VPN funktioniert nicht über WLAN - über Mobilfunk jedoch schon

[zachman17]

Hallo zusammen,

ich wende mich an das Forum da ich bisher über Google und Reddit keine Lösung gefunden habe.

Problembeschreibung
Ich habe auf meinem NAS OpenVPN eingerichtet. Wenn ich unterwegs vom Handy (iPhone) aus auf mein VPN aktiviere komme ich sowohl direkt auf den NAS als auch bspw. über die Drive App an meine Dokumente. Sobald ich mich jedoch in ein WLAN einwähle, funktioniert die VPN Verbindung nicht mehr. Er scheitert bereits in der OpenVPN App mit der Verbindung. Der Fernzugriff via Laptop funktioniert ebenfalls nicht über WLAN. Der Versuch sowohl Handy als auch Laptop mal über einen Mobilfunk-WLAN-Hotspot eines anderen Handys einzuwählen, schlug ebenfalls fehl.

Mein Setup

• Synology DS920+
• VPN Server installiert und OpenVPN konfiguriert
• Identifikation der IP erfolgt über DDNS xxx.synology.me
• Firewall lässt unter anderem OpenVPN und Drive durch
• Portfreigabe am Router eingerichtet
• Gefolgt bin ich beim Einrichten grundsätzlich dieser Anleitung

Konfiguration OpenVPN



Konfigurationsdatei (Split Tunnel)

dev tun
tls-client

remote xxx.synology.me 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1
redirect-gateway ipv6

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
client-cert-not-required

<ca>
-----BEGIN CERTIFICATE-----
ZENSIERT
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ZENSIERT
-----END CERTIFICATE-----

</ca>


Ich hoffe hier kann mir jemand weiterhelfen!

Beste Grüße
Martin

 

[Thorfinn]

Willkommen im Forum und vielen Dank für die gute Darstellung des Problems. Nebelfreie Glaskugeln sind selten.


Problem ist klassich.
Dein VPN Server läuft und Server und Klient sind korrekt konfiguriert. Das bestätigt den Test mit der direkten GSM-Datenverbindung.

Das Problem ist die wLan Strecke. Wenn du durch ein fremdes wLan ins www gehst, dann muss admin des wLan das VPN Protokoll zulassen und entweder brücken oder routen. Macht admin aber oft nicht.
Man kann in die OpenVPN Datenpakete die über TCP oder UDP laufen zwar nicht reingucken. Aber eine Packet Inspection kann sie als solche erkennen.
Deshalb gibt es VPN-über-http Protokolle. Die sehen aus wie http und laufen durch. Das ist zwar ineffizienter aber es funktioniert immer und klebt nicht. Das ist dann aber proprietär.

Dir bleibt: Von unterwegs nutze dein iPhone mit OpenVPN Verbindung zu deiner NAS. Den Laptop kannst du an das iPhone tethern.

 

[zachman17]

Hallo Thorfinn,

danke für die Antwort.
Das mit dem Tethern funktioniert leider nicht - warum auch immer... Also ich habe das iPhone in der GSM-Datenverbindung und erstelle einen Hotspot für den Laptop. Laptop dort eingeloggt, am Laptop OpenVPN gestartet und versucht die Verbindung aufzubauen. Klappt nicht - connection Timeout.

Ich habe eben extra nochmal alle Konfigurationen überprüft. Vom iPhone direkt (über OpenVPN) funktioniert es. Bei getethertem Laptop leider nicht.

Hast du eine Idee woran es noch liegen könnte?

VG

 

[Thorfinn]

Apple nennt das Weiterreichen einer Datenverbindung von einem iPhone an andere Geräte nicht "Tethering" sondern "Personal Hotspot".
Was war bei dir der Unterschied?
Wenn du nur eine GSM Verbindung hast (max 9600 kBit/s) dann ist der Timeout absehbar.
Was passiert da genau?

 

[Rotbart]

Du kannst auch dein VPN auf Port 443/tcp legen (wenn da nix anderes läuft), hat bei mir auch schon oft geholfen.

 

[zachman17]

Hm also ich habe es am Wochenende nun auch mal in einem WLAN bei meinem Vater probiert. Da geht es zumindest vom Handy aus. Laptop hatte ich nicht dabei. Also scheint es grundsätzlich zu funktionieren. Ggf. stimmt etwas mit dem Laptop nicht oder das mit dem Hotspot ist des Problem.

Ich werde es weiter testen und berichten. Danke auf jeden Fall für die Hilfe!