Unitymedia OpenVPN - MyFritz Freigabe

[tomas]

Hallo.

Ich habe auf meiner Synology nun mal den OpenVPN Server eingerichtet und mir "Tunnelblick" für OS X geholt. Das importieren der Einstellungen klappte soweit auch. Nun muss ich aber in der Konfigurationsdatei neben der URL zum Server auch noch den Port festlegen.

Ich habe nun in der FritzBox eine MyFritz-Freigabe auf
https://sub.meineDomain.de angelegt und eben Port 1194 dafür festgelegt.
Unter "IPv6-Freigaben" habe zusätzlich noch eingestellt, dass das der UDP Port sein soll.

Dabei ist zu erwähnen das von der Adresse sub.meineDomain.de ein CNAME auf die MyFritz-Adresse geht.

Wenn ich nun versuche die VPN Verbindung zu öffnen, steht in den Logs immer
"RESOLVE: Cannot resolve host address: https://sub.meineDomain.de: [HOST_NOT_FOUND] The specified host is unknown"

Habe in der Konfigurationsdatei auch mal das "https://" weggelassen - leider ohne Erfolg.
Habe ich etwas falsche gemacht? Und wenn ja, was?
Oder ist es überhaupt nicht möglich?!

Hier mal zur Info meine openVPN Konfigurationsdatei:

<i>
</i>dev tun
tls-client
remote https://sub.meineDomain.de 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
proto udp
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass

 

[Larix]

Wann hast du die Subdomaine angelegt und wann den versuch gestartet? Als ich selber noch eine Homepage hatte, hat es immer ein paar Minuten gedauert, bis die Subdomaine im DNS Server meines Hosting-Anbieters eingetragen war.
Ansonsten kann ggf. DS-Lite das Problem sein, hast du des? Dann würde nämlich eine Anfrage auf deiner IPv4 Adresse vom Unitymedia/KabelBW Server geblockt werden. Ich hatte auch auf der Unitymedia Facebook Seite gelesen, dass ein anderer Kunde sich darüber beschwerte, dass Unitymedia VPN auf dem Privatkundenanschluss blockieren würde, aber keine Ahnung ob das stimmt.

 

[SpaceRat]

Dabei ist zu erwähnen das von der Adresse sub.meineDomain.de ein CNAME auf die MyFritz-Adresse geht.

Wenn ich nun versuche die VPN Verbindung zu öffnen, steht in den Logs immer
"RESOLVE: Cannot resolve host address: https://sub.meineDomain.de: [HOST_NOT_FOUND] The specified host is unknown"

Habe ich etwas falsche gemacht? Und wenn ja, was?

Ja, zwei Sachen:
1. das https:// gehört weg. Schließlich willst Du keinen https-Server erreichen, sondern einen OpenVPN-Server ...

2.

Hier mal zur Info meine openVPN Konfigurationsdatei:

proto udp

Es muß
"proto udp6"
heißen, wenn die Verbindung per IPv6 erfolgen soll.

 

[tomas]

Danke SpaceRat, ich denke daran liegt es. Ich werde es nachher sofort testen!
Aber eine Frage noch zu der MyFritz-Freigabe in der FritzBox.
Ich muss dort ja ein "Schema" angeben. Soll ich da einfach "https://" lassen? Ich habe ja auch die Möglichkeit manuell ein Schema einzutragen, nur was müsste ich da eintragen? Leer lassen geht nicht.

P.S. Die Subdomain ist schon seit mehr als 6 Monaten so angelegt - und Zugriffe auf andere Dienste meiner Synology klappen ohne Probleme.

Gerade entdeckt das auf meiner Diststation folgende OpenVPN Version installiert ist:
2.1.4
Auf die Schnelle habe ich bei Google gefunden, dass es wohl daran liegt.
Dann werde ich den OpenVPN Server wohl manuell nochmals auf der Diskstation installieren müssen.

 

[SpaceRat]

Aber eine Frage noch zu der MyFritz-Freigabe in der FritzBox.
Ich muss dort ja ein "Schema" angeben. Soll ich da einfach "https://" lassen? Ich habe ja auch die Möglichkeit manuell ein Schema einzutragen, nur was müsste ich da eintragen? Leer lassen geht nicht.

Was AVM da als "Schema" bezeichnet, ist eigentlich eine Protokoll-Angabe.
Die wiederum ist nur für den Zugriff aus einem Web-Browser heraus wichtig, damit dieser weiß, ob er selber auf den Server kommt (Was ja bei http, https und ftp der fall wäre) oder ob er die Adresse an ein anderes Programm übergeben muß/soll (z.B. bei sftp, ftpes, ftps, ed2k, irc, magnet usw.).

Bei den meisten nicht genannten Protokollen macht diese Angabe allerdings keinen Sinn, weil es eh keinen entsprechenden Protokoll-Handler im System gibt. Du kannst aus Jux und Dollerei "openvpn://" dort rein schreiben, aber nutzen wird es vermutlich nichts.

Theoretisch könnte man dann einen Protokoll-Handler für openvpn://-URIs schreiben, der dann Tunnelblick öffnet und dort entweder das mit dem entsprechenden Host konfigurierte VPN auf- bzw. abbaut oder ein neues VPN mit diesem konfiguriert ...
Wie gesagt, das gibt es m.W. für OpenVPN so derzeit nicht, aber dafür dient diese Angabe ...

Ich mache mir das Leben in der Hinsicht auch einfach:
Ich lege nur die erste Freigabe je Gerät als MyFritz!-Freigabe an, dabei erzeugt MyFritz! gleichzeitig - neben dem MyFritz!-Host für dieses Gerät und der passenden IPv4-Portweiterleitung - auch eine IPv6-Freigabe. Für alle weiteren Dienste auf demselben Gerät ergänze ich die IPv6-Freigabe dann einfach nur um die zusätzlichen Ports, da ich eh nie über AVMs Webseite "myfritz.net" gehe, denn das ist die einzige Stelle, an der Dir dieses "Schema" noch mal begegnen würde.
Wenn Du tatsächlich über myfritz.net gehst, dann macht es hingegen Sinn, zumindest für https: und sftp: korrekte MyFritz!-Freigaben samt Schema anzulegen, damit Du direkt per Klick auf die dort angebotene URI z.B. den FileZilla für sftp-URLs öffnen kannst.

Gerade entdeckt das auf meiner Diststation folgende OpenVPN Version installiert ist:
2.1.4
Auf die Schnelle habe ich bei Google gefunden, dass es wohl daran liegt.
Das ist schlecht, war mir aber bekannt.
Ich wüßte auch gerne mal, was Synology geritten hat, immer noch diese antike Version vorzuinstallieren. Die kann nämlich zumindest von Haus aus kein IPv6 und Synology wirbt an sich sogar mit dem - ansonsten sehr guten - IPv6-Support ihrer Diskstations ...

Dann werde ich den OpenVPN Server wohl manuell nochmals auf der Diskstation installieren müssen.

Viel Spaß dabei ...