Verzweifle an der Einrichtung von OpenVPN

trych

Benutzer
Mitglied seit
02. Aug 2020
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Hallo,
ich bin ein relativ neuer Synology-Nutzer und wollte mir nun meine Synology DS920+ so einrichten, dass ich von außen per OpenVPN zugreifen kann. Ich habe mir mehrere Video-Tutorials dazu angesehen und bin der Meinung alles befolgt zu haben. Und doch: Wenn ich mit der OpenVPN-Clientsoftware von meinem Mac aus versuche auf die NAS zuzugreifen bin ich laut Clientsoftware zwar verbunden, aber ich kann mich dann weder ins Internet verbinden, noch in irgendeiner Form aufs NAS zugreifen.

Folgendes habe ich eingerichtet:

1. OpenVPN-Settings in DSM's VPN Server


20201008-010005_Screenshot_GoogleChrome.png
- unter Privileg ein Häkchen bei meinem Nutzer unter OpenVPN gesetzt, sonst alle Häkchen weg
- Konfigurationsdatei habe ich exportiert

2. Portweiterleitung in meiner Fritzbox 7360 (OS 06.35) an die NAS
20201008-010319_Screenshot_Firefox.jpg
(statische IP für die NAS ist in der Fritzbox eingerichtet)

3. VPN Server in der Firewall
20201008-012857_Screenshot_GoogleChrome.jpg

4. DynDNS

Die DynDNS habe ich über meine schon vorhandene Webdomain bei inwx.de eingerichtet (also keinen von Synology vorangebotenen Service).
Diese habe ich dann einmal in der Fritzbox angelegt:
20201008-013422_Screenshot_Firefox.jpg

Und einmal in der NAS, wobei ich nicht genau weiß, ob es an dieser Stelle nötig ist, oder eher nur an einer Stelle eingerichtet werden soll/darf:
20201008-013707_Screenshot_GoogleChrome.jpg
Die DynDNS funktioniert auch, denn ich hatte irgendwann mal testweise eine Portweiterleitung für meinen 5001-Port von der Fritzbox an die NAS aufgemacht und konnte dann mittels meine.dyndnsdomain.de:5001 von extern auf mein DSM zugreifen (habe ich jetzt wieder zugemacht).

5. Routerkonfiguration in DSM

Bei dem Schritt bin ich mir nicht mal sicher, ob er was mit der Sache zu tun hat, aber er kam in einem Tutorial vor, daher führe ich ihn hier mal auf:
20201008-020637_Screenshot_GoogleChrome.png

6. Anpassung der VPN-config-Datei
20201008-014128_Screenshot_SublimeText.jpg


So. Dann habe ich die Datei in den OpenVPN-Client importiert, meinen NAS-Username + Passwort angegeben, mit meinem MacBook über iPhone + LTE Hotspot online gegangen und er hat sich verbunden:
20201008-011649_Screenshot_OpenVPNConnect.jpg20201008-011740_Screenshot_OpenVPNConnect.jpg

Aber, ich kann dann wie gesagt leider nichts machen. Ich kann keine Websites aufrufen und auch nicht auf meine.dyndns.de zugreifen oder auf den NAS.
Ich habe es dann auch über Tunnelblick probiert und da tritt das gleiche Phänomen auf, ich kann mich verbinden, aber nichts aufrufen. Bei Tunnelblick gibt es aber wenigstens einen etwas ausführlicheren Log, nur verstehe ich leider nicht ansatzweise, was mir dieser sagen möchte. Vielleicht wird hier jemand schlau daraus:
20201008-015610_Screenshot_Spotify.jpg

Weiß irgendjemand, was ich falsch mache und warum es nicht funktioniert?
Ich wäre sehr, sehr dankbar, wenn mir jemand auf die Sprünge helfen könntet. Wie ihr seht bin ich leider kein Netzwerk-Profi und kann jede Hilfe gebrauchen.
Wenn ihr weitere Infos braucht kann ich die gerne liefern.

Vielen Dank und Grüße,
trych
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
OpenVPN Client -> Settings -> DNS Fallback aktiv?
Wenn per OpenVPN verbunden .. kannst Du das NAS per IP: Port erreichen?
 
  • Like
Reaktionen: trych

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Wie genau versuchst du denn auf deine DS zuzugreifen? Hast du es schon einmal über die IP versucht?
 
  • Like
Reaktionen: trych

trych

Benutzer
Mitglied seit
02. Aug 2020
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
@Wollfuchs, @Puppetmaster, danke für die Rückmeldung. Mit der IP auf das NAS zugreifen hat leider auch nicht funktioniert. Ihr meint damit die täglich neu vergebene IP, die ich z.B. in der Fritzbox nachschauen kann, richtig?

@Wollfuchs, DNS Fallback ist in der OpenVPN Clientsoftware aktiviert.

Hier ist noch ein weiterer Teil des Tunnelblick-Logs bei einem Verbindungsversuch eben gerade:
20201008-111450_Screenshot_Finder.png
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
jo, die IP in LAN zu dem Du ja per VPN verbunden bist.
Wenn die sich taeglich aendert .. wuerde ich der Frotze sagen, sie soll dem Geraet doch bitte immer die gleiche geben, erleichtert die Fehlersuche im Zweifel erheblich wenn man weiss worauf die Karre hoer.

Ich hab mal meine OpenVPN Konfig durchgesehen .. alles unspektakulaer, die Fallback Einstellung ist alles, was mir ins Auge stiess.
Warum bei Dir der DNS auf localhost zeigt, ist mir ein Raetsel.

Hast Du in der DS irgendwo den DNS auf 127.0.0.1 stehen?

und in der configdatei, steht da unter DNS_IP_ADRESS pull?
aendert sich was, wenn die redirect-gateway def1 auskommentiert ist (so ist es bei mir aktuell).

Wenn Du per iPhone den OpenVPN aufmachst, dann tritt das Problem schon am Handy auf, korrekt?
Also iphone -> Safari -> DMS Oberflaeche aufrufen geht dann nicht?

Nicht dass es beim nutzen des iPhone Hotspots mit dem Mac erst scheitert.
 
  • Like
Reaktionen: trych

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ihr meint damit die täglich neu vergebene IP, die ich z.B. in der Fritzbox nachschauen kann, richtig?

Nein, über VPN sprichst du natürlich die Geräte wie im LAN an. Also die interne IP der DS einmal benutzen, so wie du die DS auch intern aufrufen würdest.
Wenn das funktioniert, dann steht die Verbindung jedenfalls grundsätzlich und du hast womöglich nur ein DNS Problem.
 
  • Like
Reaktionen: trych

trych

Benutzer
Mitglied seit
02. Aug 2020
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Nein, über VPN sprichst du natürlich die Geräte wie im LAN an. Also die interne IP der DS einmal benutzen, so wie du die DS auch intern aufrufen würdest.
Oh.
Das hat bei meinen ersten Versuchen letzte Woche nicht funktioniert, deshalb dachte ich jetzt an die externe IP. Aber: Wenn ich jetzt noch mal die interne IP aufrufe, DANN FUNKTIONIERT ES!

Jetzt frage ich mich natürlich, was ich geändert habe? Ich habe heute morgen noch mal die Beschränkung auf die lokale Quell-IPs (192.xxx.xxx.1 - 192.xxx.xxx.254) aus der Firewall genommen, aber dieser stand ja unter der VPN-Regel, daher kann ich mir nicht vorstellen, dass es damit was zu tun hat.

Was jetzt allerdings noch nicht funktioniert:

- der gleichzeitige normale Aufruf von Websites während der VPN-Tunnel offen ist
- der Aufruf von DSM im Browser über https://meine.dyndns.de:5001 (ist das das richtige Format?)

Irgendwas ist also an irgendeiner Stelle immer noch falsch eingestellt.


Wenn die sich taeglich aendert .. wuerde ich der Frotze sagen, sie soll dem Geraet doch bitte immer die gleiche geben
Nein, damit meinte ich die vom Provider an mich vergebene externe IP. Die IP vom NAS ist in der Fritzbox statisch vergeben.

Warum bei Dir der DNS auf localhost zeigt, ist mir ein Raetsel.
Hast Du in der DS irgendwo den DNS auf 127.0.0.1 stehen?
Ich kann es gerade nicht überprüfen, aber kann das eventuell auch mit DNS-Einstellungen am Mac zusammenhängen? Ich meine, die 127.0.0.1 wäre mir da irgendwann mal begegnet. Kann ich heute Abend noch mal prüfen.

und in der configdatei, steht da unter DNS_IP_ADRESS pull?
aendert sich was, wenn die redirect-gateway def1 auskommentiert ist (so ist es bei mir aktuell).
Das werde ich gleich mal prüfen, ich glaube die redirect-gateweay def1 Einstellung hat doch damit zu tun, ob ich einen Split Tunnel oder einen Full Tunnel aufbaue, oder? Wollte einen Full Tunnel aufbauen, aber wenn ich die beiden Begriffe richtig verstehe, wäre es mir im Grunde relativ egal, welche Art von Tunnel es ist, solange ich sicher auf die NAS zugreifen kann. Ich teste nachher mal auskommentieren und gebe hier noch mal Rückmeldung.

Vielen Dank euch beiden schon mal. Wenn mir jemand bei den noch verbleibenden Problemen helfen könnte wäre ich euch sehr dankbar!
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Was jetzt allerdings noch nicht funktioniert:

- der gleichzeitige normale Aufruf von Websites während der VPN-Tunnel offen ist
- der Aufruf von DSM im Browser über https://meine.dyndns.de:5001 (ist das das richtige Format?)

Irgendwas ist also an irgendeiner Stelle immer noch falsch eingestellt.

bedingt ... wenn Du per VPN mit Deinem NAS verbunden bist, kommst Du ja nicht mehr von aussen. Eine Anfrage nach dyndns name und port ist also .. naja, nur moeglich, wenn du dann von deinem nas wieder raus gehst (dns) und dann zurueck kommst ... dann brauchst du aber kein VPN.

VPN und normale Seiten sollte gehen. Geht hier jedenfalls .. aber die eigene Diskstation auf der ich gerade bin, kann ich halt nicht von aussen erreichen wenn ich gerade per VPN ein drinnen geschaffen habe.

achja .. 127.0.0.1 ist der localhost, also immer der eigene rechner auf dem gerade ist, ob handy oder tablet oder pc oder mac oder .. egal. 127.0.0.1 bezeichnet immer das lokale geraet.

merke: there no place like 127.0.0.1 ;) (home)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Das hier soll nur eine einfache Alternative aufzeigen. Wenn du aus irgendeinem Grund OpenVPN verwenden willst, einfach nicht weiter lesen:

Das simpelste VPN für FritzBox-Nutzer ist das VPN auf der Fritzbox. Man sollte die Variante IPsec verwenden.
  • Die eigene IP wird über die myfritz-Adresse ermittelt. Man benötigt keinen weiteren DDNS-Dienst.
  • Das VPN läuft auf der FritzBox selbst, man benötigt keine Port-Weiterleitungen ins Heimnetz.
  • Seit FritzOS 7.20 wurde auch die Performance verbessert (wobei sie schon vorher für einen normalen Zugriff ausreichte)
Was zu beachten ist:

Alle FritzBoxen kommen voreingestellt mit dem gleichen lokalen IP-Adressbereich. Es gibt Probleme, wenn man aus einem Heimnetz mit diesem IP-Bereich versucht, eine VPN-Verbindung ins eigene Heimnetz aufzubauen. Also am besten 1x den eigenen IP-Adressbereich zu Hause ändern, damit man von einem "Standard"-FB-Netz aus keine Probleme hat.

Es kann für jeden FB-User gleichzeitig nur eine VPN-Verbindung aufgebaut werden. Will man also mit Laptop und Handy parallel den VPN-Zugang nutzen, muss jeder einen eigenen FB-User haben. Ist der Zugriff nicht zeitgleich, gibt es kein Problem.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
redirect gateway def1 dient lediglich dazu, dass aller traffic durch den Tunnel geht...
DNS im eigenen Netzwerk wenn via VPN ist immer gewurschtel, besser den Clients im Heimnetz ne feste fixe IP geben, diese dann nutzen. Spart zig Umwege
Wie wollfuchs schrieb: die dyndns ist nur für den externen Zugriff (das was du ja schon eingerichtet hast). Hat dein NAS ne fixe IP sollte der Zugriff darüber eigentlich funzen...
Mal sehen, was du heute Abend rausbekommst...
Und dann bitte in NAS und Clients mal schauen, welche DNS IP eingetragen ist (macht bei dir vermutlich die Fritzbox)...
Und: push route eingetragen?? Schau hier:
http://blog.jason.ch/2016/06/openvpn-richtig-konfigurieren-route.html
Dürfen vpn IPs laut Firewall auf DSM GUI zugreifen (Regel gesetzt?) Zum Schnellcheck mal kurz die Firewall ausmachen...
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Weiß irgendjemand, was ich falsch mache und warum es nicht funktioniert?
Ich wäre sehr, sehr dankbar, wenn mir jemand auf die Sprünge helfen könntet.
Es ist alles in Ordnung und es läuft bei dir schon korrekt, du hast nur noch ein kleines Verständnisproblem.
Du steigst von Aussen über VPN in dein Heimatnetzwerk ein, das funktioniert und hast du auch korrekt und sauber eingerichtet.
Da du ja bereits im eigenen Heimnetzwerk bist, "bewegst" du dich jetzt so als ob du zu Hause wärst zB mit deinem PC/handy usw., dh.
Wenn du ins DSM deiner Diskstation möchtest, dann tippgst du einfach ein htt*s://interne_heimnetzip_deiner_diskstation:5001
Also jene IP welche deine Diskstation daheim im internen Netzwerk vom Router (DHCP) zugeteilt bekommen hat, bzw. welche interne IP du deiner DS selbst fix vergeben hast.
Du arbeitest also alles über die internen IP Adressen deiner Geräte.
 

trych

Benutzer
Mitglied seit
02. Aug 2020
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
@alle Vielen, vielen Dank für eure Hilfe!

Ihr habt recht, es gab bei mir gestern tatsächlich das Missverständnis, dass ich wenn die Verbindung steht mit der externen IP auf das DMS zugreifen muss. Das ist natürlich Quatsch, mit der internen geht es jetzt. Letzte Woche bei meinen ersten Versuchen hatte ich es eigentlich auch zuerst mit der internen versucht, da hat es aber nicht funktioniert. Ich kann jetzt nicht mehr nachvollziehen, was damals anders war, weshalb es jetzt klappt und letzte Woche noch nicht.

Das heißt aber auch, dass ich die DynDNS eigentlich gar nicht unbedingt so aussuchen muss, dass ich sie schön schnell tippen kann, weil ich sie – wenn ich sowieso nur per Open VPN von außen auf mein Netzwerk zugreifen will – sowieso niemals tippen muss, sondern nur am Anfang zwei mal bei der Konfiguration eintippen muss, oder? Ich könnte also auch einfach einen Namen wie kajhsdflkahklasdjhflkasjhdf.dyndns.de vergeben, da ich es ja im Alltag sowieso nirgends eintippen muss? Das hatte ich am Anfang irgendwie anders gedacht.

Es funktioniert jetzt bei meinen Tests heute Abend sogar plötzlich das gleichzeitige Aufrufen normaler Seiten. Das ist etwas, das heute Vormittag definitiv nicht funktioniert hat. Heute Vormittag war ich in der Uni, jetzt versuche ich es von hier zu hause. Vielleicht ist das Uni-Netzwerk irgendwie anders eingestellt, so dass der Full Tunnel dort nicht funktioniert hat?

Wie dem auch sei, die wichtigste Funktion, der Zugriff auf die NAS funktioniert jetzt jedenfalls. Vielen Dank für die Hilfe von allen, für's erste bin ich jetzt versorgt, als Synology-Neuling habe ich aber bald bestimmt die nächsten Fragen. :)
 
  • Like
Reaktionen: blurrrr

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Ich könnte also auch einfach einen Namen wie kajhsdflkahklasdjhflkasjhdf.dyndns.de vergeben, da ich es ja im Alltag sowieso nirgends eintippen muss?
famous last words ... bevor aus $Gruenden auf der DS noch ein Zugriff eingerichtet wurde, damit Oma Trude auf die Bilder vom Enkel kommt.
"Mei, schon toll aber diese ..ajhsdflkahklasdj.. kann sich doch keiner merken .."
 

trych

Benutzer
Mitglied seit
02. Aug 2020
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Haha, deshalb schrieb ich ja, wenn ich nur per OpenVPN zugereifen will. Aber stimmt natürlich, man weiß nie, was in Zukunft mal irgendwo temporär freigeschaltet werden soll. Aber dank meiner vorherigen Unkenntnis habe ich ja ohnehin schon einen griffigen Namen eingerichtet.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat