OpenVPN Client über VPN erreichen

[baensch]

Hallo Zusammen,
ich habe als VPN server eine Synology NAS und kann mich auch damit ohne Probleme verbinden. Wenn ich aber versuche einen per VPN verbundenen Client zu erreichen von dem Netz des NAS aus ist dies nicht möglich. Hier noch eine veranschaulichung:

Raspberrypi ----- OPENVPN -------> NAS <------------> PC
192.168.1.X-----10.8.0.6----------192.168.2.9-------------192.168.2.x

und ich will eigentlich nur von dem PC per ssh auf den PI.
Ich habe kurzerhand in meinem router eine statische route gesetzt das 10.8.0.0/24 auf das nas geroutet werden soll.
hat jemand ne idee oder nen Tipp für mich ?
Gruß
Baensch

 

[xenox01]

Ist die IP des Raspberrpis mit 192.168.1.X nur ein Tippfehler, oder soll der in einem anderen Subnet sein?

 

[baensch]

das ist kein Tippfehler. Der ist wirklich in einem anderem Subnet.

 

[Raijin]

Ursachen kann es viele geben.

- der PC muss eine Route ins VPN via NAS haben
----> das kann auch über das Standardgateway gehen
- alternativ kann die Route auch ins PI-Subnetz gehen (Zugriff dann via PI-LAN-IP)
----> das NAS muss dann aber wissen, dass das PI-Subnetz hinter einem VPN-Client sitzt und eine Route dafür haben (client.conf -> iroute 192.168.2.0 255.255.255.0)

- die Firewall im NAS muss die Verbindung erlauben, wenn man da überhaupt etwas blocken/erlauben kann

- der PI muss entweder eine Rückroute ins PC-Subnetz haben oder das NAS muss das PC-Subnetz mittels NAT maskieren

- der PI muss in seiner Firewall den Zugriff auf zB ssh von der PC-IP bzw. dessen Subnetz erlauben (oder von der NAS-IP aus, wenn selbiges NAT macht)

- der Dienst auf den PI muss auf der jeweiligen IP (zB 192.168.2.123 / 10.8.0.123) bzw. dem Interface laufen (zB eth0 und/oder tun0)

 

[baensch]

Ursachen kann es viele geben.

- der PC muss eine Route ins VPN via NAS haben
----> das kann auch über das Standardgateway gehen
- alternativ kann die Route auch ins PI-Subnetz gehen (Zugriff dann via PI-LAN-IP)

Das hatte ich ja auch gedacht und habe deswegen die Route in meinem Router gesetzt.

Ursachen kann es viele geben.

----> das NAS muss dann aber wissen, dass das PI-Subnetz hinter einem VPN-Client sitzt und eine Route dafür haben (client.conf -> iroute 192.168.2.0 255.255.255.0)

- der PI muss entweder eine Rückroute ins PC-Subnetz haben oder das NAS muss das PC-Subnetz mittels NAT maskieren

Diese Zwei Punkte sind denke ich das was mir fehlt. Wo muss ich die setzen ? Grade bei dem open vpn server von synology habe ich wirklich kaum Konfigurations Möglichkeiten.

 

[Raijin]

Das war im Prinzip nur eine rudimentäre Auflistung aller Komponenten, die an einer Verbindung teilhaben. Bei einem embedded VPN-Server sind die Voraussetzungen in der Regel schon ab Werk gegeben und der Nutzer kann maximal durch ein paar Haken zB das Routing zwischen VPN an- bzw abschalten.

Bei VPN spricht man häufig auch von end-to-end, end-to-site oder site-to-site. Das bezieht sich eben gerade darauf ob es nur eine Punkt-zu-Punkt-Verbindung zwischen zwei Geräten ist - zB um von außen explizit nur auf das NAS zuzugreifen - oder ob es sich um ein Roadwarrior-Setup handelt (zB HomeOffice mit Zugang zum Firmennetz) oder eine Standortverbindung zwischen zwei kompletten Netzwerken.

Da VPN bei einem NAS eher eine sekundäre Funktion ist, gibt es eben meistens nur ein paar Haken, die dann benutzerfreundlich zB "Server-Netzwerk über VPN verfügbar machen" heißt und auf ein end-to-site bzw site-to-site hindeutet.

Ich vermute mal, dass ein NAS beim VPN eher nicht NATtet, denn dann kämen noch Portweiterleitungen, etc ins Spiel. Es wird also höchstwahrscheinlich auf ein rein geroutetes VPN hinauslaufen, ab Werk. Das ist allerdings nur eine Mutmaßung, da ich selbst keine embedded VPNs verwende, sondern mit vollwertigen Servern arbeite, auch wenn es mitunter nur ein PI oder ein sonstiges Gerät mit Linux ist.

Was kannst du nun tun? Nun ja, du musst explizit den Weg der Pakete verfolgen. Dazu kannst du zB traceroute nutzen. Wenn du vom PI aus einen trace auf die LAN-IP des PCs machst, müsste zB mittendrin erstmal der VPN-Server auftauchen. Wenn nicht, dann schickt der PI alles was zum PC gehen soll in die falsche Richtung, inkl. etwaiger Antworten bei Verbindungsanfragen vom PC.

Auch können Wireshark und tcpdump helfen, überhaupt eingehende Datenpakete sichtbar zu machen. Beispielsweise wenn die Verbindung eigentlich funktionieren würde, der PI bzw der PC aber den Traffic in der eigenen Firewall blockt. Anfangs sollte man stets nur mit Pings (ICMP) arbeiten und sobald ein Ping durchkommt und auch beantwortet wird, kann man sich um weitere Dienste wie VNC oder dergleichen kümmern.

 

[baensch]

Hallo,
wow danke für die wirklich ausführliche antwort. Genau das ist wahrscheinlich mein Problem. Das es eben in einem nas nicht wirklich die Möglichkeit gibt das ich viel konfigurieren kann. Dann werde ich das auf einen anderen Weg versuchen und mir einen dedizierten VPN server Basteln wollte eh noch ne eigenen Nextcloud instanz machen.
Also all deine Annahmen sind sowit ich das sehe komplett richtig.
Ich danke euch trotzdem für die schnellen und wirklich guten Antworten.
Gruß