Auf Gateway-Server Traffic weiterleiten

  • Hallo Community,


    ich habe Zuhause seit kurzem Deutsche Glasfaser mit einer IPv6-Adresse. Im Moment komme ich von außen (von IPv4 Geräten) nicht mehr in mein Heimnetz. Damit das doch geht, habe ich mir den VPS 200 G8 geholt, um ihn als Gateway-Server zu benutzen.

    Mein erstes Ziel: über OpenVPN ins Heimnetz kommen. Ein OpenVPN-Server läuft schon auf meinem Synology-NAS hinterm Router, eine Portfreigabe ist eingerichtet. Auf meinem vServer läuft 6tunnel, der den Traffic über Port 1194 an eine dynamische DNS weiterleitet, hinter der die IPv6-Adresse von meinem Glasfaseranschluss steht.


    Mein Problem ist im Moment, dass ich nicht auf den vServer komme:


    [Blocked Image: https://abload.de/img/1v7k2i.jpg]


    Muss ich den Port noch irgendwie freigeben? Gibt es auf meinem vServer eine Firewall? Und was muss ich beim OpenVPN-Client als Username und Passwort eingeben?


    Viele Grüße

    simpty

  • Da steht doch der Zertifikatsfehler. Wenn ich das richtig sehe, wird der Verbindungsaufbau gestartet und schlägt fehl.

    Du willst (wenn ich das richtig verstehe) den Trafik für das VPN über deinen VPS zu deiner Synology weiterleiten?


    Benutzer/Passowort: Das nehmen was du konfiguriert hast (falls du mit user-pass oVPN konfiguriert hast).

  • Du versuchte also von einem externen Client, über den VPS auf den OpenVPN-Server am NAS zuzugreifen? Habe ich das soweit richtig verstanden?


    Kannst Du den TCP-Port 1194 der IPv6-Adresse vom VPS aus überhaupt erreichen? Teste das mal mit Netcat oder Telnet.

    Muss ich den Port noch irgendwie freigeben? Gibt es auf meinem vServer eine Firewall?

    Möglich, ist Dein System bzw. Deine Konfiguration. Da Du uns nicht einmal sagst, welches Betriebssystem oder Version darauf läuft, kann man nur schwer weitere Tipps geben. ;)

    Und was muss ich beim OpenVPN-Client als Username und Passwort eingeben?

    Auch das weißt nur Du, was Du beim OpenVPN-Server am NAS konfiguriert hast.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Benutzer/Passowort: Das nehmen was du konfiguriert hast (falls du mit user-pass oVPN konfiguriert hast).

    Ich habe von der Syn nur die config-Datei runtergeladen und dann die IP vom vServer reingeschrieben.


    @killerbees19:

    Genau das ist mein Plan. Ich habe hier einen IPv4-Rechner und mein Heimnetz ist nur über IPv6 erreichbar. Daher der Umweg über den vServer, das soll angeblich gehen.


    Kannst du mir sagen, wie ich das testen kann? Kenne mich nicht so gut mit Linux aus. -> siehe unten


    Stimmt, das habe ich vergessen. In der /proc/version steht:

    Linux version 4.9.0-0.bpo.12-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.2 (Debian 4.9.2-10+deb8u2) ) #1 SMP Debian 4.9.210-1~deb8u1 (2020-02-21)

    Habe an dem Ding nichts geändert, also nichts formatiert oder neuinstalliert.


    Ich nehme einfach den User, mit dem ich mich an der Syn anmelde.


    EDIT:

    Mit

    Code
    nc -v -z IPv4 1194

    bekomme ich: 1194 (openvpn) open; aber mit der IPv6 aus dem Network Dashboard nicht -> forward host lookup failed: Unknown host

  • Bei deim Bild: Da steht connection eta....

    und danach steht da, das TLS nicht funktioniert (einfach gesagt)

    Hast du wenigsten das System aktuallisiert und nicht benötigte Dienste deaktiviert? Synology hat auch einen Dyndns Dienst (ich weiss nicht ob er mit ipv6 funktioniert). Alternativ: VPN Server auf dem VPS installieren und dann die Synology dahin verbinden lassen. Dann kannst du dich mit deinem VPS verbinden und hast Zugriff auf das NAS.

  • Dann wirst Du früher oder später ein ernsthaftes Problem haben :!:


    Da läuft offenbar ein Debian Jessie, wahrscheinlich mit dem Standard-Froxlor-Image. Das bekommt jetzt schon nur noch eingeschränkte Sicherheitsaktualisierungen über LTS und in wenigen Wochen gar keine mehr. Das Ding ist als Basis denkbar schlecht für Dein Vorhaben geeignet und wird früher oder später offen wie ein Scheunentor stehen. Bitte bedenke, dass Du als Administrator des Servers für alles haftet, wofür er missbraucht wird! Du bist für die Absicherung des Servers alleine verantwortlich.


    Prinzipiell bin ich aber durchaus der Meinung, dass man die korrekte Absicherung und Updates eines Linux-Servers, wenn man ihn nur als Gateway für solche Zwecke nutzen möchte, ohne weitreichendes Wissen schaffen kann. Dafür solltest Du aber unbedingt den Server mit einem minimalen Image neu installieren, z.B. mit Debian Buster – ohne Extras wie Froxlor oder dergleichen: https://www.netcup-wiki.de/wik…l_(SCP)#Offizielle_Images


    (Bei einer Neuinstallation gehen selbstverständlich alle vorhandenen Daten verloren.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • :!: Wie @killerbees19 schreibt bring dein System bei Netcup unbedingt auf den neusten Stand, weil sonst ist das Ding sehr schnell ein Bot im Internet. :!:


    Wenn man Anschlüsse hat die nur IPv4 können, nutze ich gerne immer ein IPv6 Tunnelbroker damit ich in beiden Welten unterweges bin.
    So was könnte man sich aber auch mit seinen eigenen VPS oder Rootserver bei Netcup selber Bauen.


    Ist es möglich beim Synology auf WireGuard zusetzen, weil OpenVPN nicht besonders schnell ist?


    In deine Fall musst du:

    1) OpenVPN Server auf den Synology und VPS installieren

    2) OpenVPN Server auf den Synology für ein Client Konfigurieren

    3) IPv6 Portfreigabe beim Router zum Synology Einstellen

    4) Den VPS ein virtuelles Netzwerkinterface im selben IPv4 Netzwerk wie es bei dir Zuhause ist

    5) Die VPN Verbindung von deinen VPS aufbauen und Testen ob Synology und andere Geräte per Ping erreichbar sind

    6) Falls nicht andere Geräte erreichbar sind muss eine Route beim VPS gesetzt werden

    7) Wenn alles getestet worden kann OpenVPN Server auf den VPS für externe Clients konfiguriert werden

    Mit freundlichen Grüßen
    Track1991

  • Wenn man eh den Router für ipv6 aufmacht um die Synology zu erreichen, kannn man auch einfach den Dyndns Dienst von Synology nehmen. Dann braucht man auch keienen VPS. Man kann auch direkt vom NAS die Verbindung zum VPS aufbauen. Dann braucht man auch nicht zusätzlich zuhause am Router umbauen.
    Alternativ könnte man auch direkt dn Router (je nach Model) zum VPN Server oder Client erweitern.

  • Alternativ könnte man auch direkt dn Router (je nach Model) zum VPN Server oder Client erweitern.

    Er braucht eine zwischen Lösung, weil er Zuhause nur IPv6 hat und die externen Geräte nur IPv4 haben und sein Netzwerk Zuhause erreichen möchte.

    Hinweis: Außerdem kann das Fritz!Box VPN kein IPv6.

    Mit freundlichen Grüßen
    Track1991

  • Er braucht ein zwischen Lösung, weil er Zuhause nur IPv6 hat und die exteren Geräte nur IPv4

    Es braucht aber nicht die Verbindung vom VPS zum NAS aufbauen. Es reicht wenn der VPN Server auf dem VPS mit den richtigen Routen und auf dem NAS den Client eingerichtet wird. Dann hat er Zugriff.

  • Dann muss er aber beim NAS folgendes Sicherstellen:

    1. Client muss dauerhaft eine Verbindung zum VPS halten

    2. Wenn die IPv6 Adresse sich ändern sollte muss der Client die Verbindung wieder automatisch per Skript Aufbauen


    Beim VPS würde ich aber das gleiche Netzwerk bei OpenVPN Server verwenden, weil sonst müsste er Alternativ eine LAN to LAN Kopplung machen.

    Mit freundlichen Grüßen
    Track1991

  • 1. Das NAS läuft ja eh die ganze Zeit. Die Einstellung ist kein Problem.

    2. Die v6 ist doch völlig egal. Verbindet der OVPN Client die Verbindung, baut er diese wieder auf.

    VPN Server auf dem VPS. 10er Netzwerk oder so. Routen push. Dann baut man einfach von unterwegs aus eine VPN Verbinung auf (4096 Key, incl. User und Password Absicherung und ggf. f2b.Sonst keine externen Dienste außer vielleicht ssh). Danach erreicht er sein NAS. Das Einzige was man dann schauen muss ist, welche Systemeer noch da erreichen will.

  • Erst einmal danke euch allen für die Antworten. Irgendwie klingt das alles nach ziemlich viel Aufwand, was vielleicht den Ertrag / das Ziel nicht ganz wert ist.

    Dann werde ich in Zukunft QuickConnect nutzen und damit weiterkommen.