QVPN & IPv6

  • Ich hab ja lange danach gesucht, ob und wie man das OpenVPN beim QVPN dazu bringen kann, dass man sich von außen mit IPv6 verbinden kann.
    Aktuell habe ich zwar DualStack, weil ich bei 1&1 das mal reklamiert habe, als die mich eines schönen Tages auf DS-Lite umgestellt hatten.
    Aber man muss ja immer damit rechnen, dass IPv4 trotzdem mal wegfällt, weil das dem Provider zu teuer ist, oder sowas.

    Also eigentlich muss man nur die QNAP ans DDNS bei QNAP selbst angebunden haben. (ist das MyQNAPCloud ? - ich weiß es gerade nicht mehr)
    Dann OpenVPN nach Wunsch konfigurieren und danach einfach in /etc/config/vpn.conf bei OpenVPN

    VPN Proto Type = UDP

    ändern zu

    VPN Proto Type = UDP6

    wenn man UDP verwendet. Bei TCP denke ich mal geht das genauso, habe ich aber nicht getestet.


    Dann QVPN restarten und schon läuft der OpenVPN-Server auf der IPv6-Adresse. Soweit ich sehen konnte ist das auch nach einem reboot noch so. Es kann aber sein, dass ein QVPN-Update, das wieder zurückstellt.

    Natürlich hat man dann innerhalb des Tunnels weiterhin nur IPv4, aber fürs HeimNetz ist das ok, zumindest für mich. Aber damit sollte man nun in der Lage sein sich per VPN ins Heimnetz zu verbinden, auch wenn man vom Provider keine IPv4-Adresse mehr bekommt.

    Bei mir an der Fritzbox ist es sogar so, dass wegen meinem DualStack IPv4 und IPv6-Verbindungen gleichzeitig zum OpenVPN hergestellt werden können.
    Ich erkläre mir das so. Die IPv6-OpenVPN-Verbindung geht direkt zur QNAP durch - IPv6 halt.
    Bei IPv4-OpenVPN-Verbindungen terminiert das erstmal an der Fritzbox mit der öffentlichen IPv4-Adresse. Hintenrum übers NAT baut die Fritzbox, dann die Verbindung zum Hostnamen der QNAP auf und nimmt halt das was gerade geht. In dem Fall dann IPv6, weil ja nur dort der Server läuft.


    Das Ganze finde ich ganz cool. Besser wäre es natürlich noch, wenn QNAP die Auswahl von Proto=UDP6 auch mit in die GUI einbauen würde.


    Aber ich wollte das hier mal schreiben, weil evtl gibts ja den einen oder anderen der das nützlich findet.


    Ryker

  • Also eigentlich

    Damit geht es los, ich lasse mich und vor allem Andere nachfolgend aber gerne Besseren belehren :)


    ans DDNS bei QNAP selbst angebunden haben. (ist das MyQNAPCloud ?

    Ja, der DDNS ist ein Teil davon... das ist grundlegend aber nicht zwingend notwendig (Routerabhängig, sollte aber jeder Router können)


    und danach einfach in /etc/config/vpn.conf bei OpenVPN

    Das wäre mir in der Tat neu. Dass QVPN (grundlegend, nicht nur bei OVPN) kein v6 per default unterstützt ist auch mein Stand. Dass es durch diese manuelle Änderung (was ja ein OVPN Ding ist) möglich ist, habe ich bislang nicht erfahren; und muss es selbst auch nicht testen, da ich das nur mal als Übergangslösung haben wollte.

    Dann QVPN restarten und schon läuft der OpenVPN-Server auf der IPv6-Adresse.

    In der Theorie... ja... klingt aber so, als würdest Du es so in der Praxis handhaben...

    das wäre fast der v6 Durchbruch für QVPN, nur dass die Möglichkeit in der GUI fehlt.

    ist das auch nach einem reboot noch so.

    Das wiederum kann ich mir kaum vorstellen, würde aber auch Wege geben das zu umgehen.

    Es kann aber sein, dass ein QVPN-Update, das wieder zurückstellt.

    QNAP geht rückwärts? Also v6 "Support" wird entfernt? Glaube ich nicht :ziped:;)

    Natürlich hat man dann innerhalb des Tunnels weiterhin nur IPv4,

    Wie der Tunnel aufgebaut wird, ist unabhängig davon, was im Tunnel genutzt werden kann. Immer.

    Ich baue meinen Tunnel (nicht zu QVPN) nur über v6 auf, nutze darin aber ausschließlich v4. v6 ist gar nicht so weit eingerichtet, dass das gehen würde. Anderherum wäre es das Gleiche... nur würde niemand auf so eine Idee kommen :S

    Aber damit sollte man nun in der Lage sein sich per VPN ins Heimnetz zu verbinden, auch wenn man vom Provider keine IPv4-Adresse mehr bekommt.

    Sollte, oder hast Du es versucht?

    Das ist hier die große Frage. Setzt natürlich voraus, dass der QNAP eine öffentliche v6 Adresse (kein fe80: ) bekommt.

    dass wegen meinem DualStack IPv4 und IPv6-Verbindungen gleichzeitig zum OpenVPN hergestellt werden können.

    Je nach Einstellung geht das Verbinden mit dem selben User auch nur über v4 oder v6.

    Ein User könnte sich (trotz dass nur einzelne Verbindungen je User erlaubt sind) aber dennoch jeweils mit v4 und v6 verbinden, je nachdem, ob der Server auf v6 UND v4 lauscht, oder zwei Server existieren, die jeweils auf v4 oder v6 lauschen.

    Mit der Config am QNAP UDP6 würde dieser nur auf v6 lauschen, demnach wäre keine v4 Verbindung möglich, sofern kein weiterer OVPN Server auf UDP (4) erstellt wurde.

    Hintenrum übers NAT baut die Fritzbox, dann die Verbindung zum Hostnamen der QNAP auf und nimmt halt das was gerade geht. In dem Fall dann IPv6, weil ja nur dort der Server läuft.

    Unmöglich. Es sei denn so eine Fritte kann etwas ganz Besonderes.

    In dem Fall dann IPv6, weil ja nur dort der Server läuft.

    Eben. Deshalb frag ich mich:

    Theorie oder Praxis in der sich irgendwelche Fehler eingeschlichen haben?

    Aber ich wollte das hier mal schreiben, weil evtl gibts ja den einen oder anderen der das nützlich findet.

    und das finde ich geil von Dir! Ich will Dich und Deine Beobachtungen auch nicht in Frage stellen oder irgendwas madig machen... aber technisch kann das in meinem Kopf nicht funktionieren. Da ist irgendwo der Wurm :*


    Trotzdem: Ein Like von mir gibt es in jedem Fall für Deine Ausführung und Beobachtung, auch wenn wir das noch auseinandernehmen müssen :thumbup:

  • Hallo,


    ich habe lange überlegt und schließlich entschieden, dass ich keinen VPN-Server auf meinem NAS haben will. Andererseits muss man sich an einem DS-Lite-Anschluss etwas einfallen lassen. Ich habe schließlich einen OpenVPN-Server auf einem Raspberry installiert und löse das DS-Lite-V4-Problem mit einem Portmapper von feste-ip.net. Funktioniert zufriedenstellen.


    Gruß

    Reinhold

  • und schließlich entschieden, dass ich keinen VPN-Server auf meinem NAS haben will.

    Kann ich verstehen, die Konfigmöglichkeiten (zumindest per GUI) lassen auch nicht viel zu und die verwendete / ungepflegte (OVPN) Version ist auch noch ein Punkt, aber ich denke dass QVPN dennoch eine top Alternative zu Portweiterleitungen auf unsichere Dienste ist.

    Andererseits muss man sich an einem DS-Lite-Anschluss etwas einfallen lassen.

    Mein einzig wahrer Ausweg war die Umstellung von einem Mistrouter auf einen mit *sense, selbst der Pi hinter der Fritte damals hat mich nicht glücklich gemacht.

    und löse das DS-Lite-V4-Problem mit einem Portmapper von feste-ip.net.

    Damit hat ein Portmapper aber nichts zu tun, bzw. brauchst Du ihn serverseitig gar nicht.

    Einen Portmapper brauchst Du nur, wenn der Server auf v6 läuft, der Client zum Verbinden aber keine v6 Konnektivität hat, was "früher" (ich hoffe das ist überall vorbei) in Mobilfunknetzen so war oder wenn man in etwaigen WLANs in denen man sich aufhält keine v6 Konnektivität hat (weil einfach nicht eingerichtet).

  • tiermutter:
    Klar der Advanced-User kann bei DDNS aus was anderes nehmen. Ich hab deswegen das QNAP-eigene DDNS erwähnt, weil man da gleich ganz easy die QNAP mit der public IPv4 und der qnap ihrer IPv6 adresse erschlagen hat und das Post soll diejenigen erreichen, sie nicht so tief in der Materie stecken. Aber wie gesagt, was anderes geht auch.
    Und logischerweise geht auch OpenVPN auf einem raspi. Nur der ist bei mir schon mit anderene Dingen ausgelastet, deswegen läuft bei mir der VPN-Zugang ins Heimnetz von außen aktuell über die QNAP.

    Das was ich geschrieben habe ist alles zu 100% bei mir umgesetzt und demzufolge auch getestet, also keine Theorie.


    Und du hast nicht richtig gelesen. Es ist doch möglich trotz das der OpenVPN-Server nur auf der IPv6-Adresse der QNAP LISTENed, dass es trotzdem möglich ist parallel dazu auch mit IPv4 sich auf den das OpenVPN zu verbinden. Geht aber vermutlich nur mit einer Fritzbox. Das ist hier bei mir auch 100% getestet worden indem ich wechselseitig die IPv4 und IPv6 Freigabe in der Fritzbox deaktiviert habe, aber am Server und Client nichts verändert habe. ES GEHT - Ob du es glaubst oder nicht. Den Hintergrund, warum das geht, hatte ich oben geschrieben. Aber probiers mit einer aktuellen Fritzbox aus und staune. Der OpenVPN-Client aufm Handy zeigt dann schön an, wie er sich verbunden hat.

    Und wie gesagt. Ich meinte nicht, dass QNAP irgendwann den IPv6-Support fürs QTS einstellt, sondern dort stand "Es kann sein, dass ein QVPN-Update (also der Update der QVPN-App) die Änderung an der vpn.conf wieder auf UDP zurückstellt". Das konnte ich bisher nicht testen.

    Ihr müsst das keine große Theorie drum entwickeln und euch fragen, ob das geht oder nicht. Ich nutze das hier genauso, wie oben beschrieben.

    Gruß

    Ryker

  • Hallo Allerseits,


    bin auch neu hier. Habe seit ein paar Tagen eine QNAP TS-251D.


    Ich wollte mich für diesen Beitrag hier bedanke.


    Ich habe Stunden damit verbracht eine VPN Verbindung zu meiner Fritzbox aufzubauen, bis ich gecheckt habe, dass das mit DS-Lite einfach nicht geht.


    Was jetzt allerdings TOP funktioniert ist die Konfiguration wie hier beschrieben.


    Alles auf IPv6 umstellen und dann direkt auf die NAS. (OpenVPN im QVPN Service)


    Ich musste dafür allerdings in der Fritzbox eine IPv6 Portzuweisung auf den OpenVPN Port 1194 auf der NAS machen.


    Ist das jetzt sicherheitstechnisch auch schon bedenklich ?


    Danke für Feedback

    Gruß

    xlab2k

  • Moin und Willkommen!

    Was jetzt allerdings TOP funktioniert ist die Konfiguration wie hier beschrieben.

    Freut mich zu hören, dann kann ich gedanklich endlich einen Haken hinter QVPN und IPv6 machen :)

    Ich musste dafür allerdings in der Fritzbox eine IPv6 Portzuweisung auf den OpenVPN Port 1194 auf der NAS machen.


    Ist das jetzt sicherheitstechnisch auch schon bedenklich ?

    Nicht wirklich, da der Dienst (OVPN) hinter dieser Weiterleitung damit klarkommt und ausreichend sicher ist (aktuell wird mindestens OVPN 2.4.11 verwendet, was noch ok ist). Man sollte aber ein Auge darauf haben, wie sich das in Zukunft entwickelt, also ob OVPN hier auf aktuellem Stand gehalten wird, derzeit ist 2.5.5 aktuell.

    Solange es keine Möglichkeit gibt den VPN Server ordentlich auf dem Router laufen zu lassen ist das absolut ok.

  • Danke für die schnelle Rückmeldung und das Willkommen.


    Super, das freut mich. Dann ist das jetzt erstmal meine Startaufstellung bis es ich dann irgendwann auch auf den Router darf ;)


    Gruß

    xlab2k

  • Was das angeht bin ich jetzt nicht so im Thema, aber QVPN selbst ist ja nicht über die Portweiterleitung erreichbar, sondern nur der OVPN Dienst welcher nicht betroffen ist... Keine Ahnung über welche Wege man diese Schwachstelle ausnutzen kann. Aber klar, QVPN sollte natürlich auch aktuell gehalten werden.

  • Auch ich versuche OpenVPN auf meiner TS-431P (mit Firmware 5.0.0.1891) über IPv6 zum Laufen zu bringen, scheitere aber schon an den Basics. Wenn ich in der vpn.conf "VPN Proto Type" auf "UDP6" umstelle, und QVPN neu starte, ist in dem Drop Down Menü, in dem man normal aus UDP und TCP auswählt, nichts drin. Man kann die Box nicht öffnen und sie ist rot umrandet.

    Stutzig geworden bin ich auch bei den Versionen von QVPN Service, die hier genannt wurden (3.0.760). Bei mir ist Version 2.4.716 drauf und es wird mir auch keine neuere Version angeboten. Kann es sein, dass es für mein Modell keine 3er Version gibt oder übersehe ich hier was Grundlegendes?


    [EDIT] Wer lesen kann, ist klar im Vorteil:

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    "QVPN Service version 3 is only compatible with x86 processor devices running QTS 5.0.0. "

    Für meine Kiste gilt: "CPU Architektur 32-Bit ARM"


    Bedeutet das für mich nun, keine Hände, keine Kekse?

    (keine x86 CPU = kein VPN über IPv6?)


    Falls ja, was würdet Ihr mir empfehlen, wenn ich als DG Kunde (keine öffentliche IPv4 Adresse) über VPN auf mein Heimnetzwerk zugreifen möchte? Muss ich tatsächlich auf das VPN Meiner QNAP verzichten und zu Raspberry greifen?

    Einmal editiert, zuletzt von gonzoll ()

  • Bedeutet das für mich nun, keine Hände, keine Kekse?

    Kann mir nicht vorstellen, dass es damit zusammenhängt...

    Falls ja, was würdet Ihr mir empfehlen, wenn ich als DG Kunde (keine öffentliche IPv4 Adresse) über VPN auf mein Heimnetzwerk zugreifen möchte?

    Wireguard!

    Mit QTS 5 hat QNAP allerdings das Wireguard VPN Protokoll eingeführt, womit ein VPN Server auch auf IPv6 Basis erstellt werden kann.

    :)