Vodafone CBN CH7466CE WLAN Gateway: OpenVPN Portweiterleitung funktioniert nicht

[autoshot]

Hallo zusammen!
Ich habe meinen Eltern kürzlich eine Synology DS718+ (DSM 7.2) samt Plex Media Server ins Haus gestellt, damit sie nicht immer mühsam nach DVDs suchen müssen wenn sie einen Videoabend veranstalten. Fernzugriff zur Wartung und Problembehebung wollte ich dabei via VPN-Verbindung gewährleisten, nur dass das leider aktuell noch nicht so wirklich funktioniert
OpenVPN auf der Synology ist so konfiguriert:

Das Vodafone CBN CH7466CE WLAN Gateway so:


Leider kann ich mich damit aber weder von außen, noch vom Heimnetzwerk aus mit dem VPN-Server verbinden. Habt ihr eine Idee woran das liegen könnte?

lg autoshot

 

[FiRAS]

Klingt nach CG-NAT. Du kannst bei Vodafone anrufen und ganz freundlich nach einer öffentlichen IPv4 fragen, dann wird es auch etwas mit dem VPN-Server. Oder alternativ nutzt du IPv6.

 

[User007]

Hi...

VF-Anschluß via Kabel oder DSL?

Evtl. mal im Konfig-Menü zu OpenVPN die Option "IPv6-Servermodus aktivieren", dann sollte zumind. der Lokalzugriff (und wohl auch der Externzugriff via IPv6) funktionieren.
Ansonsten vermutl. keine öffentl. IPv4-Adresszuteilung für den Anschluß - kann aber evtl. bei VF beantragt/gebucht werden.​

 

[autoshot]

Klingt nach CG-NAT. Du kannst bei Vodafone anrufen und ganz freundlich nach einer öffentlichen IPv4 fragen, dann wird es auch etwas mit dem VPN-Server. Oder alternativ nutzt du IPv6.

ah d.h. die IP, die mir wieistmeineip.de anzeigt, hab ich gar nicht exklusiv?

VF-Anschluß via Kabel oder DSL?

Evtl. mal im Konfig-Menü zu OpenVPN die Option "IPv6-Servermodus aktivieren", dann sollte zumind. der Lokalzugriff (und wohl auch der Externzugriff via IPv6) funktionieren.
Ansonsten vermutl. keine öffentl. IPv4-Adresszuteilung für den Anschluß - kann aber evtl. bei VF beantragt/gebucht werden.​

Via Kabel. Das mit dem IPv6 hab ich mir auch schon gedacht; werde ich bei Gelegenheit (wenn ich wieder dort bin) mal testen, vielen Dank!

 

[FiRAS]

Korrekt, du teilst sie dir mit x Benutzern. Bleibt also nur IPv6 oder öffentliche IPv4 von Vodafone erhalten. Als ich im Jahr 2020 noch meinen Vodafone Kabelanschluss hatte, hat ein kurzer Anruf bei der Hotline gereicht, Router neu gestartet und ich hatte eine eigene IPv4.

 

[autoshot]

kann aber evtl. bei VF beantragt/gebucht werden.​

hat ein kurzer Anruf bei der Hotline gereicht

Gerade angerufen, funktioniert immer noch In 2-48h haben meine Eltern ihre eigene IP. Werde dann kurz berichten sobald (hoffentlich) alles passt.

EDIT

Ok also die IP ist jetzt eine andere als vorher und hat sich auch nach einem Power Cycle des CBN CH7466CE nicht geändert. Auch mit dieser IP im config.ovpn kommt allerdings keine Verbindung zustande Habt ihr eine Idee was sonst noch nicht passen könnte @User007 @FiRAS ?

 

[FiRAS]

Auf den Screenshots hast du nur Portfreigaben für IPV4 festgelegt. Ansonsten würde ich zum TEsten die DS mal in die DMZ stellen.

 

[autoshot]

die DS mal in die DMZ stellen.

DMZ?

 

[FiRAS]

Dann sind pauschal alle Ports offen Als wäre die DS dann direkt ohne Firewall am Internet. Wie gesagt nur zu Testzwecken. DMZ ist es nicht direkt, eher Exposed Host. Habe den falschen Begriff verwendet.

Die IP von dem OpenVPN Server sieht falsch aus ?

Der Exposed Host als günstige alternative zu einer Demilitarized Zone​

Günstige Router, wie sie beispielsweise für den privaten Internetzugang zum Einsatz kommen, werben oft mit einer DMZ-Unterstützung. In der Regel handelt es sich jedoch nicht um eine echte Demilitarized Zone, sondern um einen Exposed Host. Ist ein Exposed Host konfiguriert, leitet der Router sämtlichen Verkehr aus dem Internet, der nicht zu existierenden Verbindungen gehört, an einen einzigen Rechner oder Server weiter. Dieser ist dadurch für User aus dem Internet erreichbar. Allerdings ist der Exposed Host nicht vom LAN separiert und bietet keine vergleichbare Schutzwirkung wie in einer DMZ.

 

[autoshot]

Die IP von dem OpenVPN Server sieht falsch aus ?

Die 10.0.1.111?

 

[User007]

Hmm...

Nach nochmaliger (intensiver) Kontrolle frage ich mich eher, wieso hier für OpenVPN bei der Dyn.(?) IP-Adresse 'ne Acht (8) eingetragen steht? 🤔​

 

[autoshot]

wieso hier für OpenVPN bei der Dyn.(?) IP-Adresse 'ne Acht (8) eingetragen steht? 🤔

So richtig versteh ich das auch nicht um ehrlich zu sein. Bei meiner anderen Disk Station funktioniert VPN mit genau dieser (standardmäßigen) IP-Einstellung aber wunderbar 🤷🏼‍♂️

 

[User007]

Mglw., weil dort (ist die Gegenstelle, sofern ich das richtig aufgefasst habe, oder?) das Lokalnetz mit 10.8.x.x/24 im Gegensatz zu hier (10.1.x.x/24) definiert ist?​

 

[autoshot]

Mglw., weil dort das Lokalnetz mit 10.8.x.x/24 im Gegensatz zu hier (10.1.x.x/24) definiert ist?​

nein, das is es auch nicht:

 

[User007]

Ok - da läuft aber OVPN nativ auf dem Router, oder?

Wie sieht denn dort die Konfig sonst aus? Denn das zeigt ja nur das lokale Subnetz, aber OVPN braucht ja auch 'nen Port nach "draußen".​

 

[autoshot]

@User007 nein da is die Konfiguration sehr ähnlich wie bei meinen Eltern auch:
Provider-Modem bzw. Router mit Portweiterleitung -> Eero Router -> Disk Station mit VPN Server. Der Eero Router ist wie folgt konfiguriert:

 

[autoshot]

@User007 @FiRAS

Es funktioniert! War am Wochenende mal wieder bei den Eltern und siehe da, vermutlich mit Aktivierung der festen IP hat das Modem einen neuen Menüpunkt: erhalten "IPv4 Port Forwarding" (siehe Screenshot). Damit konnte ich dann endlich alles so aufsetzen, dass mich von überall mit der DS718 verbinden kann