OpenVPN / DSLite (IPv6) / Fritzbox: Problem(e)

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.470
Punkte für Reaktionen
23
Punkte
84
Ort
x-berg
im Beitrag #4 sehe ich im Bild "opnevpn-002.jpg" CR/LF das darf so nicht sein.
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Das ist interessant, denn diese CR/LF sind in der exportierten Datei enthalten, bevor ich sie editiert habe. Das probiere ich gleich mal aus.
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Das war es nicht, die VPN Verbindung wird aufgebaut, aber das Netzwerk ist weder mit 10.11.12.1 noch mit 192.168.1.91 erreichbar.
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.186
Punkte für Reaktionen
1.073
Punkte
248
Das VPN samt Routing funktioniert doch:

1618338551402.png

Von daher ist das schon alles in Ordnung... Guck mal, ob du mit aktiviertem VPN auf die Fritzbox kommst (vermutlich dann http://192.168.1.1). Falls nicht - sofern es nicht noch so ist - Firewall auf der Syno deaktivieren. Falls Du noch anderweitige "Sicherheits"-Software auf dem Mobilgerät hast (Antivirus-Software, extra Firewall, etc.) bitte auch mal temporär deaktivieren.

"Grundlegend" funktioniert das schon alles - die Pakete nehmen den "richtigen" Weg. Was jetzt noch Stolpersteine sein können sind a) Firewall-Regeln (die Zugriffe unterbinden) und b) Namensauflösung (DNS). Deswegen laufen die "Tests" jetzt auch vorerst "nur" mit den IP-Adressen und nicht mit irgendwelchen "Namen/Domains/FQDNs".
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Guten Morgen,
erstmal Danke für die Unterstützung. Leider war ich immer noch nicht erfolgreich.

Wenn die Route stimmt, dann "blockiert " irgendetwas. Soweit habe ich es verstanden. Auf dem Handy ist keine zusätzliche Sicherheitssoftware (AV oder FW) installiert. Die FW in der DS habe ich deaktiviert.

Wenn ich im Browser des Handy (Chrome) die private IP der DS im VPN eingebe (10.11.12.1) dann bekomme ich meine eigene Webseite des Webserver angezeigt. Benutze ich einen der Links (<meinnas.de>/photo) kommt es wieder zu einem timeout. Ohne VPN erreiche ich die Anwendungen per Link aus der eigenen Webseite.

Zwischenzeitlich habe ich mal die Ports der DSM geändert und auch in der Fritzbox freigegeben. Der Webserver startet neu, das Resultat am Handy ist aber identisch.

Zu dem Hinweis DNS: hier habe ich ich im VPN Profil nachgesehen: hier ist DNS Fallback von Google eingetragen. Wo könnte ich denn noch etwas mit DNS falsch konfiguriert haben?

Wenn ich den "Blockierer" finde, werde ich ihn langsam sterben lassen .... Ich habe keine Idee mehr.
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Jetzt habe ich auf einem iPhone OpenVPN Connet installiert. Damit kann ich zumindest auf die die private IP der DS im VPN (10.11.12.1) zugreifen. Zwar immer noch nicht über die 192.xxx.xxx.xxx IP, aber das VPN scheint grundsätzlich zu funktionieren.

Jetzt ist die Frage: was will das Samsung S10+ noch von mir, damit es mich das VPN nutzen läßt?
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.186
Punkte für Reaktionen
1.073
Punkte
248
DNS ist wie gesagt nochmal ein ganz anderes Thema - der "LAN-Zugriff erlauben"-Haken war ja glaube ich in Deinen Server-Einstellungen gesetzt. Somit wird auch die Route für das entsprechende Netz mit an den Client gepusht bei der VPN-Einwahl. Ich persönlich würde jetzt einfach mal auf die NAS-Firewall tippen...
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Guten Morgen,

die NAS-FW habe ich deaktiviert.

Der Zugriff über das VPN funktioniert für die VPN-IPs mit dem iPhone, mit dem Android nicht. Was mir aufgefallen ist:

Solange ich mich im einen WLAN befinde, funktionieren beide Geräte mit den VPN-IPs. Also scheinen im eigenen Netzwerk die Routen (?) usw. richtig zu sein. Sobald ich das WLAN ausschalte und nur noch per Funknetz verbunden bin, dann funktioniert nur noch die Benutzung der VPN-Verbindung mit dem iPhone tadellos. Die VPN-Verbindung wird auf beiden Geräten hergestellt. Sind auch beide im VPN Server zu sehen.

auf dem iPhone ist eine etwas ältere Version von VPN Connect. Diese fragt beim Öffnen nicht nach einem Zertifikat. Die VPN Connect Version auf dem Android fragt nach einem Zertifikat (obwohl es ja in der VPNconfig mitgeliefert wird). Bei "continue" wird die VPN Verbindung hergestellt (aber eben nur browsen meiner eigenen Homepage auf dem NAS, keine weiteren Zugriffe möglich), wenn ich "select certificate" wähle, kommt eine Fehlermeldung. Das ist der Unterschied den ich zwischen iPhone und Android bemerkt habe.

Um DNS kümmere ich mich, wenn der Rest funktioniert.

Hat jemand ebenfalls das Problem mit Android (11) und VPN Connect und dem VPN Server?
 

Anhänge

  • Screenshot_20210415-094012_OpenVPN Connect.jpg
    Screenshot_20210415-094012_OpenVPN Connect.jpg
    55 KB · Aufrufe: 4
  • Screenshot_20210415-093943_OpenVPN Connect.jpg
    Screenshot_20210415-093943_OpenVPN Connect.jpg
    48,8 KB · Aufrufe: 4
Zuletzt bearbeitet:

time15

Benutzer
Mitglied seit
12. Dez 2020
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo,

bei mir hat immer alles funktioniert über Openvpn auf meinem Android Handy. Freigabe machen ich über des myfritz dienst. habe auch dslite und kommen also auch nur über ipv6 auf mein nas. portmapper oder so nutze ich nich weil ich eine ipv6 verbindung auf meinen handy habe.

Wie gesagt es hat alles immer funtioniert. Nun bekomme ich aber auch seit ein Paar Tagen keine Verbindung mehr zum Nas mit open VPN. Habe schon die ganzen Portfreigaben und so einmal neu eingerichtet nichts Hilft. Wen ich im eigene Wlan bin verbindet er sich nur nicht mehr über mobile daten und wie gesagt ipv6 verbindung ist verfügbar auf meinen Handy. Komisch ist auch das ich die DNS oberfläche auch nicht mehr über myfritz erreichen kann. Das hat alles funktioniert. Als wen der synology ihrgentwas blockiert. Auf die oberflache von der Fritzbox komme ich aber noch über myfritz also der Dienst funktioniert. Die Firewall im Nas ist schon ausgeschaltet aber keine verbesserung.

Probehalber habe ich mal meine Homematic freigegeben über myfritz die benutzeroberfläche kann ich direkt erreichen habe auch mal mit einem Rechner aus der ferne die ipv6 andressen angepingt die homematic und die fritzbox antworden auch sofort nur wen ich den nas anpinge bekomme ich komischerweise keine Antwort.

Vieleicht hat von euch jemand ein Rat was ich noch machen kann ich weiß echt nicht mehr weiter.

Vielen Dank schon einmal.
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Wenn du das Zertifikat erneuert hast, musst du es wieder exportieren (also im VPN Server) und die VPNconfig neu importieren. So habe ich es (irgendwo?) gelesen.
 

time15

Benutzer
Mitglied seit
12. Dez 2020
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
also ich kann den synology zur zeit nicht einmal anpingen Ping6 ist freigegeben in der Fritzbox genau wie bei meiner CCU3 Homematic. Die CCU antwortet und der synology nich. kann ich noch ihrgentwas an einstellungen von den nas kontrollieren ? Anscheinend ist der ja nicht erreichbar über die ipv6 adresse die er hat.
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Guten Morgen,
also wenn ich es richtig verstanden habe, dann benutzt VPN Server tun dev und nicht tap?.
 

Anhänge

  • Zwischenablage01.jpg
    Zwischenablage01.jpg
    89,2 KB · Aufrufe: 3

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Ich habe beide Protokolle (ios und android mal heruntergeladen. Es gibt an 2 Stellen einen Unterschied:

IOS
...
2021-04-16 09:51:16 VERIFY OK: depth=2, /O=Digital Signature Trust Co./CN=DST Root CA X3
2021-04-16 09:51:16 VERIFY OK: depth=1, /C=US/O=Let's Encrypt/CN=R3
2021-04-16 09:51:16 VERIFY OK: depth=0, /CN=uxxxxxxx.xu
2021-04-16 09:51:17 SSL Handshake: CN=uxxxxxxx.xu, TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
...
2021-04-16 09:51:18 EVENT: ASSIGN_IP
2021-04-16 09:51:18 NIP: preparing TUN network settings
2021-04-16 09:51:18 NIP: init TUN network settings with endpoint: 2a00:6020:xxxxxxxx
2021-04-16 09:51:18 NIP: adding IPv4 address to network settings 10.11.12.10/255.255.255.252
2021-04-16 09:51:18 NIP: adding (included) IPv4 route 10.11.12.8/30
2021-04-16 09:51:18 NIP: adding (included) IPv4 route 192.168.1.0/24
2021-04-16 09:51:18 NIP: adding (included) IPv4 route 10.11.12.0/24
2021-04-16 09:51:18 NIP: adding (included) IPv4 route 10.11.12.1/32
2021-04-16 09:51:18 Connected via NetworkExtensionTUN
2021-04-16 09:51:18 EVENT: CONNECTED rxxxxx@uxxxxxxx.xu:1194 (2a00:6020:xxxxxxx) via /UDPv6 on NetworkExtensionTUN/10.11.12.10/ gw=[/]

Android
...
<depth=2 fehlt hier>
10:02:23.245 -- VERIFY OK: depth=1, /C=US/O=Let's Encrypt/CN=R3
10:02:23.246 -- VERIFY OK: depth=0, /CN=uxxxxxxx.xu
10:02:24.287 -- SSL Handshake: CN=uxxxxxxx.xu, TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
...
10:02:24.340 -- EVENT: ASSIGN_IP
10:02:24.371 -- Connected via tun
10:02:24.376 -- EVENT: CONNECTED info='rxxxxx@uxxxxxxx.xu:1194 (2a00:6020:xxxxxxxx) via /UDPv6 on tun/10.11.12.6/ gw=[10.11.12.5/]' trans=TO_CONNECTED


Bei ios werden beide Zertifikate geprüft? und es wird eine NetworkExtensionTUN verwendet? Kann jemand damit etwas anfangen? Oder einen Tipp geben? RSA soll ja bei Android nicht funktionieren (???), soll ich eine andere Verschlüsselung wählen?
 

BusinessTux

Benutzer
Mitglied seit
26. Mrz 2017
Beiträge
17
Punkte für Reaktionen
6
Punkte
9
Hallo RalfPeter,

nur mal so als Zusammenfassung, wie ich es gerade konfiguriert habe in der Hoffnung, dass es als Checkliste herhalten kann. Damit hat bei mir der OpenVPN-Zugriff von meinem Android-Tablet (Android 11) auf DSM funktioniert (ich kämpfe mit anderen Problemen).

Ich habe mich an dem unter https://www.thomas--schaefer.de/openvpn synology nas myfritz.html verfübaren Schritten orientiert, wobei ich LAN1 des NAS auf Automatisch stehen habe und nicht auf DHCPv6-PD.

FritzBox
  • Internetanschluss über Netcologne mit DS-Lite
  • LAN > Netzwerkeinstellungen > IPv6 > DHCPv6-PD aktiviert
  • Freigabe NUR für IPv6
    • für VPN-Port (UDP/TCP beachten, bei mir TCP)
    • ICMPv6
NAS
  • Netzwerk-Adapter IPv6 auf "Automatisch" gestellt (im NAS wird DHCPv6-PD nur gebraucht, wenn der OpenVPN-Server im VPN-Netz mit IPv6 arbeiten soll)
  • externe DDNS-Adresse kontrolliert und ggf. aktualisiert
  • per nslookup (ggf. extern, z.B. Heise DNS Tools) geprüft, das IPv6 in DDNS eingetragen ist
  • OpenVPN-Konfiguration (zip-Datei) exportiert
  • OpenVPN Connect auf Android installiert
  • VPN-Verbindung eingerichtet durch Import ovpn-File und Angabe Benutzername
  • VPN-Verbindung aufgebaut inkl. Passwort-Eingabe (Verbindung erfolgt über IPv6, da keine öffentliche IPv4 am DS-Lite mehr verfügbar ist)
  • Per Browser auf IPv4 des OpenVPN-Servers (nicht die lokale IP des NAS, aber mit eigenem HTTPS-Port für DSM) zugegriffen
  • Per DS File auf IPv4 des OpenVPN-Servers (nicht die lokale IP des NAS, aber mit eigenem HTTPS-Port für DSM) zugegriffen
Mit den Einstellungen kann ich sowohl per Browser, als auch per DS File auf das NAS zugreifen. Das lokale Netzwerk erreiche ich nicht, weil ich das in OpenVPN nicht aktiviert habe.


Viele Grüße
Ulf
 

Wolle1

Benutzer
Mitglied seit
24. Apr 2021
Beiträge
2
Punkte für Reaktionen
1
Punkte
1
Hallo time15

hatte genau die Gleichen Probleme wie du. Auf einmal ging OpenVPn vom Android mit IPV6 zur Synology NAS an Fritzbox über DS-Lite nicht mehr.
Als DDNS Myfritz verwendet.
Ping ging nicht mehr und auch keinen Zugriff von extern auf DS Video etc. (wie gesagt immer über IPV6)
Habe tagelang rumbrobiert und auch Kontakt mit AVM gehabt.
Es lag aber scheinbar am Update auf DSM 6.2.4. Irgendwas hat sich wohl verstellt.
Ich habe unter Systemsteuerung_Netzwerk_Netzwerk-Schnittstelle_Bearbeiten_IPV6 auf "Automatisch" gesetzt. Danach funktionierte wieder alles.
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
164
Punkte für Reaktionen
1
Punkte
24
Hi Zusammen,

@BusinessTux und Wolle1 : Danke für eure Antworten.
@BusinessTux: genau so bin ich vorgegangen
@Wolle1: habe ich kontrolliert

Allerdings funktioniert es ja mit dem iPhone, aber nicht mit dem Samsung S10. Also schließe ich sowohl NAS, als auch Fritzbox aus. Meine Vermutung ist Android, aber ich kann mir nicht erklären, was hier der Unterschied sein könnte.
 

BusinessTux

Benutzer
Mitglied seit
26. Mrz 2017
Beiträge
17
Punkte für Reaktionen
6
Punkte
9
Ich habe mich mit einen Samsung Galaxy Tab S7 verbunden, muss dafür aber aus dem WLAN gehen, weil mein WLAN noch kein IPv6 kann. Ich muss mich direkt über Mobilfunk verbinden, damit die IPv6-Verbindung klappt. Der Anschluss zu dem ich mich verbinde, ist nicht meiner.
Mein internes Netzwerk muss ich erst noch aufrüsten.