Plex und CyberghostVPN - Externer Zugriff problematisch?

[seimenc]

Hallo zusammen

Ich habe wenig in genau dieser Kombination finden können:
Synology DS 415+, Plex Mediaserver und CyberghostVPN (in der Synology aktiviert).

Dies sind je nach dem auch gleich mehrere Problemstellen, aber primär geht es mir nun um Plex, welches ich im Netzwerk und auch extern benutze. Das Problem tritt bei mir seit der DSM 7.0 Installation (irgendwann seit 2021) auf. Mein CyberghostVPN ist dabei aktiv.

Ein externer Zugriff mit z.B: MEINNAS.i234.me funktioniert seit DSM 7.0 nicht mehr und mein Plex Media Server zeigt an: "not available from outside your network". Wenn ich dies im Plex kurz refreshe, dann wird es erst grün angezeigt (fully accesible outside your network), aber nach kurzer Zeit stellt es sich wieder um. Ich kann allerdings auf meine Daten z.B. bei Plex am Handy zugreifen (extern und im Netzwerk. Im Netzwerk allerdings ist die Qualität auf 2.0 Mbps reduziert, da anscheinend Riley aktiv ist (weil eben "not available from outside your network"), obwohl ich zuhause in meinem eigenen Netzwerk bin.

Ich habe mich mit den ganzen Portweiterleitungen des Routers und der Synology auseinander gesetzt, auch sind beide Firewalls angepasst, so dass die notwendigen Ports frei sind. Schalte ich mein CyberghostVPN in der Synology aus, dann wird der Server in Plex grün angezeigt und das Problem ist behoben.

Demnzufolge gibt es irgendein Problem mit dem VPN und der Synology oder dem Router?
Kann man Plex überhaupt mint einem aktiven VPN auf der Synology nutzen, so dass es "fully accesible" bleibt?

Ich bin etwas ratlos, da die Ports freigebeben sind und anscheinend nur das VPN ein Problem macht. Das VPN kann ich auch abstellen, allerdings hatte ich genau dieses Problem unter DSM 6.X nicht gehabt.

Es sind hier mehrere Themen und für mich schwierig zu unterscheiden wo das Problem ist. Hat jemand vielleicht eine Idee wo ich nochmal über die Bücher gehen sollte?

Synology
DSM6.X DSM 7.X
Plex Mediaserver
CyberghostVPN
Portweiterleitungen
Firewalls

Viele Grüsse

Simon

 

[ottosykora]

etwas nicht ganz klar
du hast also die DS als VPN Client von einem VPN Service konfiguriert?
Dann versuchst du von aussen an deine DS zu kommen? Mit welchem VPN? Und wirklich von aussen?
Aber normalerweise kann eine DS nicht gleichzeitig VPN Client und VPN Server sein, möglicherweise nur mit PPTP

 

[seimenc]

Danke der Nachfrage und gut machst du es.

Ich habe unter Systemsteuerung\Netzwerk\Netzwerkschnittstelle ein VPN Profil erstellt und dieses ist verbunden. In Cyberghost habe ich ein OpenVPN erstellt und die Daten im VPN Profil eingegeben gehabt.
Beim VPN Server, welches auf der Synology drauf ist, habe ich nichts aktiviert.

 

[ottosykora]

dann hast du einen Open VPN Client eingerichtet und damit kann man ja nicht von aussen auf die DS zugreifen falls das dein Ziel war.
Dazu müsste ein VPN Server an deinem Anschluss auf Empfang sein, sei es auf der DS oder Router oder sonst einem Gerät welches einen VPN Server zur Verfügung stellt.

Also es gehen nur Verbindungen von innen nach aussen.

Falls da ein Vermittlungsserver dazu kommt, ja sicher, aber das ist auch prinzipiell eine outbound Verbindung, etwa wie zu einem Webserver

BTW: Portweiterleitungen helfen erst wenn an den entsprechenden Ports auch ein Gerät oder ein Programm antwortet. Wenn da nicht antwortet braucht man auch keine Ports freizugeben

 

[seimenc]

Ist es richtig, das CyberghostVPN läuft über den Open VPN.
Allerdings komme ich von aussen auf meine DS auch wenn das VPN aktiv ist (in jeglicher Hinsicht bis auf mit der URL i234.me, aber Plex und auch quickconnect im Browser funktionieren). Vor der DSM 7.0 hatte ich auch dieses Problem mit Plex nicht. Der Zugang zum Plex wird vermutlich über das Riley gesteuert, deswegen geht es vermutlich überhaupt.

Da die Probleme erst mit der DSM 7.0 aufgetaucht sind, weiss ich nicht was die genaue Problemquelle ist.

 

[ottosykora]

ja diese einsetigen kommerziellen VPN verwenden open VPN oft

Wenn du sagst du kommst auf deine DS von aussen, dann geht es nur mit einem Vermittlungsserver wie Quickconnect, wobei es auch andere solche Dienste gibt von denen aber nicht immer klar ist wer sie betreibt etc.
Damit ist jederzeit eine Verbindung möglich, in der Regel mit eingeschränkter Leistung. Damit ist nicht nur Geschwindigkeit gemeint, es gibt auch Funktionen und Programme die in solchem Umfeld nicht funktionieren.
Diese Relay Dienste sind primär Verbindungen nach aussen zu einem 'Webserver' und bekommen die Antworten geliefert mit etwa dem gleichen Mechanismus wie man eine Webseite anschauen kann. Für so was alleine benötigt man noch keine Ports Weiterleitung.

Um einen direkten externen Zugang zu bekommen, braucht es mindestens offene Ports und eine Einrichtung welche auch korrekt Antwort gib.
Sicherer externer Zugang wäre über einen VPN Server in deinem Netzwerk. Auf der DS kannst du nur Client ODER Server betreiben. Das ist einfach so.
Man kann aber auch Webdav Server laufen lassen zum Bsp, dann kann man sich auch hiermit verbinden mit der DS. Dann muss jedoch der Port von Webdav durchgereicht werden.

 

[Benares]

Also ich hab ja auch so einen VPN-Zugang ins Internet um Formel1 bei ORF und ServusTV schauen zu können, in meinem Fall zwar auf meinem PC und auch inzwischen bei NordVPN und nicht mehr bei CyberGost, aber das Prinzip ist ja gleich.

Wenn ich darüber dann z.B. nach Österreich verbunden bin, zeigt mir z.B. https://www.wieistmeineip.de/ eine österreichische IP, aber das ist eine anderer als mein PC auf seinem VPN-Adapter dann hat. Ich wüsste jetzt nicht, wie jemand über diesen Tunnel quasi rückwärts auf meinen PC zugreifen können sollte. Da ist sicherlich nochmal sowas wie NAT im Spiel.

 

[seimenc]

Wenn du sagst du kommst auf deine DS von aussen, dann geht es nur mit einem Vermittlungsserver wie Quickconnect, wobei es auch andere solche Dienste gibt von denen aber nicht immer klar ist wer sie betreibt etc.

Da hast du vermutlich recht, das läuft dann über einen Vermmittlungsserver.

Ich habe offene Ports, wie z.B. für Plex 32400, und diese sind in synology, synology firewall, router und router firewall freigegeben.

Mit dem eigenen VPN Server kenne ich mich noch nicht so gut aus, ich fand die Lösung via Cyberghost eigentlich praktisch. Hier müsste ich mich weiter einlesen, da kenne ich mich zu wenig aus. Am Ende möchte ich mit deinem VPN (wie Cyberghost) ich auch meine IP geschützt haben. Mit einem eigenen VPN Server kann ich mir das gerade nicht vorstellen.

 

[seimenc]

Also ich hab ja auch so einen VPN-Zugang ins Internet um Formel1 bei ORF und ServusTV schauen zu können, in meinem Fall zwar auf meinem PC und auch inzwischen bei NordVPN und nicht mehr bei CyberGost, aber das Prinzip ist ja gleich.

Wenn ich darüber dann z.B. nach Österreich verbunden bin, zeigt mir z.B. https://www.wieistmeineip.de/ eine österreichische IP, aber das ist eine anderer als mein PC auf seinem VPN-Adapter dann hat. Ich wüsste jetzt nicht, wie jemand über diesen Tunnel quasi rückwärts auf meinen PC zugreifen können sollte. Da ist sicherlich nochmal sowas wie NAT im Spiel.

Ich hatte auch gelesen gehabt, dass es ab und zu auch ein Doppel NAT Problem geben kann, aber dies hab ich nicht.

 

[ottosykora]

also was es an einer IP zu schützen gibt weiss ich nicht, ist einfach eine Zahl und wenn dies eine öffentliche IP ist , dann ist das eben öffentlich
Aber, irgendetwas müssen die in Ihre Werbung schreiben

Die sogenannten VPN welche für Geld funktionieren, machen nichts anderes als deinen Traffic ins öffentliche Internet zu senden, nur mit dem Unterschied, dass die dann nicht bei deinem Provider ist sondern wo anders, zum Bsp in einem anderen Land. Sehe nicht was dies mit Sicherheit zu tun haben könnte. Es dient praktisch nur um Geoblocking zu umgehen (vorübergehend). Kann mir keine andere Funktion vorstellen.

 

[seimenc]

Der Grund und Inhalt ist auch nicht das Thema, sondern dass es nicht funktioniert. Mal sehen welche weiteren Möglichkeiten es gibt. Ohne VPN geht alles einwandfrei, sobald dieser aktiv ist, dann nicht mehr. Dies ist eben mit meinem Update auf DSM 7.0 dann das Problem gewesen.

 

[ottosykora]

Du musst einfach realisieren, dass es zwar VPN genannt wird, aber eigentlich keins oder allenfalls nur Hälfte davon ist. Es leitet den Traffic ins ganz normale offene Internet. Und wenn deine DS als Client von open VPN konfiguriert ist, dann kann es nicht gleichzeitig Server sein. Das ist einfach so und das war schon immer so. Das wird dir auch Synology Support bestätigen.


Es bleiben dir nur noch Optionen wie direkter Zugriff mit der Hilfe von DDNS auf deinen Anschluss, VPN Server auf einem Router oder einem anderen Gerät in deinem Netz, oder eben eines der Vermittlung Server Dienste wie zum Bsp Quickconnect.

Falls jedoch dein 'so genanntes VPN' deinen Anschluss ganz blockiert, dann hast du nur noch Quickconnect oder Tailscale oder so was zur Verfügung,weil QC seine Anfragen durch den VPN Exit Point sendet und der QC Server auf dem gleichen Weg antwortet.

 

[Synchrotron]

also was es an einer IP zu schützen gibt weiss ich nicht, ist einfach eine Zahl und wenn dies eine öffentliche IP ist , dann ist das eben öffentlich
Aber, irgendetwas müssen die in Ihre Werbung schreiben

Die sogenannten VPN welche für Geld funktionieren, machen nichts anderes als deinen Traffic ins öffentliche Internet zu senden, nur mit dem Unterschied, dass die dann nicht bei deinem Provider ist sondern wo anders, zum Bsp in einem anderen Land. Sehe nicht was dies mit Sicherheit zu tun haben könnte. Es dient praktisch nur um Geoblocking zu umgehen (vorübergehend). Kann mir keine andere Funktion vorstellen.

Es gibt Gründe für einen VPN-Client mit einem VPN-Provider neben der Umgehung von GeoBlocking:

Es verhindert, dass “mein“ ISP mitlesen kann, welche Webseiten ich aufrufe (wer darauf Wert legt, mir ist es egal)

Es verhindert beim Einsatz in öffentlichen WLAN-Netzen das gleiche bezüglich des örtlichen Netzbetreibers

Und es verhindert bei einem öffentlichen WLAN Man-In-The-Middle Angriffe

Die ersten beiden Gründe sind mit zunehmender Verbreitung verschlüsselter DNS-Abfragen zunehmend weniger relevant. Der dritte Grund kann auch mit etwas Aufmerksamkeit vermieden werden - aber wenn ich nach einem langen Tag und 3 Bier noch schnell ins Hotel-Netz gehe, sichert der VPN-Tunnel ohne jedes Nachdenken.

 

[seimenc]

Das Fazit für mich ist, dass ich einen VPN Clienten einrichten kann, aber dieser mir keine direkte Verbindung mit Plex ermöglicht (warum das früher ging, verstehe ich nicht, vielleicht hab ich mich ja doch geirrt). Der VPN Client ist mir auch bei der Verwendung von Download Station wichtig. Ein work-around ist das an und abstellen des VPNs je nach dem was man macht.
Meinen Rounter kann ich leider nicht mit dem VPN Clienten einstellen, diese Option bietet mein Router vom Netzanbieter leider nicht an. Ich habe gelesen, dass manche Leute noch ein Raspberry Pi miteinbinden und dort den VPN Clienten nutzen.

Und natürlich vielen Dank für die ganzen Kommentare, das bringt auch etwas Klarsicht.

 

[ottosykora]

Es verhindert, dass “mein“ ISP mitlesen kann, welche Webseiten ich aufrufe (wer darauf Wert legt, mir ist es egal)

Es verhindert beim Einsatz in öffentlichen WLAN-Netzen das gleiche bezüglich des örtlichen Netzbetreibers

Und es verhindert bei einem öffentlichen WLAN Man-In-The-Middle Angriffe

das macht nichts, das macht der 'VPN Provider' um so besser, muss doch etwas dazu verdienen, Kunden kann er nur noch mit extremen Rabatten fangen.
Und dann halt wer interessiert ist nach dem ExitPoint. TV Anstallten und deren Technik. Klar finden die heraus nach und nach woher die Anfragen kommen und dass es lokal ein exitpoint ist und sperren den gleich. VPN macht dann einen neuen auf und die Jagt geht wieder von vorne.

 

[Synchrotron]

Für mich ist es auch deshalb nicht relevant, den ISP aus der Kette zu nehmen, weil ich sonst den deutschen Gesetzen unterworfenen ISP gegen einen VPN-Anbieter austausche, der vielleicht irgendwo auf den Jungferninseln sitzt. Denn der sieht, was ich sehen will.

Aber da soll jeder halte seine Prioritäten setzen. Manche vertrauen ja eher nettem Marketingsprech als Fakten. Schlangenöl - Verkäufer wird es so lange geben, wie es Schlangenöl - Käufer gibt.