OpenVPN / DSLite (IPv6) / Fritzbox: Problem(e)

[RalfPeter]

Hallo zusammen,
nachdem ich vieles gelesen habe, manches verstanden habe, aber leider nicht mehr alleine weiterkomme, beschreibe ich mal was ich eingerichtet habe.

Zunächst die Hardware: DS 5013+ (neuestes OS), Fritzbox (neuste Firmware), S10+ (neuestes Update)
Benutzte Software:
DS: DDNS2 (öffentliche IPv6 zeigt auf <meinedomain.de>, Zugriff über Domain ok), VPN Server mit OpenVPN aktiviert (s. Screenshot), Firewall der DS aktiv (Ports für Anwendungen und OpenVPN freigegeben
Fritzbox: 7590, Port 1194 wird auf DS weitergeleitet (IPv6, TCP, s. Screenshots)
S10+: VPN Connect installiert (vpnconfig.ovpn angepasst mit <meinedomain.de>)

Soweit so gut. Auf dem S10 öffne ich die VPN Verbindung, in der DS wird mir diese Verbindung ohne Fehler angezeigt.

Versuche ich nun mit DS File auf meine DS (über VPN) zuzugreifen (lokale IP in meinem Netz oder VPN-IP) dann bekomme ich einen timeout.

Mit einem Portscanner (https://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php) wird mir angezeigt, dass der Port 1194 closed ist und ein Returncode 111 (Connection refused) die Ursache sein soll.

Nach vielen herumprobieren (anderer Port, TCP statt UDP, myfritz-Adresse statt eigener Domain, Einstellungen in VPN Connect usw.) weiß ich mir keinen Rat mehr. Hat jemand eine Idee, wo ich noch überprüfen soll, damit VPN funktioniert?

Danke für eure Hilfe.

 

[blurrrr]

Bond und Gedöns... da haste doch bestimmt auch die Firewall an, oder? ??
Was Deinen Link angeht... prüft das Ding auch die "UDP"-Ports?


Es nutzt btw nix die öffentliche IPv6-Adresse zu verstecken, wenn direkt darüber der Hostname steht (Screenshot vom OpenVPN-Client auf dem Handy ). Lustigerweise haste auf dem "Server"-Screenshot noch "UDP" drin, bei der Handy-App dann aber "TCP". Musste Dich schon mal entscheiden.

Nach vielen herumprobieren (anderer Port, TCP statt UDP, myfritz-Adresse statt eigener Domain, Einstellungen in VPN Connect usw.)

Das würde ich unterlassen. OpenVPN ist (eigentlich) recht anspruchslos, meist sind es irgendwelche "Kleinigkeiten". Wenn man sich dann aber in der Fülle der Optionen verrennt und nur noch rumbasteln, ist am Ende mitunter alles so verstellt, dass es normalerweise funktionieren würde, aber aufgrund der Basteleien dann halt eben nicht mehr. Wenn dem so ist, wie Du sagst... Erstmal "Kommando zurück!" und dann - mit den ggf. neuen Erkenntnissen - nochmal frisch von vorn und dann auch erstmal ganz rudimentär...

Auf dem Screenshot sieht man bei der Verbindung die Client-IP 10.11.12.6, heisst die Syno hat in diesem Fall die 10.11.12.5. Da würde ich erstmal schauen (mit Firewall "aus"), ob da überhaupt eine Verbindung zustande kommt, damit man das erstmal ganz grundlegend prüfen kann. Ist dem so, kann man weiter sehen, ist dem nicht so, muss schon ein grundlegendes Problem vorhanden sein (Routing, etc.).

 

[RalfPeter]

Danke für die schnelle Antwort. Ich werde jetzt erstmal den Screenshot löschen . Dann VPN Server deinstallieren (inkl. der DB) und auf dem Handy ebenfalls. In der Fritzbox gebe ich 1194 UDP frei. Danach installiere ich alles neu (DS und S10).

 

[RalfPeter]

Ok, alles auf Null und neu aufgesetzt. Rumfummeln ist manchmal schön, aber in der IT verwerflich

Alle Einträge auf Standard gelassen. Siehe Screenshots.

Leider ist das Resultat dasselbe. VPN Verbindung = connected (sagt das Smartphone) und im VPN Server in der "Verbindungsliste" vorhanden. Aber keine Verbindung zu DS file. Weder über die interne IP (192.168.1.91:<port>, noch ohne <port>), noch IP des VPN (10.11.12.0 / 10.11.12.1 / 10.11.12.5).

Ich weiß nicht weiter. Das kann doch nicht so schwer sein.

 

[Fusion]

Firewall auf der DS aktiv?
Regeln für welche Schnittstellen gesetzt?

 

[RalfPeter]

In /var/log/messages finde ich folgende Einträge zu vpn:

/var/log/messages:11536:2021-04-13T16:03:59+02:00 UNSERnas openvpn: Libgcrypt warning: missing initialization - please fix the application
/var/log/messages:11550:2021-04-13T16:20:35+02:00 UNSERnas synonetdtool: synonetdtool.cpp:1003 Failed to modify openvpn ipv6 prefix to [2a00:6020:b0xx:xxxx::]
/var/log/messages:11576:2021-04-13T16:23:36+02:00 UNSERnas openvpn: Libgcrypt warning: missing initialization - please fix the application
/var/log/messages:11577:2021-04-13T16:50:35+02:00 UNSERnas synonetdtool: synonetdtool.cpp:1003 Failed to modify openvpn ipv6 prefix to [2a00:6020:b0xx:xxxx::]

kann ich hier etwas korrigieren?

 

[Fusion]

Den ipv6 Server mode brauchst du übrigens auch nur, wenn du im VPN IPv6 benutzen willst.
Um nur per ipv6 und vpn auf die NAS zu kommen brauchst du den nicht. Es reicht wenn die NAS eine ipv6 aushandeln / festlegt für sich via Prefix Delegation auf der Fritzbox wie eingestellt.

 

[RalfPeter]

Danke für den Hinweis auf die FW der DS. Tatsächlich war die Freigabe durch das Deinstallieren des VPN Servers weg. Habe sie neu hinzugefügt.



Ergebnis ist immer noch dasselbe.

 

[RalfPeter]

Ok, dann soll ich das ändern und neu probieren? Alles von Null oder reicht es den VPN Server anzupassen und die VPN-Config neu im Smartphone zu importieren?

 

[blurrrr]

Ich würde die Firewall temporär (Test dauert ja nur ein paar Sekunden) komplett ausschalten. Funktioniert es dann, liegt es an der Firewall (deswegen schrieb ich oben ja auch, dass die Firewall "aus" sein sollte), funktioniert es nicht, liegt das Problem sowieso woanders.

 

[RalfPeter]

Hier ist das Log des VPN-Client am Smartphone:

17:02:18.261 -- ----- OpenVPN Start -----

17:02:18.261 -- EVENT: CORE_THREAD_ACTIVE

17:02:18.263 -- OpenVPN core 3.git:released:662eae9a:Release android arm64 64-bit PT_PROXY

17:02:18.263 -- Frame=512/2048/512 mssfix-ctrl=1250

17:02:18.264 -- UNUSED OPTIONS
1 [tls-client]
4 [pull]
6 [script-security] [2]

17:02:18.264 -- EVENT: RESOLVE

17:02:18.360 -- Contacting [2a00:6020:xxxx:xxxx:xxx:32ff:xxxx:b569]:1194 via UDP

17:02:18.360 -- EVENT: WAIT

17:02:18.363 -- Connecting to [uxxxxxxxxx.xu]:1194 (2a00:6020:xxxx:xxxx:xxx:32ff:xxxx:b569) via UDPv6

17:02:18.399 -- EVENT: CONNECTING

17:02:18.407 -- Tunnel Options:V4,dev-type tun,link-mtu 1601,tun-mtu 1500,proto UDPv4,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-client

17:02:18.408 -- Creds: Username/Password

17:02:18.409 -- Peer Info:
IV_VER=3.git:released:662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_GUI_VER=net.openvpn.connect.android_3.2.4-5891
IV_SSO=openurl


17:02:18.647 -- VERIFY OK: depth=1, /C=US/O=Let's Encrypt/CN=R3

17:02:18.647 -- VERIFY OK: depth=0, /CN=uxxxxxx.xu

17:02:19.607 -- SSL Handshake: CN=uxxxxxxxx.xu, TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

17:02:19.608 -- Session is ACTIVE

17:02:19.608 -- EVENT: GET_CONFIG

17:02:19.613 -- Sending PUSH_REQUEST to server...

17:02:19.652 -- OPTIONS:
0 [redirect-gateway] [def1]
1 [ifconfig-ipv6] [2a00:xxxx:xxxx:xxxx::1000/64] [2a00:xxxx:xxxx:xxxx::1]
2 [route] [192.168.1.0] [255.255.255.0]
3 [route] [10.11.12.0] [255.255.255.0]
4 [dhcp-option] [DNS] [8.8.8.8]
5 [route-ipv6] [2000::/3]
6 [tun-ipv6]
7 [tun-ipv6]
8 [route] [10.11.12.1]
9 [topology] [net30]
10 [ping] [10]
11 [ping-restart] [60]
12 [ifconfig] [10.11.12.6] [10.11.12.5]


17:02:19.653 -- PROTOCOL OPTIONS:
cipher: AES-256-CBC
digest: SHA512
compress: NONE
peer ID: -1

17:02:19.654 -- EVENT: ASSIGN_IP

17:02:19.697 -- Connected via tun

17:02:19.701 -- EVENT: CONNECTED info='Ralf@uxxxxxxxxxxx.xu:1194 (2a00:xxxx:xxxx:xxxx:211:xxxx:fe2c:b569) via /UDPv6 on tun/10.11.12.6/2a00:xxxx:xxxx:xxxx::1000 gw=[10.11.12.5/2a00:xxxx:xxxx:xxxx::1]' trans=TO_CONNECTED

 

[RalfPeter]

Ok, ich mache erstmal die FW aus. Und teste neu.

 

[blurrrr]

Im Log steht schon wieder die Domäne... ;-)

 

[RalfPeter]

Stimmt. Ich bin echt zu blöd das zu entfernen. Und ein "guter" Test, ob es abgesichert ist :-(

 

[RalfPeter]

Resultat nach dem Testen: immer noch dasselbe.
IPv6-Servermodus am Server deaktiviert (VPNconfig.opvn nicht neu exportiert!): immer noch dasselbe.

 

[blurrrr]

Wird es für Dein Mobilgerät sicherlich auch geben: Schau mal nach einer "traceroute"-App. Sobald Du diese hast, machst Du damit mal Tests auf die 10.11.12."5", "192.168.1.91", "192.168.1.1" (oder welche IP auch immer Dein Router hat) und "8.8.8.8".

EDIT: Wäre halt mal interessant zu wissen, ob überhaupt "irgendwas" greift ??

 

[RalfPeter]

Irgendwas geht wohl, aber trotzdem wird irgenwo blockiert. Ich werde mal den Port 1194 scannen.

 

[blurrrr]

Hm ok, hatte nu nicht so genau geschaut, hatte nur irgendwie im Kopf, dass das die DS für jeden Client ein "eigenes" Netz spannt (/30er - 0:ID, 1:GW, 2:Client, 3:BC), aber jut - wenn die Verbindung ins heimische Netz funktioniert... Ist die DS wohl die 10.11.12.1... Fritzbox-WebGUI sollte demnach mit aktiviertem VPN auch aufrufbar sein, das NAS theoretisch unter 10.11.12.1 erreichbar sein (einfach mal jeweils via http/https testen). Falls Du noch was anderes "ansprechbares" im LAN hast, auch mal - mit dekativerter Firewall - testen. Mitunter müssen die Firewall-Regeln nochmal glatt gezogen werden, vom Routing her scheint es ja jetzt erstmal halbwegs zu stimmen.

EDIT:

Ich werde mal den Port 1194 scannen.

Das kannste Dir sparen, die VPN-Verbindung wird ja aufgebaut.

 

[RalfPeter]

Wenn ich mit der App (Network Analyzer) einen Portscan mache, so ist der Port 1194 "closed"! FW in der DS ist aus! Port in der Fritzbox in den Freigaben für IPv4 und IPv6.
Entweder blockiert die DS (wie auch immer) oder der Portscanner prüft nur TCP. Aber erstmal alles Vermutung.

 

[RalfPeter]

Hm ok, hatte nu nicht so genau geschaut, hatte nur irgendwie im Kopf, dass das die DS für jeden Client ein "eigenes" Netz spannt (/30er - 0:ID, 1:GW, 2:Client, 3:BC), aber jut - wenn die Verbindung ins heimische Netz funktioniert... Ist die DS wohl die 10.11.12.1... Fritzbox-WebGUI sollte demnach mit aktiviertem VPN auch aufrufbar sein, das NAS theoretisch unter 10.11.12.1 erreichbar sein (einfach mal jeweils via http/https testen). Falls Du noch was anderes "ansprechbares" im LAN hast, auch mal - mit dekativerter Firewall - testen. Mitunter müssen die Firewall-Regeln nochmal glatt gezogen werden, vom Routing her scheint es ja jetzt erstmal halbwegs zu stimmen.

EDIT:


Das kannste Dir sparen, die VPN-Verbindung wird ja aufgebaut.

Zu spät gelesen: ich bin dem Testen verfallen