VPN client Teltonika Router zu VPN server auf DS

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.085
Punkte für Reaktionen
2.061
Punkte
259
Hallo,

aktuell versuche ich einen OpenVPN-client auf einem Teltonika Router RUT955 so zu konfigurieren, dass er eine Verbindung zu meinem VPN Server auf der DS aufbaut.

Eckpunkte: Der OpenVPN Server auf meiner 418play ist installiert und arbeitet, Portweiterleitung auf der FB ist aktiv. Ich habe eine feste IP4-Adresse von meinem Provider, d.h. keine Notwendigkeit für DynDNS und ähnliches. Die Dateien habe ich exportiert, die Config nach Schema angepasst und dann über eine LTE-Verbindung von außen getestet: Mac (Tunnelblick), iPhone und iPad (beide mit OpenVPN app) verbinden sich problemlos mit dem Server. Die Zugriffe werden zeitgleich vom VPN Server protokolliert.

Jetzt zum Teltonika Router. Der RUT955 ist der Highend-Router des Hauses. Er ist ein LTE-Industrie-Router mit Fallback auf Festnetz (oder umgekehrt) und soll in meinem Fall an einem nicht betreuten remote-Standort die Verbindung zur Haustechnik des Objektes herstellen. Er ist bestückt mit einer O2-SIM mit LTE25-Option. Er funktioniert rauswärts - ich kann mir lokal ein WLAN aufbauen und über den Router beliebig auf das Internet zugreifen. Die Datenübertragung aus der Haustechnik hinaus klappt also.

Mangels Anwählbarkeit der SIM-Karte soll es im umgekehrten Fall so funktionieren: Es wird eine codierte SMS an die Rufnummer des Routers gesendet. Daraufhin baut der Router eine vordefinierte OpenVPN-Verbindung auf. Über diese Verbindung soll dann z.B. der Wartungszugriff im remote Heimnetz erfolgen. Dazu müssen auf dem Router alle notwendigen Informationen für die Einwahl auf die DS über OpenVPN hinterlegt werden. Diese SMS-Option hat der Router von Haus aus. Woran ich derzeit scheitere, ist die Konfiguration des OpenVPN-clients.

Es lassen sich die von der Synology erzeugten Dateien nicht 1:1 einspielen, und es fehlt mir die Möglichkeit, Syno-User + PW zu hinterlegen. Folgende Eingaben sind aktuell auf dem Router hinterlegt:

Enable: CHECKED
TUN/TAP: TUN
Protocol: UDP
Port: 1194
LZO: CHECKED
Encryption: AES-256-CBC 256
Authentication: TLS
TLS cipher: All
Remote Host/IP address: xxx.xxx.xxx.xxx <meine feste öffentliche IP4>
Resolve retry: infinite
Keep alive: 10 120
Remote Network IP address: BLANK
Remote Network IP netmask: 255.255.255.0 (= default)
Extra options: NONE
HMAC authentication algorithm: SHA1 (default)
Additional HMAC authentication: NOT CHECKED
Certificate authority: <Uploaded the ca.crt file>
Client certificate: NO FILE
Client key: <Uploaded the VPNConfig.ovpn file>
Private key decryption password (optional): BLANK


Und so sieht die VPNConfig.ovpn-Datei aus:

dev tun
tls-client

remote xxx.xxx.xxx.xxx 1194 (xxx.xxx.xxx.xxx = meine feste öffentliche IP4)

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxx ...
-----END CERTIFICATE-----

</ca>


Es wäre super, wenn mir jemand sagen kann, wo es klemmt.

Helfen würde mir ein händisch parametriertes funktionierende Konfigurationsbeispiel eines Client, um den VPNServer einer Synology über einen VPN-Tunnel zu erreichen.

Sorry für den langen Post, und danke im Voraus.
 

cfritz

Benutzer
Mitglied seit
31. Aug 2012
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Guten Tag
meine Konfiguration ist fast identisch. Haben Sie mittlerweile eine Lösung gefunden?
Besten Dank für Ihre Rückmeldung
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.085
Punkte für Reaktionen
2.061
Punkte
259
Nein. Mein Ergebnis ist, dass der (einfach gestrickte) OpenVPN-Server der DS nicht zur Kontaktaufnahme mit dem OpenVPN des Teltonika-Routers taugt. Die Alternative könnte aus PiVPN auf einem Raspberry Pi bestehen. Konnte es allerdings noch nicht testen.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.085
Punkte für Reaktionen
2.061
Punkte
259
Danke für den Hinweis. Muss ich mir anschauen - der Router steht „Remote“, da kann ich nicht eben so neue Firmware einspielen.

Mit OpenVPN beherrscht der Teltonika einen netten Trick: Man sendet eine SMS an die Mobilfunknummer der LTE-Karte, daraufhin baut der Router von seiner Seite aus einen OpenVPN-Tunnel zu einem vordefinierten Server auf. WireGuard ist aktuell noch ein zusätzliches Paket, das in die SMS Funktionen nicht integriert ist.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
Einfach zu Hause einen Router verwenden der das kann! Ich habe den RUT955 im Wohnmobil laufen. Mit OpenVPN klappt da der Zugriff auf einen Draytek Router ohne Probleme. Mit der Fritz bin ich gescheitert.
Allerdings habe ich im RUT eine o2 SIM mit öffentlicher IP, kann daher jederzeit von Aussen einloggen.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.085
Punkte für Reaktionen
2.061
Punkte
259
Meiner steht 700km entfernt und überträgt i.w. Anlagendaten (Solar, Heizung, Zählerstände). Das läuft erfreulich stabil und unauffällig - mit der billigsten Alditalk-Karte, die zu haben war.

Da spiele ich Updates lieber ein, wenn ich vor Ort bin. Geht ein Remote Update schief, sieht es sonst finster aus. Gleiches gilt für neue Funktionen.

Muss daher noch etwas warten.
 

pkt_ol

Benutzer
Mitglied seit
25. Dez 2018
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Selbst mit dem RUT 240 scheint es mit aktueller Firmware RUT2_R_00.07.02.4 nun zu funktionieren.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat