moritzk
Goto Top

VPN über Synology - FritzFon App nicht möglich (Android)

Guten Abend liebes Administrator-Forum,

ich bin neu hier und hoffe, dass ihr mir weiterhelfen könnt.
Mein Name ist Moritz, ich bin 25 Jahre alt und ausgebildeter Fachinformatiker für Systemintegration, ein bisschen technisches Verständnis ist also (hoffentlich) noch da.

Ich habe bei mir zu Hause das folgende Netzwerk aufgebaut:

Router: FritzBox (192.168.178.1)
NAS: Synology DS-211 (192.168.178.4)
Tablet: Galaxy Tab S 10.5 LTE

Auf der Synology DS-211 läuft per OpenVPN ein VPN-Server zu dem ich mich z.B. mit meinem Tablet erfolgreich verbinden kann und auch erfolgreich auf das Heimnetzwerk von unterwegs zugreifen kann. Der VPN-Server auf der DS-211 hat für die VPN-Clients den Netzwerkbereich 10.8.0.0 - 10.8.0.255 vorgesehen, maximal jedoch 5 zeitgleiche Verbindungen. Das VPN scheint also zu laufen, gesurft kann auch ganz normal.

In der FritzBox wurde weiterhin die folgende statische Route hinzugefügt:
Netzwerk: 10.8.0.0 Subnetzmaske 255.255.255.0 Gateway: 192.168.178.4

Soweit bis hier hin.

Nun zum Tablet und den unterschiedlichen Möglichkeiten:

- WLAN: Wenn ich die FritzFon-App auf dem Tablet lokal im WLAN zu Hause starte, ist alles perfekt. Ich kann über das Tablet telefonieren und Anrufe werden auch auf das Tablet "weitergeleitet" - perfekt

- WLAN mit VPN: Wenn ich das Tablet zu Hause per WLAN in das VPN einklinke (ja, sinnfrei), dann zeigt mir die FritzFon-App für die FritzBox einen "grünen Status", für die "Telefonie" ebenso. Aber sobald ich einen Ruf aufbauen will, bleibt er beim Rufaufbau stecken.

- Mobilfunk mit VPN: Hier funktioniert es dann leider gar nicht mehr. Ich komme per Chrome zwar perfekt auf meine Geräte also die FritzBox, die DS-211 und z.B. den Raspberry PI, aber in der FritzFon-App wird mir keine Verbindung zur FritzBox angezeigt (grauer Status, keine FritzBox verbunden)

Woran könnte das liegen?
Ich habe die Apps für die Open VPN Verbindung auf meinem Tablet komplett zurückgesetzt, sodass da keine merkwürdigen Einstellungen enthalten sein sollten.

Im Log-File meines Tablets wird mir das folgende angezeigt (nach dem Verbinden per UMTS bzw. LTE):

0 redirect-gateway
1 dhcp-option DNS 192.168.178.4
2 route 192.168.178.0 255.255.255.0
3 route 10.8.0.0 255.255.255.0
4 route 10.8.0.1
5 topology net30
6 ping 10
7 ping restart 60
8 ifconfig 10.8.0.6 10.8.0.5

Meine openvpn-config-Datei sieht wie folgt aus:
____
dev tun
tls-client

remote hierstehtmeinedomain.de 1194

  1. The "float" tells OpenVPN to accept authenticated packets from any address,
  2. not only the address which was specified in the --remote option.
  3. This is useful when you are connecting to a peer which holds a dynamic address
  4. such as a dial-in user or DHCP client.
  5. (Please refer to the manual of OpenVPN for more information.)

#float

  1. If redirect-gateway is enabled, the client will redirect it's
  2. default network gateway through the VPN.
  3. It means the VPN connection will firstly connect to the VPN Server
  4. and then to the internet.
  5. (Please refer to the manual of OpenVPN for more information.)

redirect-gateway

  1. dhcp-option DNS: To set primary domain name server address.
  2. Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.178.4

pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass
____
Soweit, sogut. Was wirklich sonderbar ist, dass die ganze Thematik auf meinem alten iPhone 4 tatsächlich mal gut funktionierte, ich also von unterwegs über meine Heimnummer telefonieren konnte. Die Konfiguration war exakt wie oben, ich habe dabei nichts angepasst. Nur auf dem Tablet will es nicht laufen.

Da ich mir langfristig ein Samsung S5 holen möchte, wäre es halt klasse, wenn die Thematik auch unter Android funktionieren würde.

Vielen Dank zunächst für das Durchlesen bis hier hin, vielleicht hat ja jemand einen ganz tollen Tipp für mich.

Moritz.

Content-ID: 253949

Url: https://administrator.de/forum/vpn-ueber-synology-fritzfon-app-nicht-moeglich-android-253949.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

aqui
aqui 06.11.2014 aktualisiert um 09:04:17 Uhr
Goto Top
Eigentlich ist das Verhalten nicht zu erklären denn nach deinen Beschreibungen hast du alles richtig gemacht. Das siehst du ja auch selber, das du mit dem VPN und verbundenen Clients ja alles machen kannst und erreichen kannst.
Im Grunde ist das OVPN Netzwerk nichts anderes als ein simples geroutetes Netzwerk und wenn du mit dem VPN Client die lokale LAN IP der Fritzbox sowohl über WLAN als auch über Mobilfunk per VPN pingen kannst ist das Netzwerk soweit OK und scheidet aus als Fehler !
Die FB nutzt SIP und RTP für ihre Voice verbindungen und auch die funktionieren natürlich problemlos auch in sauber gerouteten Verbindungen, denn sonst würde VoIP im Internet ja auch nicht funktionieren ?!
Tödlich für Voice sind in der Regel irgendwie geartete NAT (Adress Translation) Ports oder natürlich Firewalls die SIP oder RTP filtern oder Teile dieser Protokolle.
Es ist daher zu vermuten das dein OVPN Client hier ein Problem hat bzw. macht. Vermutlich rennt dort eine lokale Firewall und das SIP dynamsiche Ports nutzt beim Verbindungsaufbau ist das zu vermuten.
Helfen tut hier ein Paket Sniffer mit dem du den Voice Traffic zur FB einmal mitsnifferst und checkst was da nicht ankommt.
Parallel würde es Sinn machen mal einen Laptop mit einem OVPN Client auszurüsten und einem kleinen Softphone wie z.B. dem Phoner: http://www.phoner.de
Damit könntest du auf einer anderen (flexibleren) Plattform im VPN Umfeld mal ganz genau checken was da passiert bzw. wie der Paketfluss ist. Gerade auch in Verbindung mit dem Wireshark auf so einem Client.
Im Zweifel überdenkst du die S5 Entscheidung und nimmst dann doch wieder das bewährte iPhone wenns damit klappt face-wink
orcape
orcape 06.11.2014 um 10:34:54 Uhr
Goto Top
Hi MoritzK,
klingt für mich eigentlich ganz logisch, obwohl ich zugeben muss, das ich nicht der Profi bin, was VoIP betrifft.
Das NAS Synology DS-211, auf dem Dein OpenVPN-Server ist, liegt in Deinem privaten Netzwerk, hinter einem Router der NAT macht (Fritte).
Das VoIP-Signal wird aber wohl auf WAN-Seite der Fritte abgegriffen, so das Du aus dem LAN kommend, wohl kaum ein Gespräch zustande bekommen wirst. (...man berichtige mich, wenn ich falsch liege..)
Ob sich das fixen lässt, kann ich Dir leider auch nicht sagen.
Gruß orcape
aqui
aqui 07.11.2014 um 09:31:51 Uhr
Goto Top
Lokal kann er ja telefonieren...
Wenn ich die FritzFon-App auf dem Tablet lokal im WLAN zu Hause starte, ist alles perfekt. Ich kann über das Tablet telefonieren und Anrufe werden auch auf das Tablet "weitergeleitet" - perfekt
Das sollte dann auch ohne FritzApp mit einem ganz stinknormalen VoIP SIP Softphone Client (Phoner) funktionieren.
Die FB ist ja der SIP Registrar in diesem Falle.
Irgendwo schlägt auf dem Client vermutlich ne Firewall oder ein Firewall Profil zu auf dem virtuellen VPN Adapter....
orcape
Lösung orcape 07.11.2014 aktualisiert um 13:40:22 Uhr
Goto Top
Sorry, hatte ich wohl überlesen oder zumindest nicht richtig verarbeitet.face-wink
Nachdem ich das alles noch mal durchgegangen bin, klingt mir das Ganze nach einem Routing-Problem im Bereich des VPN.
Hier solltest Du mal ansetzen.
MoritzK
MoritzK 07.11.2014 aktualisiert um 13:40:42 Uhr
Goto Top
Guten Tag,

zunächst ganz vielen Dank für die sehr hilfreichen und ausführlichen Antworten hier.

Ich habe es gestern Abend nochmal getestet und bin Schritt-für-Schritt vorgegangen und habe mit der "stabilen" (also non-Labor) Version der Fritz!Fon-App gearbeitet.
Es lag anscheinend an einem ganz anderen Problem. Mich hatten z.B. die Routing-Meldungen hier gewundert, weil es ja auf dem iPhone hervorragend funktioniert und die openvpnconfig ja auf beiden Geräten die gleiche ist.

Ergebnis ist folgendes:

In der Fritz!Fon-App gibt es wohl neben den Einstellungen noch weitere Einstellungen, welche man nur über die Menütaste erreicht.
Diese Menütaste hat aber mein Samsung Galaxy Tab S nicht (als Apple-Jünger erwartet man sowas auch nicht), sondern nur diese "Task-Fenster-Taste" wo man alle offenen Tasks sieht und hin und her wechseln kann.

Meine Freundin (ja, korrekt gelesen) die Andoid länger nutzt hat dann per Try&Error herausgefunden, dass man die "Task-Taste" einfach lange gedrückt halten muss. Dann kommt unten in der App ein grauer Balken mit "Erweiterten Einstellungen" und dort kann der Eintrag "nur bei verfügbarem WLAN" (o.ä.) deaktiviert werden.

Dann habe ich alle Apps geschlossen, das VPN neu verbunden, die Fritz!Fon-App neu verbunden, und siehe da - es funktioniert.

Der Fehler lag also mehr im "Andoid-DAU" als im Routing, aber wie gesagt verschachtelte Menüs erwartet man ja als Apple-Jünger nicht - zumal die Apple_Version der App diesen Eintrag gar nicht hat, was das ganze noch schwieriger gemacht hat.
aqui
aqui 07.11.2014 um 15:48:39 Uhr
Goto Top
als Apple-Jünger erwartet man sowas auch nicht
Als Apple Jünger guckt man auch Android niemals an geschweige spielt damit rum !! face-big-smile
Meine Freundin (ja, korrekt gelesen) die Andoid länger nutzt
Die Arme...und das lässt du als "Apple Jünger" zu ??
und siehe da - es funktioniert.
Kannst mal sehen... Frauen haben den Dreh raus !!! Wenn du sie nun noch von iOS überzeugen kannst ist das Glück perfekt !!
Alles wird gut !! face-wink
orcape
orcape 07.11.2014 um 16:29:51 Uhr
Goto Top
Alles wird gut !! face-wink
..na ja, zumindest das meiste.face-wink