Netz Zugriff, nicht nur auf die DS (z.B. auf den Router, Drucker, etc.)

Wegen der roten 1: Hier muss die dynamisch zugewiesene IP des verbundenen PCs hin, also falls mehere Clients verbunden sind u.U. auch die 2 usw.

 

[ubuntulinux]

Muss man dann nicht noch ne statische Route im Router des VPN-Zielnetzes anlegen?

 

[jahlives]

Muss man dann nicht noch ne statische Route im Router des VPN-Zielnetzes anlegen?

Nur wenn der VPN Server nicht der Zielserver ist. Wenn es sich dabei um die gleiche physikalische Maschine handelt braucht es keine Route am Router im Servernetz. Denn das ganze Routing findet dann ja auf der VPN Maschine statt, welche gleichzeitig auch der Zielserver zu sein scheint.

 

[panjota]

wow, das ging ja schnell mit antworten.

gebe ich im internet explorer 192.168.0.0 ein (die dynamische ip) lande ich auf dem anmeldung schirm der DS. soweit scheint es also zu klappen.

aber ich sehe im datei explorer keine freigegebenen ordner. wie kann ich diese über vpn anbinden?

 

[ubuntulinux]

@tobi, ich meine die Route, damit der Router weiss wo er die Antworten hinrouten muss (die die's nicht braucht, wenn der VPN Server auf dem Router läuft )

@panjota \\192.168.0.0 funktioniert nicht?

 

[jahlives]

@ubuntulinux
Ich weiss schon was du meinst. Nur gibt es diese Pakete gar nicht wenn VPN Server und Zielserver die gleiche Maschine sind. Solche Pakete werden niemals zum Router geschickt, das handelt die DS direkt zwischen den Interfaces. Erst wenn die Zielmaschine nicht diejenige mit dem VPN Server ist, brauchst du Routen am Router. Denn erst diese Pakete verlassen die DS im Servernetz

 

[ubuntulinux]

@tobi, klar. Ich mein die route wenn man auf andere Rechner / Standard-GW zugreifen will. Geht es ohne diese Routen, nattet Synology da irgend etwas

 

[panjota]

jungs, ihr seid toll! jetzt funktioniert es, zumindest im heimnetz. jetzt suche ich mir einen anderen pc und versuche von aussen die vpn verbindung zu verbinden.

danke danke, ich melde mich wieder

 

[panjota]

hmm, noch eine frage.

kann ich die vpn verbindung mit dem windowsstart automatisch starten?

 

[jahlives]

Bei PPTP weiss ich es ned, aber OpenVPN kann man als Dienst starten lassen, sodass beim Start automatisch eine Verbindung aufgebaut wird. Allerdings geht dies nicht wirklich sinnvoll solange eine PW-Auth verwendet wird. Denn das PW müsstest du immer noch manuell eingeben. Mit Zertifikaten geht das jedoch relativ einfach. Sowohl mein Win als auch meine Pinguine stellen beim booten automatisch eine Verbindung zum OpenVPN Server her. Allerdings verwende ich das OpenVPN Paket aus ipkg mit Clientzertifikaten

 

[goetz]

Hallo,

@tobi, klar. Ich mein die route wenn man auf andere Rechner / Standard-GW zugreifen will. Geht es ohne diese Routen, nattet Synology da irgend etwas

das Synology VPN-Center NATtet, damit ist keine zusätzliche Rückroute notwendig.

Gruß Götz

 

[jahlives]

Hallo,

das Synology VPN-Center NATtet, damit ist keine zusätzliche Rückroute notwendig.

Gruß Götz

@Götz
aber woher soll der Router wissen wohin die Pakete mit VPN internen IPs geschickt werden soll? Da braucht es doch eine Route damit der Router Antwortpakete für OpenVPN Clients nicht einfach verwirft. Sagen wir du greifst mit deinem Client via entferntes Netz auf das Internet zu. Dann erhält der Router ein Paket mit entweder der LAN IP des Clientnetzes oder mit der OpenVPN-IP des anfragenden Clients. Beide Subs sind dem Router aber ohne Route ned bekannt und er müsste sie verwerfen.

 

[panjota]

(halb-)automatische verbindung klappt jetzt auch. ich habe eine batchdatei in den autostart gelegt:

echo off
rasphone.exe -d "VPN-VERBINDUNG TEST" & net use t: \\192.168.0.0\

nach dem start muss ich nur noch ok klicken und die verbindung steht.

 

[ubuntulinux]

@jahlives Alle Clients haben die IP der DS. Bekommt die DS ein Paket, schickt die die Antwort an den richtigen Client (den Router nattet ja auch und du hast nicht die IP 192.168.0.X im Internet)

 

[goetz]

der Router sieht nur Pakete mit Absender lokale IP der DS, die DS verpackt jedes VPN Paket in ein neues mit eigener IP und merkt sich von wem es kam. Wenn das Paket ins Internet geht macht der Router das gleiche, mit eigener externer IP verpacken und Absender (DS) merken. Kommt die Antwort schickt der Router das Paket zur DS (er war ja nicht vergesslich), die DS war auch nicht vergesslich und schickt das Paket an den VPN-Client, also geNATtetes NAT.

Gruß Götz

 

[jahlives]

Okay, verstanden Das heisst dann aber, dass es das ipkg OpenVPN anders macht. Dort bekommt ja jeder Client seine eigene IP und darum muss der Router dann die Routen haben

 

[ubuntulinux]

Genau, kannste aber auch natten mit iptables. Ist aber nicht sehr empfehlenswert weil du dann ja nicht mehr auf die OpenVPN Clients zugreifen kannst, und das ist ja (meiner Meinung nach) der Sinn der Sache

 

[goetz]

Okay, verstanden Das heisst dann aber, dass es das ipkg OpenVPN anders macht. Dort bekommt ja jeder Client seine eigene IP und darum muss der Router dann die Routen haben

das VPN macht genau das selbe, im Startscript des openvpn des VPN-Centers sind zusätzlich

echo 1 > /proc/sys/net/ipv4/ip_forward 
/sbin/iptables -t nat -A POSTROUTING -s ${LOCALIP}/24 -o ${NET_IF} -j MASQUERADE

enthalten die sich um das NAT kümmern, könnte man bei IPKG openvpn nachrüsten oder beim VPN-Center auskommentieren, je gusto.

@ubuntulinux
wie Du siehst wird per iptables geNATtet.

Ist aber nicht sehr empfehlenswert weil du dann ja nicht mehr auf die OpenVPN Clients zugreifen kannst, und das ist ja (meiner Meinung nach) der Sinn der Sache

und den verstehe ich jetzt nicht, ich will mit dem Client in mein Netz und nicht das jemand in meinem Netz auf mich zugreift. Netze per VPN zu koppeln ist ein anderer Schuh.

Gruß Götz