Open VPN nur über Mobilfunk erreichbar

[aschne1]

Hallo zusammen

Seit einiger Zeit kämpfe ich mit meiner Open VPN Konfiguration. Die Verbindung klappt, jedoch nur wenn ich mich mit meinem Handy mit "mobilen Daten" verbinde, ebenfalls klappt die Verbindung wenn ich das Notebook per Hotspot über die mobilen Daten vom Handy verbinde.

Sobald ich jedoch in einem externen WLan bin, klappt die Verbindung weder mit dem Handy, noch dem Notebook. Ich habe verschiedene WLan's getestet. (Adressen 192.168.0.0 und 192.168.7.0). Das Syno steht in einem Netz mit 192.168.1.0 und vergibt dann 10.1.0.0

Woran scheitert das Ganze? Die Windows-Firewall kann's nicht sein, denn per Hotspot klappt die Verbindung. Die Verkabelung sollte auch in Ordnung sein, denn L2TP klappt auch. Doch ich brauche mehrere Verbindungen und dann funktioniert ja L2TP nicht mehr....

Hat jemand eine Idee? Ich bin um jede Hilfe sehr dankbar.

Gruss

Armin

 

[tproko]

Welches WLAN ist dein externes WLAN? Wer betreibt das? Wird dir dort dein OpenVPN Port einfach blockiert? Firewall?

Ich betreibe bei mir OpenVPN via meineDynIP:443 , genau aus dem Grund, damit das auch in den Hotel WLANs etc. gut klappt. Geht aber natürlich nur, wenn man nach außen nichts unter 443 verfügbar hat.

 

[aschne1]

Bei den externen WLan's handelt es sich um einfache Internetanschlüsse Zuhause (upc / unitymedia) oder aus einem kleinen Office (Sunrise mit Fritzbox). Ich schaue einmal wegen der Firewall, denke jedoch dass es nicht das ist. Jedenfalls kann ich die Windows-Firewall ausschliessen, da der Zugriff über Handy-Hotspot läuft.

Das Syno ist hinter einem Swisscom-Modem mit fixer IP.

Das mit dem Port kann ich einmal testen, doch L2TP läuft auch über die Standardports und läuft tiptop.

 

[Uwe96]

Bei dir Zuhause wird es auch nicht gehen da das nur von Extern über Internet geht.

 

[Puppetmaster]

Ich habe das Problem genau so auch beim letzten Auslandsbesuch gehabt. OpenVPN über jegliches WLAN (Hotel, öffentlich) hat nicht funktioniert. Firmenlaptop mit IPSec(?) war dagegen kein Problem.
Die Ursache habe ich nicht finden können.

 

[aschne1]

Bei dir Zuhause wird es auch nicht gehen da das nur von Extern über Internet geht.

Wie kommst du darauf? Extern (Zuhause) habe ich 192.168.0.0 und 192.168.7.0 und das Syno steht in einem Office mit 192.168.1.0.

 

[Uwe96]

Ach so. Dachte in einem Haushalt/Netzwerk

 

[aschne1]

Thu Jul 23 13:25:54 2020 OpenVPN 2.4.9 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 16 2020
Thu Jul 23 13:25:54 2020 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Jul 23 13:25:54 2020 library versions: OpenSSL 1.1.1f 31 Mar 2020, LZO 2.10
Thu Jul 23 13:25:59 2020 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Jul 23 13:25:59 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.x.xx.xxx:443
Thu Jul 23 13:25:59 2020 UDP link local (bound): [AF_INET][undef]:1194
Thu Jul 23 13:25:59 2020 UDP link remote: [AF_INET]213.3.44.134:443
Thu Jul 23 13:26:59 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jul 23 13:26:59 2020 TLS Error: TLS handshake failed
Thu Jul 23 13:26:59 2020 SIGUSR1[soft,tls-error] received, process restarting

Hab nun Mal auf 443 umgestellt. Funzt auch nicht! Interessant ist, dass UDP link local (bound) immer noch 1194 ist.

 

[the other]

Moinsen,
wenn ich Recht verstehe, dann läuft der (open)VPN-Server auf dem NAS?
Hast du auf dem NAS mal die Firewallregeln gecheckt? Es scheint ja kein Problem mit der Authentifizierung zu sein, denn mit demselben Zertifikat geht es ja via Mobilfunknetz....

 

[aschne1]

Ja, das openVPN läuft auf einem Synology.

Und die Regeln habe ich angeschaut, für openVPN ist der Port 1194 und für L2TP 500,1701 und 4500 offen. Quell-IP sind alle gewählt.
Hier geht es nur um openVPN, L2TP habe ich nur der Vollständigkeit halber erwähnt, falls es Konflikte gibt.

Und da ich alle Quell-IP's gewählt habe, müsste es doch auch vom WLan aus laufen und nicht nur aus dem Mobilnetz? Das Zerifikat spielt bei Synology meines Wissens nach keine Rolle?

 

[tproko]

OpenVpn ging bei mir aus dem gleichen Netz (egal ob LAN oder WLAN) noch nie. Was wäre der Usecase dafür.

Aus einem Fremdnetz sollte es natürlich gehen.

Was meinst du mit Ports sind offen. Am Router Portweiterleitung oder Synology Firewall oder beides?

Wenn es übers Handy LTE klappt und via Büro nicht, dann wird dich wahrscheinlich die Firewall im Büro blockieren.

 

[aschne1]

Im Router vom ISP habe ich jeweils eine Portweiterleitung für die Ports aktiviert. Ausserdem sind diese Ports in der Firewall des NAS als zugelassen aktiviert. Ich hoffe mich nun verständlich ausgedrückt zu haben.

Da es aus dem Mobilnetz funktioniert, sollten die Weiterleitungen doch auch korrekt gesetzt sein? Ich denke, dass es an der Firewall im NAS scheitert, doch auch da habe ich bei der Regel alle Quell-IPs eingestellt und müsste auch funktionieren.

Kann es eventuell mit der Subnetmaske zusammenhängen?

 

[tproko]

Das die Weiterleitungen passen, stimme ich dir zu genau.

Entweder deine Firewall blockiert, das könntest du einfach testem, indem du die kurz abdrehst. Kontrolliere auch nochmal auf welchen Interface du die Regeln freigeschaltet hast.

Es kann aber natürlich immer noch am Büro Netzwerk etc. liegen. Das das evt. blockiert.

 

[aschne1]

Habe eine Lösung gefunden welche im Moment funktioniert. Und hoffe dass es auch so bleibt.

Woran es genau gelegen hat, ist mir nicht ganz klar, doch ich denke dass irgendwo im Synology der Hund begraben war. Denn ich habe lediglich den UDP Port von 1194 auf 1199 verändert und nach einem Neustart vom NAS läufts nun auch aus einem W-Lan Netz. Ist für mich nicht ganz logisch, denn mit dem 1194 Port ging's ja auch, aber eben nur aus einem Mobilen Netz. Ich hoffe, dass dieser Lösungsansatz nun auch anderen hilft.

Danke Euch allen

 

[dan0ne]

Bei einer Lösung suche, sollte man noch angeben was für ein Internet Anschluss an der Serverseite vorhanden ist...


Mal theoretisch betrachtet:
Inet Anschluss vom Server ist ein DSLite Anschluss (Vodafone/Unitymedia/etc)
Also ist nur die IPv6 geeignet um sich mit dem Netz zu verbinden.

Wenn man dann noch ne MyFritz oder sonstige DNS Bindung erstellt, hat man eine Adresse der man es optisch nicht ansieht ob v4 oder v6

Man Verbindet sich also fröhlich von Unterwegs mit seiner VPN (weil fast alle Mobil Provider mittlerweile IPv6 nativ anbieten) kommt dann jedoch in ein Hotel mit alter Netzwerkstruktur oder Wlan von bekannten mit uralt O2 Anschluss. Dann wundert man sich warum die Verbindung nicht hergestellt werden kann.

Wenn man sich dann mal seine öffentliche IP mittels "wieistmeineip.de" ansieht, stellt man vermutlich fest, dass man nur eine IPv4 angezeigt bekommt. Mit dieser ist es dann nicht möglich auf das "v6 VPN" zuzugreifen.

Man benötigt für solche fälle einen 4to6 Tunnel...

@aschne1 , testet du immer aus dem gleichen Wlan heraus oder kann es möglich sein, dass du nun an einen "neueren" Anschluss geraten bist der Nativ IPv6 unterstützt?

 

[aschne1]

Danke dan0ne

Die Verbindung klappt aus verschiedenen Netzen, getestet habe ich upc (unitymedia in D?) und Sunrise. Werde noch ein Hotelnetz testen, doch für den Einsatzzweck passt es so im Moment...

Was ich jedoch komisch finde, ist das was zum Erfolg geführt hat. Wieso klappte die Verbindung aus dem mobilen Netz und sonst nicht? Und nach einer Änderung des Ports von 1194 auf 1199 ist alles ok. Das hat doch nix mit IPv4 oder 6 zu tun, oder? Im Synology sind nur die Firewallregeln OpenVPN und L2TP aktiviert...

P.S. Beide Anschlüsse sind noch IPv4