DS als VPN-Client von außen erreichbar machen

[hal-incandenza]

Hallo,

ich habe meine DS213J so konfiguriert, dass sie sich per OpenVPN in mein Uni-VPN einwählt und dort eine feste IPv4-Adresse aus dem Uni-Netz zugewiesen bekommt. (Hintergrund ist, dass ich Unitymedia-Kunde bin und keine IPv4-Adresse bekomme und auf diesem Weg nun meine DS von außen per IPv4 erreichbar machen möchte)
Das klappt soweit gut. Die OpenVPN-Verbindung wird aufgebaut und ich kann die VPN-IP problemlos von außerhalb pingen. Leider ist jedoch keiner der Dienste (Webinterface, SSH, ...) über diese VPN-Adresse von außen erreichbar.
Wenn ich beispielsweise von der DS direkt auf meine VPN-IP eine SSH-Verbindung aufbauen möchte, gelingt dies; von anderen Rechnern aus nicht. Auch beim Webinterface gibt es einen Timeout.

Ich weiß, dass es nicht am Uni-VPN liegt, dass die Verbindungen nicht durchgehen. Dort wird nichts gefiltert. Kann es sein, dass die DS selber diese Verbindungen über die VPN-IP blockt? Ich habe bereits die Firewall testweise so eingestellt, dass sie alle Verbindungen durchlässt - ohne Erfolg.
Welche Stellen gibt es noch, an denen die DS die Verbindungen blocken könnte? Was muss ich noch freigeben?

Viele Grüße
hal

 

[jahlives]

Die DS blockt nichts :- ) Das dürfe am Routing liegen. Wenn die Anfrage via VPN (IPv4) reinkommt, dann ist die Source ja eine für die DS unbekannte IP Adresse. Also wird sie die Antwort über ihre Default Route zurückschicken und die dürfte wohl kaum auf das VPN Interface gehen. Du müsstest die default Route der DS ändern sobald sie im VPN als Client hängt

 

[hal-incandenza]

Stimmt. Sowas dachte ich mir. Wo kann ich denn die default route ändern? Die Einstellungen im Webinterface sind ja leider ziemlich limitiert, zumindest im VPN-Bereich.

 

[jahlives]

wohl am ehesten über die Konsole.

route delete default
route add default gw VPN_IP_DES_GW

 

[hal-incandenza]

Gerade nochmal nachgeschaut und folgenden Einträge in der Route List gefunden:

DiskStation> route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gw-udp.vpn.ruhr 128.0.0.0       UG    0      0        0 tun0
default         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
128.0.0.0       gw-udp.vpn.ruhr 128.0.0.0       UG    0      0        0 tun0
134.147.5.0     *               255.255.255.0   U     0      0        0 tun0
134.147.111.17  192.168.0.1     255.255.255.255 UGH   0      0        0 eth0
134.147.111.17  192.168.0.1     255.255.255.255 UGH   0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
DiskStation>

Natürlich kannst Du mir nicht sagen, ob das Gateway nun das richtige ist, aber ansonsten sieht dort doch alles richtig aus, oder? Das ist die Route, die nach Verbindung zum VPN automatisch eingerichtet wird.

 

[hal-incandenza]

Und was ich mich auch frage: Warum kann ich die VPN-Adresse der DS pingen, alles andere geht jedoch nicht durch? Wenn die Route tatsächlich falsch wäre, müsste doch auch der Ping scheitern, oder?

 

[jahlives]

Und was ich mich auch frage: Warum kann ich die VPN-Adresse der DS pingen, alles andere geht jedoch nicht durch? Wenn die Route tatsächlich falsch wäre, müsste doch auch der Ping scheitern, oder?

kommt drauf an was die Source IP ist. Wenn die Source zu einem Netz gehört welches die DS kennt z.B. selber im VPN ist, dann gibt es natürlich auch eine Route
Oben hast du zudem zwei default Routen. Da würde ich die zweite Löschen, die auf deinen Router zeigt

 

[hal-incandenza]

Da die IP, die ich pingen kann ja eine IP im "öffentlichen Internet" ist, kennt auch die Source die Adresse. Deshalb geht der Ping durch, stimmt. Aber das erklärt noch nicht, warum über den Ping hinaus nichts durchkommt.
Habe nun auch nochmal die zweite default-Route gelöscht, d.h. meine Routing-Tabelle sieht so aus:

DiskStation> route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gw-udp.vpn.ruhr 128.0.0.0       UG    0      0        0 tun0
128.0.0.0       gw-udp.vpn.ruhr 128.0.0.0       UG    0      0        0 tun0
134.147.5.0     *               255.255.255.0   U     0      0        0 tun0
134.147.111.17  192.168.0.1     255.255.255.255 UGH   0      0        0 eth0
134.147.111.17  192.168.0.1     255.255.255.255 UGH   0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
DiskStation>

Dennoch komme ich weiterhin nur mit dem Ping, nicht jedoch mit SSH/HTTP etc. durch.

 

[jahlives]

pingst du also von deiner DS eine IPv4 draussen oder versuchst du von draussen via VPN/Routing deine DS via IPv4 zu erreichen?

 

[hal-incandenza]

Letzteres, ich versuche von draußen via VPN/Routing meine DS via IPv4 zu erreichen.

 

[jahlives]

hm dann wirst du aber die Routing Tabellen des OVPN Servers anpassen müssen. Die externe IPv4 müsste auf dem OVPN Server landen und der müsste es an die OVPN-IP deiner DS routen. Glauibe irgendwie nicht, dass du die Routen des Servers beeinflussen kannst

 

[hal-incandenza]

Sowas hatte ich schon befürchtet. Blöd! Aber dann geht es wohl einfach nicht über mein Uni-VPN und ich werde mir einen anderen VPN-Anbieter suchen müssen.

 

[jahlives]

das wird bei keinem Anbieter gehen ausser der Anbieter verkauft dir auch gleich noch eine IPv4 Adresse welche auf den VPN Server zeigt. Da wirst du am schnellsten mit einem vServer mit eigener IPv4 ans Ziel kommen. Dann kannst du das Routing des Servers kontrollieren. Dort installierst du einen OVPN Server, verbindest deine DS als OVPN Client und routest dann bestimmten Traffic auf dem Server an die OVPN IP deiner DS

 

[hal-incandenza]

Portunity macht das. Die bieten einen OpenVPN-Tunnel mit eigener IPv4, die auf den Server zeigt, um meinen Problemfall abzudecken (IPv6 only ISP). Mal gucken, ob es damit klappt. Werde berichten!

 

[cp389]

Da wirst du am schnellsten mit einem vServer mit eigener IPv4 ans Ziel kommen.

Da bei mir ein Umzug ansteht und ich dann unter Umständen bei einem Anbieter mit DS-Lite lande, würde mich dazu mal folgendes interessieren:
Bei Haphost.com (ehemals Host1Free.com) habe ich einen kostenfreien vServer mit fester IP.

Wäre folgendes Szenario möglich?
- auf dem vServer wird ein VPN-Server installiert
- meine DS verbindet sich automatisch mit diesem VPN-Server
- wenn ich von Unterwegs auf meine DS zugreifen will, verbinde ich mich per VPN auf den vServer
- der Server fungiert dann als eine Art Gateway
- innerhalb meines Heimnetzwerkes funktioniert alles wie bisher

Der kostenfreie Server hat jedoch nicht besonders viel Leistung. 128 MB Ram, 10 GB HDD, Betriebssystem ist Ubuntu 13.

 

[hal-incandenza]

Zumindest mit Portunity kann ich nun Erfolg vermelden. Für 4.20EUR pro Monat bekommt man da eine VPN-Verbindung mit eigener IPv4-Adresse, die auch über den Synology-Client läuft. Wenngleich PPTP, L2TP und OpenVPN angeboten werden, habe ich mich für OpenVPN entschieden. Mit den Einstellungen über's Webinterface gelingt die Verbindung nicht auf Anhieb - man muss per Kommandozeile bei der Konfiguration nachhelfen, aber das ist nicht schwierig, da Portunity bereits beispielhafte Konfigurationsdateien bereitstellt.

 

[xl4723]

Ich weiß nicht, ob Dir das weiterhilft.....aber wenn ich bei uns im Uninetz bin (per WLAN oder Kabel), kann ich aus dem Uninetzwerk zwar Webseiten und sonst was aus aller Welt besuchen, aber ich komme nicht in mein Heimnetz zu Hause (per Dyn-DNS). Schalte ich das Uninetz ab und gehe über UMTS oder LTE, kann ich mich wieder problemlos nach Hause verbinden. Die Uninetze blocken wahrscheinlich diverse Ports. Dies wird sicher nicht nur bei meiner Uni so sein.