ComputerBase Menü
Aktuelles

Synology VPN Server - OpenVPN - PiHole - kein Internetzugriff

Was sagen denn überhaupt das Logfile vom Client & ggf. Server? Hier wird ja einfach so wild in irgendwelche Richtungen geraten. Vielleicht wäre es einfacher mal da anzusetzen.
Ggf. halt auch mal in das Pi-Hole Query Log schauen wenn der Client verbunden ist. Sprich DNS Anfragen generieren und beobachten ob überhaupt was ankommt, geht ja in Echtzeit.

Bevor am Ende wild irgendwas herum konfiguriert wird um gar nix mehr stimmt.
 
Ahh soo.

DHCP -> Fritzbox
DNS -> Synology/PiHole

Jetzt sehe ich klarer. 🤓
 
@Dok-Tore

genau dort

@Tanzmusikus

Per DynDNS gehts zum Anbieter der ihm seine öffentliche IP von seinem Router sendet von dort aus zum Router der dann die Anfrage über den freigegeben Port zum Netzwerkgerät weiterleitet. Und anhand des zugewiesenen Ports wird das dann vom jeweiligen Programm empfangen.
Grob gesagt
 
Zuletzt bearbeitet:
Ja, das ist mir klar. Danke.
Ich hatte im Kopf DHCP mit DNS gleichgesetzt. :freak:

@Dok-Tore
Kommst Du auf die Fritzbox per Handy -> VPN -> LAN?
 
@D.M.X hat recht

Am besten schaust du erstmal ob in deinem Dashboard unten links dein Handy (ergo die IP) angezeigt wird. Unter Top Clients.
 
Hier kommt mal das LOG vom Passepartout Client:


15:21:23 - Control: Write ack packet {ACK_V1 | 0, sid: 343cce13bb0c1af9, acks: {[7], 8df34645c1cacbce}}
15:21:23 - TLS.connect: Put received ciphertext (203 bytes)
15:21:23 - Pulled plain control data (174 bytes)
15:21:23 - Parsed control message (173 bytes)
15:21:23 - Received PUSH_REPLY: "PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 192.168.210.0 255.255.255.0,route 192.168.210.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.210.6 192.168.210.5"
15:21:23 - Set up encryption
15:21:23 - Negotiated keep-alive interval: 10s
15:21:23 - Negotiated keep-alive timeout: 1m
15:21:23 - Session did start
15:21:23 - Returned ifconfig parameters:
15:21:23 - Remote: 62.XX.X.XX5
15:21:23 - IPv4: addr 192.168.210.6 netmask 255.255.255.255 gw 192.168.210.5 routes ["{192.168.10.0/255.255.255.0 192.168.210.5}", "{192.168.210.0/255.255.255.0 192.168.210.5}", "{192.168.210.1/255.255.255.255 192.168.210.5}"]
15:21:23 - IPv6: not configured
15:21:23 - Gateway: not configured
15:21:23 - DNS: not configured
15:21:23 - Search domains: not configured
15:21:23 - Routing.IPv4: Setting default gateway to 192.168.210.5
15:21:23 - Routing.IPv4: Adding route 192.168.10.0/255.255.255.0 -> 192.168.210.5
15:21:23 - Routing.IPv4: Adding route 192.168.210.0/255.255.255.0 -> 192.168.210.5
15:21:23 - Routing.IPv4: Adding route 192.168.210.1/255.255.255.255 -> 192.168.210.5
15:21:23 - DNS: No settings provided, using current network settings
15:21:23 - Ack successfully written to LINK for packetId 7
15:21:24 - Reasserting flag cleared
15:21:24 - Tunnel interface is now UP
15:21:34 - Send ping
15:21:39 - Data: Received ping, do nothing
15:21:45 - Send ping
15:21:49 - Data: Received ping, do nothing
15:21:56 - Send ping
15:21:59 - Data: Received ping, do nothing

Wenn ich mich mit dem VPN verbinde und dann DNS verursache, erscheint aber nichts im Pi-Hole... :(

Das Protokoll des VPN Servers ist nicht aussagekräftig, da steht nur connected und disconnected :(
 
M1h0u schrieb:
Per DynDNS gehts zum Anbieter der ihm seine öffentliche IP von seinem Router sendet von dort aus zum Router der dann die Anfrage über den freigegeben Port zum Netzwerkgerät weiterleitet. Und anhand des zugewiesenen Ports wird das dann vom jeweiligen Programm empfangen.
Zum Vergrößern anklicken....
Fang doch bitte immer beim VPN an. ;)

Also OpenVPN bekommt IP der Syno 192.168.10.10 & möchte über Port 443 ins Internet.
1. Jetzt muss sie quasi auf die eigene IP mit dem selben Port kommunizieren, um über den DNS (192.168.10.10:443) ins Internet zu gelangen.
... hier muss noch über die Fritte geroutet (lokale IP -> öIP) werden.
2. Über den Internet-Provider muss nicht geroutet werden, da das PiHole die Stamm-DNS-Server direkt ansprechen können sollte.
3. Klar, als Absender-Adresse wird die öIP benutzt. ;)
4. Die angeforderte Webseite antwortet über Website-IP:443 an öIP.
... erneut Routing über die Fritte öIP -> lokale IP 192.168.10.10:443
5. PiHole empfängt & sendet an OpenVPN auf selbe IP 192.168.10.10:443 und selben Port. -->> geht das überhaupt?

Meine Frage: Funktionieren Punkt 1 und 5?
 
Zuletzt bearbeitet:
M1h0u schrieb:
@D.M.X hat recht

Am besten schaust du erstmal ob in deinem Dashboard unten links dein Handy (ergo die IP) angezeigt wird. Unter Top Clients.
Zum Vergrößern anklicken....
Also unter TOP Clients erscheint zwar das iPhone, aber nicht mit der VPN IP, sondern mit meiner normalen Heimnetz IP
Ergänzung ()

Tanzmusikus schrieb:
1. Jetzt muss sie quasi auf die eigene IP mit dem selben Port kommunizieren, um über den DNS (192.168.10.10:443) ins Internet zu gelangen.


Meine Frage: Funktioniert der Punkt 1?
Zum Vergrößern anklicken....
wie finde ich das denn am besten raus?
 
Dok-Tore schrieb:
192.168.210.6 netmask 255.255.255.255
Zum Vergrößern anklicken....
Netzmaske 255.255.255.255 :confused_alt:

Ändere das mal bitte auf 255.255.255.0
Ergänzung ()

Dok-Tore schrieb:
Also unter TOP Clients erscheint zwar das iPhone, aber nicht mit der VPN IP, sondern mit meiner normalen Heimnetz IP
Zum Vergrößern anklicken....
Das iPhone darf nicht mit dem lokalen WLAN verbunden sein, da sonst der Rebind-Schutz der Fritzbox anspringt.
 
die Frage ist, wo ich das ändern kann!

Im Client?
 
Unter Netzwerkeinstellungen -> ganz unten -> Ausnahme erstellen ... oder per LTE (nicht WLAN) iPhone für Zugriff über OpenVPN nutzen.
Ich würde letzteres tun.

DNS-Rebind-Schutz​

Ihre FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie Ausnahmen angeben, für die der DNS-Rebind-Schutz nicht gelten soll. Tragen Sie dazu den vollständigen Hostnamen (Domainname inklusive Subdomain) in die Liste ein.
 
Zuletzt bearbeitet:
Tanzmusikus schrieb:
Unter Netzwerkeinstellungen -> ganz unten -> Ausnahme erstellen ... oder per LTE (nicht WLAN) iPhone für Zugriff nutzen.

DNS-Rebind-Schutz​

Ihre FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie Ausnahmen angeben, für die der DNS-Rebind-Schutz nicht gelten soll. Tragen Sie dazu den vollständigen Hostnamen (Domainname inklusive Subdomain) in die Liste ein.
Zum Vergrößern anklicken....
ja, da habe ich meine domains und subdomains schon drin. Nichts destotrotz verbinde ich mich immer von extern... (wenn ich es nicht mal vergesse) :)
 
  • Gefällt mir
Reaktionen: Tanzmusikus
Oder meinst Du die Subnetzmaske?

Dann in OpenVPN ... oder eine Statische Route in der Fritte angelegt?
 
Tanzmusikus schrieb:
Oder meinst Du die Subnetzmaske?

Dann in OpenVPN.
Zum Vergrößern anklicken....
Ja ich meine die Subnetzmaske... Nur ich kann im VPN Server nichts finden, wo ich diese Maske verändern kann.

Kann ich das im OpenVPN Config CLIENT File ändern?
Ergänzung ()

Tanzmusikus schrieb:
Oder meinst Du die Subnetzmaske?

Dann in OpenVPN ... oder eine Statische Route in der Fritte angelegt?
Zum Vergrößern anklicken....
wie muss denn die statische Route aussehen? Das würde ich mal versuchen...
 
Keine Ahnung. Eventuell ist das auch ganz normal für OpenVPN.
So tief in der Materie stecke ich momentan auch nicht drin. Sorry.
 
okay... dann schaue ich nochmal... danke
 
Eine statische Route sollte bei Deiner Konfig gar nicht nötig sein.

Ich stoße mich nur ein bisschen daran, dass PiHole & OpenVPN die selbe IP benutzen.
Kann man da etwas auf der Synology-Oberfläche einstellen, welche IP die jeweilige App/Software bekommt?
 
hmmm irgendwie ist ja irgendwo ein haken, nur wo? Ich sehe den Fehler einfach nicht...
 
Vielleicht findet sich hier etwas Sinnvolles?
https://www.synology-forum.de/threa...ns-betreiben-oder-blacklisting-im-dns.108191/

Am Ende steht da:
Ich habe die Ursache rausgefunden (aber leider bisher keine Lösung). Ich kann von der Synology (Host) aus keine Docker-Container anpingen, obwoh der Container eine IP im LAN hat. Von jedem anderen Gerät im LAN geht es.
Zum Vergrößern anklicken....
Da hilft vermutlich, OpenVPN auf einem anderen Gerät mit extra IP zu nutzen.
Oder Alternativ OpenVPN nicht über Docker zu installieren, sondern i-wie anders. Ob das geht ... k.A. von den Synology bzw. zu wenig.
 
Zuletzt bearbeitet:
Hi,

sieht für mich schon so aus als wäre da mit dem DNS was im argen wenn auch nix im Query Log ist. Vermutlich wirst du das .ovpn File deines Clients ändern müssen um den DNS Server mitzugeben. Um keine Verwirrung zu stiften wie ich oben meinte kopiere mal das Client File, danach probier es hiermit eingefügt:
Code: 
dhcp-option DNS <pihole.ip>

Danach damit testen, klappt es nicht einfach die Config mit dem Versuch löschen und die originale wieder nehmen, dann kannst du immer noch weiter schauen. So hast du am Ende sauber getrennte Versuche.
 
  • Gefällt mir
Reaktionen: Tanzmusikus
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Bitopium
Virtueller Server + VPN + PiHole oder "Adblock" DNS?
Antworten
7
Aufrufe
1.425
riversource
R
devebero
Raspberry Pi 4 als VPN Server (OpenVPN)
Antworten
17
Aufrufe
9.058
Enteignet
E
K
Gerät für VPN Server gesucht
Antworten
17
Aufrufe
1.394
snaxilian
S
M
Openmediavault OMV + VPN Server + PiHole
Antworten
6
Aufrufe
6.385
omavoss
O
AccountPasswort
Wlan->Router->Raspberry per VPN und PiHole mit FritzBox
Antworten
4
Aufrufe
4.962
AccountPasswort
AccountPasswort
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz