[Frage] VPN Fragen - 7490 vs dahinter liegendes Synology NAS als server, oder gleichzeitig?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
AtomicStryker

AtomicStryker

Neuer User
Mitglied seit
25 Jul 2006
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Hoi,


also ich stehe vor dem Problem, dass ich VPN-Funktionalität in das Heimnetz haben möchte. Auch mit der Wahl, Voll- oder Splittunneling zu betreiben. Mögliche VPN-Server im Heimnetz sind der Router, eine 7490, und eine Synology DS215j.
Gibt es erst einmal einen grundsätzlichen Unterschied oder Vorteile, das eine oder andere zu nutzen?

Ich hatte zunächst versucht, mit dem in Windows 8.1 integrierten VPN Client Verbindung mit der Fritzbox aufzunehmen. Das hat nicht geklappt, nach Recherche brauche ich für diesen Vorgang wohl den Shrew Soft VPN Client.

Also habe ich im zweiten Anlauf (ich wollte erstmal Drittsoftware weglassen) die Ports 500, 4500, 1701 (UDP) sowie 1723 (TCP) der Fritzbox auf das NAS weitergeleitet und dort die L2TP/IPSEC und PPTP VPN Funktionen eingeschaltet.

Damit bekomme ich mit dem Windows 8.1 VPN Client von außen ein Volltunnel VPN hin, über PPTP. Ich kann durch dieses dann auch auf den Router zugreifen. Lässt sich das dann überhaupt auf einen Split-Tunnel umstellen? Windows versteckt die Einstellungen arg gut.

Dann: Ich habe es nach der AVM Anleitung mit dem Shrew Soft VPN Client versucht, und das klappte gar nicht. Es gab einfach einen Timeout, es kam nichts zustande. Wenn ich so drüber nachdenke: Geht das überhaupt? Ich habe ja die VPN Ports auf das NAS weitergeleitet.

Ist es machbar, den "Windows Client" mittels Portweiterleitung auf das NAS zu ermöglichen, und gleichzeitig einen Shrew Soft VPN mit der Fritzbox? Also quasi nur die PPTP Ports 1701 (UDP), 1723 (TCP) auf das NAS weiterleiten, die anderen VPN Portweiterleitungen löschen, damit Shrewd Soft mit der 7490 verbinden kann.


Schliesslich: Ist es unumgänglich, dass der Client in einem anderen IP-Bereich als das VPN-Zielnetz sitzen muss? Dann könnte man ja quasi nie aus einem Standard-FB-Netz in ein anderes. Beide sind 192.168.178.0/24... Oder ist das nur von der Fritzbox so erzwungen? Wo kommt diese Beschränkung her?
 
Bei der FB bekommen Clients IP-Adressen aus der Netz der Remote-FB, i.d.R. ab .201 .
Split-Tunneling wird in der VPN-Config des VPN-Servers festgelegt Das geht bei der FB nur, wenn man die VPN-Config manuell erzeugt (Basis ist die Software "FRITZ!Box-Fernzugang einrichten"). Ansonsten musst Du Deine Routen lokal manuell konfigurieren oder Dein VPN-Client macht das für Dich.
AVM hat auch einen VPN-Client für Windows.
Ja, Du musst lokal ein anderes IP-Netz verwenden, wenn Du Split-Tunneling machen willst. Das eine Einschränkung des IP-Protokolls ;)
 
Mit Syno klappt VPN ganz gut, im iPhone hast schalter ob alle Daten oder nur nicht. Im Windows kannst es auch mit einem Haken ändern.

Vorteil bei Syno, keine extra Software für Verbindung, keine FB Benutzer, belastet FB nicht (CPU Last), FB FW ist fehlerhaft da wird QoS ignoriert für VPN womit man bei Auslastung rest des Netzwerks ausbremst, Benutzer können selbst PW verwalten und mehrere Protokolle.

Im Quell- und Zielnetz muss anderes Subnet sein, sonst kein Routing möglich. Man sollte also auf Standard IP´s Verzichten.
 
Zuletzt bearbeitet von einem Moderator:
@AtomicStryker:
Die Ports 500 (i.V.m. ESP bzw. AH) und 4500 braucht es für IPSec-VPN, aber normalerweise auch nur eine der beiden Möglichkeiten (4500 ist mit "NAT traversal" und die einfachere Variante in der Konfiguration, aber mit etwas mehr Overhead bei der Übertragung).

Wenn das NAS ohnehin nur über PPTP kontaktiert wird, kannst Du die IPSec-Weiterleitungen löschen und dann landen diese Pakete wieder auf der FRITZ!Box beim "avmike".

Für die PPTP-Verbindung braucht es nur TCP 1723 und GRE (ein anderes IP-Protokoll als UDP oder TCP) und wenn die auch ohne explizite Weiterleitung von GRE an das NAS funktioniert, dann klappt das PPTP-Passthrough auf der FRITZ!Box offensichtlich.

Die Weiterleitung von 1701 (das ist L2TP, was per se erst mal nur ein unverschlüsseltes Tunnelprotokoll und damit für VPN nur geeignet ist, wenn irgendwo eine zusätzliche Verschlüsselung erfolgt) ist also eigentlich auch unnötig.

Die Frage nach den unterschiedlichen Netzen auf beiden Seiten ist zwar schon beantwortet ... es ist ein Routing-Problem am LAN-Client. Wenn die Adressen auf beiden Seiten identisch sind, versucht ein Teilnehmer, den anderen per "lokalem Rundruf" zu finden (Broadcast), weil er ja nicht weiß, daß dieser sich erst hinter dem Router befindet. Verkürzt: Pakete für anscheinend lokale Zieladressen gehen nicht an das Gateway, solange keine speziellere Route als für das lokale Subnetz existiert - damit kommen Pakete für die Gegenseite in aller Regel nicht beim VPN-Gateway an.

Mit passenden zusätzlichen Routen auf den LAN-Clients und dem VPN-Gateway (egal ob NAS oder FRITZ!Box) kann man auch bei identischen Subnetzen auf beiden Seiten einer VPN-Verbindung (LAN-LAN) eine funktionierende Konfiguration hinbekommen, solange die tatsächlich zugewiesenen bzw. benutzen LAN-Adressen auf beiden Seiten disjunkt sind. Aber es ist ein Riesenaufwand, der sich durch Wahl unterschiedlicher Subnetze auf beiden Seiten ganz einfach vermeiden läßt.

Es gibt auch einen gewaltigen Unterschied (bei IPSec) zwischen "transport mode" (Host-zu-Host/Host-zu-LAN) und "tunnel mode" (LAN-zu-LAN). Beim "transport mode" ist die Forderung nach unterschiedlichen Netzen auf beiden Seiten nicht unbedingt notwendig, aber es vereinfacht die Konfiguration erheblich und bei Verwendung von automatisch generierten Verbindungen wird es wohl anders nicht funktionieren.

Der integrierte VPN-Client von Windows kann nur IKEv2, die FRITZ!Box nur IKEv1. Das wäre mal eine sinnvolle Baustelle für die AVM-Leute, besonders im Lichte der neuen Entwicklungen bei Microsoft in Bezug auf Windows 10.

Zur Frage "Split-Tunnel" müßte man sich erst mal wieder über die Bedeutung dieses Begriffes einigen. Wenn es darum geht, ob ein VPN-Client seinen gesamten Internet-Verkehr (eben mit Ausnahme des Kontakts zu seinem VPN-Server) über die VPN-Verbindung abwickelt oder nicht, dann ist das in aller Regel ja eine Frage der Einstellung auf dem betreffenden Client und der VPN-Server hat darauf nur sehr begrenzten Einfluß (max. noch bei Verwendung von OpenVPN).

Bei Windows würde solch ein "Volltunnel" dann eben dadurch erreicht, daß man - neben einer Host-Route zum VPN-Server, sonst bricht die VPN-Verbindung natürlich umgehend ab - das Default-Gateway auf den VPN-Server setzt.

Wenn man "Split-Routing" (das ist ja die Grundlage eines solchen "Split-Tunnels") noch ausgefeilter betreiben will (z.B. nur bestimmte Adressen durch die VPN-Verbindung kontaktieren), dann wird der Aufwand immer höher ... es bleibt aber eine Einstellungsfrage des Clients.
 
Danke für die Antworten. Die Aussage mit dem Split-Tunneling auf dem Server hätte mich auch verwundert, woher soll der server denn wissen wo der client seine ganzen anderen Anfragen hinschickt? Bezog sich vielleicht auf Firmen-Netze, die sowas blockieren können.
Dann mach ich mal L2TP auf dem NAS aus, werfe alle Portfreigaben bis auf die 1723 raus, und schaue nochmal ob VPN auf die FB danach klappt (es ging weder mit einem Android Client noch mit Windows und Shrewd).

Es ist leider ein wenig problematisch, da ich zum Testen einen anderen Internetzugang brauche, und ich hab auch kein Mobilnetz oder sowas. Ist auch komisch wenn man nur für das Internet bei der Verwandtschaft reinplatzt :D
 
Zuletzt bearbeitet:
VPN lässt sich auch aus dem Heimnetz aus testen, wenn man öffentliche IP/Hostnamen anspricht.
 
Das musst du mir näher erläutern. Ich habe hier ein LAN im Bereich 192.168.178.0/24 und zwei Router (einer hat DHCP an der andere nicht) mit jeweils anderem Internetzugang dahinter (das eine ist eine Firmenleitung). So wie ich das sehe, kann ich zwar durch den sekundären Gateway raus ins Internet und von aussen mit einem VPN Client durch den primären Gateway wieder rein, das löst aber nicht das Problem, dass der Rechner dann im selben Subnetz wie das Ziel-VPN ist.

EDIT: Und ausstecken bzw. Subnetz ändern ist nicht drin. Da sind aktive Geräte dran.


EDIT 2: Ich hatte sogar diese absurde Idee, die Router auf verschiedene Subnetze zu packen und eine lokale VPN LAN-LAN Koppelung vorzunehmen. Aber das ist absurd, die Dinger sind mit einem Cat6 Kabel verbunden und ich will schon den ganzen Throughput haben.
 
Zuletzt bearbeitet:
Am Syno werden eh andere Subnetze verwendet, nur an FB direkt klappt es mit selben Subnet.
 
Äh .. ja, auf 10.0.0 etc aber ich habe der Syno ja schon attestiert, dass sie funktioniert. Jetzt will ich aber noch den Fritzbox VPN zum Laufen kriegen. Bin halt so stur :p
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 683 (Mitglieder: 31, Gäste: 652)

Neueste Beiträge

Statistik des Forums

Themen
246,139
Beiträge
2,246,728
Mitglieder
373,638
Neuestes Mitglied
HumanOne
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück