8
Fritzbox - Synology (VPN-Client) - Shared VPN für bestimmte Geräte im LAN
Hallo zusammen,
folgenes Scenario möchte ich gerne abbilden wollen:
Nur bestimmte Computer sowie mobile Endgeräte sollen zukünftig über eine shared VPN Client-Verbindung surfen können.
IST-Zustand:
Fritzbox von Vodafone (6591 Cable) -> aktiver DHCP Server, WLAN aktiv
Synology DS220+ (Open VPN Client + Fileserver)
5 Port unmanaged Switch (an diesem würde ich die entsprechnenden Geräte, die über die Synology laufen sollen (Standardgateway), anschließen).
Die Shared Open VPN - Verbindung läuft auf den Clients derzeit nur, wenn ich logischerweise das Default Gateway ändere (von Fritzbox zur Synology)
Die Lösung für mein Problem wäre einen DHCP Server über die Synology laufen zu lassen. Was würdet Ihr mir empfehlen? Ich habe schon daran gedacht vielleicht mit dem 4.LAN Port (Gastzugang) von der Fritzbox zu arbeiten. An diesem würde ich dann alle Geräte, die über die Synology laufen sollten, anschließen.
Ich freue mich über Euer Feedback.
folgenes Scenario möchte ich gerne abbilden wollen:
Nur bestimmte Computer sowie mobile Endgeräte sollen zukünftig über eine shared VPN Client-Verbindung surfen können.
IST-Zustand:
Fritzbox von Vodafone (6591 Cable) -> aktiver DHCP Server, WLAN aktiv
Synology DS220+ (Open VPN Client + Fileserver)
5 Port unmanaged Switch (an diesem würde ich die entsprechnenden Geräte, die über die Synology laufen sollen (Standardgateway), anschließen).
Die Shared Open VPN - Verbindung läuft auf den Clients derzeit nur, wenn ich logischerweise das Default Gateway ändere (von Fritzbox zur Synology)
Die Lösung für mein Problem wäre einen DHCP Server über die Synology laufen zu lassen. Was würdet Ihr mir empfehlen? Ich habe schon daran gedacht vielleicht mit dem 4.LAN Port (Gastzugang) von der Fritzbox zu arbeiten. An diesem würde ich dann alle Geräte, die über die Synology laufen sollten, anschließen.
Ich freue mich über Euer Feedback.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2355695414
Url: https://administrator.de/contentid/2355695414
Printed on: April 25, 2024 at 15:04 o'clock
8 Comments
Latest comment
Die Lösung für mein Problem wäre...
Nein, das wäre IP technischer Unsinn.Eine simple statische Route auf der FritzBox in das interne OpenVPN IP Netz und das Zielnetz am Server löst dein Problem im Handumdrehen.
Das hiesige OpenVPN Tutorial beschreibt das im Abschnitt "Statische Route auf internes VPN IP Netz". Zwar mit einem Server aber bei einem Client ist das identisch.
Wenn man es richtig versteht oben, wählt sich dein Synology als OpenVPN Client in einen bestehenden OpenVPN Server ein. Ist das richtig ?
Nebenbei:
Wenn du schon einen VPN Router hast mit der FritzBox warum löst du das VPN nicht damit ? Wäre ja sinniger weil das VPN dann in die Peripherie wandert wo es am lösungstechnisch besten ist.
Hallo aqui,
das hast Du genau richtig verstanden. Meine Synology wählt sich als OpenVPN Client in einen bestehenden OpenVPN Server ein. Dann lese ich mich mal in dem Abschnitt statische Route ein. Wobei dann benötige ich auf jeden Fall einen neuen Switch. Ohne den wird es wohl nicht umsetzbar sein. Oder weißt Du ob ich auch den LAN 4 Port der Fritzbox nehmen könnte?
das hast Du genau richtig verstanden. Meine Synology wählt sich als OpenVPN Client in einen bestehenden OpenVPN Server ein. Dann lese ich mich mal in dem Abschnitt statische Route ein. Wobei dann benötige ich auf jeden Fall einen neuen Switch. Ohne den wird es wohl nicht umsetzbar sein. Oder weißt Du ob ich auch den LAN 4 Port der Fritzbox nehmen könnte?
Hallo,
mir ist noch nicht ganz klar geworden von wo nach wo und wer auf was genau Zugriff haben soll!
- VPN ist eigentlich immer von außen WAN nach innen LAN und die AVM FB kann via My!Fritz gut
von außen erreicht werden, das hat dann zum Einen den Vorteil dass man keine Ports öffnen muss
und zum anderen das man dann auf alle Gerät im LAN zugreifen kann.
- Auf dem NAS allerdings sollten Benutzer angelegt werden und dann sollte das auch kein Problem
mehr sein den Zugriff auf das NAS mittels Accounts zu regulieren.
- Und mittels eines kleinen oder größeren Switches wäre hier wohl dann wohl die beste alternative
um den Zugriff im LAN zusteuern, mittels ACLs.
Budget
- Netgear GS105Ev3
- Netgear GS108Ev3
- Netgear GS108Tv3
Klein
MikroTik CRS Switche von 5 bis 24 Ports ist da alles mit dabei
Mittel
- TP-Link Layer2 oder Layer3 Switch
- D-Link Layer2 oder Layer3 Switch
Groß
- Cisco SG350 10 Port Switch, Layer3 und kann dann selber die VLANs routen!
- Netgear GS110EMX
Man kann alternativ auch mittels OpenLDAP und Radius Server auf dem NAS, soweit
die Pakete für Dein NAS vorhanden sind alles noch einmal sicherer machen und begrenzen.
Die AVM würde ich aber versuchen bei Layer2 Switchen den Rounting und das DNS Part erledigen
zu lassen, das passt auch bei mehr LAN Verkehr, noch. Ansonsten und/oder bei einem Layer3 Switch
dann den dort das LAN routen lassen und die AVM FB ist "nur" noch DNS und WAN Router.
BluKobold
mir ist noch nicht ganz klar geworden von wo nach wo und wer auf was genau Zugriff haben soll!
- VPN ist eigentlich immer von außen WAN nach innen LAN und die AVM FB kann via My!Fritz gut
von außen erreicht werden, das hat dann zum Einen den Vorteil dass man keine Ports öffnen muss
und zum anderen das man dann auf alle Gerät im LAN zugreifen kann.
- Auf dem NAS allerdings sollten Benutzer angelegt werden und dann sollte das auch kein Problem
mehr sein den Zugriff auf das NAS mittels Accounts zu regulieren.
- Und mittels eines kleinen oder größeren Switches wäre hier wohl dann wohl die beste alternative
um den Zugriff im LAN zusteuern, mittels ACLs.
Budget
- Netgear GS105Ev3
- Netgear GS108Ev3
- Netgear GS108Tv3
Klein
MikroTik CRS Switche von 5 bis 24 Ports ist da alles mit dabei
Mittel
- TP-Link Layer2 oder Layer3 Switch
- D-Link Layer2 oder Layer3 Switch
Groß
- Cisco SG350 10 Port Switch, Layer3 und kann dann selber die VLANs routen!
- Netgear GS110EMX
Man kann alternativ auch mittels OpenLDAP und Radius Server auf dem NAS, soweit
die Pakete für Dein NAS vorhanden sind alles noch einmal sicherer machen und begrenzen.
Die AVM würde ich aber versuchen bei Layer2 Switchen den Rounting und das DNS Part erledigen
zu lassen, das passt auch bei mehr LAN Verkehr, noch. Ansonsten und/oder bei einem Layer3 Switch
dann den dort das LAN routen lassen und die AVM FB ist "nur" noch DNS und WAN Router.
BluKobold
Hallo Dobby,
ich nutze die Synology um via Open VPN eine Verbindung zu einem externen VPN Anbieter aufzubauen. Meine Idee ist es alle mobilen Endgeräte über das FritzBox WLAN laufen zu lassen. Diese Clients beziehen surfen also über die IP meines ISPs. Die Clients jedoch sollen über den externen VPN Anbieter laufen. Sprich diese müssen als Default Gateway die IP der Synology erhalten. Ich hatte dies schon manuell auf einem Client getestet. Das Ergebnis hat gestimmt. Da ich aber derzeit alles in einem Netz laufen lasse, muss ich mir Gedanken machen, wie ich dies zukünftig mit 2 Netzen laufen lasse.
ich nutze die Synology um via Open VPN eine Verbindung zu einem externen VPN Anbieter aufzubauen. Meine Idee ist es alle mobilen Endgeräte über das FritzBox WLAN laufen zu lassen. Diese Clients beziehen surfen also über die IP meines ISPs. Die Clients jedoch sollen über den externen VPN Anbieter laufen. Sprich diese müssen als Default Gateway die IP der Synology erhalten. Ich hatte dies schon manuell auf einem Client getestet. Das Ergebnis hat gestimmt. Da ich aber derzeit alles in einem Netz laufen lasse, muss ich mir Gedanken machen, wie ich dies zukünftig mit 2 Netzen laufen lasse.
So sähe es dann mit dem korrekten IP Routing aus:
Voraussetzung natürlich das dein Client das remote LAN per push route.... Kommando bekommt ! (OpenVPN Server Konfig)
Bei einem Default Gateway (alles über den Tunnel) geht das so natürlich nicht weil die FritzBox als einfacher Consumer Router kein "Umbiegen" der Default Route supportet. Auch ein Policy Routing supportet sie nicht.
Sowas dann auch noch auf einem so zentralen Gerät wie einem NAS zu betreiben unter den Umständen ist schon nichtmal mehr fahrlässig zu nennen. Sowas machen nichtmal mehr Laien, aber egal. Muss jeder selber entscheiden ob er so ein Risiko eingeht.
In der Regel erweisst man sich einen ziemlichen Bärendienst mit solchen Anbietern. Siehe auch:
https://www.heise.de/select/ct/archiv/2021/18/seite-18
Was haltet ihr von VPN?
Du solltest dann mit der o.a. statischen Route bestimmen WELCHE Verbindungen über so ein übles Konstrukt senden willst und was nicht. Deine Entscheidung !
Voraussetzung natürlich das dein Client das remote LAN per push route.... Kommando bekommt ! (OpenVPN Server Konfig)
Bei einem Default Gateway (alles über den Tunnel) geht das so natürlich nicht weil die FritzBox als einfacher Consumer Router kein "Umbiegen" der Default Route supportet. Auch ein Policy Routing supportet sie nicht.
ich nutze die Synology um via Open VPN eine Verbindung zu einem externen VPN Anbieter aufzubauen.
Keine besonders intelligente Idee wenn das öffentliche VPN Anbieter ala Nord VPN sind. Dort sind die Daten keinesfalls sicher, im Gegenteil. Viele dieser Anbieter nutzen dann auch deinen Client um andere ihrer User über deinen Client anonym zu routen.Sowas dann auch noch auf einem so zentralen Gerät wie einem NAS zu betreiben unter den Umständen ist schon nichtmal mehr fahrlässig zu nennen. Sowas machen nichtmal mehr Laien, aber egal. Muss jeder selber entscheiden ob er so ein Risiko eingeht.
In der Regel erweisst man sich einen ziemlichen Bärendienst mit solchen Anbietern. Siehe auch:
https://www.heise.de/select/ct/archiv/2021/18/seite-18
Was haltet ihr von VPN?
Du solltest dann mit der o.a. statischen Route bestimmen WELCHE Verbindungen über so ein übles Konstrukt senden willst und was nicht. Deine Entscheidung !
1
Alles klar nun habe ich es auch verstanden.
- Zwei Netze und via Routing
Kleiner MikroTik Router
- Zwei VLANs und via Routing
Kleiner VLAN Switch
BlueKobold
- Zwei Netze und via Routing
Kleiner MikroTik Router
- Zwei VLANs und via Routing
Kleiner VLAN Switch
BlueKobold
Super ! Vielen Dank für die Skizze. Das hilft mir schon mal weiter. Dann benötige ich jetzt nur noch einen managebaren Switch um meine Geräte trennen zu können.
Zitat von @aqui:
So sähe es dann mit dem korrekten IP Routing aus:
Voraussetzung natürlich das dein Client das remote LAN per push route.... Kommando bekommt ! (OpenVPN Server Konfig)
Bei einem Default Gateway (alles über den Tunnel) geht das so natürlich nicht weil die FritzBox als einfacher Consumer Router kein "Umbiegen" der Default Route supportet. Auch ein Policy Routing supportet sie nicht.
Sowas dann auch noch auf einem so zentralen Gerät wie einem NAS zu betreiben unter den Umständen ist schon nichtmal mehr fahrlässig zu nennen. Sowas machen nichtmal mehr Laien, aber egal. Muss jeder selber entscheiden ob er so ein Risiko eingeht.
So sähe es dann mit dem korrekten IP Routing aus:
Voraussetzung natürlich das dein Client das remote LAN per push route.... Kommando bekommt ! (OpenVPN Server Konfig)
Bei einem Default Gateway (alles über den Tunnel) geht das so natürlich nicht weil die FritzBox als einfacher Consumer Router kein "Umbiegen" der Default Route supportet. Auch ein Policy Routing supportet sie nicht.
ich nutze die Synology um via Open VPN eine Verbindung zu einem externen VPN Anbieter aufzubauen.
Keine besonders intelligente Idee wenn das öffentliche VPN Anbieter ala Nord VPN sind. Dort sind die Daten keinesfalls sicher, im Gegenteil. Viele dieser Anbieter nutzen dann auch deinen Client um andere ihrer User über deinen Client anonym zu routen.Sowas dann auch noch auf einem so zentralen Gerät wie einem NAS zu betreiben unter den Umständen ist schon nichtmal mehr fahrlässig zu nennen. Sowas machen nichtmal mehr Laien, aber egal. Muss jeder selber entscheiden ob er so ein Risiko eingeht.
Sorry, das verstehe ich nicht. Ich weiß das Thema VPN Anbieter wird hier auf dem Board sehr diskutiert. Aber wie sollen die auf meine Daten zugreifen, wenn ich bspw. einen extra User nehme, der keinen Zugriff auf die Daten hat und noch ein sicheres Passwort?
In der Regel erweisst man sich einen ziemlichen Bärendienst mit solchen Anbietern. Siehe auch:
https://www.heise.de/select/ct/archiv/2021/18/seite-18
Was haltet ihr von VPN?
Du solltest dann mit der o.a. statischen Route bestimmen WELCHE Verbindungen über so ein übles Konstrukt senden willst und was nicht. Deine Entscheidung !
https://www.heise.de/select/ct/archiv/2021/18/seite-18
Was haltet ihr von VPN?
Du solltest dann mit der o.a. statischen Route bestimmen WELCHE Verbindungen über so ein übles Konstrukt senden willst und was nicht. Deine Entscheidung !
