Seit dem Update VPN-Server keine Verbindung aus dem Internet mehr möglich

beatleJuice

Benutzer
Mitglied seit
10. Feb 2012
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Nach dem ich das letzte Update des VPN-Servers installiert habe, ist dieser nicht mehr aus dem Internet erreichbar.
Da ich DS-Lite von Deutsche Glasfaser bekomme, nutze ich den Portmapper von Feste-IP.NET um über die Myfritz-Freigabe auf den VPN Server weiterzuleiten.
Normalerweise ist der Port 1194 dann über die MyFritz-Freigabe erreichbar (IPv6 Online Port Scanner) und auch für IP-V4 Endgeräte im INet erreichbar.


Seit dem Update scheint die NAS nicht mehr auf den Port 1194 zu reagieren.
1628694340289.png

Neuinstallation des VPN-Servers, Deaktivierung der DS-Firewall und Neueinrichtung der Fritz-Freigaben haben keine Erfolg gebracht..
Hat jemand eine Idee?
 

Anhänge

  • 1628694178290.png
    1628694178290.png
    73,2 KB · Aufrufe: 80
Zuletzt bearbeitet von einem Moderator:

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
in deinesetting nutzt du TCP statt UDP...ist das auch im neuinstallierten VPN Server (denn default bei openVPN ist ja eigentlich UDP 1194)?
 

beatleJuice

Benutzer
Mitglied seit
10. Feb 2012
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Auch ein lokaler Portscan liefert keine Rückmeldung vom VPN-Server.
Hat noch jemand eine Idee?
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
laut Google UDP …. wäre einen Versuch Wert
 

beatleJuice

Benutzer
Mitglied seit
10. Feb 2012
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Ich denke Du meinst auf UDP umstellen.
Aber auch hier gibt es weder aus dem Internet noch lokal eine Rückmeldung:
1628707724865.png
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.105
Punkte für Reaktionen
2.073
Punkte
259
Schön wenn es wieder tut.

Nur der Vollständigkeit halber: Aus Sicherheitsgründen gehört der VPN-Endpunkt aus meiner Sicht überhaupt nicht auf das NAS. Der Endpunkt auf den DS bedeutet, dass bei einer Softwarelücke oder einer Fehlkonfiguration der Hack genau dort ansetzt, wo er auf keinen Fall ansetzen sollte: Direkt auf meinem Datenbestand.

Am besten endet das VPN direkt auf dem Router, am zweitbesten auf einem dafür vorgesehenen VPN-Server im Netz, z.B. einem Raspi. Letzteres hat den Vorteil, einen vollwertigen VPN-Server zu bekommen (z.B. über PiVPN), nicht die kastrierte Lösung, die uns Synology unterjubelt.
 

beatleJuice

Benutzer
Mitglied seit
10. Feb 2012
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Sicherheitstechnisch stimme ich Dir zu. Da ich einen DS-Lite Internet Anschluss besitze, kann ich FritzVPN leider nicht nutzen. Einen Pi habe ich noch nicht, kann aber mein nächstes Projekt werden :) Hast Du eine Empfehlung? HW / SW?
 

beatleJuice

Benutzer
Mitglied seit
10. Feb 2012
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Zur Info, hier die Bestätigung des Syno-Supports:

Sehr geehrter Kunde,
vielen Dank, dass Sie den Technischen Support von Synology kontaktieren.
Vielen Dank für Ihr Feedback an der Stelle.
Das Verhalten ist unserer Entwicklung bekannt und wird in der kommenden Version 1.3.13-2781 behoben sein.
Wann genau diese erscheint, kann ich Ihnen von unserer Seite aus nicht sagen, da wir keine Einblicke in die Entwicklungsprozesse haben.
 

viper2k

Benutzer
Mitglied seit
13. Jan 2018
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Kurze Ergänzung an dieser Stelle:
Mit DSM 7, einer 920+ und VPN Server 1.4.3-2838 sowie 1.4.4-2855 trat das Problem bei mir ebenfalls auf, allerdings erst nach der Erneuerung eines selbstsignierten Zertifikates - vorher (auch nach dem Update auf DSM7) lief erstmal alles.

Erst nach downgrade auf 1.4.2-2837 war der VPN wieder von außen erreichbar. Diese Version werde ich nun auch erstmal bis auf Weiteres weiterlaufen lassen.
 

ecryptFS

Benutzer
Mitglied seit
27. Feb 2013
Beiträge
305
Punkte für Reaktionen
3
Punkte
18

Version: 1.3.14-2782 (DSM6)​


(2021-10-05)
Fixed Issues
  1. Fixed an issue where using the root certificate as an intermediate certificate would cause a connection failure on OpenVPN.
  2. Fixed an issue where certificate parsing might fail if the root certificate contained special characters.


https://www.synology.com/de-de/releaseNote/VPNCenter


Damit ist wohl klar, wo das Problem lag.

Ich hab auch nicht schlecht gestaunt, als ich Ende August keine VPN Verbindung mit dem Laptop aufbauen konnte im Urlaub. Ich nutze DSM6
 
  • Like
Reaktionen: Synchrotron

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
@Synchrotron "Aus Sicherheitsgründen gehört der VPN-Endpunkt aus meiner Sicht überhaupt nicht auf das NAS"

muss ich Dir recht geben, hatte es auch eine Ewigkeit auf der NAS laufen, aber wenn jemand bis zur NAS kommt von extern ist er ja schon im internen Netz oder so ähnlich :unsure:
Hab dann das ganze auf den Syno-Router RT2600AC verlagert (trotz des Alters ein wirklich geiles Ding), funktionierte wunderbar bis zu dem Moment, wo ich mir eingebildet habe ich brauche eine Unifi Infrastruktur ...
Funktioniert auch super, wenn man sich ein bischen mit der Firewall auseinandersetzt ...
Ist aber eine "etwas" andere Welt ?
Haben in der Firma Cisco-Dinger - teilweise mit € 10.xxx pro Buchstaben am laufen - ist halt Formel 1 im Vergleich - alleine die config per CLI ......
und dass obwohl ich mit MSDOS gross wurde und Windows 1.0 (bitte auf den Punkt achten) ? auch noch installiert hatte

Genug geschwafelt, RT2600 noch vorhanden, Für 'n Appel und 'n Ei ?

Zynismus Anfang

Und Ja - eine alte Fritz-Box hätte ich auch noch für die Klicki-Bunti Fraktion

Zynismus Ende
 
  • Like
Reaktionen: Synchrotron


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat