Seit dem Update VPN-Server keine Verbindung aus dem Internet mehr möglich

[beatleJuice]

Nach dem ich das letzte Update des VPN-Servers installiert habe, ist dieser nicht mehr aus dem Internet erreichbar.
Da ich DS-Lite von Deutsche Glasfaser bekomme, nutze ich den Portmapper von Feste-IP.NET um über die Myfritz-Freigabe auf den VPN Server weiterzuleiten.
Normalerweise ist der Port 1194 dann über die MyFritz-Freigabe erreichbar (IPv6 Online Port Scanner) und auch für IP-V4 Endgeräte im INet erreichbar.


Seit dem Update scheint die NAS nicht mehr auf den Port 1194 zu reagieren.


Neuinstallation des VPN-Servers, Deaktivierung der DS-Firewall und Neueinrichtung der Fritz-Freigaben haben keine Erfolg gebracht..
Hat jemand eine Idee?

 

[the other]

Moinsen,
in deinesetting nutzt du TCP statt UDP...ist das auch im neuinstallierten VPN Server (denn default bei openVPN ist ja eigentlich UDP 1194)?

 

[beatleJuice]

Ja, dort habe ich auch TCP:1194 eingerichtet.

 

[beatleJuice]

Auch ein lokaler Portscan liefert keine Rückmeldung vom VPN-Server.
Hat noch jemand eine Idee?

 

[stulpinger]

laut Google UDP …. wäre einen Versuch Wert

 

[beatleJuice]

Was meinst Du?

 

[beatleJuice]

Ich denke Du meinst auf UDP umstellen.
Aber auch hier gibt es weder aus dem Internet noch lokal eine Rückmeldung:

 

[beatleJuice]

Nach dem netstat auf der DS auch keinen Port 1194 angezeigt hat habe ich die Version 1.3.13.2781 deinstalliert und 1.3.12.2780 installiert. Jetzt funktioniert der VPN Server wieder. Die Lösung habe ich im englischen Forum gefunden:
https://community.synology.com/enu/forum/1/post/145544

 

[Synchrotron]

Schön wenn es wieder tut.

Nur der Vollständigkeit halber: Aus Sicherheitsgründen gehört der VPN-Endpunkt aus meiner Sicht überhaupt nicht auf das NAS. Der Endpunkt auf den DS bedeutet, dass bei einer Softwarelücke oder einer Fehlkonfiguration der Hack genau dort ansetzt, wo er auf keinen Fall ansetzen sollte: Direkt auf meinem Datenbestand.

Am besten endet das VPN direkt auf dem Router, am zweitbesten auf einem dafür vorgesehenen VPN-Server im Netz, z.B. einem Raspi. Letzteres hat den Vorteil, einen vollwertigen VPN-Server zu bekommen (z.B. über PiVPN), nicht die kastrierte Lösung, die uns Synology unterjubelt.

 

[beatleJuice]

Sicherheitstechnisch stimme ich Dir zu. Da ich einen DS-Lite Internet Anschluss besitze, kann ich FritzVPN leider nicht nutzen. Einen Pi habe ich noch nicht, kann aber mein nächstes Projekt werden Hast Du eine Empfehlung? HW / SW?

 

[beatleJuice]

Zur Info, hier die Bestätigung des Syno-Supports:

Sehr geehrter Kunde,
vielen Dank, dass Sie den Technischen Support von Synology kontaktieren.
Vielen Dank für Ihr Feedback an der Stelle.
Das Verhalten ist unserer Entwicklung bekannt und wird in der kommenden Version 1.3.13-2781 behoben sein.
Wann genau diese erscheint, kann ich Ihnen von unserer Seite aus nicht sagen, da wir keine Einblicke in die Entwicklungsprozesse haben.

 

[viper2k]

Kurze Ergänzung an dieser Stelle:
Mit DSM 7, einer 920+ und VPN Server 1.4.3-2838 sowie 1.4.4-2855 trat das Problem bei mir ebenfalls auf, allerdings erst nach der Erneuerung eines selbstsignierten Zertifikates - vorher (auch nach dem Update auf DSM7) lief erstmal alles.

Erst nach downgrade auf 1.4.2-2837 war der VPN wieder von außen erreichbar. Diese Version werde ich nun auch erstmal bis auf Weiteres weiterlaufen lassen.

 

[ecryptFS]

Version: 1.3.14-2782 (DSM6)​

---

(2021-10-05)
Fixed Issues

1. Fixed an issue where using the root certificate as an intermediate certificate would cause a connection failure on OpenVPN.
2. Fixed an issue where certificate parsing might fail if the root certificate contained special characters.

https://www.synology.com/de-de/releaseNote/VPNCenter


Damit ist wohl klar, wo das Problem lag.

Ich hab auch nicht schlecht gestaunt, als ich Ende August keine VPN Verbindung mit dem Laptop aufbauen konnte im Urlaub. Ich nutze DSM6

 

[stulpinger]

@Synchrotron "Aus Sicherheitsgründen gehört der VPN-Endpunkt aus meiner Sicht überhaupt nicht auf das NAS"

muss ich Dir recht geben, hatte es auch eine Ewigkeit auf der NAS laufen, aber wenn jemand bis zur NAS kommt von extern ist er ja schon im internen Netz oder so ähnlich
Hab dann das ganze auf den Syno-Router RT2600AC verlagert (trotz des Alters ein wirklich geiles Ding), funktionierte wunderbar bis zu dem Moment, wo ich mir eingebildet habe ich brauche eine Unifi Infrastruktur ...
Funktioniert auch super, wenn man sich ein bischen mit der Firewall auseinandersetzt ...
Ist aber eine "etwas" andere Welt ?
Haben in der Firma Cisco-Dinger - teilweise mit € 10.xxx pro Buchstaben am laufen - ist halt Formel 1 im Vergleich - alleine die config per CLI ......
und dass obwohl ich mit MSDOS gross wurde und Windows 1.0 (bitte auf den Punkt achten) ? auch noch installiert hatte

Genug geschwafelt, RT2600 noch vorhanden, Für 'n Appel und 'n Ei ?

Zynismus Anfang

Und Ja - eine alte Fritz-Box hätte ich auch noch für die Klicki-Bunti Fraktion

Zynismus Ende