Unitymedia Probleme mit VPN bei Synology / Connect Box

[SynologySimon]

Hallo zusammen,

vielleicht hat jemand von Euch hier einen Tipp für mich, ich komme leider trotz stundenlanger Internet-Recherche nicht weiter

- Ich habe einen neuen Unitymedia Internet-Anschluß und nutze die UnityMedia Connect Box.
- An der Connect Box ist ein Synology NAS mit neuester DSM Software angeschlossen.

Ich möchte von außen auf das Synology NAS per VPN zugreifen und den im Synology integrierten VPN-Server dafür nutzen.

- Laut Connect Box hat das NAS eine ipv6 Adresse zugewiesen bekommen (sichtbar unter "Verbundene Geräte").
- Das Synology NAS zeigt diese auch selbst an (Control Panel -> Network Interface -> Network Adapter), allerdings mit dem Zusatz /64 hinten dran, außerdem wird noch eine zweite ipv6 Adresse darunter angezeigt.
- Laut Synology wurden in der Connect Box per upnp die erforderlichen Port-Freigaben erfolgreich eingerichtet.
- Weiterhin habe ich zwei verschiedene DynDNS-Dienste eingerichtet, über welche sich die Synology erfolgreich anmeldet.

Dennoch gelingt es mir nicht, auf die Box von außen zuzugreifen. Auch der Verbindungstest im Synology Control Panel schlägt fehl ("Control Panel -> External Access -> Router Configuration -> Test Connection" der VPN-Portfreigaben).

Woran könnte es liegen, was könnte ich machen? Brauche ich einen Tunnel wegen der ipv6 Adresse oder kann ich dies durch Einstellungen beheben, oder müsste Unitymedia etwas ändern und ich brauche mir die Zähne nicht weiter daran ausbeißen? Dann würde ich eventuell den Anschluß wieder kündigen (bin noch in der Probephase), falls die es nicht ändern können.

VG, Simon

 

[F-orced-customer]

Serverdienste sind laut AGB verboten, kein Support.

Es wurde wohl nur die IPv4 Adresse bei den dyndns angemeldet.
Verbindungen über IPv4 sperrt jedoch der DS-Lite AFTR.

 

[Andreas1969]

Im Prinzip gibt es nur 2 Möglichkeiten:

Entweder bietet der Hersteller des NAS einen
"Relais-Dienst" an, wenn das nicht der Fall ist,
hast Du nur noch die Möglichkeit, auf einen
Businesstarif zu wechseln.
Im Businesstarif wird es 100% funktionieren.

Gruß Andreas

 

[tq1199]

- Laut Connect Box hat das NAS eine ipv6 Adresse zugewiesen bekommen (sichtbar unter "Verbundene Geräte").
- Das Synology NAS zeigt diese auch selbst an (Control Panel -> Network Interface -> Network Adapter), allerdings mit dem Zusatz /64 hinten dran, außerdem wird noch eine zweite ipv6 Adresse darunter angezeigt.

Hat dein NAS auch eine IPv6-Adresse mit dem IPv6-Präfix, bekommen? Kannst Du in der Connect Box, IPv6-Freigaben konfigurieren?

 

[SynologySimon]

Käme ich dann mit freedns von afraid.org weiter? Das kann wohl ipv6.

Bzgl. der AGB, ich sehe den Hinweis, dass die Überlassung des Anschlusses zur Nutzung von Dritten nicht gestattet ist. Hier findet sich auch der Hinweis zum Betrieb von Servern. Da ich ausschließlich persönlich auf mein Synology zugreifen möchte, gehe ich davon aus, dass Unitymedia damit kein Problem hat.

Es findet sich auch ein Hinweis in den FAQ von Unitymedia, der sagt, dass VPN möglich ist, aber auf Schwierigkeiten aufgrund der ipv6 Adresse hinweist: "Sie haben eine Frage zu VPN. Die Einrichtung eines VPN Tunnels ist generell möglich. Bei einer IPv6 Adresse bestehen allerdings zur Zeit Einschränkungen. Alternativ ist es möglich IPv6 Fähige FRITZ!Box Dienste (Fernwartung und NAS) über einen Tunnel von einem IPv4 Anschluss abzurufen.".

 

[Andreas1969]

Alternativ ist es möglich IPv6 Fähige FRITZ!Box Dienste (Fernwartung und NAS) über einen Tunnel von einem IPv4 Anschluss abzurufen.".

Ja, das ist richtig. Bei der Fritzbox geht das.
Habe selber diese Konstellation.

Gruß Andreas

 

[addicted]

Das NAS muss die VPN-Verbindung auf jeden Fall via IPv6 bereitstellen, und Du musst das VPN von aussen via IPv6 aufbauen.
Wenn das nicht möglich ist, benötigst Du einen externen Dienst (selbst betrieben oder von einem Dienstleister), der Dir die Übersetzung von IPv4 in IPv6 macht.

Es könnte sein, dass UPnP vom NAS oder der ConnectBox nur für IPv4 verwendet wird. Dann müsstest Du in der CB die IPv6-Adresse vom NAS manuell aus der IPv6 Firewall ausnehmen, damit eingehende Verbindungen nicht blockiert werden. Gibt's irgendwo nen Menüpunkt für.

Bzgl. der AGB: Der zweite Satz dieses Punktes wurde erst mit Einführung von DS-Light hinzugefügt. Rechtlich ist das bloß eine Absicherung gegen Forderungen des Kunden, damit dem Kunden kein Anspruch auf Leistungsmerkmale entsteht (z.B. IPv4 statt DS-Light). In Deiner Interpretation des ersten Satzteils stimme ich mit Dir überein.

 

[Andreas1969]

Ich schau mir das mal an, was mit der ConnectBox
möglich ist.
Habe seit gestern auch eine in Betrieb, die läuft auch auf DSLite.

Gruß Andreas

 

[SynologySimon]

Hat dein NAS auch eine IPv6-Adresse mit dem IPv6-Präfix, bekommen?

Also, das NAS hat eine eigene IPv6 Adresse, und alle IPv6 Adressen in meinem Netz beginnen mit den gleichen vier Hexadezimal-Blöcken ... also ich vermute, ja?

Kannst Du in der Connect Box, IPv6-Freigaben konfigurieren?

Ja, das geht. Eigentlich sollten sie per UPNP schon eingetragen sein, ich habe vorsichthalber zusätzlich mal direkt in der Connect Box die gleichen Ports in beide Richtungen freigegeben, welche das NAS per UPnP eintragen wollte
(500,1701,4500). Leider schlägt der Verbindungstest weiter fehl.

 

[SynologySimon]

Hi Andreas,

Im Prinzip gibt es nur 2 Möglichkeiten:

Entweder bietet der Hersteller des NAS einen
"Relais-Dienst" an, wenn das nicht der Fall ist,
hast Du nur noch die Möglichkeit, auf einen
Businesstarif zu wechseln.
Im Businesstarif wird es 100% funktionieren.

Synology bietet das sogenannte Quickconnect an, welches auch funktioniert. Damit habe ich aber kein echtes VPN, sondern nur Zugriff auf ausgewählte Applikationen des NAS. Meine Hoffnung war, dass ich ein echtes VPN aufbauen kann und so z.B. auch von Remote meinen Unitymedia Anschluß nutzen kann. Letztes Anwendungsszenario - Amazon Prime verweigert am Urlaubsort die Nutzung von bestimmten Diensten, da ich die ausländische IP Adresse hatte aber bei Amazon Deutschland registriert bin. Mit einem echten VPN hoffte ich, in meinen Anschluß daheim einwählen zu können

 

[SynologySimon]

Hi addicted,

Das NAS muss die VPN-Verbindung auf jeden Fall via IPv6 bereitstellen, und Du musst das VPN von aussen via IPv6 aufbauen.
Wenn das nicht möglich ist, benötigst Du einen externen Dienst (selbst betrieben oder von einem Dienstleister), der Dir die Übersetzung von IPv4 in IPv6 macht.

Es könnte sein, dass UPnP vom NAS oder der ConnectBox nur für IPv4 verwendet wird. Dann müsstest Du in der CB die IPv6-Adresse vom NAS manuell aus der IPv6 Firewall ausnehmen, damit eingehende Verbindungen nicht blockiert werden. Gibt's irgendwo nen Menüpunkt für.

Ich kann auch bei direkter Eingabe der IPv6-Adresse, ohne DynDNS-Dienst, aus dem eigenen WLAN nicht drauf. Bin aber nicht sicher, ob das vielleicht daran liegt, dass ich selbst im Netz drin bin und kein VPN innerhalb des eigenen Netzes aufbauen kann. Das geht z.B. bei uns auf der Arbeit mit dem dortigen VPN Client auch nicht, wenn man im Unternehmensnetz ist.

Bzgl. der AGB: Der zweite Satz dieses Punktes wurde erst mit Einführung von DS-Light hinzugefügt. Rechtlich ist das bloß eine Absicherung gegen Forderungen des Kunden, damit dem Kunden kein Anspruch auf Leistungsmerkmale entsteht (z.B. IPv4 statt DS-Light). In Deiner Interpretation des ersten Satzteils stimme ich mit Dir überein.

Schade... aber ich könnte vermutlich noch über die "Zufriedenheitsgarantie" wieder kündigen. Nur sonst ist der Anschluß eigentlich prima, sehr schnell!

 

[Andreas1969]

Schade... aber ich könnte vermutlich noch über die "Zufriedenheitsgarantie" wieder kündigen. Nur sonst ist der Anschluß eigentlich prima, sehr schnell!

Die gibt es ja nicht mehr.
Einzige Möglichkeit, um Dein Vorhaben zu realisieren, ist der Wechsel auf den Business Tarif oder den Anbieter zu wechseln.

Gruß Andreas

 

[tq1199]

Also, das NAS hat eine eigene IPv6 Adresse, und alle IPv6 Adressen in meinem Netz beginnen mit den gleichen vier Hexadezimal-Blöcken ... also ich vermute, ja?

Ich meinte das IPv6-Präfix, das deine CB (als Endkunde), vom ISP (Unitymedia) zugewiesen bekommen hat. Und nicht Präfixe für LL-IPv6-Adressen (z. B.: fe80: oder ULA-IPv6-Adressen (z. B.: fd00:, etc.

Wenn Du in der CB auch eine IPv6-Freigabe für Ping (icmp6-Protokoll) konfigurieren kannst, dann teste mal aus dem Internet, ob dein NAS aus dem Internet per icmp6 (Ping) erreichbar ist.

Ja, das geht.

Ich meinte Ports, wie z. B. 21 oder 22 oder 80 oder ..., an denen gelauscht wird und die evtl. per IPv6, aus dem Internet erreichbar sind.

 

[addicted]

Ich kann auch bei direkter Eingabe der IPv6-Adresse, ohne DynDNS-Dienst, aus dem eigenen WLAN nicht drauf.

Dann ist irgendwas kaputt.

Ich würde ja wenigstens erwarten, dass das Webinterface vom NAS über v6 läuft.

 

[F-orced-customer]

Das geht nicht weil die Anfrage mit der globalen v6 Adresse per defaultroute ins Internet und dann ins Nirvana geht.

 

[tq1199]

Das geht nicht weil die Anfrage mit der globalen v6 Adresse per defaultroute ins Internet und dann ins Nirvana geht.

Das stimmt nicht. Die Geräte sind auch im (W)LAN mit ihrer globalen IPv6-Adresse erreichbar, denn es gibt eine zusätzliche definierte Route für die IPv6-Adressen mit dem "globalen" IPv6-Präfix und auch einen arp-cache-Eintrag für die globale IPv6-Adresse. Z. B. in meinem (W)LAN:

<i>
</i>:~ $ nc -zv -6 2###:####:####:0:####:6ff:fe##:#### 4711
Connection to 2###:####:####:0:####:6ff:fe##:#### 4711 port [tcp/*] succeeded!

Siehe z. B. die Ausgaben von:

<i>
</i>route -6n
ip -6 r
ip n s

 

[F-orced-customer]

Ach richtig. Aber warum gehts dann nicht?

 

[tq1199]

... warum gehts dann nicht?

Um das zu wissen bzw. festzustellen, brauchen wir vom TE die entsprechenden/geeigneten Informationen.