Keine Rufannahme bei Always-On VPN

[stna1981]

Hi zusammen,

habe ein seltsames Phänomen mit meinem Note9. Wenn ich per Always-On VPN in mein (Open)VPN eingewählt bin, kann ich keine eingehenden Anrufe annehmen. Ich nehme an, höre aber nix. Kurz darauf bekomme ich eine Mailbox-SMS. Also so, als würde der Anruf beim Annahmen abgebrochen. Anbieter ist T-Mobile, Wifi-Call ist aktiv, ich war aber zum "Tatzeitpunkt" direkt im Mobilfunknetz eingewählt.

Hat jemand eine Idee, woran das liegen könnte?

Viele Grüße

Stefan

 

[Lawnmower]

Das VPN Netz wird bei einigen Firewalls als eigene Zone / Netzwerk ausgelegt wo man dann auch separate Regeln definieren kann. Könnte es sein dass der/die notwendigen Ports für SIP / VoIP nicht offen sind?

 

[stna1981]

Sprachtelefonie läuft doch nicht über das Internet und somit auch nicht über das VPN, welchen Einfluss sollten dann die SIP-Ports haben? Oder könnte es irgendwas mit VoLTE zu tun haben?

 

[snaxilian]

Wenn du WiFi Calling gebucht hast, hast du auch VoLTE. Was denkst du denn, wofür das steht? Genau: Voice over LTE und ist direkt verwandt mit Voice over IP und funktioniert entsprechend auf paketbasierter Kommunikation von IP-Paketen im 4G Netz. Vermutlich lässt die Telekom aber keine Einbuchung ins Mobilnetz zu wenn dies eben nicht aus dem Mobilnetz kommt sondern von $server-mit-vpn-dienst.
Entweder musst VoLTE deaktivieren und wieder klassisch über GSM/UMTS telefonieren mit allen Vor- & Nachteilen oder das Routing anpassen damit alles bzgl Telefonie eben nicht durch den VPN-Tunnel geht.

 

[stna1981]

Ich probiers jetzt mal mit VPN an und VoLTE aus.

oder das Routing anpassen damit alles bzgl Telefonie eben nicht durch den VPN-Tunnel geht.

Und was genau muss ich da tun? Bin leider kein Linux-Crack, hab mit Ach und Krach den Raspi mit PiHole, Unbound und OpenVPN ans Laufen gebracht nach 2 Wochen ^^

 

[snaxilian]

Die Finger von lassen. Dafür bräuchtest im besten Fall Policy Based Routing und ich weiß nicht ob Android dies kann bzw Samsung das Feature aktiv hat. PBR ist auch schon fortgeschrittene Netzwerkmagie. Wozu hast du überhaupt ein always-on VPN? Falls verstandene "Sicherheit"? Zugriff ins Heimnetz > untersage OpenVPN die Änderung der Default-Route, dann gehen Anfragen ins Heimnetz durch den VPN-Tunnel und der Rest Richtung Internet. Oder Schutz vor Werbung durch den pihole? Dann bleibt dir nur o.g., sprich VoLTE deaktivieren oder dich mit PBR (Policy Based Routing) einschlagen.

 

[stna1981]

Primär Zugriff auf Dienste im LAN. Meine Haussteuerung exponiere ich sicher nicht ins WWW ;-) Das mit der Werbung wäre weniger wichtig, kann man auch anders lösen. Das mit der default-Route probier ich mal, steht derzeit auf "redirect-gateway def1", kann das das Problem sein?

Und was meinst du mit falsch verstandene Sicherheit in Bezug auf VPN?

 

[snaxilian]

Gefühlt 90% aller Leute, die hier nach VPN Lösungen fragen meinen, dadurch mehr Sicherheit oder Privatsphäre zu gewinnen was schlicht und ergreifend einfach nicht stimmt. Damit nicht alles zum 427484812ten mal wiederholt werden muss verweise ich beispielhaft hier drauf: https://gist.github.com/joepie91/5a9909939e6ce7d09e29
Die nächsten 9,5% der User hier verstehen nicht was sie irgendwo im Internet abgeschrieben haben bzw was ihre eingerichtete Lösung eigentlich macht bzw schaffen es aus mir bisher unergründlichen Ursachen nicht mal einen Blick in die Doku zu werfen.

Ja, es ist richtig und vernünftig von dir, so etwas wie eine Steuerung der Heizung etc nicht im Internet erreichbar zu machen und den Zugriff nur per VPN zu ermöglichen. Aber dafür ist es auf keinen Fall notwendig, dass du deinen gesamten Traffic vom Handy erst durch den VPN-Tunnel jagst sondern nur den Traffic, der auch in dein privates Netz Zuhause soll.
Bisher pumpst du jedes Bit durch dein VPN, so auch eben VoLTE etc.
Brauche ich verschlüsselte Verbindungen nutze ich eben HTTPS, IMAPS usw usf. Erst wenn mein "Provider/Zugangsanbieter" gar nicht erst sehen soll wohin ich mich verbinde, macht ein VPN mit kompletter Umleitung Sinn. Ein einfaches Beispiel wäre Reise in ein Land, dass Pornografie verbietet, man aber nicht auf youporn verzichten kann/mag/will. In dem Fall ist natürlich auch darauf achten, dass DNS Anfragen durchs VPN gehen, wird gerne vergessen.

 

[stna1981]

Dann gehöre ich wohl zu den restlichen 0,5%.

Dass ein VPN keine zusätzliche Sicherheit oder Anonymität bringt, sollte logisch sein. Wenn ich über ein VPN, dessen Endpoint mein Heimnetz ist, surfe, dann ist das das gleiche, als wenn ich von meinem Festnetzrechner surfe (mehr oder weniger, also was die IP angeht). Es ändert sich nur die Quelle meiner Anfragen, aber die Anfragen selber sind ja trotzdem weiterhin im WWW vorhanden, daran ändert sich nix. Ein Vorteil besteht nur, wenn man in einem offenen WLAN ist, da dann niemand meinen Traffic mitsniffen kann (hoffentlich).

Ob ich das, was ich aus dem Netz zusammengesucht habe, 100% verstanden habe, weiß ich nicht. Komme aus der Windows-Welt, bin aber kein Anfänger und seit etwa 25 dabei. Eine gewisse Ahnung würde ich mir aber schon unterstellen. Ich habe bisher einfach allen Traffic durch das VPN geschickt, weil es keinen Grund hab, das nicht zu tun. Der alte Provider konnte kein VoLTE. Das ist jetzt neu. Von daher bleibt mir wohl nix anderes übrig, als nur die Anfragen ins LAN über das VPN zu schicken (oder auf VoLTE zu verzichten). Wenn ich aber trotzdem das PiHole nutzen möchte, gäbe es da nicht irgendeine Möglichkeit, auf dem Raspi einen Proxy aufzusetzen, den ich dann in den Browsern auf dem Smartphone eintrage (sofern die das unterstützen)?

 

[Ctrl]

wo ist das Problem VoLTE zu deaktivieren?

 

[stna1981]

Ich hab jetzt das Umbiegen des Gateway rausgenommen, sprich vom Handy aus geht der Traffic nicht mehr über das VPN- PiHole funktioniert trotzdem noch, da das ja DNS-basiert arbeitet, hatte ich ganz vergessen. DNS-Anfragen laufen über PiHole und dahinter Unbound.

Trotzdem gibts teilweise nach wie vor Probleme mit VoLTE und heute morgen auch mit WiFi Call, obwohl das VPN gar nicht aktiv war. Ich glaube das ist alles noch nicht wirklich ausgereift.

 

[snaxilian]

Hast du deinen pihole fest im Handy als DNS eingetragen? Falls ja funktioniert DNS nicht wenn der VPN Tunnel nicht läuft. Ansonsten kann auch der pihole an sich irgendwelche relevanten Anfragen blockieren, die er für Werbung hält.
In der openVPN config kann man afaik auch zu nutzende DNS Server eintragen. Hast du den bzw die relevanten Einstellungen gesetzt? Sprich Nutzung des pihole nur wenn der Tunnel steht und sonst die DNS Server des Providers.
Was auch gern vergessen wird: config für IPv4 und IPv6 für Routing, DNS etc.

 

[stna1981]

Die DNS-Route wird vom OpenVPN-Server per route-Kommando an die Clients gepushed. Das funktioniert auch soweit. Steht keine VPN-Verbindung, läuft DNS über den Standard-DNS von T-Mobile, zumindest klappt mal die DNS-Auflösung problemlos. Ich hab die Config von PiHole, Unbound etc. eigentlich schon auch für IPv6 gemacht, also habe IPv6 nicht bewusst ausgeklammert.

 

[snaxilian]

Für einen DNS Server braucht man keine Route pushen. Das eine ist DNS, das andere Routing. Layer 7 und Layer 3. Auch ist "IPv6 nicht ausgeklammert" != Ist konfiguriert. Selbst mit aufgebautem VPN Tunnel schickst du ja nur deine v4 Verbindungen da durch. Alles was v6 ist, geht direkt durchs Netz des Mobilfunkproviders. Da zumindest gemäß der relevanten RFCs IPv6 bevorzugt genutzt werden soll. Ansonsten die üblichen Methoden: tcpdump/Wireshark und Logs checken.

 

[stna1981]

DNS sagt dir, wohin du willst, Routing wie du da hin kommst ;-) Hatte mich falsch ausgedrückt, vom VPN Server wird kein "push route" gemacht, sondern ein "push dhcp-option DNS xx.xx.xx.xx"
Zur Verbindungsaufnahme ins Heimnetz reicht ja auch IPv4, dass der restliche Traffic per IPv6 vom Handy direkt in das Netz des Providers geht, finde ich nicht so problematisch. Aber IPv6 DNS-Anfragen sollten über meinen DNS gehen, das wär schon nicht schlecht

 

[snaxilian]

Dann müsstest du v6 über v4 tunneln aber nur das Subnetz Richtung deines DNS Servers. Wie man jetzt nur ein v6 Subnetz über v4 tunnelt, den Rest aber nicht, da bin ich überfragt und froh, dass ich solche Sauereien nicht machen muss^^