Hallo!

Ich bitte den kryptischen Titel zu entschuldigen. Ich fürchte, dass ich netzwerktheoretisch dem Problem nicht gewachsen bin und weiss, dass hier sehr fähige Menschen netterweise helfen

Eigentlich ist das Problem simpel: Ich versuche eine Synology DS von außen zu erreichen, genauer: ein VLAN via VPN von außen zu erreichen.

Hier die Beschreibung des Setups:

Speedport Pro (stellt Internetverbindung her, ist das Modem) mit Standard IP: 192.168.2.X mit der Subnetmask 255.255.2555.0 . Hier ist ein VPN Server aktiv (IPSec). Zu ihm verbinde ich problemlos (via DDNS).

Dahinter ist eine USG (UniFi Secure Gateway von Ubiquiti). Selbiges stellt VLANs zur Verfügung. Dessen IP Range lautet 192.168.3.X. Die Subnetmask ist identisch mit der des Speedport Pro (255.255.255.0).

Verbinde ich mich aber via VPN mit dem Speedport Pro, dann kann ich natürlich die lokale IP des SPP nutzen, erreiche aber die Geräte im USG VLAN nicht.

Nun frage ich mich: wieso eigentlich nicht?

Portfreigaben für die DS im USG VLAN sind in der USG und im SPP hinterlegt, die Dienste sollten erreichbar sein.

Ich bin mir recht sicher, dass ich hier etwas substantiell übersehe. Vielleicht ist eine statische Route nötig? Aber hier verläßt mich mein NetzwerkLatein.

Wäre für jeden Hinweis dankbar.

Gruss

Grundlagen VLAN:
Doppeltes NAT:

Ich denke der Speedport ist hier das falsche Modem. Wie rmayergfx schon anmerkt können dadurch nämlich genannte Probleme auftreten. Kann man den Speedport in einen Bridge-Modus versetzen? Falls nicht wäre meine Empfehlung den Speedport zu ersetzen. Für DSL wird im Zusammenspiel ein Modem von Draytek empfohlen, nämlich das Vigor XXX (genaue Bezeichnung fällt mir gerade nicht ein). Aber ich meine auch eine FritzBox kann im Bridge-Mode betrieben werden. Dazu würde vermutlich schon eines der günstigen Modelle ausreichen.

Hast du ein Modem im Bridge-Mode, kannst du das USG als Router nutzen und deine Probleme sollten gelöst sein. Bestimmt gibt es auch einen Weg dies mit dem Speedport zu realisieren, den kann ich dir aber nicht nennen. Ich würde den Speedport ersetzen. Das sind ohnehin nicht wirklich gute Geräte.

Vielen Dank euch beiden!

Ich war mir der Schwierigkeiten natürlich bewußt. Der Speedport Pro ist nur deshalb verwandt worden, da nur über Telekom Hybrid akzeptables Internet überhaupt zur Verfügung steht, sonst hätte ich ihn lange ersetzt.

Und leider ist exposed host nicht verfügbar, kann der Speedport Pro einfach nicht, leider.

Dann entnehme ich dem, dass das VLAN, nach Ansicht der Grundlagen, garnicht das Problem ist, sondern ein doppeltes NAT, das das VPN nicht durchdringt und mangels exposed host auch garnicht durchdringen kann - richtig?

Allerdings wird zu den Schwierigkeiten des doppelten NATs gezählt, dass Portweiterleitungen doppelt zu erfolgen haben - ist bereits der Fall, funktioniert dennoch nicht

Müßte man auf der USG vielleicht die Firewall deaktivieren? Meines Wissens geht dies. Wäre dies grundsätzlich die Lösung, die vielleicht einzige?

Ich hab eine Fritzbox und dahinter eine Unifi Dream Machine.mit doppel NAT.
Ich kann per.VPN ein Gerät hinter der Dream Machine erreichen.
Grundsätzlich ist also VPN auch mit doppelNAT möglich.

Problem ist machmal auch dass auf eine Seite das Internet per IPv4 läuft und die andere über IPv6.
Dann finden die beiden nicht zusammen.
Läuft das Unifi Gateway denn auch mit IPv6? Das hab ich bei mit mit der DreamMachine hinter der Fritzbox noch nicht hinbekommen.

Hier gibts ein Tutorial welche Ports weitergeleitet werden müssen:


Von 192.168.x.x-Adressen wird übrigens bei Verwendung eines VPN abgeraten.

Vielleicht ne blöde Frage aber was willst du im konkreten Fall mit VLANs und Portfreigaben? Die können dir ja beide das Leben vermiesen. Und das es sich hier um ein "Hybrid-Internet" handelt wo also "das Internet" parallel über DSL und Funk zu dir kommt, kann die auch noch einen Strich durch die Rechnung machen. Wobei das wohl nicht das primäre Problem sein wird wenn du dich bereits (von außen) der VPN zumindest auf den Speedport verbinden kannst.
Da du per VPN "rein" gehst, kannst du dir die Portfreigaben eigentlich überall sparen.
Als nächstes würde ich alles zwischen dem Speedport und der Synology mal physisch entfernen wenn das "alles im selben Netz" ist. Dann testen, ob du von draußen jetzt nicht nur auf den Speedport kommst sondern bis zur DS.

Prinzipiell würde ich dann nachlesen, ob bei der Kombination Speedport Pro und USG das VPN nicht von der USG zur Verfügung gestellt werden kann. Dann wäre der Speedport ein Problem weniger

Und noch ein paar weitere Punkte:
- geht "doppeltes NAT" eigentlich wenn alle die selbe Subnetmaske und das gleiche Subnetz haben?
- Zum Aufbau eines erfolgreichen VPNs sollten beide Seiten un unterschiedlichen Subnetzen "daheim" sein, bei doppeltem Hat würde ich sogar behaupten, du brauchst 3 Subnetze um ganz klar zu definieren, wo Daten längs laufen dürfen und wo nicht.

Speedport hybrid geht im Bridge-Modus bei mir.

Super, danke euch! Hier sind definitiv Tipps zu lesen, die ich prüfe.

@Wurzenberger
Super Tutorial, sehr lesenswert!

@Buginithi
Stellt die FB den VPN Server, oder die Dreammachine?

Mir kam schon die Idee, den VPN Server der USG zu verwenden, die notwendigen Ports einfach von SPP an die USG zu weisen, um so direkt ins entsprechende Zielnetz zu kommen und nicht den Umweg übers Netz des SPP nehmen zu müssen.

@MikeMuc
Die Portfreigaben dienten bisher der Freigabe einiger DS Dienste nach Außen, ohne VPN zu nutzen, VPN war für mich bisher eigentlich kein Thema, die DS war für mich vollständig nutzbar, durch die Portfreigaben. Allerdings genügt dies nicht mehr, es braucht den Zugang zum gesamten Netz, mit lokalen IP Adressen, für eine bestimmte Anwendung, und nur daher die Notwendigkeit eines VPN.

Die VLANs versorgen verschiedene Räume mit unterschiedlichen APs und Zweckbestimmungen.

Und ja, die Überlegung respektive Subnetze hatte ich auch. Wäre natürlich der Supergau

@piik
Wäre grandios, wir hätten noch einen eingemottet... Wie genau aktiviert man den Bridge Modus im Hybrid?

Danke allen!

Oh sorry, ich habe mich geirrt. Ich habe gerade nachgeschaut (ist schon 2 Jahre her) und der SH ist tatsächlich als Modem-Router aktiv, wobei er einfach das Internet für eine Fritzbox zur Verfügung stellt und ein paar Ports geöffnet hat für Mail etc., welche ein SH normalerweise blockiert. An meine Diskstation, die wie alles hinter der FB hängt, komme ich über den integrierten Dienst von Synology weltweit.
Sorry nochmal für die Fehlinfo. Ein echter Bridge-Modus wäre mir lieber, aber eigentlich kann das logischerweise gar nicht funktionieren, da dann ja der steuernde Router hybridisieren müsste und die beiden im SH vorhandenen Modems (VDSL und Mobilfunk) kombinieren müsste. Genau das aber kann derzeit nur ein SH selber machen.

Hello,

Vorgeplänkel:
Wir stehen (leider) oft bei Kunden vor dem Problem, daß aus diversen technischen Gegebenheiten irgend ein Modem/Routersystem vor der echten Firewall hängt ( Internet <=> Fritz!Box (FB) <=> SecurePoint (SP) <=> LAN // um mal eben ein Beispiel zusammen zu bauen ). Wird VPN gewünscht ( falls mal irgendwer so etwas seltsames wie Home Office benötigt… ), wird in der FB nur Port 1194 geöffnet und zur SP durchgelassen.

Ziel:
SP ist via DynDSN immer ( egal wie ) im Internet und schickt immer alles an die USG weiter.

Also – Antwort:
1. SpeedPort (SP): LAN IP-Bereich definieren ( BSP: 192.168.1.x), DynDNS definieren etc.

2. USG: hinter SP mit WAN verbinden. Feste IP ( am besten im SP zuweisen, ansonsten in USG vergeben ) für die Einwahl ( WAN sonst erstmal via DHCP zwecks Tests ), LAN definieren ( BSP: 192.168.2.x ).

3. In SP benötigten Port öffnen ( hier welche wofür: )

4. USG: VPN einrichten und testen ( Rechner mit Kabel an SP hängen ( bekommt IP aus .1.x ). Dann sieht es für die USG so aus, als würde der im Internet sein, da ja nicht im LAN ( .2.x )… Wenn der Tunnel geht Realtest aus dem richtigen Internet.

Damit ist das Thema DoubleNAT etc. dafür ebenfalls raus.
Es ist egal, ob DSL oder LTE, weil DynDNS und an die USG weitergereicht.
Falls Du Bock hast, kannst Du WLAN am SP für Gäste aktivieren, denn die USG ist ja nur ein Client und Dein eigentliches LAN erst gar nicht sichtbar…
Und da Du nur »einen« Port öffnest, ist es nicht wirklich grob fahrlässig.

Und wenn Dein VPN-Tunnel richtig definiert ist, sieht Du auch die NAS etc.

Hoffe es war kurz genug, aber verständlich…

Greetings, CS.

Das Geräte hinter der DreamMachine.
Aber auch mit der DreamMachine als VPN Server geht das.
Fritzbox geht so ohne weiters nicht weil man nicht an der NAT Firewall der DreamMachine vorbei kommt.

@Another MacUser

1. so wars von Anfang an
2. ist ebenfalls genau so umgesetzt gewesen
3. diese teste ich Müßte Port 1702 sein (L2TP)
4. Wird zu testen sein

5. Vielen Dank

Also, ich habe mal @Another MacUser Lösung ein wenig abgewandelt, funktioniert aber leider nicht

Ich habe auf der DS (DiskStation) direkt einen openVPN Server etabliert.

Weiterleitungen wie folgt:

Port 1194 (UDP) von SP (IP: 192.168.2.X) → USG (192.168.1.X)

Dann Port 1194 (UDP) von USG → DS (192.168.3.X)

Der VPN der DS liegt in einem ungenutzten Adressbereich (192.168.20.X)

Die DS ist via dynDNS erreichbar (ihre Firewall ist deaktiviert). Angesprochen habe ich den VPN Server sowohl mit der dynDNS des Speedports als auch mit der der DS, beides funktioniert nicht.

Nun rätsle ich über die Gründe. Der openVPN wurde via KonfigDatei der DS auf Client konfiguriert (mit Zertifikat etc).

Liegt hier ein grundsätzlicher Fehler vor? Steuere ich noch immer in die Doppel NAT Falle?

Hallo,

ich hab es so eingerichtet.

Fritzbox als Exposed Host zum USG.

VPN wird auf dem USG Terminiert.

Dyndns auf der Fritzbox.

Würde ich auch so gern, würde mir viele Probleme vom Hals schaffen. Nur leider unterstützt der Speedport Pro kein Exposed Host.

Hi Zergehen,

nee, nee, nix abwandeln, wenn der Papi das anders will…

Je mehr IP zu IP zu IP geroutet wird, desto mehr Möglichkeiten von Fehlern.
Zwar sehen die Weiterleitungen erst einmal generell richtig aus ( i.S.v. IP-Bereichen extern intern wechseln und Ports sind korrekt weitergeleitet), aber eher nach »wäre mir zuviel NAT hintereinander«. Vor allem geht das VPN-IP-Bereich?? Was hast Du wie getestet ??

Keep it simple: Warum willst Du Dich nicht an der USG authentifizieren?? Die ist doch die Firewall Deines Netzes und kann und sollte das alles koordinieren. Zwar ist die hinter dem SP, also potentiell eher ungefährdet. Aber generell läßt Du die Anfrage erst durch ALLES durch ins Netzwerk, um dann erst dem Mr.Hacker zu sagen, nö, ich will das XXX-Video nicht. Laß den doch schon gar nicht erst rein…

Also, so wie beschrieben und wie bei domtom ebenfalls eingerichtet.

Wozu brauchst Du einen Exposed Host ??? Du willst nur EINEN Port offen haben = Sicherheit.
Der terminiert auf einer USG = sicherheitstechnisch Deine FirstLine of Defense. Nicht erst in Dein Netz rein. Das macht Sinn. Denk mal drüber nach.

Und solange der SP ( egal ob DSL oder LTE ) ein DynDNS hat, der geht und schnell genug umschaltet ( testen, indem Du mal das Kabel ziehst und schaust, wie lange es dauert, bis der DynDNS die neue IP nimmt ), sollte es laufen.

Wichtig: Bitte testen, ob es geht wenn nur DSL oder nur LTE läuft.

Ansonsten:
Wer macht im LAN den DHCP? USG oder NAS?
Von wo nach wo funktioniert es denn ??
Hast Du den VPN mit Deinem mobilen Rechner ( ich unterstelle mal ein MB ) getestet ? Im LAN geht es?
Geht es, wenn Du das MB zwischen SP und USG hängst? Die USG denkt, es käme aus dem I-Net… Geht?

Greetings, CS.

Ja, eigentlich auch ganz meine Meinung, wollte aber "unbedingt" einen openVPN Server, den die USG nunmal nicht bietet.

Warum? Ich las (mehr oder minder unbestätigt), dass L2TP gerne mal unter Windows 10 nach genau einer Stunde abschaltet, openVPN nicht.

Daher die umständliche Variante mit DS und openVPN.

Aufgefallen ist mir, dass openVPN wahrscheinlich schon deshalb nicht gehen kann, da die Auth. via Zertifikat passiert - jenem Zertifikat, das auf die dynDNS der DS läuft - aber jene wird ja nicht verwandt, sondern die dynDNS des SP, vielleicht hier schon der Fehler?

Den DHCP macht prinzipiell die USG, auf NAS deaktiviert. Aber nicht auf SP, vielleicht ein Problem?

VPN habe ich mit Laptop getestet, ja, aber (noch) aus der Ferne - also nicht direkt am SP - der Test steht aus, und den würde ich nur mit konfiguriertem L2TP auf USG machen.

Also gut, tschüss openVPN Ich berichte!

Und danke nochmals für die Erläuterung!!

Bitte zum Testen immer nur einen VPN Dienst laufen lassen. D.h. entweder im Speedport oder UGS und nie beides gleichzeitig ! Verbindest du dich mit dem VPN der SP so bist du erstmal im verkehrten Netz und wenn das Routing nicht stimmt kommst du nie auf das NAS da die UGS ja dafür gebaut ist Netze sauber zu trennen!
Also VPN im SP aus, auf der UGS einschalten und sehen ob es mit den Boardmitteln sauber funktioniert!
Wenn du Pech hast, ist es ein Firmware Bug im SPP:
Wenn das läuft können wir mit dem nächsten Schritt weitermachen. Zertifikat auf der UGS mit LetsEncrypt:

Ja, es ist jeweils nur 1 VPN Dienst aktiv.

Es will einfach nicht funktionieren. Die notwendigen Ports für L2TP/IPSec sind 500, 4500 (UDP) und der 10000 (TCP).

Sind im SPP freigegeben für die USG. Erreichbar sind sie aber nicht (Test via Portscan mit der aktuellen WAN Adresse). Entsprechend ist der VPN Server der USG ebenfalls nicht erreichbar.

Konfiguriert ist der Server auf der USG korrekt - ich vermute stark, dass der FirmwareBug des SPP zugeschlagen hat, da die Ports einfach nicht frei werden.

Gebt ihr eigentlich die Ports für den Radius Server für die USG nach außen frei (1812 u 1813)?

Ich könnte noch jeweils mit aktivem DSL, deaktiviertem LTE testen, aber mehr fällt mir einfach nicht ein.

Euch? Danke!!

Uff, Korrektur. Bin verbunden (via dynDNS SPP).

Man darf in der USG, falls man mit macOS verbindet, im VPN-LAN der USG kein MS-CHAP v2 forcen, ohne dies klappt die Verbindung.

Habe auch die Passwörter und das Secret simplifiziert - scheinbar auch da Probleme.

Bin nun also mit dem VPN-LAN verbunden. Nur leider sehe ich das Ziel-LAN nicht.

Der VPN Server hat die Range 192.168.0.1/24, dessen IP erhalt ich. Das Ziel-LAN mit der DS darin lautet: 192.168.3.X .

Müßte ich die Range des VPN-LAN ändern? Vielleicht nun eine statische Route von VPN-LAN ins Ziel-LAN?

Und noch ne Anmerkung:

Im USG VPN User ist der VLAN korrekt gesetzt (glaube ich), mit jenem des Zielnetzes (der 192.168.3.X).

Ferner der Tunnel-Typ definiert (L2TP) und Tunnel Medium Typ (IPv4) gesetzt.

Kann weiterhin verbinden, komme aber nicht ins Ziel LAN

Hallo, lies dir mal bitte diesen Thread durch: Ganz besonders den letzten Beitrag!

Ja, kann ich eigentlich nur unterschreiben. Hier haben wir aber keine kritische Infrastruktur, wirklich nicht. Hier handelt niemand fahrlässig.

Es gibt kaum Risiken, man kann und darf lernen. Dass Grundwissen fehlt, habe ich anfangs schon bekannt, wäre auch Quatsch Anderes zu sagen, fehlte es nämlich nicht, existierte dieser Thread nicht, das Problem wäre durch schieres Wissen, oder eben Erfahrung, unlängst gelöst.

Und ich verstehe jeden Qualifizierten, der sich einem solchen Thread nicht anschließt, wirklich.

Probiere doch mal den Live Chat aus, der Support ist wirklich klasse!

Muss da nochmals nach haken... Irgendwie passt das nicht zu deinem Eingangsthread. Weshalb setzt man sich eine UGS ins Netz wenn nichts "kritisches" da ist und hat noch ein Synology NAS. Dieses Setup findet man bei weniger als 1% der Heimnutzer.
Kleiner Tipp. Wenn du das Routing nicht hinbekommst und eine vernünftige Synology mit 2 Netzwerkkarten gekauft hast könntest du die 2te Netzwerkkarte einfach in das von außen erreichbare LAN-Segment stecken und dann sogar auf der Synology noch festlegen wer und was von Außerhalb per VPN zugreifen kann!
Zum Thema Fahrlässigkeit.... Wenn man die Grundlagen eines Netzwerkes nicht versteht und sich über Foren dazu Hilfestellung holen muss ist das sehr wohl fahrlässig, da du ja noch nicht einmal nachvollziehen kannst ob du Aufgrund einer fehlenden Sicherheitseinstellung oder aus Unwissenheit dir die Sicherheit im Netzwerk untergraben hast. Das kann schon bei der Erstinstallation passiert sein. Lasse dir das System von einem Fachmann einrichten, der kann dir auch gleich die Sicherheit des kompletten Konstrukts überrpüfen!

Danke dir für die warnenden Worte, die sind sicher angebracht und werden gehört.

Und ja, die Lösung mit der zweiten LAN Karte schwebte uns auch schon vor.

Am letzten Punkt muss ich widersprechen. Demnach wäre jeder Lernprozess fahrlässig. Denn man kann auch gegebene Tipps nach seinen Möglichkeiten prüfen, solange man lesen kann und willig ist, dies zu tun - schließlich haben auch die Fachmänner nichts anderes in ihrer Ausbildung getan.

Einwenden kann man zwar, dass dies hier am lebenden Objekt passiert, aber, wie schon gesagt, das Risiko ist überschaubar und akzeptiert.

... nicht böse sein, aber das ist eine verschobene Wahrnehmung. Eine Risikoabschätzung kann man nur treffen wenn man vom Fach ist und alle Aspekte kennt....Ihr könnt nur das Risiko beurteilen wie schwer es euch treffen würde wenn die vorhandenen Daten abgezogen bzw verschlüsselt würden, d.h. sind Kundendaten dabei dann Meldung ans BSI usw....
Vergleiche das mal mit Pilzen. Es sind prinzipiell alle essbar, jedoch sind einige davon für Menschen giftig oder ungenießbar (geschmacklich). Nur ein Pilzkenner bzw. Fachbücher können dir sagen welche du nehmen solltest. Jetzt geh mal mit dem Buch in den Wald, dann wirst du feststellen, das da immer noch ein Restrisiko besteht da die Beschreibung und das Bild nicht zu dem Pilz passt der vor dir steht. Der Pilzkenner erkennt den Pilz eindeutig innerhalb kürzester Zeit!

Hier ist niemand böse, im Gegenteil.

Aber Kundendaten, o.ä., sind eben nicht beteiligt. Es gibt in diesem Falle nichts besonders Schutzwürdiges.

Und noch, bleiben wir im Bild, hat niemand einen Pilz probiert, noch schauen wir uns die Pilze an und überlegen, was zu tun ist.