VPN Server (openVPN): Als Nutzer wird UNDEF angezeigt

[Morpha]

Liebe Forum,

ich habe mir vor Kurzem eine Disk Station (218+) gekauft und möchte nun gerne eine VPN-Verbindung einrichten, um mit meinem Android-Smartphone außerhalb meines lokalen Netzwerks auf dieses zugreifen zu können.

Dafür möchte ich eine Open-VPN-Verbindung nutzen.

Dafür habe ich das Paket VPN-Server installiert und eine OpenVPN-Verbindung eingerichtet. In meinem Router habe ich eine entsprechende Port-Weiterleitung eingerichtet (tatsächlich sind es zwei Router; einer nimmt das Internetsignal an und schickt es an den zweiten; dieser spannt das eigentlichen Heimnetzwerk auf).

Danach habe ich die Konfigurationsdateien exportiert, in der.ovpn-Datei das DynDNS des äußeren Routers eingegeben, aufs Smartphone geladen und diese mit der App OpenVPN für Android importiert.

Dann aktiviere ich die Verbindung, gebe meine Accoutdaten ein und die Verbindung funktioniert, wie sie soll.

Nun möchte ich allerdings, dass sämtlicher Internetverkehr über einen externen VPN-Anbieter ausgeleitet wird. Dazu fungiert der (innere) Router als VPN Client. Dies ist ein Asus-Router mit der Custom-Firmware von Merlin. Bei Geräten, die im WLAN sind, funktioniert das auch.

Schalte ich diesen VPN-Client allerdings ein und versuche mich dann, mit meinem Smartphone die VPN-Verbindung zu dem NAS herzustellen, stoppt er mit der Nachricht "Warte auf Serverantwort". Im Protokoll finde ich nichts hilfreiches. Dort steht "Generiere OpenVPN-Konfiguration" und direkt danach "Warte auf Serverantwort". Irgendwann versucht er dann erneut zu verbinden. Beim NAS wird die Verbindung angezeigt, allerdings mit Nutzername "UNDEF" und leerer dynamischer IP.

Stelle ich beim ASUS-Router ein, dass Verkehr von der IP des NAS an dem VPN vorbeigeleitet werden soll, funktioniert es wieder, er benutzt dann allerdings nicht das VPN-Gateway meines VPN-Anbieters. Da ich aber gerne möchte, dass der gesamte Traffic meines Smartphones durch das VPN des Routers geleitet wird, würde ich gerne, das ersteres funktioniert. Versteht man das?

Meine Vermutung (allerdings bin ich eher Laie) ist, dass das Smartphone eine Antwort von der IP meines Routers erwartet, der Router die Antwort aber über das externe VPN-Gateway ausleitet und die Antwort somit von der IP meines VPN-Providers kommt und deshalb "gedropt" wird. Kann das sein? Gibt es dafür eine Lösung? Mein VPN-Provider bietet keine Portweiterleitung an.

Ich freue mich über Antworten.

Schöne Grüße
Morpha

 

[Synchrotron]

Nur weil VPN draufsteht, muß nicht das gleiche drin sein.

Dein VPN-Server auf der Syno stellt eine eigene VPN-Infrastruktur dar, mit der statischen IP oder DynDNS als Anlaufstelle. Dein Router leitet dabei nur durch, passiv. Die verschlüsselte Verbindung besteht zwischen deinem Server und deinem Client. Dein Client (das Smartphone) ist Teil deines Heimnetzwerk, wenn du eingewählt bist.

Dein VPN-Anbieter ist eine externe, durch deinen Account nutzbare VPN-Infrastruktur. Der Server steht im „irgendwo“, erreichbar durch die Zugangsdaten, die im VPN-Client des Smartphones und auf dem Router als Client hinterlegt sind.

Bis du auf deinem eigenen Server per VPN eingewählt, bist du im Heimnetzwerk. Daher ist der externe Anbieter für eine Rückverbindung nicht erreichbar. Die Verbindung müsste nach außen aufgebaut werden und auf dem gleichen Weg wieder zurück. Macht offenbar keinen Sinn.

Bist du mit dem externen Anbieter eingewählt, hat dein Client (Smartphone) bereits eine VPN-Verbindung, und kann keine zweite aufbauen.

Die beiden VPN-Optionen schließen sich gegenseitig aus.

 

[Morpha]

Hallo Synchrotron,

entschuldige bitte die späte Antwort. Vielen Dank für deine Antwort. So etwas habe ich mir schon gedacht.

Eine Sache allerdings: ich nutze den externen VPN-Anbieter (nennen wir in SouthVPN ) NICHT auf meinem Smartphone, sondern auf meinem Router. Der Router leitet sämtlichen Verkehr an das Gateway von SouthVPN weiter. Wenn ich z.B. google von einem Computer, welcher in meinem Heimnetzwerk eingebucht ist, besuchen möchte wäre der Weg (vereinfacht):

Computer -> Router -> SouthVPN-Gateway -> Google -> SoutVPN-Gateway -> Router -> Computer

Wenn ich mich nun per VPN auf meinem Handy mit der NAS verbinde, möchte ich folgenden Weg haben:

[Smartphone -> Router -> NAS] -> Router -> SouthVPN-Gateway -> Google -> SouthVPN-Gateway -> Router -> [NAS -> Router -> Smartphone]

Wobei die Stationen in den eckigen Klammern die VPN-Verbindung vom Smartphone darstellen. So wie ich das verstehe, passiert aber folgendes:


[Smartphone -> Router -> NAS] -> Router -> SouthVPN-Gateway -> Google -> SouthVPN-Gateway -> Router -> [NAS -> Router -> SoutVPN-Gateway -> Smartphone]

Das heißt, die IP-Adresse, von der die Antwort am Smartphone ankommt (SouthVPN-Gateway) ist eine andere, als mit der die Verbindung erstellt wird (Router-DynDNS). Deshalb werden die Pakete am Smartphone "gedropt".

Ich hatte gehofft, wenn ich mein Smartphone per VPN verbinde, dieses einfach wie ein weiteres Gerät im Heimnetzwerk behandelt wird (mit dem Computer aus dem ersten Beispiel funktioniert es ja). Aber ich denke, da gibt es kein Workaround oder?

Wäre die Frage besser bei dem Hersteller der Router-Firmware aufgehoben?

Schöne Grüße
Morpha

 

[Synchrotron]

Hallo, egal wo deine „Gegenstelle“ läuft: Wenn du einen Provider dazwischen schaltest, ist das der VPN-Server, und alles andere sind Clients. Wenn dein Router sich dort einwählen, ist das der „Master“Client für dein Heimnetzwerk - das macht aus ihm immer noch keinen VPN-Server.

Nur wenn du selbst einen VPN-Server installierst, und ihn anwählst, läuft deine Verbindung darüber. Dann werden auch alle auf diesem Weg eingewählten Geräte als „Heimnetzwerk“-Gerät behandelt.

Was vermutlich möglich wäre, wäre es, dich per VPN auf deinem eigenen Server einzuwählen, von dort nach draußen dann aber wieder über den externen VPN-Dienstleister. Das hängt davon ab, ob du diese Konfiguration in deinem Heimnetzwerk darstellen kannst. Voraussetzung dürfte immer sein, dass dein Router nicht zugleich als VPN-Server für die Einwahl fungiert.