WOL durch VPN-Tunnel?

[fildercom]

Hallo zusammen,

kann mir jemand sagen, wie es möglich ist, WOL-Pakete (Wake on LAN) durch einen VPN-Tunnel zu senden?

Konkret nutze ich folgende Software dafür:
http://wol.aquilatech.com/index.html

Das Tool ist Open Source und funktioniert sonst super.

Leider schaffe ich es aber nicht, WOL-Pakete zu senden, wenn ich mit meinem Laptop über den LANCOM Advanced VPN-Client mit meinem Hausnetz verbunden bin. Eigentlich sollte das doch kein Problem sein. Oder muss ich dabei noch etwas beachten?

Viele Grüße und danke
fildercom.

[Koppelfeld]

Leider schaffe ich es aber nicht, WOL-Pakete zu senden, wenn ich mit meinem Laptop über den LANCOM Advanced VPN-Client mit meinem Hausnetz verbunden bin. Eigentlich sollte das doch kein Problem sein.

Naja, wie man es nimmt: Im LAN gibt es kein IP und im WAN keine MAC.

[win]

Wenn du die passende Broadcast-IP angibst, die zum entfernten Netz passt und wo er die MAC erreicht, könnte es vielleicht funktionieren. Wie ist denn dein Ziel-Netz und wie die Broadcast-IP?

[Dr.Einstein]

https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument

[fildercom]

https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument

Hallo Dr.Einstein,

vielen Dank für den Link. Das scheint der richtige Ansatz zu sein. Allerdings nutzt WOL (zumindest die von mir verlinkte Software) nicht UDP-Port 7, sondern UDP-Port 9. Aber das ist ja kein Problem.

Die Frage, die sich mir aber aufdrängt ist:
Kann ich es einrichten, dass die Port-Weiterleitung wirklich nur bei bestehender VPN-Verbindung genutzt wird, um zu verhindern, dass Portscanner aus dem Internet dieses "Einfallstor" finden und ausnutzen.

Reicht es dazu, bei "Gegenstelle" in der Port-Forwarding-Tabelle explizit die VPN-Gegenstelle einzutragen?

Viele Grüße und danke
fildercom.

[fildercom]

Hallo zusammen,

ich habe es gestern gemäß der Anleitung konfiguriert, aber es funktioniert nur teilweise. Wenn ich in der WOL-Software einstelle, dass das Paket an Broadcast-Adresse gesendet werden soll (Standard; funktioniert im LAN), tut sich gar nichts. Bei der Einstellung, dass es an die IP bzw. den FQDN gesendet werden soll wacht ein Windows-Rechner auf, ein Linux-Rechner dagegen reagiert überhaupt nicht.

Wo ist mein Denkfehler? Die Konfiguration hänge ich mit an.

Über Tipps wäre ich sehr dankbar.

Viele Grüße
fildercom.

[fildercom]

Hallo zusammen,

ich habe das Problem nun weiter analysiert und testweise die Firewall zwischen LAN und VPN-Tunnel komplett geöffnet, jedoch funktioniert es auch dann nicht.

Das Problem kann ich soweit eingrenzen, dass keine Broadcasts zwischen LAN und VPN-Tunnel zugelassen werden (in keiner Richtung).

Was kann ich dagegen tun? Ich denke und hoffe, dass man das mit einem passenden Eintrag in der Routing-Tabelle beheben kann. Kann mir bitte jemand sachdienliche Hinweise dazu geben?

Viele Grüße und besten Dank
fildercom.

[Koppelfeld]

Was kann ich dagegen tun? Ich denke und hoffe, dass man das mit einem passenden Eintrag in der Routing-Tabelle beheben kann.

Bei CISCO gibt es dazu ip-directed broadcast, an sich schon problematisch.
ABER Du könntest mit einem schmutzigen Trick Dein WOL-Paket DIREKT an die Ziel-Netzwerkkarte schicken, indem Du zum Beispiel den LANCOM Proxy-ARP spielen läßt: Du schickst das WOL-Paket an eine bestimmte IP-Adresse, die Du im LANCOM, beispielsweise unter bootp/stationen, hinterlegt hast.
Nun wird der LANCOM selbst auf seine arp "who-is" antworten und Dein WOL-Paket ALS UNICAST an den NIC expedieren. Habe ich noch nie mit LANCOM gemacht (und meide Proxy-ARP wie der Teufel das Weihwasser), sollte aber auch hier funktionieren.

[Bernie137]

Hallo,

Das Problem kann ich soweit eingrenzen, dass keine Broadcasts zwischen LAN und VPN-Tunnel zugelassen werden (in keiner Richtung).

Eigentlich ja auch logisch. Vom LAN in den VPN Tunnel macht ja der Router was er soll, Routing. Und Broadcasts gehen nicht über einen Router.

Ich weis ja nicht, wie Endanwenderfreundlich es sein muss. Eine Möglichkeit ist, sich am entfernten Standort per CLI am Lancom Router einzuloggen und mit dem Befehl "wakeup + MAC" das Gerät im dortigen LAN aufzuwecken.

vg Bernie

[fildercom]

Hallo Bernie,

vielen Dank für diesen Vorschlag.

Ich habe in der Zwischenzeit eine andere Lösung gefunden:
Nun habe ich ein PHP-Skript erstellt, welches auf einem NAS-Server mit aktivierten Apache gehostet wird. Dazu musste ich lediglich in der GUI der IP-Tables den UDP-Port 9 öffnen und schon funktioniert es wunderbar.

In einem Drop-Down-Menü kann nun der entsprechende Rechner ausgewählt werden und durch Klick auf den Button "Absenden" wird das WOL-Paket gesendet (Screenshot siehe unten).

Theoretisch könnte man das ganze sicher auch auf einem Raspberry laufen lassen, aber wenn ein NAS ohnehin an ist, tut es ja nicht weh.

Trotzdem würde mich interessieren, wie man den LANCOM dazu bringt, die Broadcasts durch den VPN-Tunnel zu leiten.

Ach ja, eine Alternative habe ich auch noch gefunden:
http://wol.aquilatech.com/WOLAgent/index.html

Dieser Agent müsste theoretisch durch den VPN-Tunnel angesprochen werden können, setzt aber einen Windows Server voraus, den ich aktuell nicht am Laufen habe.

Aber wenn jemand noch andere Tipps und Ideen hat, bitte immer her damit!

Viele Grüße
fildercom.

[win]

Lt. dem obigen Artikel aus der Knowledgebase müsste es ja grundsätzlich funktionieren. Kann mir also nur einen Konfigurationsfehler vorstellen.

[Koppelfeld]

Lt. dem obigen Artikel aus der Knowledgebase müsste es ja grundsätzlich funktionieren. Kann mir also nur einen Konfigurationsfehler vorstellen.

Ich bilde mir ein, eine fumktionsfähige Lösung gepostet zu haben - Unicast statt Broadcast und Proxy-ARP auf dem entfernten Router. Aber wenn ich höre, "NAS", "PHP" etc., dann war das wohl zu einfach.

Die Lösung aus der KB ist ja ähnlich, beschreibt aber einen Unocast außerhalb eines VPN.

[win]

Die Lösung aus der KB ist ja ähnlich, beschreibt aber einen Unocast außerhalb eines VPN.

Verstehe ich nicht, der KB-Artikel beschreibt doch Broadcast über VPN, genau wie gewünscht.

[Koppelfeld]

Verstehe ich nicht, der KB-Artikel beschreibt doch Broadcast über VPN, genau wie gewünscht.

Ich habe nicht weit genug 'runtergeblättert - nun verstehe ich allerdings etwas nicht.

Die benannte Grundvoraussetzung ist ein Prtforwarding. Innerhalb des VPN kommt man aber doch gar nicht an die öffentliche IP des Routers!
Ich glaube eher, der KB-Artikel stimmt nicht.

[fildercom]

Vielleicht sollte ich doch ein Support-Ticket aufmachen, damit der KB-Artikel überprüft und ergänzt bzw. verbessert werden kann. Irgendetwas an der Sache kommt mir da seltsam vor.