DMP hinter Digibox, VPN

    Liebe community,

    ich habe zwischen meiner DMP und dem Internet eine Telekom Digibox. Das muss leider sein, da ich die Telefonanschlüsse dieser dringend benötige.

    Auch bin ich mit den VPN Fähigkeiten der der DMP nicht ganz zufrieden.

    Mein Problem ist, dass ich ein VPN zwischen meinem Zuhause (pfSense) und der DMP benötige. Da keine statischen IPs zum Einsatz kommen, ist das derzeit per DynDNS und IPSec realisiert. Soweit ich das aber übersehe, mag die DreamMachine kein Site to Site VPN per DynDNS. Daher macht das die Digibox.


    Anbei ein kleines Schema


    pfsense (192.168.3.0/24) -------- DSL ---------- Digibox(192.168.2.0/24) ----- DMP (192.168.2.127 im Digibox- Netz) ----- interne Netzwerke


    Also wäre meine erstre Frage ob ihr da bessere Ansätze für diesen Aufbau seht. eine statische IP ist derzeit aber keine Option. Gerne hätte ich die Digibox hinter der DMP. Das geht aber derzeit nicht, da die Digibox sich ja ums VPN kümmert.

    Die Zeite: Wenn ich aus dem interenn Netz der DMP auf die pfSense zugreifen will, bekomme ich keine Verbindung. Portweiterleitungen waren meine erste Idee, die habe ich aber nicht zum Laufen bekommen.


    Danke, EuroPC

    Hmm. Ist deine UDM auf aktuellen Stand? In irgendeinem Update wurde das mit "IP only" geändert ...

    Prinzipiell kannst Du auch auf Wireguard wechseln. Gibt es bei Site to Site zwar nicht, aber Du kannst mit Diversen Einstellungen das gleiche erreichen. Ich würde die UDM als Client einsetzen, Firewall und NAT für den WG Client anpassen und dann läuft das. Bei VPNs kann es immer mal zu Problemen kommen, wenn nur dynamische IPs im Spiel sind. Insbesondere wenn sich beide IPs nahezu gleichzeitig ändern.


    Der Zugriff auf die pfSense aus dem Netz der UDM wird vermutlich mit der Firewall auf der pfSense zusammenhängen. Fast immer gibt es die Möglichkeit zwischen Paketen die in das Netzwerk eines Routers sollen und Paketen die direkt für eine IP Schnittstelle des Routers selbst sind, zu unterscheiden. Es ist also möglich, dass man auf eines von beiden darf, aber nicht auf das andere. Schau dir die Firewall im pfSense mal an. Portweiterleitungen sind hier auf jeden Fall fehl am Platz.

    DoPe Hmm. Ist deine UDM auf aktuellen Stand? In irgendeinem Update wurde das mit "IP only" geändert ...

    ich habe mal nachgesehen. Tatsächlich ist da jetzt die Möglichkeit einer DynDNS Adresse für IPSec gegeben. Das würde aber mit der vorgelagernten Digibox kollidieren, die als "Businessrouter" nur IPSec kann ;-)

    Bleibt mit also OpenVPN für SiteToSite oder Wireguard als Client. Ich schaue mir das diese Woche mal näher an.

    Dann ja. Wie ich gerade feststellte, komme ich auch vom DMP Netz auf die Digibox. Diese Weiterleitung funktionierte vorher aus mir unverständlichen Gründen nicht. Möglicherweise, weil ich die FW Regeln komplett neu eingerichtet habe. Ich werde mich die Tage wieder näher mit dem Netzwerk befassen.


    Danke Dir schonmal,

    EuroPC

    Moin,


    nun möchte ich erstmal einen OpenVPN- Tunnel zwichen DMP (als Server) und meinem Windows PC herstellen.

    Dazu bin ich in die zu Unifi ->VPN -> Server und habe mir da Wireguard gewählt. Einfach weil ich dann nur eine Konfig brauche, auch wen später mein Travel Router ebenfalls die OpenVPN Config nutzen will. Bei Wireguard braucht ja jeder Client sein eigenes Zertifikat (so hatte ich das verstanden).

    Ich habe die Config gesichert und heruntergeladen. Danach den Win Client openvpn-connect-3.6.0.4074_signed von der openvpn- Site.

    Nur kann ich keine Verbindung herstellen. Die Meldung lautet (siehe Bild 3), dass der Server, also die DMP eine Kompression senden will, die nicht erlaubt ist.

    Was mich irritiert, da ich an der opn- Datei nichts geändert habe (auch wenn mich ärgert, dass ich nur sha1 und AES-CBC hier habe).

    Es hatte einmal funktioniert, da hatte ich AES auf GCM und sha auf sha2 geändert. Danach hatte ich die DMP neu gesatartet, da ich auf das VLAN meiner Wahl bzw die Synology dahinter keinen Zugriff hatte. Acu das Erstellen einer Firewall- Regel (unifi_firewsll.png). Dazu kommt, da es ja einmal funktioniert hat, dass der Benutzer in der DMP unter ClientDevices angemeldet zu sein scheint und ich trotz Neustart der DMP ihn nicht weiss, wie ich ihn abmelden kann.

    Naja, das Wichtigste ist erstmal, dass die VPN Verbindung steht.

    Euer EuroPC

    Okay ... also zuerst war die Rede von IPsec... Jetzt wird OpenVPN und Wireguard durcheinander gewurschtelt ... Was darf es denn nun sein?

    Bei jeder VPN sollte für jeden Client eine eigene Konfiguration benutzt werden. Die gleichzeitige Mehrfachnutzung führt in der Regel immer zu Chaos und wenig Funktionalität, mal davon abgesehen, das ein verlorener Client nicht einfach gesperrt werden kann, weil dann ja alle gesperrt werden.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login