OpenVPN funktioniert nicht mehr

Biggelow

Benutzer
Mitglied seit
16. Jan 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Seit ca. 3 Monaten funktioniert meine OpenVPN-Verbindung nicht mehr und ich weiß nicht mehr, woran es noch liegen sollte. Das heißt, zu Hause im Wlan wird die Verbindung sofort aufgebaut. Über Mobiles Netzwerk funktioniert es dann nicht, was ein Problem mit dem Router (FritzBox7590) vermuten lässt. Das kann aber auch nicht sein, da ich testweise einen PiVPN aufgesetzt habe, der tadellos funktioniert. Den Pi will ich aber nicht für immer im Netz haben, weil er mir auf Dauer zu unsicher ist. Zudem war ein Grund die DS anzuschaffen, den dortigen VPN-Server zu nutzen.

Also meine Daten:
DS220+ mit installiertem OpenVPN-Server
Die Einstellungen sind folgende:
Port 1194
Protokoll UDP
Verschlüsselung AES-256-CBC
Authentifizierung SHA512
Clients Server LAN Zugriff gestatten angehakt
IPv6 Modus aktiviert

In der Firewall der DS ist der UDP-Port 1194 freigegeben
Der Benutzer darf VPN-Verbindungen nutzen, Name und Passwort sind korrekt.
Die Konfigdateien nebst ca.cert sind heruntergeladen und von der App OpenVPN for Android
importiert.
So hat das auch bis vor ca. 3 Monaten einwandfrei funktioniert.

Mein Netzprovider ist Deutsche Glasfaser mit DS-Lite, also IPv6 ist Pflicht.

In der Fritz-Box habe ich den Port 1194 UDP mit der 100% richtigen IPv6-Adresse der DS freigegeben.
Die Fritz-Box wurde von mir neu geflasht und komplett neu aufgesetzt um Fehler auszuschließen.

Mein Mobilfunk Provider ist Telekom und da habe ich auch Tipps aus dem Netz angewendet.
Tatsächlich funktioniert z.B. auch beim PiVPN der Zugriff aus dem Ausland nur über den APN: internet.telekom und NICHT internet.v6.telekom.
Habe aber auch einen Versuch mit dem Handy meiner Frau gemacht, welche im D2 Netz unterwegs ist. Also am Provider kann es auch nicht liegen. Zudem habe ich zwei alte Handys von mir auch noch versucht. Keine Besserung erzielt.

Es bleibt aber: Zugriff aus dem Heimnetz funktioniert immer, über Mobilfunk nicht.
PiVPN funktioniert immer!

Habe ich irgendeine Neuerung verpasst?
Wer kann mir helfen oder hat das gleiche Problem?

Besten Dank
Jo
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Die Konfigdateien nebst ca.cert sind heruntergeladen und von der App OpenVPN for Android
importiert.
Nur zur Sicherheit, du hast aber nicht diese heruntergeladene Konfigdatei auf dein Android handy importiert.
Weil da fehlt dein Zugang, da steht in der Zeile "remote" nur ein Platzhalter in der Form YOUR_SERVER_IP
also du hast dort schon deine fixe öffentliche IP, bzw. deine DDNS eingetragen?
Und erst diese aktualisierte Konfigdatei hast du dann auf dein handy übertragen?

Bei mir steht da auch in der Zeile remote nur die "reine" ddns, also ohne ht*ps und 3w usw usw nur die reine ddns Eintragen in die .ovpn Datei.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
zwei Anmerkungen, leider ohne aktuelle Lösung deines Problems:
1.
Zugriff aus dem Heimnetz funktioniert immer
Sicher? Normalerweise funktioniert VPN eben NICHT, wenn IP Adressbereich des Clients mit dem IP Adressbereich des Servers überlappt, denn das funktioniert meist nicht. Kann ja sein, dass du da spezielle Konfigurationen im Heimnetz nutzt, aber normalerweise wird das nix. Daher...?

2.
Den Pi will ich aber nicht für immer im Netz haben, weil er mir auf Dauer zu unsicher ist. Zudem war ein Grund die DS anzuschaffen, den dortigen VPN-Server zu nutzen.
Das Gegenteil ist der Fall: es ist nie eine gute Idee, den VPN Server auch auf dem Fileserver zu haben, denn damit steht dein NAS mit einme Bein im Internet. Es ist daher immer besser, da diese Funktionen zu trennen. Mit dem Pi hast du (wenn du nicht die Fritzbox nutzen willst/kannst) auf jeden Fall ne super Alternative. Auch kann man davon ausgehen (meiner Erfahrung nach), dass die Updates für PiVPN aktueller sind als für ein Synology Paket.

Wie leider schon angekündigt: hilft dir jetzt nicht, musste aber mal dazu erwähnt werden.
PS: mal kurz die Einstellungen auf der Fritzbox posten? Es scheint ja definitiv am Synology openVPN Paket zu liegen, da alles andere ja zu gehen scheint aus dem Mobilnetz. Also: PWL auf synology NAS wirklich richtig? Kommt da was an, wird richtig durchgereicht?
Mal die FW versuchsweise deaktiviert?
Paket mal rauswerfen und neu installiert und aufgesetzt?
Fehlermeldung der openVPN Android App posten?
:)
 

Biggelow

Benutzer
Mitglied seit
16. Jan 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Weil da fehlt dein Zugang, da steht in der Zeile "remote" nur ein Platzhalter in der Form YOUR_SERVER_IP
Natürlich habe ich dort die fixe IPv6 der DS eingetragen. Bei DS-Lite bleibt das Präfix ja immer gleich. Der zweite Teil der IPv6 gehört der DS, zusammen bildet es die IPv6 des Device. Auf die IP wird dann nichts weitergeleitet, sondern man öffnet die IP für einen bestimmten Port und das Gerät hängt sozusagen frei im Netz. Diese Geräte sind dann völlig auf ihre Firewall und sonstige Schutzeinrichtungen angewiesen.
Da muss man auch kein DDNS mehr haben. Soweit ist das klar und bei dem Pi habe ich das ja auch alles richtig gemacht.

@the other Ganz Sicher, der Zugriff aus dem Heimnetz funktioniert! Die FritzBox mit MyFritz kann ich leider bei DS-Lite und IPv6 nicht nutzen.
Da müsste ich wieder einen DDNS-Provider bezahlen. OpenVPN war da bisher eine kostenlose (und funktionierende) Alternative.

Dein Vorschlag den PiVPN weiter zu nutzen und ihn immer schön aktuell zu halten werde ich überlegen.
Ehrlich gesagt habe ich von der DS mehr erwartet. Synology hinkt echt mit den Updates hinterher.
Bei der Auswahl des Routers steht z.B. keine 7590, sondern sage und schreibe eine noch 7170 drin!
Sonst ist alles korrekt und ich habe natürlich auch das Paket schon mehrmals de und neu installiert.
Die Fehlermeldung der Verbindung der App lautet:TLS Key negotation failed to occur with 60 seconds!
Die Netzsuche danach ergibt tausendundeine nutzlose Info.
Zudem ist ja alles gelaufen, denke bis das VPN-Paket ein Update erhielt.
Die DS nochmal komplett neu einrichten möchte ich nicht und ich glaube das fruchtet auch nicht.
Naja, habe mich daran festgebissen und will wissen woran es liegt.
Trotzdem Danke für eure Mühe
Gruß
Jo
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
dann nutz die verfahrene Situation und mach den Wechsel aufs Pi.
Sicher, synology hinkt da hinterher. Ich bin sicherlich kein fanboy, aber der Fairness wegen: die machen zuerst mal NAS, also Fileserver. Dann werden marketingtechnisch noch ein paar Pakete angeboten, plötzlich scheint man die wollmilchsau zu haben. Aber eben das ist imho ein Fehler. Eben aus dem jetzt genannten Grund aber vor allem aus Sicherheitsaspekten.
Also, positiv sehen, quasi als Aufforderung, und umziehen...
;)
 
  • Like
Reaktionen: Biggelow


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat