Aufruf der Diskstation über DynDNS via OpenVPN

[Swiff19]

Hallo zusammen,
ich habe mich mittlerweile schon viele Stunden damit rumgeschlagen, die Verbindung zu meiner Diskstation via VPN herzustellen.
Anfangs noch erfolglos über L2TP versucht, habe ich es nun endlich über OpenVPN geschafft.
Die VPN-Verbindung von meinem Win10 Pc und auch meinem Android Smartphone steht.

Nun habe ich jedoch noch zwei, drei Fragen:
1.: Ich habe nun alle Portweiterleitungen in meinem Speedport W925V deaktiviert (mit Ausnahme des VPN-Ports), da meinem Verständnis nach ja nun die Verbindung ja praktisch innerhalb des (VPN)-Netzwerkes stattfindet. Also brauch ich ja auch keine Weiterleitungen mehr von außen, oder?

2.: Ist es normal, dass ich meine Diskstation nicht erreichen kann, wenn ich lediglich die DDNS Adresse eingebe (bspw. xx.diskstation.me), sondern nur dann, wenn ich "hhtps://xx.diskstation.me:5001" eingebe?

3.: Wenn ich von meinem Handy aus mit funktionierender VPN-Verbindung auf die Diskstation zugreifen möchte, komme ich nur dann auf die Benutzeroberfläche, wenn ich die IP-Adresse im Browser eingebe. Mit der DDNS Adresse hingegen, bekomme ich jedes mal eine Fehlermeldung. Weiß jemand, weshalb das so ist bzw. was hierfür die Gründe sein könnten?
Meinem Verständnis nach, müsste das ja über die VPN Verbindung problemlos gehen.


Vielen Dank schon mal vorab und viele Grüße

 

[Puppetmaster]

Wenn du innerhalb des VPN bist, dann ist es im Grunde als wärst du mit deinem Rechner/Smartphone auch physisch in deinem Netz. Eine dynDNS existiert dort aber erst einmal nicht, hier sind nur IP Adressen bekannt. Wenn eine dynDNS Adresse aufgelöst werden soll, dann muss das notwendigerweise auch in deinem Netz realisiert sein. Bzw. lassen es manche Router aber auch schon gar nicht zu, eine nach innen gerichtete dynDNS von innerhalb aufzurufen (Rebind Schutz).
Ich arbeite daher z.B. immer nur mit der IP, die ist auch kürzer. ;-)

Und ja, die DS lauscht auf den Ports 5000 bzw. 5001, so dass du diese auch immer hinter die Adresse hängen musst (ausser, der Browser im Heimnetz kann sich das merken und macht das automatisch).

 

[Swiff19]

Vielen Dank schon mal für die schnelle und ausführliche Antwort.

Was ich dabei jedoch noch nicht so ganz verstehe:
Am PC kann ich über die dynDNS auf meine DS zugreifen.
Am Handy geht das jedoch leider nicht. Liegt das daran, dass mein PC physisch am selben Netzwerk hängt, wie die DS, auch wenn ich über den VPN darauf zugreife (sorry, wenn die Frage blöd erscheint)

Für den Zugriff via OpenVPN benötige ich jedoch zwingend eine dynDNS, oder?


Dankeschön und Viele Grüße

 

[the other]

Moinsen,
für den Zugriff benötigst du (bei VPN) entweder DynDNS oder ne feste externe IP (teuer und meist nur bei Geschäftskunden)...ja.
Wenn du vom PC mit DynDNS zugreifst, dann machst du das ja nicht mit VPN, also sucht dein PC bei deinem DynDNS Anbieter die zugehörige IP raus und verbindet dich (oder auch nicht, wenn DNS Rebind Schutz an ist, hier zB bekomme ich eine dicke Fehlermeldung mit Hinweis auf potetnielle Rebind Attacke)....und warum sollte ich auch: ich sehe es wie Puppetmaster und mache daheim alles über IPs, kann ich mir viel leichter merken als irgendwelche tollen Namen und es geht wesentlich schneller mit der Tipperei.
Allgemein: du kannst NICHT von EINEM Netz in ein anderes Netz via VPN, wenn beide Netze denselben IP-Adressbereich nutzen.

 

[Benares]

DynDNS wird primär erstmal nur benötigt um die VPN-Verbindung herzustellen. Sobald die VPN-Verbindung steht, ist es so als wärst du im lokalen Netz und arbeitest mit lokalen IP-Adressen. Da mag es ggf. Probleme mit der internen Namensauflösung geben, aber das ist ist ein anderes Thema.
Wenn du dann trotzdem weiter mit DynDNS (also letztendlich der externen IP) arbeitest, hast du evtl. mit dem DNS Rebind Schutz, aber auch wieder der Firewall und den Portfreigaben/-weiterleitungen deines Routers zu tun. Der Verkehr geht dann nämlich gar nicht über den Tunnel oder, je nach Einstellung, über VPN ins lokale Netz, von dort aus aber weiter über den Router und über Loopback/Firewall wieder zurück in lokale Netz. Das ist auch so, wenn du (unabhängig von VPN) am PC mit dem DynDNS-Namen arbeitest.

Langer Rede kurzer Sinn: Sobald die VPN-Verbindung erstmal steht, sollte alles so funktionieren wie zu Hause im LAN/WLAN. Du arbeitest mit den lokalen Namen/IPs und nicht mit DynDNS und brauchst keine Portfreigaben etc.

 

[Swiff19]

Ok Super, dann weiß ich in Zukunft Bescheid. Vielen Dank für eure schnellen, ausführlichen und hilfreichen Antworten

 

[the other]

Moinsen,
schön, dass es läuft. Gute Entscheidung mit (open)VPN...viel Spass!

 

[Swiff19]

Hi zusammen,
ich habe mal wieder eine Frage zu diesem Thema und hoffe, dass ihr evtl. noch aktiv seid und mir eine Antwort geben könnt.
Wie oben beschrieben, hatte ich nun gute 1 1/2 Jahre lang meine DS über OpenVPN von außerhalb erreichbar gemacht.
Alles lief problemlos, die Verbindung konnte auch via Smartphone hergestellt werden.
Nun habe ich jedoch neulich Bitwarden über/ín Docker auf meiner DS gehostet.
Hierzu hatte ich nun leider ziemliche Probleme mit meinem OpenVPN-Dienst, da ich die Bitwarden Konsole und Weboberfläche nicht aufrufen konnte (hatte insbesondere auf dem Smartphone ziemliche Zertifikatsprobleme). Eigentlich wollte ich auch aus Sicherheitsgründen den Zugriff nur via VPN gewähren, habe nun allerdings OpenVPN deaktiviert, weil ich einfach keine Lösung gefunden habe.
Somit habe ich mich nun für einen Zugriff auf Bitwarden via DDNS entschieden. Für den Fernzugriff meiner DS habe ich aktuell noch keine Idee.
Nun habe ich mir überlegt, einen Raspberry Pi als VPN Gateway zu konfigurieren. Folgenden Aufbau würde ich mir Vorstellen: DSL-Leitung--> Fritzbox --> Raspberry Pi mit Wireguard VPN --> Alle Geräte meines Heimnetzwerkes.
Nun zur Frage:
1.: Ist der Aufbau so möglich?
2.: Ist mein Gedanke korrekt, dass ich somit auf meine DS inkl. Bitwarden nur über eine vorherige VPN-Verbindung zum Raspberry zugreifen kann? Sprich, gebe ich nur die DDNS Adresse ein, ohne aktive VPN-Verbindung zum Raspberry, erfolgt kein Zugriff, mit VPN-Verbindung schon?
3.: Hierzu müsste ich ja dann neben einer korrekten Konfiguration am Raspberry (da muss ich mich auch erst mal einlesen) eine Portweiterleitung von der Fritzbox zum Rasperry ("VPN-Port") schalten, mehr aber nicht, oder?

Vielen Dank euch und viele Grüße

 

[Synchrotron]

Läuft bei mir so, Raspi 4 mit PiVPN. Das kann OpenVPN und Wireguard, beides mit geführter Einrichtung. Ich würde aktuell nur noch Wireguard empfehlen, außer ich muss aus Verbindungsgründen OpenVPN nehmen.

Ansprache über externen DDNS-Dienst, hoch im 5-stelligen gewählter externer Port auf der FB, weitergeleitet an PiVPN auf dem Raspi. Ist man dort angemeldet, befindet man sich virtuell im Heimnetzwerk. Alle dauerhaft im Heimnetz angemeldeten Geräte sollten dort eine feste IP-Adresse haben.

Von der Leistung her langweilt sich der Raspi 4. Ich würde ihn trotzdem nehmen, weil alle kleineren Raspis kein echtes Gigabit-LAN an Bord haben. Da holt man sich für ein paar gesparte Euros einen Flaschenhals ins Netz - speziell wenn dort noch andere Dienste laufen sollen, wie z.B. ein PiHole.

 

[Swiff19]

Super, danke dir für die Antwort.
Einen Raspi 4 habe ich sogar schon hier zu Hause. Und ja, PiHole möchte ich mir dann auch mal genauer anschauen

Dann werde ich mir das mal genauer anschauen und einfach mal ein wenig rumprobieren.
Falls ich noch Fragen haben sollte, werde ich mich noch mal melden

 

[Synchrotron]

Alternativ auch im Raspi-Forum schauen, da sitzen die echten Cracks.

https://forum-raspberrypi.de/forum/