VPN Verständnisfragen IP-Bereich Portweiterleitung

[die Wildsau]

Ich habe auf der DS710+ die Betafirmware installiert und möchte das VPN-Center nutzen.
Also alles wie in Matthieus Anleitung eingerichtet. Leider bekomme ich dann eine Fehlermeldung, wenn ich mich mit meinem Macbook verbinden möchte. Darum nun ein paar Fragen.

Meinen Router betreibe ich im DHCP-Modus. IP-Bereich: 192.168.0.2-192.168.0.200
Die DS hat eine feste IP (192.168.0.10).
Welchen Adressbereich muss ich nun im VPN-Center bei PPTP angeben? Auch den 192ger? Dann würde das doch aber mit den Routereinstellungen kollidieren?!
Kann man den VPN-Port umleiten? Kann ich also in den Einstellungen meines Macbooks z.B. https://syn-ds.dyndns.com:7100 schreiben und im Router den Port 7100 auf 1723 umleiten?
Kann ich -im eigenen WLAN eingeloggt- mich überhaupt mir meinen VPN-Netz verbinden?

 

[amarthius]

Nimm doch den 10er Adressbereich für dein VPN.
Ja man kann ihn auch umleiten. Versuch doch erstmal ob es mit dem Standardport klappt. Über canyouseeme.org kannst du prüfen ob der Port frei ist.

Kann ich -im eigenen WLAN eingeloggt- mich überhaupt mir meinen VPN-Netz verbinden?

Ja solange du die interne IP der DS angibst. Nützt dir aber nicht viel da du ja nicht weißt ob es von außen funktioniert

 

[laserdesign]

Hallo,
kleiner Schönheitsfehler:
die feste IP der DS sollte nicht im Range des DHCP-Servers liegen.
Das kann zu Kollision führen. Also am besten den Rangebereich verkleinern (192.168.0.11 - 192.168.0.200)

 

[die Wildsau]

Bin eben erst wieder nachhause gekommen....

@amarthius
Ich hätte es besser beschreiben müssen.
Ich habe das Problem, dass mein Router nur auf den IP-Bereich weiterleiten kann, der unter DHCP vergeben ist. Ich kann also nicht auf 10... weiterleiten, weil ich im Router 192... eingetragen habe. Ist das schlecht, oder erkennt die DS automatisch, dass sie vom Port 1723 angesprochen wird?

Beispiel:
Wenn ich nun für beide (DS VPN und Router DCHP) 192.168.10.XXX vergebe, muss ich doch den Router von XX=1 bis 100 und dann den DS-VPN-Bereich von XX=101 bis 200 laufen lassen, damit es funktioniert, oder sehe ich da etwas falsch?

@laserdesign
Hatte nur Beispielzahlen angegeben, weil ich nicht die genauen Daten raussuchen wollte und das nicht beachtet. Der Port der DS liegt außerhalb des range. Trotzdem vielen Dank für deinen Hinweis!

 

[jahlives]

Beispiel:
Wenn ich nun für beide (DS VPN und Router DCHP) 192.168.10.XXX vergebe, muss ich doch den Router von XX=1 bis 100 und dann den DS-VPN-Bereich von XX=101 bis 200 laufen lassen, damit es funktioniert, oder sehe ich da etwas falsch?[/B]

Du musst bei (Open)VPN unterschiedliche Subnetze verwenden. Du kannst also dein obiges Bsp nicht machen, denn wenn Router dhcp 192.168.10.XXX ist dann muss OpenVPN ein anderes Subnetz haben z.B. 192.168.9.XXX.

 

[die Wildsau]

Alles klar. Muss ich dann auch, wenn ich von außen das VPN nutzen will, im Router auf der Subnetz verweisen, oder erkennt die Hardware das automatisch?

EDIT: UNFASSBAR!! Ich bin ja die größte Tröte, was Computergeraffel angeht, aber habe es tatsächlich geschafft, eine VPN Verbindung im eigenen WLAN zu meiner DS herzustellen.
Geht also. Jetzt muss ich nur noch den Zugang von außerhalb testen. Melde mich denn gleich wieder.

EDIT2: Hat etwas länger gedauert. Musste mir überlegen, ob ich zuerst hier nochmal nachfragen oder das Macbook samt Airport Extreme aus dem geschlossenen Fenster werfen soll.
Es klappt leider nicht. Ich gebe im Macbook unter "Serveradresse" "https://syno-ds@dyndns.com" ein und trotzdem geht es nicht. Im Router habe ich Port 1723 freigegeben.
Eigentlich sollte hinter der Adresse ja ":1723" stehen, aber wenn ich das dort eingebe, wenn ich mich bei mir zuhause befinde und davor die IP der DS schreibe, kommt eine Fehlermeldung. Darum habe ich es auch beim Zugriff von außen weggelassen, aber selbst, wenn ich ":1723" anfüge, klappt es nicht. Hat jemand eine Idee?

EDIT3:#
zuhause: Servername: 192.168.1.100 geht
zuhause: Servername: 192.168.1.100:1723 geht nicht
away: nix geht...

 

[Matthieu]

Schau mal in meiner Signatur, da gibt es einen Link zu einer deutschen Übersetzung des VPN-Handbuchs. Ich glaube damit solltest du erst mal ein Stück weiter kommen. "https" ist IMHO beispielsweise fehl am Platz (bin zwar kein Mac-Nutzer, aber das würde mich schon sehr wundern).

MfG Matthieu

 

[die Wildsau]

Deine Anleitung hatte ich benutzt (siehe 1. Posting)
Wenn ich "http" schreibe, werden die Anmeldedaten doch unverschlüsselt übertragen, oder?
Ich werde mir die Sache morgen nochmals in Ruhe anschauen und ein wenig rumprobieren.

 

[die Wildsau]

Endlich habe ich es hinbekommen. Zum einen lag es daran, dass sich -durch die viele und schnelle Rumprobiererei- das VPN Programm meines MacBooks aufgehängt hat und andererseits an fehlerhaften Einstellungen.

Lieber Matthieu, hier noch eine Ergänzung, die du vielleicht in deine Anleitung einarbeiten könntest.


Bei der Serveradresse lässt man "http" oder "https" einfach weg. Einen Port kann man nicht durch anhängen von z.B. ":8080" ändern. Das VPN wird also über den Standardport 1723 laufen, den man im Airport Extreme (Router von Apple) auch genau so an seine DS weiterleitet, wie man das bei anderen Ports macht.
Dann klickt man noch auf "Weitere Optionen..." und erhält folgendes Bild:


Hier kann man ganz einfach anklicken, dass der gesamte Netzwerkverkehr über das VPN abgewickelt wird. Man muss also nicht das Terminal-Programm bemühen, was -am Rande bemerkt- mit den Befehlen aus deiner Anleitung leider nicht funktioniert. Ich habe es jedenfalls nicht hinbekommen.

Ich hoffe, die Screenshots sind gut genug für deine tolle Anleitung und du musst keine neuen machen.

 

[Matthieu]

Ich werde den Text nicht eigenmächtig ändern, denn es handelt sich dabei um eine genaue Übersetzung des Originaltexts. Ich werde aber mal Synology benachrichtigen und die Screenshots bei der nächsten Gelegenheit ersetzen.
Dass http nicht vor die Adresse muss hat damit zu tun, dass hier kein http im Spiel ist. http ist ein Protokoll, ebenso wie ftp oder nfs. Bei VPN kommt aber kein http zum Einsatz - VPNs haben ihre eigenen Übertragungsarten.

MfG Matthieu

 

[andlsbuch]

Du musst bei (Open)VPN unterschiedliche Subnetze verwenden. Du kannst also dein obiges Bsp nicht machen, denn wenn Router dhcp 192.168.10.XXX ist dann muss OpenVPN ein anderes Subnetz haben z.B. 192.168.9.XXX.

Ich hab dazu noch eine Verständnisfrage:
Warum muss man hier unterschiedliche Subnetze verwenden?
Meine DS211j hat die IP 10.0.1.11 bei einer Subnetzmaske von 255.255.0.0. Den Openvpn Bereich hab ich auf 10.0.100.xxx gelegt und liegt daher im selben Subnetz!
Angenommen ich setzte jetzt den Openvpn Bereich in der Diskstation wirklich auf 10.8.100.xxx, dann können mich ja die PC`s in meinem Heimnetzwerk nicht mehr anpingen wenn ich mich z.B. mit meinem Laptop von der Firma nach Hause verbinde. (Da ja die Subnetzmaske vom meinem Heimnetzwerk 255.255.0.0 ist und die virtuelle IP meines Laptops z.B. 10.8.100.1 [nicht im selben Subnetz])
Oder fungiert dann die DS quasi als Router????

 

[jahlives]

Kurz: Der OpenVPN Server bekommt einen gewaltigen Routing Stress wenn du nicht eigene Subnets verwendest. Die DS macht dann den Router zwischen dem virtuellen Subnetz und den realen. Sagen wir du würdest dasselbe Subnetz verwenden, wie die reale LAN IP der DS. Woher soll denn die DS wissen können, ob ein empfangenes Paket ins VPN oder ins normale LAN muss?

 

[andlsbuch]

Ok dann werde ich das mal ändern!
Wie sieht es dann mit PPTP aus? Sollte das dann auch in einem anderen Subnetz liegen?
Wie schaffe ich es, dass Clients aus meinem Heimnetzwerk auf meinen Laptop zugreifen können der per VPN eingeklingt ist. (Anpingen funzt nicht) Oder ist das gar nicht möglich?

Ausserdem funzen DNS Namen nicht. Wenn ich per OpenVPN verbunden bin kann ich z.B. auf \\10.0.1.11 (DS) aber nicht auf den DNS Namen \\synnas zugreifen!
Hat dazu jemand eine Idee?

 

[jahlives]

die Sache mit \\synnas ist, dass dies auch der netbios Name des Systems ist. netbios Namen werden mit Broadcasts aufgelöst und Broadcasts funzen mangels kernelseitiger Bridgeuntersützung nicht, Eine Alternative wäre es z.B. in der hosts Datei deines Clients die 10-er IP der DS dem Namen synnas zuzuordnen. Nur hast du dann damit ein Problem, sobald du nicht am VPN verbunden bist. Dann ist die IP nicht auffindbar und es kommt zum timeout. Das einfachste was immer funzt ist der Zugriff über die entsprechende IP.
Die Sache mit den unterschiedlichen Subs ist sicher bei OpenVPN nötig. Beim PPTP kann ich es mangels eigener Erfahrung nicht sagen, aber ich geh mal davon aus es ist gleich wie beim OpenVPN und es sollten unterschiedliche Subnetze sein

Wie schaffe ich es, dass Clients aus meinem Heimnetzwerk auf meinen Laptop zugreifen können der per VPN eingeklingt ist. (Anpingen funzt nicht) Oder ist das gar nicht möglich?

Sind die Clients im selben Sub wie dein VPN Server oder im Sub deines VPN Clients? Wenn sie sich im selben Sub befinden wie der VPN Client, dann liegt es vermutlich daran, dass der Client so koniguriert ist, den gesamten Traffic via VPN zu schicken. Dann kommen die Antworten nicht zum anfragenden Client zurück. Was aber auch sein könnte ist es, dass auf deinem VPN Client eine Firewall-Software läuft welche die Ping responses unterbindet. Ich selber nutze OpenVPN und muss in diesem Fall immer meinen Norton kurz deaktivieren, damit ich den Client pingen kann resp die Antworten ankommen

 

[andlsbuch]

Vielen vielen Dank für deine Hilfe.
Die Sache mit PPTP und dem VPN Center sieht jetzt folgendermassen aus:
Ich hab PPTP jetzt einem eigenen Subnetz zugewiesen, funzt einwandfrei. Ich habs aber auch wieder versucht das PPTP VPN Center ins Subnetz meines Heimnetzwerkes zu stellen.
Danach kam eine Fehlermeldung das dieser IP Bereich schon vergeben ist. Also wird schon so passen mit dem extra Subnetz bei PPTP!
(Bei der ersten Beta Version des VPN Centers konnte man den IP Bereich der VPN Clients noch noch ins selbe Subnetz wie des Heimnetzwerkes stellen. Die aktuelle Version scheint "aufzupassen")

Zu der Sache mit Laptops von "aussen" und Heimnetzwerk:

Beispeil:
Ich log mich mit meinem Laptop von der Arbeit per VPN in mein Heimnetzwerk ein. Vom Laptop aus kann ich jeden Computer im Heimnetzwerk anpingen. Nur kann ich vom einem Computer im Heimnetzwerk nicht den Laptop anpingen. Der Laptop befindet sich ja ich einem anderen Subnetz - weils ja so konfiguriert werden muss.

Heimnetzwerk: 10.0.x.x Subnetzmaske 255.255.0.0
Laptop: 10.1.10.6 (VPN)

Wenn ich jetzt einen Ping von einem Computer im meinen Heimnetzwerk an den Laptop sende, kann der ja nicht ankommen, da ja das Paket an mein Standardgateway (Kabelmodemrouter) gesendet wird da sich die Zielip nicht im lokalen Subnetz befindet
Die einzige Möglichkeit die mir bleibt ist auf dem Computer im Heimnetzwerk als Standardgateway die IP der DS zu stellen. Das Paket wird dann an mein Standardgateway (jetzt DS) gesendet und danach von der DS ins VPN Netzwerk geleitet. Das klappt auch einwandfrei.
Nur gibts auch einen Weg ohne das Standardgateway auf die DS legen zu müssen? Eventuell eine Route hinzufügen??

 

[jahlives]

Ich log mich mit meinem Laptop von der Arbeit per VPN in mein Heimnetzwerk ein. Vom Laptop aus kann ich jeden Computer im Heimnetzwerk anpingen. Nur kann ich vom einem Computer im Heimnetzwerk nicht den Laptop anpingen. Der Laptop befindet sich ja ich einem anderen Subnetz - weils ja so konfiguriert werden muss.

Ist denn der computer im Heimnetzwerk ein VPN client oder ned? Falls ned dann braucht der ebenfalls eine Route. guck aber zuerst ob allenfalls dein Router zu Hause bereits Routing an der LAN Schnittstelle unterstützt. In dem Fall wäre es einfacher die Route am Router zu machen, dann gilt sie gleich für dein gesamtes Heimnetz. Falls das der Router nicht kann musst du eben manuell jedem Client eine Route zuweisen.
Die Route muss dem Client sagen wie er das entfernte Netz und das interne Netz des OpenVPN erreichen kann. also brauchst du genaugenommen zwei Routen:

route add 192.168.100.0 mask 255.255.255.0 192.168.0.2

dabei ist das 100-er Netz das für den Client entfernte Sub und 192.168.0.2 ist die IP deiner DS die den VPN Server laufen hat (musst im gleichen Sub sein wie der anfragende Client selber)
Dann noch die Route für das virtuelle Netz

route add 10.0.8.0 mask 255.255.255.0 192.168.0.2

wobei das 10-er Sub das virtuelle Sub des VPNs ist und 192.168.0.2 wiederum die IP deiner DS mit dem VPN Server
Mit diesen zwei Routen kann ich bei OpenVPN aus dem Servernetz jeden Client im Clientnetz erreichen. Das sollte eigentlich auch für PPTP in etwa so gehen

Gruss

tobi

 

[andlsbuch]

Besten Dank das wollte ich wissen!

 

[blinddark]

Hallo,

ich hab folgendes Problem:
VPN funktioniert und ich komm auch ins Heimnetz. Das Problem ist nur, dass alle Geräte mit der IP der ds im Heimnetz agieren. Die Routen gehen von 10.x.x.x (VPNServer nach ipderds. Kann ich auch von 10.x.x.x zu ip der fb oder geht es nur von 10.x.x.x zu ipderds?