Probleme mit OpenVPN und dem Verbindungsaufbau zu meiner Synology DS

[Andreas.L]

Hallo alle zusammen,

Ich war vor kurzem noch bei Mobilcom Debitel und konnte ganz einfach an meinem Handy via OpenVPN auf meinen Synology Server zugreifen. Vor ca. 2 Wochen habe ich meinen Vertrag dort aber gekündigt und bin jetzt komplett mit Kabel und Handy bei Vodafone. Genau seit diesem Zeitpunkt funktioniert die Verbindung über VPN nicht mehr. OpenVPN verbindet sich zwar, aber ich komme trotzdem nicht auf meinen Server. Ein Hotspot am Handy und eine Verbindung vom Laptop mit dem Hotspot funktioniert natürlich auch nicht. Ist ja am Ende das Gleiche. Jetzt habe ich gestern in der OpenVPN Config die Line "#redirect-gateway def1" gefunden und aktiviert, also den Hashtag entfernt. Siehe da, alles funktioniert einwandfrei. Mir ist auch klar, dass dadurch der gesamte Traffic über VPN läuft, aber in einem anderen Forum wurde mir gefühlt abgeraten diese Option zu aktivieren und ich soll am Besten "... die IP-Adresse der Synology DS mit dem IP-Adressbereich in der OpenVPN-Config prüfen". Jetzt gehts los - Ich habe hier absolut keinen Plan was gemeint ist. Meine Fragen sind daher:

1.) Meine Diskstation hat die IP 192.168.178.10, das war schon immer so und hat sich auch nicht geändert - Welche IP-Range soll ich also wo eintragen?
2.) Mein OpenVPN Server ist wie das Bild im Anhang zeigt ganz normal konfiguriert
3.) Ich habe eine DDNS Adresse die auch in der Config des OpenVPN Servers steht, meine Config sieht so aus:

dev tun
tls-client

client-cert-not-required

remote blablabla.synology.me 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

# float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

# redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

Wenn ich damit versuche mich zu verbinden gehts nicht, wird wie oben schon erwähnt aus "#redirect-gateway def1" ein "redirect-gateway def1" geht alles.
Im Endeffekt frage ich mich also nur eines: Wie bekomme ich es hin, dass mit "#redirect-gateway def1" alles funktioniert. Früher ging das, ich habe mir meine Config bevor ich zu Vodafone gewechselt habe angesehen. Ich denke auch nicht, dass es was mit Vodafone zu tun hat, da ein Hotspot von meiner Frau (Die nicht bei Vodafone ist) mir auch keine Verbindung zu meiner Diskstation erlaubt hat. Wie gesagt: Eine Verbindung geht nur mir "redirect-gateway def1" (Kein Hashtag), warum ist das so?

Vielen lieben Dank für eure Hilfe und den Support.

Liebe Grüße

 

[Ronny1978]

DS-Lite??? Wahrscheinlich keine IPv4 Adresse mehr.

 

[ctrlaltdelete]

Nein, weil mit der Option "#redirect-gateway def1" geht es ja.

 

[Andreas.L]

Hmmm ne das kann nicht sein, also laut einem Test mit meiner Verindung habe ich IPV4, IPV6 und Dual Stack.
@ctrlaltdelete: Da hab ich mich leider verschrieben. Eine Verbindung geht nur, wenn ich die Line so schreibe: redirect-gateway def1 (Also ohne Hashtag).

DS-Lite habe ich nicht, ich bin komplett via CableMax 1000 im Netz.

 

[ctrlaltdelete]

redirect-gateway def1 (Also ohne Hashtag).

schon klar, der # würde es ja auskommentieren.

 

[Hagen2000]

@Andreas.L Du solltest wenigstens die ersten beiden Oktetts deiner IPv4-Adresse posten, dann können wir nämlich erkennen bzw. ausschließen, ob ein CG-NAT dazwischen hängt (das wäre beispielsweise 100.64.x.x).

 

[Andreas.L]

ähm ja, "schon klar" gerne zurück @ctrlaltdelete

Aber egal, du das war auch nicht böse gemeint sondern einfach nur um klar zu machen, dass da kein Hashtag mehr ist. Kann man ja auch überlesen.

@Hagen2000 klar, das wären dann 178.26.x.x das ist meine aktuelle IPV4 Adresse. Intern hört das Nas auf 192.168.178.10.

 

[Andreas.L]

Ich habe gestern noch viele Stunden mit dem Thema verbracht. Leider ohne Erfolg. Die Verbindung geht nur mit "redirect-gateway def". Grundlegend ist das auch in Ordnung, da ich eh möchte, dass der gesamte Internetverkehr über VPN läuft. Interessant finde ich es dennoch und mich würde einfach die Lösung interessieren wieso mit deaktiviertem "redirect-gateway def" einfach nix geht. Meiner Meinung nach ist das absolut nicht nachvollziehbar und das Setup ist echt nichts komplexes.

Hmmm ...

 

[Rotbart]

Systemsteuerung > Netzwerk > Allgemein > Erweiterte Einstellungen, was hast du da alles ausgewählt?

 

[Hagen2000]

Mal angenommen, durch den Providerwechsel hast du jetzt überall Dual Stack und dein VPN-Tunnel ist nur für IPv4, dann würde dein Handy den Zugriff am Tunnel vorbei versuchen, denn es bevorzugt in der Regel IPv6.

Hast Du dein NAS auch mit der IPv6-Adresse beim dynamischen DNS registriert?

 

[Andreas.L]

@Hagen2000: Beides ist bei DDNS registriert: IPV4 und IPV6

@Rotbart: Siehe bitte Anhang

 

[Andreas.L]

Hier auch noch weitere Einstellungen aui meiner Diskstation, vielleicht fällt einem ja noch etwas auf. Ich bin mit meinem Latein soweit durch. Ha Ha. Vielleicht kann mir jemand erklären, wie ich meiner OpenVPN Config das subnetz 192.168 beibringe? Mit route 192.168.0.0 255.255.0.0 oder route 192.168.178.0 255.255.255.0 geht's nicht. Es kann doch nicht sein, dass das immer ohne "redirect-gateway def" geklappt hat und auf einmal nicht mehr. Überall ist IPV4 und IPV6 verfügbar, DDNS stimmt auch, Dual Stack ist vorhanden, die Firewall ist deaktiviert, 1194 UDP ist auf der Fritzbox freigegeben usw.

Ganz arg lieben Dank für eure Hilfe, wahrscheinlich verdreht ihr schon eure Augen in den Kopf, aber ich weiß einfach nicht weiter warum ich nur mit einem füll Tunnel zugreifen kann.

 

[Rotbart]

Hast du mal Versuchsweise den Haken bei multiple Gateways gesetzt?

 

[Andreas.L]

Ja habe ich beides versucht. Angehtakt, abgehakt, OpenVPN deaktiviert usw. Ich habe das Gefühl, dass OpenVPN einfach mein Netz nicht kennt. Weißt du wie man eine "route" setzt in meinem Fall? Ich hab jetzt auch eine andere App am Handy getestet. Hier wird mir wenigstens gesagt "Unable to find target host". Ist ja irgendwie klar, aber vielleicht ist das ein Anhaltspunkt? Solche Probleme hatte ich echt noch nie damit ...

 

[Andreas.L]

Ich glaube ich habs gefixed!​

Es gab vor einiger Zeit bzw. immer mal wieder, neue Updates für meine DiskStation und unter meiner Router Configuration war (wie damals aber auch schon) nur Port 1194 (UDP) freigegeben. Der war natürlich auch bei der FritzBox freigegeben. Allerdings ist mir aufgefallen, dass es in der FritzBox auch den Port 5001 für DDNS gab. Dieser hat bei der DiskStation aber gefehlt. Das ist nichts, was ich vergessen habe, denn damals hat das eben genauso mit dieser Konfiguration funktioniert. Naja, jetzt habe ich den Port in der DiskStation auch freigegeben und siehe da:

• Split Tunnel mit "#redirect-gateway def1" funktioniert
• Full Tunnel mit "redirect-gateway def1" funktioniert

Vielen lieben Dank nochmal für euren Support und Hilfe.

 

[Hagen2000]

Port 5001 ist nicht DDNS sondern die DSM-GUI vom NAS per HTTPS.
Vermutlich ist dein NAS jetzt für alle offen und ist auch ganz ohne VPN erreichbar.

 

[Andreas.L]

Hä? Die Portfreigabe steht in jedem Tutorial ... also einfach in jedem. Selbst hinter der lokalen IP steht 192.168.178.10:5001 ... das ist logisch, wenn das der Port für die GUI ist. Aber in etlichen YouTube Tutorials zur Port-Weiterleitung auf der FritzBox wird dieser Port angegeben. Klär mich da doch mal bitte auf, denn nicht mal DSM selbst gibt hier eine Warnmeldung. Fakt ist, wenn der Port freigegeben wird, dann gehts und NEIN, ich komme nicht ohne VPN auf meine DiskStation

 

[Hagen2000]

Mach doch einfach mal einen Zugriffsversuch bei abgeschaltetem VPN.
Port 5001 darfst Du gerade nicht freigeben, denn Du willst ja ausschließlich über OpenVPN (Port 1194) zugreifen!

 

[Andreas.L]

Ja, also einen Zugriffsversuch habe ich gerade übers Handy getestet: Geht nicht. VPN aktiv (Split oder Full) beides geht. Interessanterweise ist aber jetzt folgendes passiert:

Nachdem du mir das mit dem Port 5001 gesagt hast, hab ich nochmal testweise diese Regel deaktiviert (Siehe Screenshot) und auf einmal funktionierts trotzdem im Split und Full Tunnel. Keine Ahnung was da los war, aber da ich in den letzten Tagen schon viel recherchiert habe, ist mir auch ein anderer User aufgefallen, dessen Lösung ein simples Deaktivieren und Aktivieren des VPN Servers war. Er hat nichts weiter geändert, nur seine DiskStation so zu einem Refresh gezwungen. Vielleicht hat die Portfreigabe und ein simples "Apply" auch einen Bug gefixed.

So schauts jetzt aktuell in der Router Config aus - Was meinst du?

 

[Andreas.L]

Momentan ist der Port überall deaktiviert, also: In der Router Config der Diskstation und auch in der FritzBox. Es ist nur noch Port 1194 open und Split Tunnel sowie auch Full Tunnel funktionieren über LTE am Handy zum Beispiel einwandfrei.