NAS-NAS OpenVPN-Tunnel über IPv6

BusinessTux

Benutzer
Mitglied seit
26. Mrz 2017
Beiträge
17
Punkte für Reaktionen
6
Punkte
9
Hallo zusammen,

ich suche momentan den Fehler, warum der OpenVPN-Client im DSM sich nicht mit dem OpenVPN-Server auf einem zweiten Synology-NAS über IPv6 verbinden kann.

Hier aber erstmal die bisherige Konfiguration und Tests:
Büro-NAS
  • DS220+
  • OpenVPN-Client
  • Fritzbox DHCPv6-PD ist eingerichtet
  • NAS erhält IPv6 aus Provider-IPv6-Präfix
  • Ping aus Büro-Netzwerk und von vom NAS direkt auf IPv6 des Backup-NAS funktioniert
Backup-NAS
  • DS220+
  • OpenVPN-Server
  • Internetanschluss über Kabel und DS-Lite
  • Internetanschluss bekommt KEINE IPv4 mehr vom Provider!
  • Internet-Freigabe für ICMPv6 und TCP/1194 ist auf der Fritzbox eingerichtet
  • Fritzbox DHCPv6-PD ist eingerichtet
  • NAS erhält IPv6 aus Provider-IPv6-Präfix
  • IPv6-Adresse wird über DDNS auf synology.me veröffentlicht
  • VPN-Verbindung von Android-Gerät funktioniert bereits
Tests auf dem Büro-NAS in einer SSH-Session:
Bash:
root@XXXNAS001:~# nslookup xxxnas002.synology.me
Server:         192.168.178.1
Address:        192.168.178.1#53

Non-authoritative answer:
*** Can't find xxxnas002.synology.me: No answer

root@XXXNAS001:~#
Ist korrekt, da keine externe IPv4 mehr für xxxnas002 existiert.

Bash:
root@XXXNAS001:~# nslookup -type=AAAA xxxnas002.synology.me
Server:         192.168.178.1
Address:        192.168.178.1#53

Non-authoritative answer:
xxxnas002.synology.me    has AAAA address 2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9

Authoritative answers can be found from:

root@XXXNAS001:~#

Ping von xxxnas001 auf öffentliche IPv6 von xxxnas002 funktioniert (ist extra in der Fritzbox freigegeben)
Bash:
root@XXXNAS001:~# ping xxxnas002.synology.me
PING ncnas002.synology.me(2a0a-XXXX-XXXX-0-XXX-XXX-XXXX-d0a9.ipv6dyn.netcologne.de (2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9)) 56 data bytes
64 bytes from 2a0a-XXXX-XXXX-0-XXX-XXX-XXXX-d0a9.ipv6dyn.netcologne.de (2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9): icmp_seq=1 ttl=55 time=36.9 ms
64 bytes from 2a0a-XXXX-XXXX-0-XXX-XXX-XXXX-d0a9.ipv6dyn.netcologne.de (2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9): icmp_seq=2 ttl=55 time=28.4 ms
64 bytes from 2a0a-XXXX-XXXX-0-XXX-XXX-XXXX-d0a9.ipv6dyn.netcologne.de (2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9): icmp_seq=3 ttl=55 time=26.3 ms
64 bytes from 2a0a-XXXX-XXXX-0-XXX-XXX-XXXX-d0a9.ipv6dyn.netcologne.de (2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9): icmp_seq=4 ttl=55 time=26.3 ms

Laut /var/log/messages scheint OpenVPN es nur auf IPv6 zu versuchen, da es keine IP-Adresse auflösen kann
Bash:
2021-04-23T10:03:06+02:00 XXXNAS001 openvpn[2053]: RESOLVE: Cannot resolve host address: xxxnas002.synology.me: Name or service not known
2021-04-23T10:03:11+02:00 XXXNAS001 openvpn[2053]: RESOLVE: Cannot resolve host address: xxxnas002.synology.me: Name or service not known
2021-04-23T10:03:16+02:00 XXXNAS001 openvpn[2053]: RESOLVE: Cannot resolve host address: xxxnas002.synology.me: Name or service not known
2021-04-23T10:03:29+02:00 XXXNAS001 openvpn: SYSTEM:     Last message 'RESOLVE: Cannot reso' repeated 4 times, suppressed by syslog-ng on XXXNAS001
2021-04-23T10:03:29+02:00 XXXNAS001 synovpnc: connection.c:988 Wait 30 seconds; Failed to get net card info 'tun0' [0x3600 net_get_if_info.c:55]
2021-04-23T10:03:29+02:00 XXXNAS001 synovpnc: connection.c:1303 CreateOVPNConnection(o1607072733) failed
2021-04-23T10:03:29+02:00 XXXNAS001 synovpnc: synovpnc.c:376 VPN id 'o1607072733' is failed to create

Zum Testen hatte ich auch mal direkt die IPv6-Adresse in die .ovpn-Datei eingetragen und damit eine neue VPN-Verbindung angelegt. Aber damit kam das NAS auch nicht klar:
Bash:
2021-04-23T10:36:22+02:00 XXXNAS001 openvpn[16724]: RESOLVE: Cannot resolve host address: 2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9: Address family for hostname not
 supported
2021-04-23T10:36:27+02:00 XXXNAS001 openvpn[16724]: RESOLVE: Cannot resolve host address: 2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9: Address family for hostname not
 supported
2021-04-23T10:36:32+02:00 XXXNAS001 openvpn[16724]: RESOLVE: Cannot resolve host address: 2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9: Address family for hostname not
 supported
2021-04-23T10:36:45+02:00 XXXNAS001 openvpn: SYSTEM:     Last message 'RESOLVE: Cannot reso' repeated 4 times, suppressed by syslog-ng on XXXNAS001
2021-04-23T10:36:45+02:00 XXXNAS001 synovpnc: connection.c:988 Wait 30 seconds; Failed to get net card info 'tun0' [0x3600 net_get_if_info.c:55]
2021-04-23T10:36:45+02:00 XXXNAS001 synovpnc: connection.c:1303 CreateOVPNConnection(o1619166885) failed
2021-04-23T10:36:45+02:00 XXXNAS001 synovpnc: synovpnc.c:376 VPN id 'o1619166885' is failed to create

Anscheinend hat das Büro-NAS bzw. der OpenVPN-Client darauf irgendwie Probleme die IPv6-Adresse des Backup-NAS zu ermitteln oder diese zu verwenden.

Hier zum Vergleich mal eine nslookup-Ausgabe in der CMD eines Windows-Server im Netzwerk von xxxnas001:
Bash:
C:\Users\Administrator>nslookup xxxnas002.synology.me
Server:  fritz.box
Address:  fd00::464e:6dff:fe82:ce3d

Name:    xxxnas002.synology.me
Address:  2a0a:XXXX:XXXX:0:XXX:XXXX:XXXX:d0a9


C:\Users\Administrator>

Zur Eingrenzung der Ursache habe ich den OpenVPN-Server-Export aus DSM in meinem Android-Tablet verwendet. Damit kann ich mich verbinden und auf die DSM-Oberfläche zugreifen.
1619173528846.png

Was habe ich vergessen, dass der OpenVPN-Client von DSM keine Verbindung per IPv6 hinbekommt?

Danke
Ulf
 

BusinessTux

Benutzer
Mitglied seit
26. Mrz 2017
Beiträge
17
Punkte für Reaktionen
6
Punkte
9
Ich bin einen Fehler weiter. Der Tunnel ist wieder verbunden.

Ursache: Ich musste in der exportierten OVPN-Konfiguration das Protokoll explizit auf IPv6 einstellen
proto tcp6-client
Dann damit einen neue Verbindung in DSM anlegen und danach wird auch IPv6 für den Verbindungsaufbau verwendet.

Jetzt muss ich nur noch rausfinden, warum im Tunnel selber die IPv6-Server-Adresse des OpenVPN-Servers nicht mehr erreichbar ist.
 

BusinessTux

Benutzer
Mitglied seit
26. Mrz 2017
Beiträge
17
Punkte für Reaktionen
6
Punkte
9
Der letzte Fehler ist auch gefunden. Das automatische Setzen der Route in den VPN-Tunnel hat (warum auch immer) nicht funktioniert. Im Log waren nur die folgenden die Ausgaben zu sehen:
Bash:
2021-05-05T14:49:26+02:00 NAS001 openvpn[2763]: Options error: option 'route' cannot be used in this context ([PUSH-OPTIONS])

Bei dem von mir in OpenVPN eingerichteten Netz 10.8.4.0/24 war die 10.8.4.1 über das tun-Device nicht anpingbar. Aufgefallen war es durch die Kontrolle der Routen via
Bash:
ip r get 10.8.4.1
Da wurde nur das Interface der Synology Netzwerkkarte (LAN1) angezeigt, statt tun0 :-(.

Mit der Option
Code:
route 10.8.4.0 255.255.255.0
in der VPNSetup.ovpn war dieser Fehler auch behoben.

Damit ist das Remote-NAS wieder erreichbar und die Backups laufen wieder.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
5.164
Punkte für Reaktionen
198
Punkte
163
vorbildliche Forum Arbeit!
 

BusinessTux

Benutzer
Mitglied seit
26. Mrz 2017
Beiträge
17
Punkte für Reaktionen
6
Punkte
9
☺️
Kann ich das Thema irgendwie auf gelöst setzen?