OPENVPN aus Synology NAS mit Myfritz-freigabe von Fritzbox (AVM) via IPv6 (besonders für DS-lite geeignet)

(Achtung bei der Version 7 von DSM beobachte ich eine unzuverlässige Einrichtung der IPv6-Defaultroute. Deshalb kann es passieren, dass sämtliche Remotezugriffe nicht funktionieren!)


eine kurze bebilderte Anleitung:







Die Diskstation taucht im "Heimnetz" der Fritzbox ganz am Anfang nur via IPv4 auf.




Ich verwende hier bewusst nicht die Angebote von Synology. Sie sind sicherlich eine gute Alternative für Kombinationen mit anderen Routern. In meinem Fall einfach "Diesen Schritt überspringen".


Jetzt hat auch die Fritzbox die IPv6-Adressen der Diskstation erkannt. (unique local address, global unicast, link local)



Netzwerkkonfiguration der Diskstation. Voreingestellt ist bei IPv6 "automatisch". Das ist OK auch für die Nutzung von Openvpn via IPv6. Wenn beim VPN nicht nur das Transportprotokoll IPv6 sein soll, sondern auch innerhalb ("Payload") IPv6-möglich sein soll, ist bereits hier schon die erweiterte automatische Konfiguration via DHCPv6-PD zu wählen.


Einstellung DHCPv6-PD. Damit holt sich die Diskstation Subnetze von der Fritzbox, sofern der ISP entsprechend große Netze für seine Kunden bereitstellt.



Hier die Einstellung zur Fernsteuerung der Diskstation. Die Umleitung von http nach https scheint mir hervorhebenswert.




Bei der Fritzbox ist die Vergabe von IPv6-Subnetzen/Präfixen notwendig/empfehlenswert, wenn man bei Openvpn auch im Tunnel IPv6-Adressen nutzen möchte.



Einrichtung der myfritz-Freigabe mit folgendem Effekt: die Diskstation bekommt eine ddns-Adresse unter myfritz.net entsprechend der Anschlussart mit A-Record (Dualstack) oder ohne A-Record(DS-lite), in beiden Fällen aber mit AAAA-Record.



Freigabe in der Übersicht.




Hier die aktive Freigabe mit stabiler myfritz-Adresse und gerade genutzter IPv6-Adresse.




(Open)vpn aus dem Paketzentrum auswählen/installieren.



und öffnen.



Komprimierung habe ich abgewählt. Ist im Moment aber Nebensache.



Hier sollte "Clients den Server-LAN-Zugriff erlauben" und "IPv6-Servermodus aktivieren" aktiviert werden. Letzteres ist bei Synology noch nicht vollständig durchdacht/automatisiert. Die Präfixauswahl funktioniert zwar an Hand des zuvor bezogenen Präfixes von der Fritzbox. Das Modul aktualisiert aber nicht selbständig das Präfix, wenn die Fritzbox ein neues vergibt bzw. selbst ein neues vom Provider erhalten hat. Stattdessen kommt nur eine Fehlermeldung, dass die Konfiguration ungültig geworden ist.Hier müsste Synology ein Art Platzhalter einfügen, in der Art: erstes/zweites erhaltenes Präfix der DS, o.ä.und für ein automatische Update sorgen.
Weitere wertvolle Hinweise befinden sich in der eingebauten Hilfefunktion.



Die Diskstation weist auf die öffnende Firewall (IPv6) bzw. die notwendigen Portweiterleitung(IPv4) hin. Letzteres ist bei DS-lite nicht notwendig bzw. möglich.


 
Konfigurationsdateien exportieren, anpassen und auf den Client übertragen.




Eine einfache Portfreigabe auf der Fritzbox für den Openvpn-Server der Diskstation einrichten. Der Myfritzname (DNS) existiert ja schon. Der kann weiterhin auch für den Openvpn-Server verwendet werden. Hier wird nur die Port-1194-UDP-IPv6-Freigabe eingerichtet. Wer noch via IPv4 zugreifen möchte/kann, kann auch beides aktivieren. (nur alte Dualstack-Anschlüsse)



Übersicht der bisher eingerichteten Freigaben für die Administration und für den Openvpn-Server, An einem DS-lite-Anschluss entfällt auch die IPv4-Freigabe für die Administration.




Eine Zusammenfassung der Freigaben des Routers erhält man auch unter dem Menüpunkt Diagnose/Sicherheit. Hier nur die Myfritz-Freigabe im Bild. Die Freigabe für Openvpn erscheint auf der gleichen Seite weiter oben (hier nicht im Bild).


 
Zurück zur Diskstation.



Hier sieht man nur die aktive Verbindung auf Serverseite.




und hier auf Clientseite.

Wichtig sind noch die Änderungen an den exportierten Konfigurationsdaten:

Der Servername ist natürlich einzutragen.
Das Protokoll ist von udp auf udp6 zu ändern.
redirect-gateway def1 ist durch Entfernen des Kommentarzeichens zu aktivieren.

Zu erwähnen ist hier noch, dass IPv4 und IPv6 unterschiedlich verarbeitet werden. IPv6 kommt wie erwartet ohne NAT aus. Lediglich Probleme bei Aktualisierung des Präfixes sind noch zu beheben. IPv4 hingegen wird doppelt übersetzt. Einmal in der Diskstation und einmal in der Fritzbox (Dualstack) bzw. beim Provider (DS-lite).