OpenVPN mit Speedport Router

Status
Für weitere Antworten geschlossen.

cmfrank

Benutzer
Mitglied seit
06. Sep 2015
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen,

ich würde gerne per OpenVPN auf meine Synology zugreifen.
Dazu habe ich folgendes gemacht:
1. Portfreigabe im Speedport Smart 3 Router eingerichtet
Portfreigabe_Speedport.PNG

2. OpenVPN Server auf der Synology konfiguriert
VPN_Server.PNG

3. Firewall Ausnahmen auf der Synology konfiguriert
FW_Synology.PNG

4. Die lokalen User sind für die VPN Anwendung berechtigt

Das Problem ist nun, dass der OpenVPN Server nicht erreichbar ist bzw. nicht auf dem Port antwortet.
Zuerst dachte ich, dass die Portweiterleitung vom Speedport nicht klappt, weshalb ich (testweise) den DSM Port 5001 freigegeben habe was funktioniert.
Portscan.PNG

Im Router ist direkt schon DynDNS eingerichtet was ebenfalls problemlos klappt.
Die DSM Version ist 6.2.2-24922 Update 4, das Model eine 215j.

Vielen Dank!
Cmfrank
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
-von wo greifst du zu (anderes Heimnetz, Mobilfunk)? Sicher das sich das Client-Netz, das Tunnel-Netz und dein anvisiertes Heimnetz im Adressbereich unterscheiden?
-versuchsweise die Firewall der Syno mal ganz ausgestellt?
-ggf DS-Lite Anschluss der Telekom am Start? IPv4? IPv6?
-Neustart gemacht?
-in der openVPN App (falls Android) die DynDNS eingetragen?
-Log-Daten mal angesehen zur Fehlersuche?

Grüßle
the other
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.099
Punkte für Reaktionen
578
Punkte
194

cmfrank

Benutzer
Mitglied seit
06. Sep 2015
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
- Ich versuche dabei immer außerhalb meines Netzes eine Verbindung aufzubauen bzw. prüfe extern die Ports
- Die FW der Syno habe ich auch schon ganz abgeschaltet ohne Unterschied
- Der DSL-Anschluss hat Dual Stack mit nativen IPV4 und IPv6. (IPv6 ist bei den Clients & der Syno deaktiviert)
- Neustart wurde von Synology und Router durchgeführt.
- Die OpenVPN Client Konfig habe ich angepasst mit den DynDNS Daten.
- Log Files gibt es bei dem Router nicht und die der Syno sind leer, kommt also nichts an oder der VPN-Server funktioniert nicht korrekt.
- Die Portfreigabe vom DSM (5001) funktioniert einwandfrei was für mich bedeutet die Freigaben am Router klappen, der VPN-Server hört nicht auf dem Port

Ich habe testweise schon einen anderen Port 1193, 1195 etc. und auch TCP statt UDP probiert für den VPN-Server was nicht klappt.
Mein Heimnetz ist klassisch 192.168.178.0/24 und das vom VPN habe ich vorkonfiguriert auf 10.8.0.1/24 belassen.
Die Anleitung von Thomas Krenn hatte ich zum Abgleich schon genutzt, konnte keinen Unterschied feststellen :(

portscan_neu.PNG

Ich sehe hier, dass extern der Port 1194 vom Router offen ist aber gefiltert da keine Applikation antwortet.
5001 ist offen, DSM funktioniert über die URL.
5005 ist testweise freigegeben, aber geschlossen da auch keine Applikation antwortet.
Ich weiß nur nicht warum der eine geschlossen und der andere gefiltert ist...
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
975
Punkte für Reaktionen
107
Punkte
69
Ich sehe hier, dass extern der Port 1194 vom Router offen ist aber gefiltert da keine Applikation antwortet.
5001 ist offen, DSM funktioniert über die URL.
5005 ist testweise freigegeben, aber geschlossen da auch keine Applikation antwortet.
Ich weiß nur nicht warum der eine geschlossen und der andere gefiltert ist...
Du schreibst nicht welches Testtool Du benutzt. Ich vermute mal wg der Farben und dem Layout Du benutzt den Heise Security Test. Da ich auch OpenVPN benutze (allerdings nicht den von Syno sondern OpenVPN auf einer Raspi) und den Port weiterleite habe ich mal den Scan bei mir laufen lassen. Dort wird 1194 auch als filtered angezeigt. D.h. eine FW/Port forwarding Problematik gibt es wohl nicht.

Du hast nichts geschrieben wie bzw mit was Du auf die Syno per OpenVPN zugreifst.
 

cmfrank

Benutzer
Mitglied seit
06. Sep 2015
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Korrekt, für den Test habe ich den Heise Security Test genutzt aber auch diverse andere Webtools
Ich denke auch nicht dass es ein Portforwarding Problem ist, sondern ehr eines des VPN Servers
Zugreifen tue ich über den OpenVPN Windows Client, der scheinbar ein Problem hat:
Tue Dec 17 23:10:01 2019 Tue Dec 17 23:10:01 2019 OpenVPN Management Interface 1.0.0/3.2 (qa:d87f5bbc04) win x86_64 64-bit [MbedTLS] built on Feb 26 2019 07:53:13
Tue Dec 17 23:10:01 2019 Tue Dec 17 23:10:01 2019 OMI Connecting to [127.0.0.1]:50293 [tcp]
Tue Dec 17 23:10:04 2019 Tue Dec 17 23:10:04 2019 OpenVPN core 3.2 (qa:d87f5bbc04) win x86_64 64-bit built on Feb 26 2019 07:53:13
Tue Dec 17 23:10:04 2019 Tue Dec 17 23:10:04 2019 CLIENT_EXCEPTION : connect error: Missing External PKI alias [FATAL-ERR]
Tue Dec 17 23:10:04 2019 Tue Dec 17 23:10:04 2019 >FATAL:CLIENT_EXCEPTION: connect error: Missing External PKI alias
Tue Dec 17 23:11:50 2019 Tue Dec 17 23:11:50 2019 OpenVPN Management Interface 1.0.0/3.2 (qa:d87f5bbc04) win x86_64 64-bit [MbedTLS] built on Feb 26 2019 07:53:13
Tue Dec 17 23:11:50 2019 Tue Dec 17 23:11:50 2019 OMI Connecting to [127.0.0.1]:40074 [tcp]
Tue Dec 17 23:11:53 2019 Tue Dec 17 23:11:53 2019 OpenVPN core 3.2 (qa:d87f5bbc04) win x86_64 64-bit built on Feb 26 2019 07:53:13
Tue Dec 17 23:11:53 2019 Tue Dec 17 23:11:53 2019 CLIENT_EXCEPTION : connect error: Missing External PKI alias [FATAL-ERR]
Tue Dec 17 23:11:53 2019 Tue Dec 17 23:11:53 2019 >FATAL:CLIENT_EXCEPTION: connect error: Missing External PKI alias
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Hast du für deine dynDNS mit dem du auf den VPN Server zugreifst ein Lets Encrypt Zertifikat geholt und für den VPN Server gesetzt?

Ich vermute Windows beschwert sich hier über ein fehlendes öffentlich "beglaubigtes" Zertifikat.
Oder er beschwert sich über fehlende Client-Certs, welche aber nicht unbedingt erforderlich sind in der Standardeinstellung von Synology.

https://openvpn.net/vpn-server-resources/external-public-key-infrastructure-pki/

Oder probier mal den offiziellen Client aus, dann kannst es weiter eingrenzen
https://openvpn.net/community-downloads/
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat