OpenVPN mit Speedport Router

[cmfrank]

Hallo Zusammen,

ich würde gerne per OpenVPN auf meine Synology zugreifen.
Dazu habe ich folgendes gemacht:
1. Portfreigabe im Speedport Smart 3 Router eingerichtet


2. OpenVPN Server auf der Synology konfiguriert


3. Firewall Ausnahmen auf der Synology konfiguriert


4. Die lokalen User sind für die VPN Anwendung berechtigt

Das Problem ist nun, dass der OpenVPN Server nicht erreichbar ist bzw. nicht auf dem Port antwortet.
Zuerst dachte ich, dass die Portweiterleitung vom Speedport nicht klappt, weshalb ich (testweise) den DSM Port 5001 freigegeben habe was funktioniert.


Im Router ist direkt schon DynDNS eingerichtet was ebenfalls problemlos klappt.
Die DSM Version ist 6.2.2-24922 Update 4, das Model eine 215j.

Vielen Dank!
Cmfrank

 

[the other]

Moinsen,
-von wo greifst du zu (anderes Heimnetz, Mobilfunk)? Sicher das sich das Client-Netz, das Tunnel-Netz und dein anvisiertes Heimnetz im Adressbereich unterscheiden?
-versuchsweise die Firewall der Syno mal ganz ausgestellt?
-ggf DS-Lite Anschluss der Telekom am Start? IPv4? IPv6?
-Neustart gemacht?
-in der openVPN App (falls Android) die DynDNS eingetragen?
-Log-Daten mal angesehen zur Fehlersuche?

Grüßle
the other

 

[NSFH]

Hier ist das sehr nett alles erklärt. Kannst ja mal checken, ob deine Einstellungen damit konform sind.
https://www.thomas-krenn.com/de/wiki/OpenVPN_am_Synology_NAS_einrichten

 

[cmfrank]

- Ich versuche dabei immer außerhalb meines Netzes eine Verbindung aufzubauen bzw. prüfe extern die Ports
- Die FW der Syno habe ich auch schon ganz abgeschaltet ohne Unterschied
- Der DSL-Anschluss hat Dual Stack mit nativen IPV4 und IPv6. (IPv6 ist bei den Clients & der Syno deaktiviert)
- Neustart wurde von Synology und Router durchgeführt.
- Die OpenVPN Client Konfig habe ich angepasst mit den DynDNS Daten.
- Log Files gibt es bei dem Router nicht und die der Syno sind leer, kommt also nichts an oder der VPN-Server funktioniert nicht korrekt.
- Die Portfreigabe vom DSM (5001) funktioniert einwandfrei was für mich bedeutet die Freigaben am Router klappen, der VPN-Server hört nicht auf dem Port

Ich habe testweise schon einen anderen Port 1193, 1195 etc. und auch TCP statt UDP probiert für den VPN-Server was nicht klappt.
Mein Heimnetz ist klassisch 192.168.178.0/24 und das vom VPN habe ich vorkonfiguriert auf 10.8.0.1/24 belassen.
Die Anleitung von Thomas Krenn hatte ich zum Abgleich schon genutzt, konnte keinen Unterschied feststellen



Ich sehe hier, dass extern der Port 1194 vom Router offen ist aber gefiltert da keine Applikation antwortet.
5001 ist offen, DSM funktioniert über die URL.
5005 ist testweise freigegeben, aber geschlossen da auch keine Applikation antwortet.
Ich weiß nur nicht warum der eine geschlossen und der andere gefiltert ist...

 

[framp]

Ich sehe hier, dass extern der Port 1194 vom Router offen ist aber gefiltert da keine Applikation antwortet.
5001 ist offen, DSM funktioniert über die URL.
5005 ist testweise freigegeben, aber geschlossen da auch keine Applikation antwortet.
Ich weiß nur nicht warum der eine geschlossen und der andere gefiltert ist...

Du schreibst nicht welches Testtool Du benutzt. Ich vermute mal wg der Farben und dem Layout Du benutzt den Heise Security Test. Da ich auch OpenVPN benutze (allerdings nicht den von Syno sondern OpenVPN auf einer Raspi) und den Port weiterleite habe ich mal den Scan bei mir laufen lassen. Dort wird 1194 auch als filtered angezeigt. D.h. eine FW/Port forwarding Problematik gibt es wohl nicht.

Du hast nichts geschrieben wie bzw mit was Du auf die Syno per OpenVPN zugreifst.

 

[cmfrank]

Korrekt, für den Test habe ich den Heise Security Test genutzt aber auch diverse andere Webtools
Ich denke auch nicht dass es ein Portforwarding Problem ist, sondern ehr eines des VPN Servers
Zugreifen tue ich über den OpenVPN Windows Client, der scheinbar ein Problem hat:

Tue Dec 17 23:10:01 2019 Tue Dec 17 23:10:01 2019 OpenVPN Management Interface 1.0.0/3.2 (qa:d87f5bbc04) win x86_64 64-bit [MbedTLS] built on Feb 26 2019 07:53:13
Tue Dec 17 23:10:01 2019 Tue Dec 17 23:10:01 2019 OMI Connecting to [127.0.0.1]:50293 [tcp]
Tue Dec 17 23:10:04 2019 Tue Dec 17 23:10:04 2019 OpenVPN core 3.2 (qa:d87f5bbc04) win x86_64 64-bit built on Feb 26 2019 07:53:13
Tue Dec 17 23:10:04 2019 Tue Dec 17 23:10:04 2019 CLIENT_EXCEPTION : connect error: Missing External PKI alias [FATAL-ERR]
Tue Dec 17 23:10:04 2019 Tue Dec 17 23:10:04 2019 >FATAL:CLIENT_EXCEPTION: connect error: Missing External PKI alias
Tue Dec 17 23:11:50 2019 Tue Dec 17 23:11:50 2019 OpenVPN Management Interface 1.0.0/3.2 (qa:d87f5bbc04) win x86_64 64-bit [MbedTLS] built on Feb 26 2019 07:53:13
Tue Dec 17 23:11:50 2019 Tue Dec 17 23:11:50 2019 OMI Connecting to [127.0.0.1]:40074 [tcp]
Tue Dec 17 23:11:53 2019 Tue Dec 17 23:11:53 2019 OpenVPN core 3.2 (qa:d87f5bbc04) win x86_64 64-bit built on Feb 26 2019 07:53:13
Tue Dec 17 23:11:53 2019 Tue Dec 17 23:11:53 2019 CLIENT_EXCEPTION : connect error: Missing External PKI alias [FATAL-ERR]
Tue Dec 17 23:11:53 2019 Tue Dec 17 23:11:53 2019 >FATAL:CLIENT_EXCEPTION: connect error: Missing External PKI alias

 

[Fusion]

Hast du für deine dynDNS mit dem du auf den VPN Server zugreifst ein Lets Encrypt Zertifikat geholt und für den VPN Server gesetzt?

Ich vermute Windows beschwert sich hier über ein fehlendes öffentlich "beglaubigtes" Zertifikat.
Oder er beschwert sich über fehlende Client-Certs, welche aber nicht unbedingt erforderlich sind in der Standardeinstellung von Synology.

https://openvpn.net/vpn-server-resources/external-public-key-infrastructure-pki/

Oder probier mal den offiziellen Client aus, dann kannst es weiter eingrenzen
https://openvpn.net/community-downloads/

 

[cmfrank]

Danke! Die Installation des anderen Clients funktioniert nun ohne Probleme. Ich hatte damals den Client unter https://openvpn.net/client-connect-vpn-for-windows/ heruntergeladen...