UDM - Begrenzte Portweiterleitung und VPN per L2TP

  • Hallo zusammen,


    ich habe ein Problem mit meiner UDM, bei dem ich nicht weiter komme und Hilfe benötige.


    Ich möchte eine Portweiterleitung einrichten, bei der ein Port nur bei Anfragen aus dem heimischen Netzwerk weitergeleitet werden soll.


    Also habe ich in der Portweiterleitungsregel als "Von" Begrenzt gewählt und den Adressbereich 192.168.0.1/16 angegeben.

    Funktioniert soweit auch, bis auf mein Handy, wenn es per VPN im Netzwerk ist.

    Das Handy sagt, es hat die IP 192.168.179.X, diese kann ich aus einem anderen Subnetz auch anpingen.

    In der Endgeräteauflistung der UDM taucht das Handy nur auf, wenn ich im WLAN bin, nicht wenn ich über VPN im Netz bin.


    Anstatt des oben genannten Adressbereichs habe ich auch mehrere identische Regeln mit unterschiedlichen Adressbereichen (z.B. 192.168.60.1/24 & 192.168.61.1/24) ausprobiert. Auch eine Regel mit genau der einen IP des VPN Handys hat keinen Erfolg gebracht.


    Habt ihr eine Idee wieso das mit der Portweiterleitung für das VPN Gerät nicht funktioniert und wie ich das Problem lösen kann?

  • Wozu? Wenn Du per VPN drin bist, kannst Du doch die URL mit dem Port direkt aufrufen. Der Gedanke hinter der Weiterleitung ist ja, dass durch die WAN-Schnittstelle eine Anfrage auf einem Port kommt und der Router dann weiß, wohin er die Anfrage weiterleiten soll. Bist Du schon drin im Netzwerk, kennst Du ja die IP Adresse, wo Du hin willst.

  • Moin Jens_0001 ,


    Herzlich Willkommen im Forum


    Ich möchte eine Portweiterleitung einrichten, bei der ein Port nur bei Anfragen aus dem heimischen Netzwerk weitergeleitet werden soll.

    Damit ist eine Portweiterleitung nutzlos, diese geht von WAN auf eine IP mit Port in deinem eigenen Netzwerk.


    Beispiel:

    Du betreibst eine kleine Homepage auf einem NAS welche auch vom Internet aus erreichbar sein soll

    Dann leitest du den Port 443 auf das NAS weiter - 192.168.1.1 Port 443 an 192.168.1.50 Port 443


    Wenn du aber schon in deinem Netzwerk bist kannst du das ja direkt aufrufen.


    Wie Peterfido schon gesagt hast bist du bei VPN ja schon im eigenen Netz.


    Wenn du uns verrätst was du genau bezwecken willst können wir dir vermutlich helfen

    Mein Projekt

  • Ich hatte befürchtet, dass es zu der Frage des Wozu kommen würde.


    Folgendes Szenario:


    Hier läuft Home Assistant, was für diverse Geräte Lovelace Dashboards zur Verfügung stellt. Innerhalb dieser Dashboards werden auch per IFRAME Diagramme aus einer per Home Assistand addon laufenden Grafana Installation.


    Bisher ist HomeAssistant nur aus dem internen Netz bzw. per VPN erreichbar.


    Um mit Google Assistant kommunizieren zu können, muss ich auf HomeAssistant SSL aktivieren und hier beginnt das Problem.


    Portweiterleitung für HA klappt und ist über https://dyndns:PORT erreichbar.


    Die IFRAMES zu Grafana müssen nun aber auch über HTTPS angesprochen werden, also Grafana auch für SSL konfiguriert. Funktioniert auch nach einer zweiten Portweiterleitung.

    Die URL der IFrames musste ich ändern von http://IP:Port/.... nach https://dyndns:Port da das Zertifikat auf den DYNDNS Namen und natürlich nicht auf die IP ausgestellt ist.

    Haken an der Sache: Um die Diagramme im HA Lovelace Dashboard sehen zu können, musste ich Grafana nur authentifikationslos konfigurieren.


    Durch die Portweiterleitung kommt man von außen nun direkt auf das System. Möchte ich natürlich nicht.

    Jetzt kommen wir zurück zum eigentlichen Thema. Ich dachte, über die begrenzte Portweiterleitung kann ich dafür sorgen, dass sie nur greift, wenn ich aus dem Netz oder per VPN zugreife und damit für alle anderen das nach außen offene Grafana schließe.


    Tja, funktioniert soweit auch, nur eben für den Fall, dass ich von unterwegs per VPN mal einen Blick auf ein Dashboard werfen möchte nicht.



    Ich hoffe die Erklärung war nicht zu verwirrend.

    Gerne nehme ich auch Vorschläge das Problem anders zu lösen entgegen :grinning_face_with_smiling_eyes:

  • Also wenn ich das jetzt richtig verstanden habe brauchst du eigentlich nur intern eine SSL Zertifizierung ?


    hast du einen eigene Domain oder verwendest du einen reinen DynDNS dienst dafür.


    Ich hab unterschiedliche Ansätze dafür bin mir aber noch nicht sicher welchen ich nehmen würde


    Proxymanager

    DNS Server

    wildcard Zertifikat mit Let's Encrypt

    Mein Projekt

  • Theoretisch ist es das, ja.

    Ich verwende einen DynDNS Dienst dafür. Ein Addon in HomeAssistant erzeugt die Zertifikate mit lets encrypt und sorgt automatisch regelmäßig dafür, dass sie vor Ablauf erneuert werden.


    Was ich bräuchte wäre ein Zertifikat für die IP, nicht die DynDNS Domain, welches ich nicht regelmäßig manuell neu signieren lassen muss.

    Bekomme ich das mit deinem wildcard Zertifikat mit Let's Encrypt Vorschlag hin?


    Aber vielleicht nochmal kurz zu meinem Lösungsansatz. Auch wenn Portweiterleitungen dazu natürlich eigentlich nicht erfunden wurden verstehe ich noch nicht, warum es mit meinem VPN Gerät nicht funktioniert...

  • SSL Zertifikate für IPs habe ich noch nie gesehen und so wie ich gelesen habe geht es für Private IPs nicht.


    für das Wildcard brauchst du eine eigene Domain da du eine DNS Challenge machen musst, kommt also nicht in frage.


    Bei der VPN kann ich mir vorstellen, dass es nicht geht, da du schon aus dem WAN kommst und dich daher im kreis drehen würdest.


    evtl sind Selbst signierte SSL Zertifikate etwas, da kann ich dir aber nicht sagen ob die in deinem konkreten Fall funktionieren - das müsstest du Testen

    Mein Projekt

  • Habe mir selbst ein Zertifikat mit XCA generiert, inkl 2 Privater IP.

    War für ne Syno mit 2 NIC.

    Also machbar ist es

    Ja cool - ist self signed oder ?


    Mein bedenken galt bei dem self signed auch eher dem Google Assistant

    Mein Projekt

  • amaskus

    Ja, selbst signiert. Ich war damals gezwungen was zu finden da Syno auf DSM 7 gewechselt hat und Synology's eigenes Chat Programm maulte das die Verbindung nicht sicher sein.

    Jetzt erzähle einmal 20 Kollegen " ist so, klick es einfach bei jedem Neustart weg"

    Musste lange suchen und probieren. Mit XCA konnte ich mir ein eigenes DNS + 2* Verschiedene IP Zertifikat erstellen.