VPN als (einzigstes)Gateway für Clients

[BLACKDIAMONT]

Hallöchen zusammen,

auf meiner Synology NAS habe ich meine OpenVPN Verbindungen aktiv was auch alles super läuft(Privat und Geschäftlich)

Jetzt versuche ich folgendes Szenario:
Ein PC/Client/Wahteva soll nicht den Weg über den Heimischen Router ins Internet benutzen sondern eine der VPN Verbindungen ohne das die NAS selbst als Gateway diese benutzt(die soll ja nur brav Routen).

Heimisches Netzwerk ist ganz klassisch 192.168.2.0/24 die OpenVPN sind 10.8.0.0/32(P2P) usw.

Der "Client" soll jetzt das 10.8er als Gateway nutzen(.0.1 = rootserver, .0.13 = NAS) d.h. die NAS als Gateway da die ja in dem Fall Router "spielt".
Dem Client habe ich jetzt die .0.20 gegeben, der wirft mir aber den Kopf das er das Netzwerk nicht erreichen kann.

Hab'sch jetz irgendwo ein Denkfehler?

Hoffe ihr könnt mir da Helfen
Grüsse
BLACK

 

[cs_reaper]

zeichne das mal bitte auf.

 

[BLACKDIAMONT]

eeeeeh
Client -> NAS <--VPN--> Rootserver -> Internet

Normal klappt das wenn OpenVPN auf dem Client direkt läuft und als Gateway "erzwungen wird", macht in meinem Fall kein sinn

 

[Rego]

das NAS macht den VPN-Tunnel oder? Wenn ja, dann müsstest Du bei den Clients nur das Gateway, also die IP-Adresse des NAS, eintragen

 

[BLACKDIAMONT]

Genau, die NAS baut die Tunnel zu den roots auf.

Für die Clients die Subnetzmaske bzw cidr /32 ist aber schon richtig so oder? ist ja nur Point to Point

 

[cs_reaper]

Ja das sollte richtig sein.

 

[BLACKDIAMONT]

Klappt net :/

Also das ist die routingtabelle vom Tunnel auf der NAS
10.8.0.1 10.8.0.13 255.255.255.255 UGH 0 0 0 tun0
10.8.0.13 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

ich hab mein Laptop mit Debian neben mir, dort ihm die 10.8.0.20 gegeben mit netmask 255.255.255.255 und gateway 10.8.0.13

Irgendwas scheint nicht zu passen er sagt mir connect: Network unreachable, es ist keine route eingetragen wenn ich route add default gw 10.8.0.13 eintippe meckert er SIOCADDRT: Das Netzwerk ist nicht erreichbar

Also ich mache eigentlich viel mit Netzwerk aber hier steh ich irgendwie aufm schlauch

 

[cs_reaper]

Ich glaub es gibt hier nen verständisproblem. Der Client muss das Nas als Gateway haben. Das Nas den Rootserver, so wird ein Schuh draus. Ich weiß was du machen willst aber ......ich überleg auch wie man das Lösen kann.

Ergänzung (20. Januar 2016)

vergiss was ich geschrieben hab, das funktioniert nicht

 

[BLACKDIAMONT]

ok ein Fehler hab ich gefunden die NAS hat selbst auf tun0 die 10.8.0.14

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.14 P-t-P:10.8.0.13 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:240 (240.0 B) TX bytes:300 (300.0 B)

Hmmm

Keiner ne Idee mehr?
Hab nochwas gefunden zwecks pointopoint(gw ip) für die interfaces config, aber das scheint nicht zu Funktionieren.

Was er mittlerweile anlegt sind 3 routen, eine mit dem Gateway, das 10.8 netz selbst und eine 169.254.0.0?^^

Pingen auf den "router" bringt ein destination host unreachable ...

Heeeelp

 

[Raijin]

Da ich keine Synology habe, kann ich nur allgemein antworten.

Wenn du das Routing korrekt einrichtest, also

- PC hat NAS als Gateway
- NAS hat VPN-Server als Gateway (+ statische Route auf die WAN-IP des Servers via Standard-Internet-Router)


Dann fehlt noch eine entscheidende Komponente: Der Rückweg. Ohne NAT weiß das Ziel nicht wohin es antworten soll, weil die Quell-IP der Pakete aus dem LAN kommt.


Ich weiß nicht inwieweit das bei der Synology geht, aber versuch mal folgendes:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

 

[BLACKDIAMONT]

- NAS hat VPN-Server als Gateway (+ statische Route auf die WAN-IP des Servers via Standard-Internet-Router)

Das soll ja nicht der Fall sein, da ich mehrere Tunnel zu unterschiedlichen locations aufbaue.

Daher die idee im 10.8.0.0 netz den Client setzen und die 10.8.0.14(NAS) als Gateway, wobei mir gerade noch die Frage kommt ob die NAS welche den Homerouter als Standartgateway hat dann auch brav den Tunnel routet und nicht auf das Standartgateway

 

[Raijin]

Tu mir mal bitte einen Gefallen:

Beschreibe deine Zielsetzung ohne Lösungsansatz. Was willst du am Ende überhaupt erreichen? Ich kann dir nämlich nicht wirklich folgen worauf du hinauswillst und deine Lösungsversuche machen es irgendwie noch verwirrender

 

[BLACKDIAMONT]

Zielsetzung: Der Traffic des Clients soll komplett über einen der Tunnel laufen.

Dient für mich zu Testzwecken(Routing etc), nicht um via VPN zu zocken oder mich zu Verstecken, hab ich net nötig^^

 

[Raijin]

Wenn es nur zu Testzwecken ist, dann schalte am Client das Standardgateway auf das NAS um und schmeiß dort den VPN-Tunnel an. NAT brauchst du aber trotzdem. Am Ende routet der Client seinen Internettraffic Richtung NAS und das NAS über VPN ins www. Die Umschaltung dauert gefühlt 15-30 Sekunden und fertig.

Möchtest du am NAS bestimmte Clients gezielt über verschiedene VPN-Tunnel routen, weiß ich nicht inwiefern ein NAS da überhaupt der richige Ansatz ist. Für's Routing nutzt man eigentlich einen Router, der vom Namen her nun mal dafür gedacht ist - ich meine dabei nicht unbedingt AVM, TP-Link und Co, sondern dedizierte Router im Sinne von Cisco oder günstigere Alternativen wie zB Ubiquiti oder MikroTik. Je nach Zugriffsmöglichkeiten und vorhandenen Funktionen kann ein NAS das zwar unter Umständen auch (zB wenn man voll auf iptables zugreifen kann), aber prinzipiell geht das am Sinn und Zweck eines NAS vorbei.

Wenn das NAS nicht als Standardgateway im Client eingestellt ist, wirst du auch keine VPN-IPs erreichen können. Dann schickt der Client nämlich den Ping an die VPN-IP Richtung Internet-Router und der hat keinen Plan vom VPN-Netz und weiß nicht wohin damit. Entweder muss der Client das NAS als Standardgateway nutzen oder er muss eine statische Route ins VPN-Netz über das NAS eingetragen haben (zB route add 10.8.0.0 mask 255.255.255.0 192.168.2.123). Alternativ kann man diese statische Route auch in den Internet-Router einpflegen, dann schickt der Client den Ping Richtung Internetrouter und der schickt ihn quasi weiter zum NAS und das NAS dann ins VPN.

 

[BLACKDIAMONT]

Das Standartgateway habe ich momentan auf meinen Arbeitsgeräten auf der NAS das ich von Hand keine Routen setzen brauch

Was ich hier noch habe und auch mit OpenVPN betreiben kann ist ein Router mit OpenWRT, allerdings müsste ich mich da erstmal Reinarbeiten wie das zu Konfigurieren ist etc.

Mein "Standartrouter" ist von Telekom, die dinger sind zu wie ein Sarg^^ Daher übernimmt die NAS die meisten Aufgaben

Ich Danke auf jedenfall mal für die Hilfe, ich schaue mir mal in ruhe auf OpenWRT das ganze an(Wenns klappt schreib ichs hier dazu).