OpenVPN>Keine durschschleifung des Internet über die DS

[West89]

Hallo,
Folgendes Problem habe ich:
Eine Verbindung über OpenVPN wird erfolgreich zur meiner DS aufgebaut nur das Internet wird nicht durchgeschleift.

Client Protokoll:
https://pastebin.com/uhdXMJtk

OpenVPN.conf (für den Client)
https://pastebin.com/FXDbYHFP

DS: DS716+II
Verbunden:Bond 1

 

[Solear]

Ich sitze an derselben Problemstellung.
Eigentlich kann man in der ovpn Datei für den Clienten das einstellen, dass man

redirect-gateway def1

und/oder

dhcp-option DNS 192.168.1.1

(also die DNS-IP) in der VPNconfig.ovpn vor dem Importieren auf dem Client einträgt, aber da tut sich nichts bei mir.

 

[Puppetmaster]

Also genau das führt bei meiner openVPN Verbindung auf dem Phone aber zum Erfolg. Also redirect-gateway def1 und eine gesetzte dhcp-option DNS.

Ich sehe das sehr schön am ganzen geblockten Werbe- und Socialmediamüll der gar nicht erst beim Phone ankommt.

 

[Solear]

Ist an der DS noch etwas bestimmtes dafür einzustellen? Irgendeine Brücke in den Netzwerkeinstellungen über die Einstellungen in dem VPN Server hinaus?

Meine config.ovpn sieht so aus:

dev tun
tls-client

remote xyz.de 1234

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.1.1

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2



reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
comp-lzo
<ca>
-----BEGIN CERTIFICATE-----
###Schlüsselzeichen###
-----END CERTIFICATE-----

</ca>

 

[Puppetmaster]

Allenfalls das Häkchen "Clients den Server LAN Zugriff erlauben". Mehr aber nicht.

 

[Solear]

Ich weiß nicht warum, aber jetzt geht es. Habe die Datei noch einmal importiert. Vielleicht vorher so viel probiert dass da irgendwas anders mit verstellt war. Danke jedenfalls!

Macht es Sinn statt "dev tun" eben "dev tap" zu nehmen? Wäre da theoretisch auch der Drucker Zuhause über ios unterwegs erreichbar?

 

[tproko]

Bei mir geht es auch genau so, ich merkte es dann Anfangs weil ich den DNS nicht gepushed hab (da ging nach außen nix mehr)

Vielleicht hängt es dann irgendwie vom Client ab, dass es da noch hakt? Ich verwende auf meinen Clients (Iphone, Android Handys + Tablets) immer die offizielle aktuellste OpenVPN App.

 

[West89]

Jetzt muss ich mal fragen ob mir helfen könnt.
Ich kriege keine Verbindung zu DS weder mit der Dyndns-Adresse oder der IP-Adresse hin.
Als Client benutze ich: Client OpenVPN für Android.
Außerdem habe ich das VPN Paket nochmal Deinstalliert und wieder Installiert.
Der Port 1194 TCP habe ich Fritzbox freigeben.

config.ovpn

dev tun
tls-client

remote IP-Adresse oder Dynds-Adresse 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS 192.168.1.1

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>

.

 

[Solear]

Gib mal den UDP Port 1194 frei. Statt TCP.
Der Port muss in der Fritzbox zum NAS weisen.

 

[West89]

Habe Ich auch schon Probiert komme auch nicht durch.

 

[Puppetmaster]

In der Config oben musst du natürlich auch eine IP bzw. dynDNS hinterlegen.

 

[West89]

Habe ich hier ja:
#post8

 

[Solear]

Auf der DS ein abgelaufenes Zertifikat vielleicht?

 

[Puppetmaster]

Also der Link führt mich nirgendwo hin...

 

[West89]

Auf der DS ein abgelaufenes Zertifikat vielleicht?

Habe noch mal die Daten von meiner DS Heruntergeladen.
Der Port jetzt wieder auf UDP 1194 geändert.

Also der Link führt mich nirgendwo hin...

Doch in Post 8!!
Da habe ich geschrieben was ich schon Probiert habe.

Hier mal eine einsicht in den das Protokoll des OpenVPN für Android Client.
https://privatebin.net/?3d7e5b110a5f10dc#bw0bQfHgdLZjW+vIlxhpj7GWQAQL8ML3xyS5Q6Af5vc=

 

[synfor]

Doch in Post 8!!

Nein dein Link führt nicht dahin. Dein Link ist einer zum Erstellen eines neuen Beitrags und zwar genau der, der sich in Beitrag #11 hinter dem Antworten-Button verbirgt..

 

[West89]

@Puppetnmaster

Habe es jetzt geändert.
Aber trotzdem habe ich da geschrieben das ich es per Dynds-Adresse und IP-Adresse Probiert habe.

 

[Puppetmaster]

Dann weiß ich leider auch nicht weiter.

 

[diver68]

Probier mal, wenn du die Verschlüsselung auf AES-256-CBC stellst.
Natürlich musst Du dann ein neues Profil exportieren...

 

[Tuxnet]

Re : puppetmaster


Wie bekommst du das hin mit dem filtern der Werbung ?
Momentan habe ich meinen pi-hole aus dem Netz genommen, da er ein paar Probleme macht.

Die Werbung nervt mich wirklich extrem