OpenVPN funktioinert nur direkt nach der Einrichtung

[appel2000]

Hallo Zusammen,

alte Wohnung, VPN über die DS hat funktioinert.
Neue Wohnung, neue Hardware, ebenfalls Telekom, VPN klappt nicht.

Okay, denke ich, richte ich nochmal neu ein, ist ja kein Hexenwerk.
Alles eingerichtet. Verbindung vom Handy (LTE Netz) klappt, Verbindung vom Laptop, klappt.

Jetzt wirds für mich unübersichtlich:

Am nächsten Tag klappt es nicht mehr.
Ich such mir den Wolf, finde nichts, alles nochmal gelöscht, alles noch mal neu: geht wieder.

Bis zum nächsten Tag.
Geht wieder nicht.

Ich hab den Verdacht, dass, sobald ich vom Provider (Telekom) eine neue IP bekomme, es nicht mehr funktioniert.
Allerdings steht beim Router nach wie vor "DynDNS, IPv4 erfolgreich verbunden"

Ich bin wirklich ratlos, was das sein könnte und wo ich suchen soll.....

Provider: Telekom
Fritzbox 7590
DynDNS via Strato.

Jemand von Euch eine Idee?

Danke vorab!

 

[the other]

Moinsen,
lass dein NAS das eigentliche machen (Fileserver) und schmeiß den VPN Server auf ein anderes Gerät, bestmöglich Router, Raspi oder Firewall. Ja kostet wieder. Ja, eigentlich bietet das NAS das an. Nein, ist deswegen nicht empfohlen...

Versuch doch mal probeweise den VPN Server auf der Fritz zu aktivieren und auszuprobieren. Geht der auch nicht, dann scheint ja irgendwas mit DynDNS nicht zu klappen (ist ja schnell gemacht).

 

[Stationary]

sobald ich vom Provider (Telekom) eine neue IP bekomme, es nicht mehr funktioniert.

Du bekommst aber von der Telekom nicht jeden Tag eine neue IP. Oder startest Du Deinen Router jeden Tag neu? Bei der Telekom bleiben die IPs bei meinen Routern teilweise monatelang gleich.

Ich würde mir mal beim DynDNS-Provider das dashboard ansehen, ob es da was zu sehen gibt.

Im Übrigen würde auch ich vorschlagen, den VPN-Endpunkt auf die Fritzbox zu legen.

 

[appel2000]

Ich hab mal getestet.
Auch wenn ich manuell neu verbinde, funktioiniert es noch....bis zum nächsten Tag...ich versteh es einfach nicht.....

Könnte es sein, dass die DiskStation nicht aus dem Ruhezustand aufwacht?
Fällt mir da gerade so ein.....

Und wie über die FritzBox?
Stichwort "My Fritz Internetzugriff" nehme ich an?

 

[Stationary]

Eine geschriebene Anleitung habe ich jetzt nicht zur Hand, aber so ungefähr geht es:
Du brauchst 1) einen in der Fritzbox angelegten Nutzer mit aktivem Benutzerkonto bei dem unter Berechtigungen “VPN” angehakt ist, alle anderen Berechtigungen braucht der Nutzer erst mal nicht. Auch ein Haken bei “Zugang aus dem Internet” muß nicht gesetzt sein.
2) unter Internet > Freigaben > DynDNS mußt Du die Daten Deines DynDNS-Anbieters eintragen, also die Update-URL etc.
3) unter Internet > Freigaben > VPN muß für den Benutzer ein Haken unter VPN-Verbindungen zur Fritzbox gesetzt sein.

In Deine Mobilgeräte mußt die entsprechenden Daten und Passwörter/shared secret eintragen. iOS und MacOS kommen ”out of the box” mit dem Fritzbox VPN zurecht, unter Windows brauchst Du einen client, da geht für Windows 10 beispielsweise der shrewsoft client 2.2.2. Der ist zwar alt, funktioniert aber. https://www.shrew.net/download/vpn

 

[ikorbln]

Es gibt durchaus Vorteile das VPN der Syno zu nutzen. Es ist z.B. schneller als das der Fritzbox.
Bei einem Gigabit-Anschluss schafft die Fritzbox das nicht die ganze Bandbreite zu verarbeiten.

Ansonsten zu deinem Problem würde ich mal die aktuelle IP bei Dyndns prüfen wenn es nicht mehr geht.
Oder, wie schon geschieben, ist deine Syno nicht an wenn du dich versuchst zu verbinden?
Portfreigabe in der Fritzbox ist statisch?
Ich hatte das Problem die Ports nur für UDP offen zu haben, habe dann auch für TCP geöffnet, dann ging es.

 

[appel2000]

Also ich habe jetzt mal die Verbindung über die FritzBox direkt eingerichtet.
Schauen wir mal, ob das stabil ist.

VPN über Syno geht immer noch nicht.
DiskStaion läuft, Ports habe ich probeweise auch mal geöffnet.
Ich vermute immer mehr ein Problem in der Kommunikation zw. FritzBox und Strato.....

Welchen Vorteil würde es bringen, den VPN Server zB auf einem Raspberry laufen zu lassen?
Habe hier noch einen Raspberry Pi 2, Model B rumliegen, der nicht benötigt wird.
Würde der schon ausreichen?

 

[the other]

Moinsen,

Es gibt durchaus Vorteile das VPN der Syno zu nutzen.

Klaro.
Es gibt auch durchaus Vorteile, sich im Auto nicht anzuschnallen...dageegn wiegen die potentiellen Nachteile aber trotzdem schwerer.

 

[appel2000]

Ich ziehe das nochmal hoch:

Welchen Vorteil würde es bringen, den VPN Server zB auf einem Raspberry laufen zu lassen?
Habe hier noch einen Raspberry Pi 2, Model B rumliegen, der nicht benötigt wird.
Würde der schon ausreichen?

 

[Ramihyn]

Abhängig von der Bandbreite deines Internetzugangs sollte der ausreichen (der Raspi2 kann nur 100 MBit duplex).
Der Vorteil ist einfach:
Ist dein VPN-Zugang direkt auf dem NAS, liegen deine wertvollen Daten für jeden gratis auf dem Präsentierteller, der es schafft eine mögliche Sicherheitslücke in Synology's VPN-Lösung (bzw. deiner Konfiguration) zu finden und auszunutzen.
Befindet sich der VPN-Server hingegen auf einem Raspi, auf dem nichts anderes läuft (und insbesondere deine NAS-Daten nicht z.B. über Shares gemounted werden), hat ein Angreifer erst einmal nicht viel gewonnen, wenn er es schafft sich Zugriff zu verschaffen. Ja, der Raspi wäre dann ein Brückenkopf "im Feindesland" - allerdings eben auch nicht mehr als das. Wäre der VPN-Server auf der Syno, stünde ein erfolgreicher Angreifer sinnbildlich bereits im Oval Office, und der Atomkoffer läge entsichert vor ihm auf dem Schreibtisch.

 

[appel2000]

Okay, verstehe. Danke.
Ich gehe davon aus, dass die Begrenzung der Bandbreite nur in der Verbindung "nach aussen", bei Nutzung der VPN Verbindung, besteht, oder?
Also im LAN sollte das ja keine Rolle spielen.

Wie würde ich denn im Falle eines Falles einen unbefugten Zugriff überhaupt erkennen?
Also allgemein, sowohl beim Raspberry als auch bei der DS?

 

[Ramihyn]

Wie würde ich denn im Falle eines Falles einen unbefugten Zugriff überhaupt erkennen?
Also allgemein, sowohl beim Raspberry als auch bei der DS?

Kommt auf die Fähigkeiten eines Hackers an. Normalerweise werden VPN-Logins protokolliert, wenn man das entsprechend aufsetzt (bei der DS in der VPN-App, bei einem selbst aufgesetzten Server während des Setups des VPN-Serverdienstes). Jemand, der erfolgreich in dein System einbricht, würde also zunächst einmal unweigerlich Spuren hinterlassen. Schafft der Einbrecher es aber dann auch noch eine Root-Eskalation hinzustellen, kann er diese Spuren mit den root-Rechten problemlos vollständig tilgen. Die Hürden dafür kann man wiederum extrem hoch legen, indem der VPN-Dienst als nicht privilegierter User läuft, dem "sudo" und Co. verwehrt sind, und indem die VPN-Clients ihrerseits ebenfalls einen (anderen) nicht-privilegierten Useraccount bekommen.
Gegen das Spuren-verwischen wiederum würde nur helfen, die Logfiles in sehr kurzen Zeitintervallen z.B. per CRON-Job und einem rsync-Script auf eine andere Maschine zu spiegeln, an die der Hacker wiederum nicht ohne Weiteres herankommen kann. Wäre aber für den privaten Hausgebrauch selbst mir "eine Spur" zu viel Paranoia.

Ich hab mein VPN-Gateway auf dem Raspi weitgehend gemäss dieser Anleitung aufgesetzt, wobei ich allerdings wegen der Raspi-Umgebung (die Anleitung bezieht sich auf einen normalen x86/64-Server) noch auf die eine oder andere wesentliche Anpassung zurückgreifen musste. Dabei habe ich u.A. auch Tipps wie den, ungewöhnliche Schlüssellängen für die Clientzertifikate und einen ungewöhnlichen Port zu verwenden beherzigt.
Ohne dass da jemand eine Zeroday-Lücke auf den drei einzigen offenen Ports (OpenVPN, SSH, DNS, allesamt auf Nicht-Standard-Ports) ausnutzen könnte, schliesse ich das Risiko, dass jemand von aussen in mein Heimnetz einbricht, daher praktisch aus. Käme mir eines meiner Endgeräte abhanden, würde ich sofort das dem Client zugeordnete Zertifikat auf Serverseite zurückziehen, ergo könnte auch damit nichts fieses passieren.

 

[Synchrotron]

Man sollte die Lösung auf der FB nicht unterschätzen. Wer auf seiner Box Fritz!OS 7.21 (noch besser 7.23) laufen hat, dessen VPN-Server schafft mehr als 50MBit/s. Das ist bei mir der Upload meiner Vodafone Gigabit-Leitung. Beim Download ist der Upload des fremden Netzes relevant, in dem ich mich befinde. In den meisten Fällen öffentlicher WLANs ist der Zugang je Teilnehmer auf wenige MBit/s begrenzt, da ist es dann eh egal.

Seit dem Update ist das VPN auf der FB kein Engpass mehr in der gesamten Kette - jedenfalls in den allermeisten Fällen.

Persönlich habe ich 2 VPNs eingerichtet, IPSec auf der FB und WireGuard auf einem Raspi 4B (mit PiVPN). Das macht durchaus Sinn, manchmal werden einige Ports blockiert, man kommt aber mit dem anderen VPN noch durch.