OpenVPN - bekomme keine Verbindung zustande

[NicholasRush]

Testen kannst du deine Konfig ganz einfach, trage doch statt deiner öffentlichen IP die IP des LAN Interfaces der OPNsense ein, dann siehst ob der Verbindungsaufbau funktioniert. Mit traceroute kannst du dann vom Client prüfen ob der Pfad durch den VPN Tunnel genutzt wird.

Bei einem Kabelprovider wird wahrscheinlich nur die Öffentliche Ipv6 Adresse der OPNsense von aussen erreichbar sein, aber auch nur dann wenn im Router davor die OPNsense in dessen Firewall freigegeben wurde.

[Marcel_75]

In Ordnung, jetzt habe ich also (endlich!!!) erst einmal verstanden, warum das bisher nicht funktioniert.

Sobald ich statt meiner DynDNS-Adresse zum Test die interne 192.168.1.111 meines Synology-NAS eintrage, funktioniert die OpenVPN-Verbindung.

Das selbe Ergebnis hätte ich mit Sicherheit, wenn ich den OpenVPN-Server jetzt z.B. wieder direkt auf der OPNsense einrichte und mich dann mit der internen 192.168.1.1 der OPNsense verbinden würde.

Die OpenVPN-Config war also grundsätzlich i.O., sowohl auf der OPNsense, also auch auf dem Synology-NAS.

Mein Problem ist also dieses so genannte "Carrier Graded Nat" - extern habe ich zwar die IP 158.181.74.19, teile mir diese aber "dank" NAT mit vielen anderen Nutzern. Und mein WAN-Interface hat eigentlich die 100.93.0.154 ... Deshalb funktioniert das alles nicht zur Zeit.  :-[

Wie gehe ich damit am besten um? Egal ob ich bei synology.me oder bei no-ip.com eine DynDNS-Adresse nutze, beide geben mir ja nur diese (gemeinsam genutzte) öffentliche IP 158.181.74.19.

Was ich jetzt bräuchte, nämlich eine Port-Weiterleitung von dieser 158.181.74.19 auf meine WAN-Adresse 100.93.0.154 kann ja sowieso nur mein Provider für mich einrichten, und das macht der garantiert nicht.  :'(

Was wäre denn in solch einem Fall die beste Lösung für mich?

Ich würde schon gern mein NAS und auch einige Dienste, die ich im lokalen Netzwerk betreibe, per VPN von außen erreichen können.

[Marcel_75]

PS: Das hier habe ich gerade noch bei heise gefunden, ist zwar von 2013, aber betrifft mich ja auch (Quelle: https://www.heise.de/forum/c-t/Netze/Server-Dienste/Re-DYNDNS-nutzlos/posting-243003/show/):

Solltest du wirklich hinter CGN stecken, bleiben dir nur noch folgende Optionen, wie teilweise schon von anderen gesagt:

1.) IPv6 – langfristig die ,,richtig" Lösung. Wenn Telecolumbus CGN bereits eingeführt hat, dann besteht auch die Chance, dass sie dir evtl. auch schon IPv6 geben. Guck doch mal, ob dein Router das unterstützt (Fritzboxen bspw. ab 7270 – oder wie AVM sagt: ,,die zweite Ziffer in der Modellnummer muss >= 2 sein) und ob dir Telecolumbus IPv6 gibt. Dann noch einen mobilen Tunnel für den Zugriff von außen organisieren und mit der Zukunft glücklich werden.

2.) einen VPN-Tunnel bauen, der sich von drinnen nach draußen über einen Relay-Server aufbaut. Großes Gebastel. Wahrscheinlich auch nicht allzu stabil. Aber einen Versuch wert.

3.) Quängeln. Verschiedene andere Kabelprovider (wenngleich auch nicht Telecolumbus) haben auf dem IPv6-Kongress unter der Hand gesagt, sie würden Kunden, die nur lange genug jammerten, bei CGN auch wieder auf eine public IP umstellen (die anderen störts nicht)

4.) PCP – ganz heiße Scheiße, das ,,Port Control Protocol" gibt die Möglichkeit, auch bei einem CGN noch ein Portforwarding zu installieren. Das ist aber momentan wirklich brandneu (RFC vom April 2013) und wahrscheinlich noch nicht implementiert. AVM baut das gerade in die Fritzbox ein und es ist angemessen, es von deinem ISP zu erwarten, dass er das umsetzt, wenn er dich hinter ein NAT verfrachtet. Nachfragen!

Was sagt ihr dazu? Was wäre Eure Empfehlung?

[NicholasRush]

Bei dir geht also nur IPv6 eingehend, am CG-NAT deines Anbieters kannst du leider nichts ändern. Du kannst aber so einen Dienst nutzen, falls du IPv4 unbdingt brauchst: http://www.feste-ip.net/

Dein Anwendungsgebiet ist das hier: http://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/

Allerdings sind die Laufzeit Preise von feste-ip.net so, dass man sich besser gleich nen V-Server Mieten kann und die Umleitung darüber laufen lässt. Siehe hier: https://www.netcup.de/bestellen/produkt.php?produkt=1712

Besser wäre natürlich ein Internet Anschluss mit Dual-Stack, aber je nach dem wo man sich befindet geht das ja leider nicht.

Ansonsten würde ich Quengeln bei Telecolumbus mal versuchen.

[JeGr]

> Ansonsten würde ich Quengeln bei Telecolumbus mal versuchen.

Dito. Oft hilft auch schon die Argumentation, dass es ggf. schonmal funktioniert hat (wenn die den Laden eh gerade gekauft haben, kann das gut sein weil sie jetzt IPs sparen wollen), und du das aus beruflichen Gründen für deinen Arbeitgeber brauchst, weil du für Homeoffice/Banking auf einen VPN Tunnel angewiesen bist der funktionieren muss, der aber nur mit echtem v4 bzw. DualStack klappt. Mit letzterer Argumentation sind schon einige Kunden bei UM, KD oder der Telekom durchaus dazu gekommen, dass sie wieder eine v4 bekommen haben.

Gruß

[Marcel_75]

Ich danke Euch allen erst einmal für Eure Geduld und Unterstützung.

Echt übel, dieses CGN (Carrier Graded NAT).

Habe eine "echte" IPv4-Adresse heute sowohl im PYUR-Shop beantragt (ehemals Tele Columbus) als auch jetzt noch einmal per Kontakt-Formular auf der PYUR-Webseite.

Die Hotline von denen ist der absolute Witz - egal zu welcher Uhrzeit man von Mo. bis Fr. zwischen 8 und 22 Uhr anruft, entweder wartet man bis zu 30 Minuten in der Warteschleife und fliegt dann raus (es wird einfach aufgelegt nach knapp einer halben Stunde) oder aber es kommt sogar gleich die Ansage, dass alle Mitarbeiter beschäftigt sind und man es später noch einmal versuchen solle (und da wird dann auch direkt aufgelegt).

Im Shop sagte man mir heute schon, solch eine Änderung könne bis zu 4 Wochen dauern, da aktuell alle Mitarbeiter überlastet seien.  :(

Das ist wirklich übel, zumal es ja ursprünglich (zu Tele Columbus Zeiten) funktioniert hatte und nun scheinbar seit PYUR nicht mehr!

Ich frage mich auch nach wie vor, ob man in solch einem Falle nicht ein Sonderkündigungsrecht hat, denn Anschlüsse mit solchem CGN sind doch - wenn man es genau nimmt - "verkrüppelte" Internet-Anschlüsse, die für Oma Trude und Netflix ja ausreichen mögen, für jeden ambitionierten Anwender aber so massive Einschränkungen mit sich bringen (kein normales IPv4-Port-Forwarding mehr möglich), dass der Anschluss im Prinzip völlig nutzlos ist, sobald man "von außen" auf sein privates Netzwerk zugreifen möchte.

Als Notbehelf habe ich jetzt QuickConnect auf der Synology aktiviert, finde das zwar nicht so pralle, weil der Relay-Server von Synology ja im Prinzip auch ein "man in the middle" ist (bzw. sein kann wenn er möchte), aber anders geht es ja vorerst erst einmal nicht und so komme ich wenigstens erst einmal an wichtige Dateien auf meiner Synology.

DynDNS und IPv4-Port-Forwarding oder von mir aus auch eine "feste" IPv4-Adresse nebst entsprechender Port-Weiterleitung brauche ich aber nach wie vor, um OpenVPN spielen zu können.

Hoffe, dass das so schnell wie möglich geklärt wird bei PYUR ...  :-\

Auf alle Fälle noch einmal vielen vielen Dank für Eure Geduld und Unterstützung - ihr seid Klasse!

[JeGr]

Auch wenn ich dir zum Großteil zustimme, ist es aus Sicht der Provider bzw. "Allgemeinheit" eher so:

"verkrüppelte" Internet-Anschlüsse, die für Oma Trude und Netflix ja ausreichen mögen, für jeden ambitionierten Anwender aber so massive Einschränkungen mit sich bringen (kein normales IPv4-Port-Forwarding mehr möglich), dass der Anschluss im Prinzip völlig nutzlos ist, sobald man "von außen" auf sein privates Netzwerk zugreifen möchte.

Das stimmt so nicht. Die Anschlüsse sind nicht verkrüppelt, sie gewähren Zugang zum Internet. Und zwar - dank CGN - auch zum noch gesamten IPlegacy (v4) Netzwerk. Die "massiven Einschränkungen" von denen du sprichst, haben für die meisten Leute überhaupt keinen Impact, da dort das Internet über den Provider-Router genutzt wird. Und der macht IPv6 + CGN für den Rest und gut ist. Da IPv6 auch bei den Providern und Hostern eine immer größere Rolle spielt und endlich mal großflächiger ausgerollt wird, ist auch wirklich ein Zeitpunkt absehbar, ab dem Gegenstellen genauso per v6 und v4 erreicht werden können und du dann an diesem Anschluß völlig normal angebunden bist.

Ein weiterer Punkt deiner Einschränkung "von außen drauf zugreifen" ist genau der Punkt, den jeder Povider ja versucht so unattraktiv wie möglich zu machen. Egal ob das IPv6 / CGN ist, ob das Zwangstrennungen sind, ob das wechselnde IP Adressen und rotierende IPv6 Prefix Vergabe (unter dem Deckmantel der "Privatsphäre") ist, ob das asynchrone Leitungen mit stark vermindertem Upstream ist, alle Maßnahmen zielen letztendlich darauf ab, dass es dir so unattraktiv wie möglich gemacht wird, über deine Leitung selbst Dienste bereitzustellen. Wer sich (wie ich beruflich) mit Preisen von Leitungsanbietern in bspw. Datacentern oder an größeren Unternehmensstandorten beschäftigen muss, dem wird da schnell auffallen, wie extrem günstig solche Angebote à la Kabel-Internet mit Datenraten von 400/20 bspw. sind. Wer versucht, das annähernd (nicht vom Kabelanbieter) in der Beschaffenheit als Glasfaser oder ähnlichem und dann noch dazu Flat(!) ins Haus gelegt zu bekommen, dem wird bald der Kopf brummen. Die Leistung für den Endkunden ist vergleichbar günstig. Und damit dann Firmen nicht auf die Idee kommen die billige Consumerlösung auch für die eigenen Dienste zu nutzen, muss man ja einen "Mehrwert" schaffen - selbst wenn der stark gekünstelt ist ;)
Tatsächlich ist der Zugriff von außen ins Heimnetz ja eine sehr spezifische "Prosumer" Geschichte. Nicht nur der Omi, den meisten reicht einfach der Anschluß nach draußen - wer bietet schon selbst Webseiten oder -Dienste auf seinem eigenen Server bei sich daheim an und warum auch? Daher ist das überhaupt kein Einsatzgebiet für Privatanschlüsse und demzufolge auch kein Fokus.  :)

Zuletzt noch die Formulierung bei der ich schmunzeln musste: "kein normales Port Forwarding/NAT" möglich, Anschluß nutzlos. Warum? Du bist doch im Internet oder nicht? ;) Nein, der Punkt ist eher: NAT wurde gebraucht WEIL plötzlich zu Hause nicht mehr nur ein Computer stand mit einem Modem und Direkteinwahl, sondern plötzlich 2 oder 3. Heute sind da sicher mind. ein paar dutzend IPs im Haus unterwegs bei vielen Prosumern. Trotzdem ist und bleibt NAT letztendlich seit zig Jahren per se eines: eine RIESIGE Krücke, die man loswerden will. Dass man sich überhaupt mit Port Forwardings und Outbound NAT herumschlagen muss liegt ja nur an der IP Knappheit und der Massenträgheit der Provider, Hoster und Verantwortlichen, am Schema F etwas zu ändern. Wäre IPv6 ordentlich und zügig implementiert worden wie alle noch vor Jahren genickt haben, wäre das heute schon lange kein Thema mehr und wir würden uns eher mit den Nachwirkungen der Prefix Rotation herumschlagen, die Telekom und Co eingeführt haben anstatt ihren Kunden statische IPv6 Prefixe zuzuordnen.

Aber deshalb ist der Anschluß ja nicht kaputt - nur für dich als angenehden Prosumer eben ungeeignet ;) Und deshalb reagieren die ISPs auch meist nur beim Aufschrei pro Kunde darauf. Wo man Adressen sparen kann, werden sie eben eingesackt und gespart, denn heute ist jede IPv4 bares Geld wert.

Sorry für das Pamphlet :D Ich verstehe natürlich völlig den Ärger auf deiner Seite - für den Anbieter ist das Verhalten aber recht normal. Siehe auch Kabelanbieter, die als neuster Mitspieler am Markt heute natürlich die wenigsten v4 Adressen haben und dementsprechend sehr stark haushalten müssen und am ehesten deshalb hoffen, dass v6 bald flächig kommt.

Grüße
Jens

[NicholasRush]

Ein weiterer Punkt deiner Einschränkung "von außen drauf zugreifen" ist genau der Punkt, den jeder Povider ja versucht so unattraktiv wie möglich zu machen. Egal ob das IPv6 / CGN ist, ob das Zwangstrennungen sind, ob das wechselnde IP Adressen und rotierende IPv6 Prefix Vergabe (unter dem Deckmantel der "Privatsphäre") ist, ob das asynchrone Leitungen mit stark vermindertem Upstream ist, alle Maßnahmen zielen letztendlich darauf ab, dass es dir so unattraktiv wie möglich gemacht wird, über deine Leitung selbst Dienste bereitzustellen.

Gerade die IPv6 Prefix Rotation geht mir ziemlich auf die Nerven. Ich würde ja gerne mein Internes Netz nur mit dem Privaten Adressraum "[fd::]" versehen, aber leider macht eben diese Prefix Rotation das unmöglich. So würde das Ipv6 VPN Routing auch einfacher werden, so geht eben nur IPv4, weil sich auf allen Seiten die Prefixe ja immer ändern.

Leider wurden bei Ipv6 in vielen Dingen (Designentscheidungen und deren Umsetzung) teilweise die gleichen Fehler gemacht, wie bei IPv4. Mit der Netzwerkgröße mal angefangen, denn wer braucht in einem Netzwerksegment so viele Adressen wie 2x IPv4 ???? Die Netzwerkgeräte Router etc. kommen teilweise auch nicht mit kleineren gerouteten Netzen klar. Jeder der ein Netz bei der Ripe beantragt bekommt mehr Adressen als jemals gebraucht werden. Irgendwann bekommen die das gleiche Problem wie jetzt bei IPv4. Da fällt mir echt nichts mehr zu ein....

[JeGr]

> Gerade die IPv6 Prefix Rotation geht mir ziemlich auf die Nerven.

I feel you. Mir ebenso :(

> Irgendwann bekommen die das gleiche Problem wie jetzt bei IPv4. Da fällt mir echt nichts mehr zu ein....

Der Satz fällt immer wieder ist aber nicht richtig bzw. unbegründet. Selbst die größten ISPs wie Telekom und Co haben eine Adressraum Zuteilung die groß genug für sie ist und wir haben trotz allem nur das 2000:: Netz überhaupt angekratzt! Also "das gleiche Problem" bekommen wir mit Sicherheit nicht. Dass die Adressräume so gewählt sind mit /64 liegt teils in Hardware und Berechnung (ASICS) zu Grunde und dass für gewisse Dinge eben eine gewisse räumliche Größe sinnvoll nutzbar sein soll/muss. Ja da sind immer noch genug drölf-tausende Adressen dann frei, aber man muss einfach das Legacy v4 denken auch mal über Bord werfen bei v6 und es mal konsequent umsetzen, dann sieht man auch dass es weit weniger dramatisch ist, als man denkt.

> Die Netzwerkgeräte Router etc. kommen teilweise auch nicht mit kleineren gerouteten Netzen klar.

Ja aber nur bei statischer Vergabe. Alle Automatismen wie SLAAC und Co setzen auf /64er min. Prefix Size auf.
Aber auch das ist im Prinzip nicht anders (Achtung doofer v4 Vergleich) als ein /24 für ein Transfernetz von bspw. VPN o.ä. zu verwenden. Nur dass eben bei v6 alle Adressen voll routingfähig sind.

> weil sich auf allen Seiten die Prefixe ja immer ändern.

Hauptsächlich ja beim Client - leider. Und durch das dämliche rotieren teils innerhalb weniger Tage kann man auch mit NPt nicht wirklich sinnvoll was gegen machen, denn auch das müsste man ständig statisch nachpflegen. Und damit sind wir wieder bei dyndns - bzw. dynprefix oder dynv6 - damit man das wieder irgendwo zum routing anmelden kann. Miserabel. Und immer unter dem Deckmantel der Kundenfreundlichkeit (das ist nur zum Schutz ihrer Privatsphäre...)

Leider hat Sixxs ja seinen Tunnel eingestellt, aber wenn du ein statisches v6 haben möchtest - HE.net funktioniert wenigstens ordentlich und gibt dir ggf. auch ein /48er Prefix nach Anmeldung. Ansonsten sind 1-2 /64er auch kein Thema :)