Wiedermal ein QNAP VPN Thema

MarkusAT

Active member
Hi zusammen,

Ich hoffe ich komme dieses mal mit einem einfacheren Problem als sonst:

Ich stelle in der Regel zu meinem NAS die Verbindug über QVPN-OpenVPN her.
Dort gibt es das schöne Häckchen "Nutzen Sie diese Verbindung als Standard-Gateway für externe Geräte".

Ich hatte den Haken mal gesetzt, aber dann verwenden ja alle Clients (zu 99% ein anderes NAS, aber hin und wieder auch mal ein PC, um auf die Weboberfläche des NAS zu kommen), auch das Internet von dem Ort, an dem das NAS steht. Eher Kontraproduktiv. Also habe ich das Häckchen nun weg genommen.

Ohne dieses Häckchen ist das NAS aber auch über VPN nicht mehr unter der lokalen IP-Adresse (192.xxx.xxx.xxx:1234) erreichbar. Und nur über diese IP und den Port 1234 ist die Benutzeroberfläche prinzipiell erreichbar. Ich denke mein Problem wird offensichtlich.

Wie komme ich jetzt über die VPN Verbindung auf die Benutzeroberfläche des NAS? Ein anderer Weg als über VPN kommt für mich nicht in Frage.

Was mache ich:
- VPN Client (ein Laptop) mit dem VPN Server (QVPN - OpenVPN) Verbinden
- 192.xxx.xxx.xxx:1234 in den Browser eingeben ==> nichts passiert, 192.xxx.xxx.xxx ist auch nicht über ping erreichbar, sobald ich das Häckchen bei "Nutzen Sie diese Verbindung als Standard-Gateway für externe Geräte" setze, funktioniert diese Methode jedoch
- 10.xxx.xxx.xxx in den Browser eingeben ==> nichts passiert, 10.xxx.xxx.xxx ist aber über den ping erreichbar (ist ja auch logisch)



Danke und liebe Grüße,
Markus

P.S.: Ja, ich weiß, mit einer externen FW mit VPN erübrigt sich dieses Problem dann. Soweit bin ich aber leider noch nicht ^^
 
Moinsen,
ich bin jetzt nicht der Netzwerkprofi...
Durch das Entfernen des Hakens, weiß dein NAS nicht mehr (als VPN Server), wo es die Pakete hinschicken soll. Default gateway / standard gateway wird dann also der Router sein, der dann unbekanntes via Internet weiterleitet, so ein gültige IP vorliegt. Was er aber nicht macht: die Pakete an deinen Client senden, denn die IP hat dein Router nicht (läuft ja alles via NAS). Mal laienhaft gesagt.

Mit dem Haken teilst du aber mit: schick alle Pakete über dieses alternative Gateway, wenn die Anfrage durch den VPN Tunnel kommt. Dann funktioniert das auch.
Bei der Konfiguration des VPN Servers kannst du idR angeben, welche IP als Gateway genutzt werden soll. Keine Ahnung, wie und wo das bei QNAP einzustellen ist.

Oder: du setzt den Haken wieder, sparst ne Menge extra Kram und fertig.
Denn wenn du den VPN Tunnel eh NUR für die backups und zur Konfiguration / Zugriff des NAS benötigst, dann machste eben
VPN Tunnel aufbauen > Arbeit am NAS > VPN Tunnel abbauen > im Internet surfen.
Wenn du aber mal mit öffentlichem WLAN unterwegs bist (Kneipe, usw), dann kannst du ggf. auch via eigenem VPN surfen, was manchmal ganz nett ist (Sicherheit bei der Passworteingabe usw).
Kurz: ich würd den Haken setzen, und mit Kopf und Disziplin dann eben idR nur für admin Aufgaben den VPN Zugang nutzen (da du ja weiter weg wohnst).
 
In die config des clients muss dann "route LAN-IP SUBNETMASK" also zB
Code:
route 192.168.174.0 255.255.255.0
rein bevor sie importiert wird. Es sei denn beim Server gibt es eine entsprechende Option die Route zu pushen (Screenshot?).
 
Mit dem Haken teilst du aber mit: schick alle Pakete über dieses alternative Gateway, wenn die Anfrage durch den VPN Tunnel kommt. Dann funktioniert das auch.
Bei der Konfiguration des VPN Servers kannst du idR angeben, welche IP als Gateway genutzt werden soll. Keine Ahnung, wie und wo das bei QNAP einzustellen ist.
1643395835802.png

Ich kann nur den DNS setzen, aber das wird vermutlich nichts bringen.
VPN Tunnel aufbauen > Arbeit am NAS > VPN Tunnel abbauen > im Internet surfen.
Das wäre (und ist auch aktuell) die Vorgehensweise mit dem Laptop. Die beiden NAS sollten aber dauerhaft miteinander verbunden werden.

Wenn du aber mal mit öffentlichem WLAN unterwegs bist (Kneipe, usw), dann kannst du ggf. auch via eigenem VPN surfen, was manchmal ganz nett ist (Sicherheit bei der Passworteingabe usw).
Dafür hab ich schnellere Dienste ^^

In die config des clients muss dann "route LAN-IP SUBNETMASK" also zB
Code:
route 192.168.174.0 255.255.255.0
rein bevor sie importiert wird. Es sei denn beim Server gibt es eine entsprechende Option die Route zu pushen (Screenshot?).
Danke, das werde ich testen :D :D
Du meinst hier dann die LAN IP des Servers, oder?
Screenshot siehe oben, eher nein ^^
 
- 192.xxx.xxx.xxx:1234 in den Browser eingeben ==> nichts passiert, 192.xxx.xxx.xxx ist auch nicht über ping erreichbar, sobald ich das Häckchen bei "Nutzen Sie diese Verbindung als Standard-Gateway für externe Geräte" setze, funktioniert diese Methode jedoch
Durch das Entfernen des Hakens, weiß dein NAS nicht mehr (als VPN Server), wo es die Pakete hinschicken soll. Default gateway / standard gateway wird dann also der Router sein, der dann unbekanntes via Internet weiterleitet, so ein gültige IP vorliegt.
@MarkusAT Da sollte es schon ganz leicht geklingelt haben bei Dir, das Thema hatten wir schon (unter den unzähligen anderen) ☺️ Theoretisch muss aber nicht das komplette gegenüberliegende Netzwerk angegeben, allerdings erlaubt das ganze so doch wesentlich mehr Bewegungsfreiheit für den VPN-Client (Zugriff auf den Router im gewünschten Remote-Netz, etc.). Sofern der Server es nicht sowieso schon vorgegeben hat (push), muss man dem Client noch mitteilen, was er sonst noch so über diese Verbindung erreichen könnte.

Fritzboxen z.B. haben da nichts firewalltechnisches implementiert, so kann man z.B. 2 Fritzboxen miteinander via VPN verbinden und dem VPN-Client (z.B. Shrewsoft) mitteilen, dass sich hinter der VPN-Verbindung (egal an welchem Standort man sich via VPN bei einer der Fritzbox einwählt) eben 2 Netze befinden. Dafür muss auch nicht der gesamte Traffic durch das VPN geleitet werden, sondern nur der Traffic, welcher für Netze bestimmt ist, welche durch den VPN-Tunnel zu erreichen sind.
 
So, hier nochmals eine "Erweiterungsfrage":

OPVN IPs sind 10.x.x.x
Lokales Netz am Server (NAS_AT) 192.168.1.0
Lokales Netz an Client (NAS_DE) 1 192.168.2.0

Mit
route 192.168.1.0 255.255.255.0
komme ich an alle Geräte im Servernetz

wenn ich auch
route 192.168.2.0 255.255.255.0
hinzufüge, komme ich dann über einen 3. Client auch in das Netz des NAS_DE ?

Ich vermute mal nein, oder?
 
Wenn die beiden NAS die entsprechenden Netze kennen und das Routing passt (und keine Firewall stört), dann kannst Du via Clienteinwahl an einem Standort auch rüber auf den zweiten. Bei Fritzboxen funktioniert sowas z.B. einwandfrei (wenn die Boxen miteinander verbunden sind und der Client sich irgendwo einwählt - der Client muss aber wissen, dass das zweite Netze dann auch über die VPN-Verbindung erreichbar ist).
 
So, NAS 2 kann ich ohne weiteres auch erreichen.
NAS1 ist ja "nur" VPN-Host.
NAS2 ist permanent Client von NAS 1
PC_x wählt sich ja bei NAS1 ein.

in der config steht
route 192.168.1.0 255.255.255.0 (lokales Netz NAS1)

Das reicht für folgendes:
Ich kann vom PC_x aus das NAS1 auf 192.168.1.x erreichen.
Ich kann vom PC_x aus den Router vom Standort NAS 1 mit 192.168.1.1 erreichen
Ich kann vom PC_x aus den 10.1.0.1 (VPN-Server) Pingen, sowie aich die 10.1.0.x (NAS2) erfolgreich pingen.
Ich kann vom PC_x aus NAS2 auch über die 10.1.0.x erfolgreich im Webinterface aufrufen :D

Wen muss ich denn jetzt welche Info geben, damit der PC auch auf das Netzwerk (Resp den Router, also die 192.168.2.1) von NAS2 zugreifen kann?
Ich hatte probier, das config file um folgendes zu erweitern:

route 192.168.2.0 255.255.255.0 (lokales Netz NAS2)
route 10.1.0.0 255.255.255.0 (OpenVPN Netz)

Problem: Im Netzwerk des PC_x finde ich eine 192.168.2.1. Das ist aber nicht mein Router. Und das obwohl meine lokale LAN Ip von PC_x eine 10.152.x.x ist

Wenn mir jetzt nich einer sagt, wie ich das Routing hinbekomme, dass ich auch noch auf den Router vom Standort NAS2 hinbekome, wäre das genial.
Ich müsste doch den PC (evtl direkt im Browser?) nur sagen, dass er auf die 10.1.0.x soll, und dann erst von dort weiter auf die lokale 192.168.2.0.
Die beiden unteren "route" Einträge sind dann vermutlich eh umsonst, weil ich auf die 10.0.1.x auch ohne den Eintrag komme.

Wenn nicht, passts so aber auch :D

Ich hoffe, ich habs nicht zu kompliziert beschrieben, was ich will und wos stockt :D

Danke euch,
Markus
 
Ich mach das jetzt mal ganz einfach: Nimm Dir einen Zettel, einen Stift und zeichne Dir das Konstrukt auf.
(Alle beteiligten Komponenten müssen wissen, was wohin soll bzw. wie die Route dorthin ist.)

Im Fall eines PCs, welcher sich an Standort 1 einwählt und über ein S2S-VPN auf Standort 2 zugreifen muss, wäre die Logik folgende:

PC1 erhält die Routing-Informationen, dass sowohl Netz1 - als auch Netz2 - über Netz1 erreichbar ist, alles andere geht an das Standardgateway. Kurzum: Beide Standort-Netze via VPN, der Rest normal zum Standard-Gateway. Ergo braucht der PC 2 zusätzliche Routen für die o.g. Netze.

Das könnte dann (in sehr verkürzter Form) z.B. so aussehen:

0.0.0.0 -> Standardgateway
192.168.1.0 -> VPN
192.168.2.0 -> VPN

Das VPN-Gateway an Standort 1 (192.168.1.x) weiss jetzt um die Route ins Netz 192.168.2.0 und kann die Informationen auch entsprechend weiterleiten.

Jetzt zum "eigentlichen" Problem:

Da das VPN-Gateway an Standort 1 kein NAT betreibt (z.B. umschreiben der Client-IP von 10.1.0.x auf 192.168.1.x) kommst Du an Standort2 vermutlich auch mit Deiner Client-IP aus dem VPN-Netz (10.1.0.x) an. Es bleiben 2 Varianten: a) Netz2 kennt das VPN-Netz von Standort1 nicht (dann fehlt die Route an Standort 2 ins VPN-Netz von Standort 1), b) Standort 2 hat selbst so ein Netz und wird die Informationen nicht zurück schicken.

Da Du ja alles via NAS-Geräten machst und diese erstmal alle recht ähnlich sind, prüf doch erstmal, wie das VPN-Client-Netz an Standort2 definiert ist (es sollte nicht 10.1.0.0/24 lauten). Wenn das passt, sollte das NAS an Standort2 noch die Route für das VPN-Netz an Standort 1 mitgeteilt bekommen (eine statische Route via VPN). Somit ist dann auch gewährleistet, dass das NAS an Standort2 den Weg zum VPN-Netz an Standort1 kennt 🙂
 
So, ich habs mal probiert, so evtl einfacher zu erklären.
  • Blau ist der PC
  • Der PC hat Zugriff, auf alles was grün ist (Netzwerk 1, NAS 1, NAS 2)
  • Auf Netzwerk 2 (orange) jedoch nicht
  • Durchgängige Pfeile sind die "echten" Verbindungen
  • Natürlich geht der VPN ja auch den Weg des WAN/LAN, aber zur visualisierung wer mit wem spricht, ist es, hoffe ich, so klar
  • Ich habe bis auf den route Befehl im Client des PCs und des NAS 2, keinem etwas mitgeteilt, wüsste auch nicht wie ^^

Was muss jetzt in welche config rein, damit auch Netzwerk 2 mit mir PC_x redet. Die Verbindung zu NAS_2 geht ja über das Netzwerk 2. Also HW mäßig läuft die Verbindung ja, nur ansprechen lassen will sich das Netzwerk nich nicht. Ich kann ja nur die 2 openVPN *.config files der beiden Clients ändern

Pingen lassen sich die 10.1.0.1, die 10.1.0.x sowie die 192.168.1.0. Nur die 192.168.2.0 noch nicht. Also fehlt mir eigentlich noch der weg von NAS 2 bis Netzwerk 2 über das lokale LAN. Im Netzwerk bin ich ja schon mal prinzipiell.

Der Router im Netzwerk 1 ist von PC_x erreichbar über 192.168.1.1
Der Router im Netzwerk 2 ist von PC_x überhaupt nicht erreichbar, auch logisch, hat ja keine 10.1.0.x Adresse und mit der 192.168.2.0 spreche ich ja gar nicht.

Bis jetzt habe ich bei PC_x an der Client file noch probier (erfolglos)
route 192.168.2.0 255.255.255.0
route 10.1.0.0 255.255.255.0
kann es sein, dass
route 192.168.2.0 255.255.255.0
vei VPN-Client 2 zum Erfolg führen würde?

1645713291078.png
 
Schau Dir einfach erstmal die Routing-Tabellen der jeweiligen Geräte an... Was "zwingend" an Routen benötigt wird, wäre folgendes (da die NAS-Geräte VPN-Server/-Client spielen)...:

PC:
10.1.0.0/24 -> VPN
192.168.1.0/24 -> VPN
1921.68.2.0/24 -> VPN

NAS1:
10.1.0.0/24 (VPN-Netz vom VPN-Dienst)
192.168.2.0/24 -> VPN

NAS2
192.168.1.0/24 -> VPN
10.1.0.0/24 -> VPN

Die lokalen Netze und Default-Gateway hab ich jetzt einfach mal weg gelassen. Alternativ geh einfach mal die Wege durch (Hin- UND Rückweg) und stell Dir die Frage, ob das jeweilige Gerät auch Bescheid weiss, wohin es - korrekterweise - die Pakete schicken muss (Infos dazu findest Du dann in der jeweiligen Routingtabelle).
 
Schau Dir einfach erstmal die Routing-Tabellen der jeweiligen Geräte an... Was "zwingend" an Routen benötigt wird, wäre folgendes (da die NAS-Geräte VPN-Server/-Client spielen)...:
Naja, dass die Route von PC auf die 192.168.2.0 fehlt, weiß ich ja, die Frage ist, wie teile ich (wem) mit, dass ich die will?
Alle anderen laufen ja schon.

Aber was meins genau mit den Tabellen anschauen?
Vom PC/NAS1/NAS2 anpingen und mir das Routing angucken?
die 192.168.2.0 kann ich ja gar nicht anpingen, da nicht erreichbar.

und stell Dir die Frage, ob das jeweilige Gerät auch Bescheid weiss, wohin es - korrekterweise - die Pakete schicken muss
ne, dass weiß es sicher nicht, das ist ja mein Problem, ich weiß, dass es das Gerät nicht weiß, weil ich es dem Gerät nicht gesagt habe, ich weiß nur nicht, wie ich es dem Gerät mitteile
 
Ich rede nicht vom "ping", wenn überhaupt ein "traceroute", aber ganz davon ab: Wenn ich Dir sage: "Geh zu Standort 2" und Du hast keine Ahnung (so wie der PC keine Ahnung hat) und Du einfach immer nur gradeaus läufst (Standardgateway), weil es Dir niemand anders gesagt hat und dementsprechend auch nicht links abbiegst zu Standort 2, wirst Du diesen Standort nie erreichen. Ebenso wenig wirst Du zurück finden, wenn Du den Weg zurück nicht kennst.

Direkt zu Anfang stellt sich die Frage: Links (Standardgateway), oder recht (VPN)? Diese Frage kommt dann bei jedem weiteren Schritt erneut auf. Wenn Dein "PC" eine Windows-Kiste ist, dort einfach mal in der Eingabeaufforderung z.B. "route print -4" ausführen. Könnte ein wenig mehr werden, aber sollte dann - bei eingewähltem VPN und Annahme, dass das Client-Netz 192.168.250.0/24 und Client-IP 192.168.250.100 lautet - auf dem Client ungefähr so aussehen:


Alle diese Einträge (und noch mehr, aber das sind erstmal die relevanten) sollten in Deiner Client-Routing-Tabelle beim eingewähltem VPN vorhanden sein.

Rot -> Default-Gateway - ist klar, ohne i.d.R. kein Internet. Grün -> LAN -> auch klar. Die erste blaue Route ist das Standard-Ding, sobald Du ins VPN eingewählt bist. Die beiden weiteren Netze müssen noch dazu. Nun kenne ich das QNAP-Gedöns nicht wirklich, bei Synology z.B. kann man einfach einen Haken setzen "LAN-Zugriff erlauben", womit die zusätzliche Route ins "LAN" (z.B. 192.168.1.0/24) noch zusätzlich via VPN-Config an den Client gepushed wird.

Trägst Du die Route jetzt einfach in der VPN-Verbindung beim Server ein, sollte diese mit an den Client übergeben werden, mitunter kriegen aber weitere Clients, ebenfalls die zusätzliche Route mit auf den Weg (k.A. ob Du da unterscheiden kannst). Alternativ kannst Du die Route natürlich auch händisch auf dem Client/PC eintragen, hat aber den Nachteil, dass - wenn es "sauber" sein soll - Du die Route ständig anlegen und wieder löschen musst. Wenn Du es unsauber magst, kannst Du die Route auch einfach erstellen und so stehen lassen (würde ich persönlich aber nicht unbedingt empfehlen, Route funktioniert halt nicht, wenn Du nicht eingewählt bist).

Somit weiss der Client schon mal, welche Schnittstelle er nehmen muss, wenn er zu Netz X will. Ist Netz X nicht explizit in der Tabelle aufgeführt, werden die Pakete ans Standard-Gateway geschickt. Das gilt jetzt nicht nur für Deinen PC, sondern auch für sämtliche Netzwerkgeräte (egal ob Client, NAS, Router, Handy, Tablet, SmartTV, oder sonstwas).

Angenommen Du setzt die Route, könnte bei einem "ping" (NAS2-IP als 192.168.2.10 dargestellt) folgendes dabei - in Deinem jetzigen Setup - heraus kommen:
C:\>tracert 192.168.2.10

Routenverfolgung zu 10.200.250.10 über maximal 30 Hops

1 1 ms 1 ms 1 ms 192.168.250.1
2 15 ms 15 ms 14 ms 10.1.0.1
3 * * * Zeitüberschreitung der Anforderung.

Versuchst Du jetzt die Geräte auf der Strecke anzupingen, dürfte es ungefähr so aussehen:

LAN-Router:
C:\>ping 192.168.250.1

Ping wird ausgeführt für 192.168.250.1 mit 32 Bytes Daten:
Antwort von 192.168.250.1: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.250.1: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.250.1: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.250.1: Bytes=32 Zeit=1ms TTL=64

Ping-Statistik für 192.168.250.1:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 1ms, Maximum = 1ms, Mittelwert = 1ms
VPN-Gateway/NAS1 via VPN-Interface:
C:\>ping 10.1.0.1

Ping wird ausgeführt für 10.1.0.1 mit 32 Bytes Daten:
Antwort von 10.1.0.1: Bytes=32 Zeit=31ms TTL=64
Antwort von 10.1.0.1: Bytes=32 Zeit=32ms TTL=64
Antwort von 10.1.0.1: Bytes=32 Zeit=32ms TTL=64
Antwort von 10.1.0.1: Bytes=32 Zeit=33ms TTL=64

Ping-Statistik für 10.1.0.1:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 31ms, Maximum = 33ms, Mittelwert = 32ms
NAS2:
C:\>ping 192.168.2.10

Ping wird ausgeführt für 192.168.2.10 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 192.168.2.10:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),

Ups.... Aber eigentlich auch ganz logisch, wenn man den Rückweg durchdenkt (daran scheitert es übrigens gerne mal). Der PC weiss, dass das Paket (bestimmt für NAS2) in den VPN-Tunnel muss (durch die zusätzliche Route). Das Paket kommt bei NAS1 an, NAS1 weiss, dass dieses Paket - bestimmt für 192.168.2.x - auch wieder durch den Tunnel (NAS2NAS) muss und leitet es durch den VPN-Tunnel an NAS2 weiter. NAS2 erhält das Paket von 10.1.0.1, würde gerne antworten, kennt aber die Route zu 10.1.0.0/24 nicht und dementsprechend - wenn die Geräte das Netz nicht kennen - wird das Antwort-Paket an das Default-Gateway von NAS2 geschickt (vermutlich den dortigen Router). Falls der Router das Paket noch nicht weggeschmissen hat, wird es vermutlich direkt der nächste Router im Internet machen (private Netze werden nicht geroutet).

(Ich bin mir jetzt grade nicht mehr ganz sicher, ob Du derjenige mit dem komischen Telekom-Routing warst, aber bei irgendwem wurden Pakete aus privaten Netzen über die ISP-Router geroutet und das führte auch zu wirklich seltsamen Phänomenen... 🤣)

Also kurzum: Wenn die beiden NAS via VPN verbunden sind und beide das Netz des Partners kennen (NAS1 kennt 192.168.2.0/24, NAS2 kennt 192.168.1.0/24) ist das schon mal prima. Der Client wählt sich bei NAS1 und sollte somit auch an das Netz von NAS1 kommen. Dem Client fehlt jetzt also noch die zusätzliche Route zu Netz2 (via NAS1-VPN-IP) und NAS2 fehlt ebenso noch die Route ins VPN-Client-Netz (10.1.0.0/24) via NAS1 (VPN-IP).

Wenn Dir dann nicht noch irgendeine Firewall einen Strich durch die Rechnung macht, sollte das Konstrukt theoretisch aufgehen 🙃
 
Zuletzt bearbeitet:
Ich rede nicht vom "ping", wenn überhaupt ein "traceroute", aber ganz davon ab
Ja. ping war nicht wörtlich als Befehl gemeint, da hast du mir ja schonmal ein paar "tricks" gezeigt :D
Daher meinte ich anpingen und die route tracken ^^

Wenn ich Dir sage: "Geh zu Standort 2" und Du hast keine Ahnung (so wie der PC keine Ahnung hat) und Du einfach immer nur gradeaus läufst (Standardgateway), weil es Dir niemand anders gesagt hat und dementsprechend auch nicht links abbiegst zu Standort 2, wirst Du diesen Standort nie erreichen. Ebenso wenig wirst Du zurück finden, wenn Du den Weg zurück nicht kennst.
Das ist mir klar, deswegen schreib ich ja auch immer, es ist mir logisch, dass die Verbindung nicht bestehen kann, ich werde auch keine Route dort hin finden (werde td mal schaun, was der PC ausspuckt, da ich aber aktuell im LAN des Netzwerks 2 bin, eher kontraproduktiv ^^


Alle diese Einträge (und noch mehr, aber das sind erstmal die relevanten) sollten in Deiner Client-Routing-Tabelle beim eingewähltem VPN vorhanden sein.

Nun kenne ich das QNAP-Gedöns nicht wirklich, bei Synology z.B. kann man einfach einen Haken setzen "LAN-Zugriff erlauben", womit die zusätzliche Route ins "LAN" (z.B. 192.168.1.0/24) noch zusätzlich via VPN-Config an den Client gepushed wird.
Da kann man eben so gut wie gar nichts einstellen, daher kann ich eigl "nur" die config der Clients verändern, was da dann aber eben rein müsste, das weiß ich immer noch nicht. Also Beim Server kann ich da so gut wie nichts ändern.

Wenn Du es unsauber magst, kannst Du die Route auch einfach erstellen und so stehen lassen (würde ich persönlich aber nicht unbedingt empfehlen, Route funktioniert halt nicht, wenn Du nicht eingewählt bist).
Die Route soll auch nur funktionieren, wenn der PC eingewählt ist, die wird ansonsten nicht benötigt. Es wäre nur schön für den Fall, dass ich zur Wartung von extern via VPN auf meinen Router könnte. Einen tieferen Hintergrund hat das ganze nicht.

(Ich bin mir jetzt grade nicht mehr ganz sicher, ob Du derjenige mit dem komischen Telekom-Routing warst, aber bei irgendwem wurden Pakete aus privaten Netzen über die ISP-Router geroutet und das führte auch zu wirklich seltsamen Phänomenen... 🤣)
Genau der bin ich xD

Also kurzum: Wenn die beiden NAS via VPN verbunden sind und beide das Netz des Partners kennen (NAS1 kennt 192.168.2.0/24, NAS2 kennt 192.168.1.0/24) ist das schon mal prima.
Ich glaube, genau DAS wissen Sie eben nicht, ich weiß aber nicht, in welche konfig (Client NAS2 oder Client PC) was rein muss.

ABER
selsbt wenn ich das hinbekomme, bleibt bei mir noch folgende Frage offen:

Wenn ich im Browser
192.186.2.0 eingebe, wie sage ich dem PC, dass er nicht in ein "lokales" Netzwerk mit dieser IP geht, sondern zuerst über den VPN und danach an diese?
 
So sieht übrigens der Table aus, wenn PC_X in Netzwerk 2 ist (lokal per LAN) und per VPN mit NAS1 verbunden ist:
Hier kann ich "alles" erreichen. Beide Router und beide NAS mit ihrer jeweils lokalen IP Adresse.
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.6 25
10.1.0.0 255.255.255.0 10.1.0.9 10.1.0.10 257
10.1.0.8 255.255.255.252 Auf Verbindung 10.1.0.10 257
10.1.0.10 255.255.255.255 Auf Verbindung 10.1.0.10 257
10.1.0.11 255.255.255.255 Auf Verbindung 10.1.0.10 257
Public IP NW 1 255.255.255.255 192.168.2.1 192.168.2.6 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.6 281
192.168.2.6 255.255.255.255 Auf Verbindung 192.168.2.6 281
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.6 281
192.168.1.0 255.255.255.0 10.1.0.9 10.1.0.10 257
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.10 257
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.6 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 10.1.0.10 257
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.6 281

Ich füg den Table mal als BIld ein, sieht schöner aus (keine Ahnung, warum die Formatierung per Text nicht passt, beim bearbeiten sieht es schön aus).
1645792785488.png

10.1.0.1 ist der VPN Server in NW1
10.1.0.10 ist der VPN Client PC_x
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.378
Beiträge
45.217
Mitglieder
3.977
Neuestes Mitglied
ciddi89
Zurück
Oben