DG OpenVPN mit Fritzbox 7590 und Synology NAS

  • Hallo zusammen,


    zuerst einmal muss ich sagen, das ich echt versucht habe über die Suchfunktion meine Antworten zu erhalten, aber leider es überhaupt nicht geschafft habe oder evtl es auch nicht verstehe.

    Ich versuche nun seit Tagen an meinem DG Anschluss eine VPN Verbindung aufzubauen. Zuerst dachte ich, das kann ja nicht so schwer sein und habe gleich den kompletten Weg mit VPS für ipv4 --> ipv6 genommen, habe es mit einem Raspberry PI usw versucht, bis ich mir dachte: Vielleicht sollte man erstmal die Basics prüfen. Ich komme allerdings schon gar nicht auf das NAS, auf dem der OpenVPN Server läuft, daher kann natürlich auch kein OpenVPN gehen (Wohlgemerkt mit meinem Handy das mit Mobilen Daten verbunden ist und eine ipv6 Adresse bekommt). Nun weiß ich nicht mehr weiter, da ich hier auch gefühlt tausende Wege probiert habe und nichts funktioniert, ich verzweifel, daher hoffe ich das jemand von euch mir Tipps geben kann.

    Mein Setup: DG Anschluss - HüP - NT - Fritzbox 7590 (kundeneigener Router)


    Das Problem: INNERHALB des Netzwerkes funktioniert mit der ipv6 Adresse des NAS Servers alles ohne Probleme, ich kann mit der öffentlichen IP auf das NAS zugreifen sowie die VPN Verbindung aufbauen. Trenne ich z.B. mein Handy vom WLAN und versuche dort eine Verbindung aufzubauen, funktioniert das nicht. Mache ich einen Test wie auf "wieistmeineip.de.de/ipv6-test" sehe ich, dass mein Handy eine ipv6 Adresse bekommt, somit ist es von ipv6 zu ipv6. Daher gehe ich davon aus, dass die Portfreigabe in der Fritzbox nicht funktioniert oder dort eine andere Einstellung nicht passt, da wie gesagt innerhalb des Netzwerkes alles funktioniert.

    Hier meine Einstellung im ipv6 Menü:


    Bekomme eine ipv6 Adresse:



    Das Nas nutzt die globale ersten 4 Blöcke, die bei der Fritzbox im Präfix stehen sowie natürlich 4 weitere Blöcke mit ihrer ID:


    Die Freigaben in der Fritzbox sind auch für ipv6 getätigt (zusätzlich hier noch der Port für den Webzugriff, da es für mich einfacher ist darüber zu testen ob ich über die IP diese erreichen kann, natürlich nur zum Test)


    Einziger visueller Unterschied besteht darin, dass bei dem Präfix in der FB mit /56 und im NAS mit /64 gearbeitet wird. Habe ich etwas übersehen?

  • Ist es Absicht, dass du für OpenVPN eine TCP Weiterleitung eingerichtet hast? Weil OpenVPN nutzt normalerweise UDP.


    Greifst du auf das NAS direkt mit der IP zu oder hast du sowas wie einen dyndns Dienst? Wenn ja, welche Adresse ist dort eingetragen? Die des NAS?

  • Hast Du DSM 7 ? Da scheint es ein Problem mit der Default Route via IPv6 zu geben. Das sollte zumindest im Hinterkopf behalten werden.


    Eine grauslige URL mit einer für mich nicht so ganz nachvollziehbaren Beschreibung (hab' ja auch kein NAS) gibt es hier.


    Sofern es nur um den NAS Zugriff und nicht darum geht, in das Heimnetz zu gelangen um andere Geräte steuern zu können, empfiehlt Synology selbst die Nutzung von QuickConect. Das erspart wohl einiges an manueller Konfiguration.


    Prüfe aber erst einmal ob die Basics funktionieren, also beispielsweise ob das NAS den han.de Link erreicht. Da es nach meinem Wissensstand keinen Webbrowser für DSM gibt, kannst Du nur den Verbindungsaufbau via https abgehend von dem NAS testen. Das geht auf der Konsole/dem Terminal wie folgt:


    Code
    1. openssl s_client -connect www.han.de:443

    Wie schon beschrieben, das prüft nur den grundsätzlichen Verbindungsaufbau und ist kein Webbrowser!

  • Wenn du aus deinem LAN die Seite https://ipv6-test.com aufrufst, zeigt die dann IPv6-Unterstützung an?


    Ein Traceroute von außen kannst zu z.B. mit https://www.han.de/cgi-bin/nph-trace.cgi zu der IPv6-Adresse deines NAS machen. Wie weit kommt das? Zu erwarten wären sieben Hops vor deinem Router. Hops 6 und 7 fangen mit 2a00:6020:... an. Dann sollte die IPv6-Adresse deiner Fritzbox als achter Hop kommen.

    Hallo alfalfa,


    danke für deine Antwort.

    ipv6test zeigt die Unterstützung an:



    Hops 6 und 7 sind exakt 2a00:6020....

    Hops 8 funktioniert nicht, dort sind nur noch **** bis zu Hops 11, also nicht die IP der Fritzbox

  • Hi HubeBube, danke für deine Antwort.

    Nein habe bewusst noch kein DSM7, die hat mir noch zu viele Fehler und keine Java8 Unterstützung, die ich aber noch benötige ;)

    Ich hatte es auch bereits mit QuickConnect geprüft, das hatte aber auch nicht funktioniert.


    Mit der Han.de Seite via Terminal habe ich durchgeführt, das hat meiner Meinung nach funktioniert:


    CONNECTED(00000003)

    depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3

    verify return:1

    depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1

    verify return:1

    depth=1 C = US, O = Let's Encrypt, CN = R3

    verify return:1

    depth=0 CN = han.de

    verify return:1

    ---

    Certificate chain

    0 s:/CN=han.de

    i:/C=US/O=Let's Encrypt/CN=R3

    1 s:/C=US/O=Let's Encrypt/CN=R3

    i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1

    2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1

    i:/O=Digital Signature Trust Co./CN=DST Root CA X3


    usw usw

    Verify return code: 0 (ok)



    Sieht für mich richtig aus

  • Ist es Absicht, dass du für OpenVPN eine TCP Weiterleitung eingerichtet hast? Weil OpenVPN nutzt normalerweise UDP.


    Greifst du auf das NAS direkt mit der IP zu oder hast du sowas wie einen dyndns Dienst? Wenn ja, welche Adresse ist dort eingetragen? Die des NAS?

    Hi Frank_m,


    ja ist Absicht und bewusst auf TCP umgestellt, Standard ist UDP, auch das ist mir bewusst.

    Ich denke das ist auch nicht das Problem (hatte es aber auch mit UDP probiert), da auch die Verbindung zur Web Applikation des Nas extern nicht funktioniert, trotz Freigabe.

    Getestet habe ich sowohl mit der Ipv6 als auch mit dem myfritz Account. Die Auflösung scheint auch zu funktionieren, denn wenn ich im OpenVPN Protokoll des Handys schaue (mit myfritx adresse), steht dann "Attempting to establish TCP connection with [AF_INET6]2a00:.......:1194" , also die IPv6 des NAS

  • "Attempting to establish TCP connection with [AF_INET6]2a00:.......:1194" , also die IPv6 des NAS

    Weiter oben endet die Adresse des NAS im Screenshot der Fritzbox-Freigaben aber mit ...:2f34. Dein Anschluss sieht soweit in Ordnung aus. Da du aus dem LAN mit Adressen aus dem Präfix IPv6 Server im Internet ansprechen kannst, gehen die Pakete weder auf dem Weg von dir ins Internet noch in der anderen Richtung verloren. Meine Vermutung ist, dass du die Freigaben nicht für die richtige Adresse eingerichtet hast.

  • Weiter oben endet die Adresse des NAS im Screenshot der Fritzbox-Freigaben aber mit ...:2f34. Dein Anschluss sieht soweit in Ordnung aus. Da du aus dem LAN mit Adressen aus dem Präfix IPv6 Server im Internet ansprechen kannst, gehen die Pakete weder auf dem Weg von dir ins Internet noch in der anderen Richtung verloren. Meine Vermutung ist, dass du die Freigaben nicht für die richtige Adresse eingerichtet hast.

    Hi alfalfa,


    die 8 Blöcke enden auch mit 2f34 für das NAS. Der Kommentar oben war inkl Port. Also IP [2a00:6020:......]:1194 für den OpenVPN Port. Ist von mir wohl unglücklich "geschnitten". Prüfe gerne nochmal die IP im kompletten, aber auch das hatte ich schon mehrfach gemacht,

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Nexxu:
    Du hast ja in der Fritzbox den ICMPv6 ping für das NAS freigeben, geht der ping durch? Kannst hier testen:
    https://www.heise.de/netze/tools/ping/

    Hier kannst du per Hand die IPv6 des NAS eintragen. Das sollte funktionieren, sonst stimmt schonmal was nicht.

    (Wobei das nur ein test ist, den ICMPv6 muss man nicht freigeschaltet haben für Wireguard ...)
    Die Ieingetragene Pv6 des NAS ist auch die permanente und keine temporäre (privacy Extension) ?

    Ciao

    Seit 8.2021 bei der DG aktiviert (GPON-Anschluss); Tarif DG giga 1000, eigener Router (AVM 7590), VPN via Wireguard & RaspberryPi

  • Hi,


    der Test funktioniert mit der IPv6 der Fritzbox (wobei Block 3 und 4 hier schon anders sind als in der NAS ipv6 Adresse)

    So langsam bin ich mir daher nicht mehr sicher ob diese wirklich stimmt, obwohl auch das NAS diese IP anzeigt.

    Mache ich den Test auf Heise.de mit der in der Fritzbox im Online Monitor angezeigten "IPv6 Adresse" , funktioniert der ohne Probleme.

    Mache ich den Test auf dem in der Fritzbox im Online Monitor angezeigten "IPv6 Präfix" habe ich 100% verloren. Nutze ich diesen Präfix + die letzten 4 Blöcke die mir mein NAS gibt (= ipv6 Adresse des NAS lt Nas und FB), bekomme ich auf der Seite direkt einen Timeout.


    Gebe ich am Handy die ipv6 Adresse der Fritzbox ein, kann ich auch auf diese Zugreifen. Habe ich den Unterschied zwischen IP und dem IP Präfix nicht verstanden?



    Wenn du aus deinem LAN die Seite https://ipv6-test.com aufrufst, zeigt die dann IPv6-Unterstützung an?


    Ein Traceroute von außen kannst zu z.B. mit https://www.han.de/cgi-bin/nph-trace.cgi zu der IPv6-Adresse deines NAS machen. Wie weit kommt das? Zu erwarten wären sieben Hops vor deinem Router. Hops 6 und 7 fangen mit 2a00:6020:... an. Dann sollte die IPv6-Adresse deiner Fritzbox als achter Hop kommen.

    Interessanterweise (und ich habe keine Ahnung wieso) kommt der 8. Hop nun nach einem Neustart der FB an und das ist exakt die IP der Fritzbox,

    Das bedeutet es hängt irgendwo an der FB?




    Dann wäre jetzt die Frage ob du die Chance hast, auf dem NAS einen Pakettrace oder ähnliches anzufertigen. Geht alternativ natürlich auch in der Fritzbox. Damit könnte man herausfinden, ob Pakete vom Handy beim NAS ankommen.

    Ich weiß zwar wie ich das in der FB mitloggen kann, aber es gibt ja 1000 verschiedene, versuche mich mal schlau zu machen :)

  • Vergesst meine vorherigen Aussagen, als ich die Info von SpeedDevil getestet hatte, war meine FB noch nicht neu gestartet.


    Nun funktioniert es :love:

    Ich verstehe noch nicht wirklich wieso, ich habe genau 2 Dinge gemacht:

    1. FB neugestartet (das habe ich die letzten Wochen schon gefühlte 1000x)

    2. Im Synology NAS bei ipv6 von DHCP6-PD auf Automatisch umgestellt.

    Auch wenn ich den Unterschied nicht verstanden habe, funktioniert es nun.


    Vielen Dank an alle die mir geholfen haben!:):thumbup:

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden