joe2023
Goto Top

VPN am TP-Link Archer A8 1900

Hallo

Ich habe meinem Internetanschluss bei der Deutschen Glasfaser einen TP-Link Archer A8 1900 verpasst.
Dieser übernimmt den Internetzugang. Die Fritzbox wurde zur Telefonanlage degradiert. Das ging widererwartend problemlos.
An dem A8 ist noch eine Synology DS216J angeschlossen.
Diese möchte ich über VPN von außen erreichen. Dazu wollte ich den OpenVPN der DS216J nutzen.
Leider kann die DS216j die Portfreigaben des Routers nicht automatisch konfigurieren. Eine manuelle Konfiguration am A8 scheitert aber auch, da sich unter Portforwarding OpenVPN nicht auswählen lässt. Siehe Bild.
Also den VPN mit dem A8 machen. Entgegen verschiedener Anleitungen von TP-Link gibt es beim A8 keinen Menüpunkt VPN.
Gibt es eine Möglichkeit dem A8 OpenVPN beizubringen oder muss ich PPTP nutzen?
a8

Content-Key: 5721489930

Url: https://administrator.de/contentid/5721489930

Printed on: June 22, 2024 at 19:06 o'clock

Member: PC-Helfer
PC-Helfer Jan 29, 2023 at 18:48:51 (UTC)
Goto Top
Hallo,

schau mal, ob du beim Portforwarding eventuell den Punkt „custom“ oder „benutzerdefiniert“ hast und trage dann 1194 UDP für OpenVPN ein.
Member: Joe2023
Joe2023 Jan 29, 2023 at 19:00:47 (UTC)
Goto Top
Ich habe einfach OpenVPN eingetragen. Dei Konfigurationsdatei habe ich in OpenVPN im Rechner geleaden. Die Verbindung klappt aber noch nicht. Da muss ich noch mal ran. Leider wohne ich in Deutschland. Ich kenne weltweit kein Land mit schlechterer Mobilfunkabdeckung und ich habe jede Woche ein anderes Hotel in einem anderen Land. Ich muss hier immer in den Garten gehen, um mobile Daten zum Test nutzen. Da ist es mir jetzt zu kalt und zu dunkel.
Das kann ich also erst unterwegs testen. Auf die DS216j sollte ich drauf kommen. Ging jedenfalls früher.
Danke erst mal für die Antwort. Wenn es nicht geht, schreie ich hier laut um Hilfe.
Member: Joe2023
Joe2023 Jan 29, 2023 at 20:19:06 (UTC)
Goto Top
So war doch noch mal testen, geht nicht.
Log von OpenVPN
2023-01-29 21:13:23 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2023-01-29 21:13:23 RESOLVE: Cannot resolve host address: XXXXX.synology.me:1194 (Der angegebene Host ist unbekannt. )
2023-01-29 21:13:23 RESOLVE: Cannot resolve host address: XXXXX.synology.me:1194 (Der angegebene Host ist unbekannt. )
2023-01-29 21:13:23 Could not determine IPv4/IPv6 protocol
2023-01-29 21:13:23 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting
Member: aqui
aqui Jan 29, 2023 updated at 21:06:44 (UTC)
Goto Top
Diese möchte ich über VPN von außen erreichen.
Das ist technisch unmöglich, denn bekanntlich sind Dt. Glasfaser Anschlüsse immer DS-Lite Anschlüsse mit CG-NAT.
Damit sind IPv4 Verbindungen von außen generell technisch unmöglich, egal ob VPN, egal welches VPN Protokoll. Gleiches gilt auch für Port Forwarding.
Der Grund ist das du das zentrale CGNAT Gateway des Providers von außen nicht überwinden kannst!
https://www.elektronik-kompendium.de/sites/net/2010211.htm
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Es ist also normal das deine Bemühungen scheitern (müssen).

Leider kann die DS216j die Portfreigaben des Routers nicht automatisch konfigurieren.
Zum Glück, denn alles ander wäre fahrlässiger Leichtsinn. Solch gefährliches UPnP gehört auf einem Router immer deaktiviert. Sowas weiss man aber auch als Laie wenn einem die eigene Datensicherheit nur etwas wert ist.
PPTP ist aus demselben Grund ein NoGo:
https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html
So war doch noch mal testen, geht nicht.
Tutorial lesen und verstehen hilft!!
Merkzettel: VPN Installation mit OpenVPN
Was aber in deiner DS-Lite Situation dir nur wenig hilft.
Noch viel lernen du noch musst würde Meister Joda sagen... ­čśë

Wenn überhaupt, dann ist der externe Zugang nur über IPv6 möglich oder mit einem externen Jumphost weil du einzig nur ausgehend IPv4 VPNs aufbauen kannst mit DS-Lite:
IKEv2 VPN Server f├╝r Windows und Apple Clients mit Raspberry Pi
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
usw.
Was auch geht ist den VPN Tunnel mit IPv6 aufzubauen und dadrüber IPv4 zu tunneln. Das klappt mit OpenVPN und Wireguard problemlos:
https://www.heise.de/select/ct/2018/13/1529374309620058
Oder...du beschaffst dir einen DG Business Account bei denen mit einer öffentliche IPv4 WAN IP Adresse.
Sowas weiss man aber auch vorher BEVOR man solche Verträge unterschreibt.
Member: Joe2023
Joe2023 Feb 02, 2023 at 19:41:04 (UTC)
Goto Top
Es ist leifder doch nicht so einfach, da die neuste Firmware der DS216J kein DynDNS mehr kann. Das ging mit der früheren Version. Das Update hätte ich mir schenken sollen. Ich muss mir dann auch noch eine IPV4 über feste IP oder andere zulegen.


Zitat von @aqui:

Diese möchte ich über VPN von außen erreichen.
Das ist technisch unmöglich, denn bekanntlich sind Dt. Glasfaser Anschlüsse immer DS-Lite Anschlüsse mit CG-NAT.

Nichts ist ummöglich und "geht nicht" gibt es nicht. Die Anbieter sind nur zu faul oder zu blöd, das Problem mit den IPV4 Adressen zu löden. Das Problem besteht ja nicht erst seit gestern. Warum einfach, wenn es auch kompliziert geht.
Ich kann aus jedem Netz IPV4 oder IPV6, Hotspot oder mobile Daten auf die Benutzeroberfläche der DS216J zugreifen. Da brauche ich nicht mal einen VPN zu. Woher weiss https://XXXXXX.Quickconnect.to, wie die DS216J zu erreichen ist. Der Server von Synology kennt also meine IPV6 Adresse und verknüpft sie mit dem Nahmen XXXXXX.Quickconnect.to wie ein DNS. Wenn das aus jedem Netz möglich ist, warum nicht ein VPN. Warum kann die Kofigurationsdatei von OpenVPN nicht die gleiche Anfrage an den Server stellen und dann die Verbindung aufbauen.
Wir wollen Smarthome und Industrie4.0 und scheitern an der Hausnummer. Ich gehe wieder zurück zu DOS6.22 und Datasette. Viel weiter sind wir ja noch nicht gekommen.
Member: aqui
aqui Feb 03, 2023 at 07:16:08 (UTC)
Goto Top
Die Anbieter sind nur zu faul oder zu blöd, das Problem mit den IPV4 Adressen zu löden.
Nein, das sind sie leider nicht und verkennst hier aus Unwissenheit sicher die Lage:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Wo keine v4 Adressen mehr sind kann man sich auch keine mal eben schnitzen. Das weiss auch ein blutiger Laie.
DG hat verpennt sich größere v4 Kontingente zu sichern und vermarktet die Wenigen die sie haben lieber an deutlich besser zahlende Business Vertrags Kunden mit deutlich längerer Laufzeit als Lieschen Müller die bei der nächsten 30 Cent Erhöhung beim Mitbewerb ist. Wechselnde Consumer Massenkunden sind eher ökonomisch lästig für Provider.
Ich kann aus jedem Netz IPV4 oder IPV6, Hotspot oder mobile Daten auf die Benutzeroberfläche der DS216J zugreifen.
Ja, aber bei IPv4 nur dann wenn du einen Vermittlingshost benutzt. Du hast den Dienst deine NAS Herstellers dafür aktiviert. Der schafft dann immer einen bestehenden Link auf diesen Host und ist darüber dann auch erreichbar weil der das CGNAT offen hält. Datenschutz oder Datensicherheit ist etwas anderes. Der Hersteller kennt so alle deine NAS Daten und hat jederzeit so Zugriff. Ob man sich sowas auf einem NAS wo in der Regel schützenswerte Daten gespeichert sind antut muss jeder selbst entscheiden. Verantwortungsvolle Nutzer tun sowas niemals.
Wir wollen Smarthome und Industrie4.0 und scheitern an der Hausnummer.
Deshalb heisst die Zukunft ja auch IPv6!! In den LTE und 5G Netzen machen wir das ja vor... face-wink
Member: Joe2023
Joe2023 Feb 05, 2023 at 11:03:27 (UTC)
Goto Top
Nein, das sind sie leider nicht und verkennst hier aus Unwissenheit sicher die Lage:

Das Problem ist mir bewusst und es besteht ja auch schon eine Weile.
Alle wussten, dass die IPv4 nicht reichen in Zunkunft. Die Lösung war, jeder macht es anders. Warum kann man sich nicht auf eine Strategie einigen.
https://www.elektronik-kompendium.de/sites/net/1904031.htm
Wenn ich dem DDNS Server meine IP mitteile, v4 oder v6 ist dabei egal, weiss dieser, wie ich erreichbar bin.
Bei Anfragen aus dem Internet muss er dann nur die Daten in das jeweilige Protokoll umsetzen. Es wäre also egal von wo nach wo die Daten gehen. Es muss ein Standard her.

Du hast den Dienst deine NAS Herstellers dafür aktiviert. Der schafft dann immer einen bestehenden Link auf diesen Host und ist darüber dann auch erreichbar weil der das CGNAT offen hält. Datenschutz oder Datensicherheit ist etwas anderes. Der Hersteller kennt so alle deine NAS Daten und hat jederzeit so Zugriff. Ob man sich sowas auf einem NAS wo in der Regel schützenswerte Daten gespeichert sind antut muss jeder selbst entscheiden. Verantwortungsvolle Nutzer tun sowas niemals.

Auch das ist mir bewusst. Den Dienst nutze ich derzeit, um von unterwegs Einstellungen am System vornehmen zu können , bis es läuft. Ich bin leider nur am Wochenende in meinem lokalen Netz. Da liegen noch keine Daten auf dem NAS.
Vor allem habe ich jetzt ein neues Problem. Ich habe ein Update der DS216J auf die DSM Version 7 (aktuell) gemacht. Diese kann jetzt aber kein IPv6 mehr. Wie hohl ist das denn? Ich brauche also noch einen Dienst für dies Umsetzung. Da werde ich mir wohl einen Server aufsetzen müssen, der das erledigt.
Solange die eingestzten Router das Problem nicht selbst lösen, werden wir immer einem Anbieter vertrauen müssen.
Alles soll doch in der Cloud liegen. Das sicherste System (HBCI) für Onlinbanking ist mit den neuen EU-Regelungen abgeschafft worden für Privatkunden. Jetzt hat das Smartphone die Kontodaten.
Bei Smarthome vetrauen wir dem Hersteller des Systems das ganze Haus an. Der weiss dann, was ich im Kühschrank habe und leitet das dann an den Einzelhändler weiter, von dem ich dann 250 E-Mails mit Angeboten bekomme.
Ich habe jede Woche ein anderes Hotel auf den Welt. Da haben die Wlanzugänge teilweise noch WEP Verschlüsselung. Da muss ich mir auch überlegen, ob ich das nutzen will. Es wird also noch Jahre dauern, in D noch Jahrzehnte, bis es nur noch v6 gibt.
Member: Joe2023
Joe2023 Feb 10, 2023 at 21:18:24 (UTC)
Goto Top
Ich hatte unterwegs mal wieder etwas Zeit, mich mit dem Problem zu beschäftigen und bin so schlau wie vorher.
Die ca. 25000 Anleitungen behandeln die Einrichtung mit einer FB. Die dient bei mir aber nur noch als Telefondose.
Das WLAN der FB ist blanker Müll. Ein Raum weiter ist Schluss. Der Accespoint von TP-Link deckt das ganze Haus ab.
Leider klappt es mit der DS216J nicht, da keine IPv6 Unterstützung und der TP-Link Archer A8 kann kein VPN.
Deshalb frage ich hier mal nach Möglichkeiten.
Ich möchte wie jetzt auch einen Router dirkt am ONT über den WAN Port des Routers, der den VPN realiesiert und auch ne Möglichkeit (wie auch immer) bietet, von außen über IPv4 einen VPN zu realisieren, da ich in vielen Hotels noch IPv4 habe. Die FB bleibt als nur Telefondose am Router, es sei denn, der neue Router bietet zwei Telefonanschlüsse mit 2 Rufnummern. Dann ist sie Kunst oder kann weg.
Welche Hardware (außer FB) und Konfiguration ist hier zu empfehlen.
Member: aqui
aqui Feb 11, 2023 updated at 09:23:58 (UTC)
Goto Top
Wie wärs mit einer Firewall direkt am ONT?
Alternativ ein Mikrotik Router. Mit einem RB3011, 4011 oder 5009 machst du nichts falsch!
https://www.varia-store.com/de/produkt/394302-rb4011igs-5hacq2hnd-in-rou ...
Cisco 900er wäre auch eine Option passt aber vermutlich nicht in dein Budget. Es bleiben aber noch Lancom, Bintec und die anderen üblichen Verdächtigen.
Member: aqui
Solution aqui Mar 08, 2023 at 13:56:39 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!