Meine kleine Technikwelt

 

VPN und Deutsche Glasfaser

(Beitrag aktualisiert am 03.04.2024)


Problem

Wer von unterwegs per VPN (Abkürzung für Virtual Private Network) auf sein Heimnetzwerk (z.B. auf ein NAS) zugreifen möchte, der nutzt üblicherweise die bekannten VPN-Lösungen z.B. von der FritzBox oder einen OpenVPN-Server auf einer Synology-Diskstation (NAS).

Wenn man bislang zu Hause einen (V)DSL-Anschluss der Telekom genutzt hat, konnte das Ganze recht einfach und kostenfrei bewerkstelligt werden, denn von der Telekom bekam und bekommt man eine öffentliche IPv4-Adresse zugewiesen, mit der man VPN-Zugriffe von unterwegs mit den genannten Werkzeugen hinbekommt.

Die öffentliche IPv4-Adresse ist das Problem im Zusammenhang mit einer Umstellung des Zugangs ins Internet auf einen Glasfaseranschluss der Deutschen Glasfaser (DG). Bei der Telekom und anderen Providern erhält man eine solche automatisch oder aufpreispflichtig als Zubuchoption. Die DG hingegen bietet derartiges für Privatkunden nicht an.

Der Grund hierfür liegt darin, dass öffentliche IPv4-Adressen seit Jahren knapp sind, die DG daher den Privatkunden eine öffentliche IPv6-Adresse bereitstellt und für IPv4 (welches üblicherweise für VPN benötigt wird) Dual Stack mit CGNAT verwendet, mit der Folge, dass man sich eine IPv4-Adresse mit anderen teilen muss und diese sich häufiger ändert. Im Internet findet man zu den technischen Hintergründen entsprechende Informationen, für meine Lösung sind diese jedoch nicht relevant und daher spare ich dieses Thema hier aus.

Fakt ist jedenfalls, dass man für einen Zugriff von außen auf das Heimnetzwerk unter Verwendung eines VPN-Systems eine öffentliche IPv4-Adresse benötigt, jedenfalls dann, wenn man aus allen Fremdnetzwerken (Mobilfunk im In- und Ausland, WLAN-Hotspots und fremde WLAN-Netze) garantierten Zugriff haben möchte.

Zwar bietet die FritzBox ab Fritz!OS Version 7.50 für ihr eigenes (IPSec) sowie das neue WireGuard VPN mittlerweile auch Unterstützung für ein VPN über IPv6 an. Allerdings lässt sich eine Verbindung über ein reines IPv6-VPN - welches im Netz der DG mit den FritzBox-eigenen VPNs allein möglich wäre - nicht herstellen, wenn im Fremdnetz, über das der Zugang zum Heimnetz über VPN hergestellt werden soll, keine IPv6-Unterstützung, sondern nur Unterstützung für IPv4 vorhanden ist. Da man nach meiner Erfahrung gerade in fremden WLAN-Netzwerken oder Hotspots häufig immer noch keine IPv6-Unterstützung vorfindet, ist diese (kostenlose) Lösung daher nur zu empfehlen, wenn man sicher weiß, dass man im Fremdnetz IPv6-Support hat. Sonst läuft man Gefahr, keine Verbindung zum Heimnetz aufbauen zu können. Nähere Informationen zu den FritzBox-eigenen VPNs findet man auf den Supportseiten von AVM für IPSec und WireGuard.


Lösung

Um mit einem Glasfaseranschluss der DG weiterhin von unterwegs aus allen Netzwerken (über IPv4 und/oder IPv6) auf das Heimnetzwerk zugreifen zu können, verwende ich folgende Komponenten:

  1. OpenVPN-Server auf einer Synology-Diskstation
  2. FritzBox 7590 (am Glasfaseranschluss) mit MyFRITZ!-Freigabe sowie Portfreigabe für OpenVPN
  3. Optional für FritzOS < 7.50: DynDNS über dynv6 zur automatisierten Weitergabe der IPv6-Adresse der Synology-Diskstation (kostenlos)
  4. Öffentliche IPv4-Adresse über Feste-IP.net oder einen Virtuellen Private Server (VPS)
  5. OpenVPN Connect, Passepartout-App (iOS) oder OpenVPN für Android bzw. VPN Client Pro (Android) für den Fernzugriff von mobilen Endgeräten
  6. FRITZ!App Fon zum Telefonieren von unterwegs im VPN über die FritzBox 


Einzelheiten

Zu 1.: OpenVPN-Server auf einer Synology-Diskstation

Zunächst einmal: Es gibt verschiedene Möglichkeiten, einen VPN-Server aufzusetzen. Die Synology-Diskstation ist nur eine von vielen Alternativen. Da ich bereits vor der Umstellung auf Glasfaser eine Diskstation genutzt habe, lag es nahe, dabei zu bleiben und auch den zuvor schon genutzten Open-VPN-Server der Diskstation weiterzunutzen. Man kann genauso gut aber andere Systeme (z.B. Raspberry Pi, QNAP-NAS) nutzen, um den Server aufzusetzen.

Wichtig ist, dass das auf der FritzBox vorhandene VPN im Netz der DG wegen der fehlenden öffentlichen IPv4-Adresse nicht genutzt werden kann, wenn man aus einem reinen IPv4-Netz Zugriff auf das Heimnetz haben will. Der VPN-Server muss also auf einem an die FritzBox angeschlossenen, im Heimnetzwerk befindlichen externen Gerät betrieben werden. Wenn man ein NAS wie die Synology-Diskstation nutzt oder nutzen möchte, ist dies die einfachste Lösung.

Wie man einen OpenVPN-Server auf einer Synology-Diskstation generell aufsetzt, findet man in entsprechenden Anleitungen im Internet, weshalb ich hier nur auf die Besonderheiten im Zusammenhang mit DG eingehen will.

  • Ganz wichtig: Zunächst ist sicherzustellen, dass die Synology-Diskstation eine IPv6-Adresse im Netzwerk zugewiesen bekommt. Hierzu sind die Einstellungen der FritzBox (unter Internet > Zugangsdaten > IPv6 entsprechend Bild 1a und unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IP-Adressen > IPv6-Einstellungen entsprechend Bild 1b und 1c) und die Netzwerkeinstellungen der Diskstation in DSM (unter Netzwerkschnittstelle > LAN > Bearbeiten > IPv6 > IPv6-Setup: "Automatisch" oder "DHCPv6-PD", entsprechend Bild 1d) zu prüfen und ggf. anzupassen.
  • Die Einstellungen des OpenVPN-Servers der Synology-Diskstation können entsprechend Bild 1e vorgenommen werden.
  • Wichtig: Als Port muss 1194 eingetragen sein.
  • Ganz wichtig, sofern man in der weiteren Installation auf Fest-IP.net setzen möchte (siehe unten): Das Protokoll muss in dem Fall von UDP (eigentlich der Standard für OpenVPN mit Port 1194) zwingend auf TCP umgestellt werden, sonst funktioniert die Weiterleitung über Feste-IP.net nicht! Feste-IP.net funktioniert nur mit dem TCP-Protokoll. Wenn man später - anstelle von Feste-IP - die Lösung über ein VPS geht, funktioniert es aber auch mit UDP.
  • Optional: Möchte man im VPN auch eine IPv6-Adresse haben, muss in den Netzwerkeinstellungen der Diskstation (siehe oben) zwingend "DHCPv6-PD" anstatt "Automatisch" ausgewählt werden. In den OpenVPN-Einstellungen ist dann ein Haken bei "IPv6-Servermodus aktivieren" zu setzen und ein Präfix aus der Liste auszuwählen. Außerdem muss dann in den IPv6-DHCP-Einstellungen der FritzBox (entsprechend Bild 1c) "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" ausgewählt sein.


Bild 1a:


Bild 1b:


Bild 1c:


Bild 1d:


Bild 1e:


Zu 2.: FritzBox 7590 (am Glasfaseranschluss) mit MyFRITZ!-Freigabe sowie Portfreigabe für OpenVPN

Im Konfigurationsmenü der FritzBox 7590 (es kann auch eine andere FritzBox verwendet werden) müssen zwei Dinge eingestellt werden:

  • Siehe auch Bild 2: Unter "Internet" > "MyFRITZ!-Konto" müssen ein Haken bei "MyFRITZ! für diese FRITZ!Box aktiv" gesetzt und die E-Mail-Adresse des MyFRITZ!-Kontos eingetragen werden. Dann auf "Übernehmen" klicken. Danach sollte ein grünes Lämpchen leuchten und der Zusatz "Ihre FRITZ!Box ist bei MyFRITZ! angemeldet" erscheinen. Unter "MyFRITZ!-Internetzugriff" sollte dann die "MyFRITZ!-Adresse" erscheinen.


Bild 2:


  • Unter "Internet" > "Freigaben" ist im Reiter "Portfreigaben" auf "Gerät für Freigaben hinzufügen" zu klicken. Im darauf erscheinenden Menü muss zunächst das Gerät ausgewählt werden, also die Synology-Diskstation, die mit dem Netzwerk verbunden ist. Nach der Auswahl des Geräts sollten die IPv4-Adresse, die MAC-Adresse und die IPv6 Interface ID der Diskstation automatisch eingetragen sein. Danach kann man unter IPv6-Einstellungen einen Haken bei "PING6 freigeben" machen. Dann auf "Neue Freigabe" ganz unten klicken. Im sich öffnenden Fenster folgende Einstellungen vornehmen: "MyFRITZ!-Freigabe" aktivieren; "Andere Anwendung" auswählen; "Bezeichnung" eingeben (Text ist egal, z.B. VPN); "Schema": https://; "Port an Gerät": 1194; Haken bei "Freigabe aktivieren" machen; danach auf OK drücken. Wichtig: Danach nochmals auf OK drücken, damit die Freigabe wirksam wird.
  • Zur Kontrolle sollte man jetzt nachschauen, ob das grüne Lämpchen neben der Portfreigabe leuchtet (siehe Bild 3). Es müssen zwei Einträge mit Portfreigaben erzeugt worden sein: Einer mit einer IPv4-Adresse und einer mit einer IPv6-Adresse unter "IP-Adresse im Internet"! Diese IPv6-Adresse ist extrem wichtig und wird - sofern kein DynDNS und auf der FritzBox noch ein FritzOS < 7.50 eingesetzt wird (siehe unten Schritt 3.) - bei der Konfiguration von Feste-IP.net bzw. des VPS noch benötigt.
  • Indem man auf das Stiftsymbol neben/unter der Portfreigabe drückt, müsste jetzt auch die automatisch von der FritzBox erzeugte MyFRITZ!-Adresse für die Synology-Diskstation zu sehen sein (z.B. https:// synologynas. ab1c2defghijklmn. myfritz.net :1194). Diese ist (mit FritzOS 7.50 oder größer) - leicht angepasst - anstelle der o.g. IPv6-Adresse für die Einrichtung des Portmappers in Feste-IP.net bzw. im VPS erforderlich (siehe unten Schritt 4.).


Bild 3:


Zu 3.: Optional für FritzOS < 7.50: DynDNS über dynv6 zur automatisierten Weitergabe der IPv6-Adresse der Synology-Diskstation

Da sich der IPv6-Präfix im Heimnetz von Zeit zu Zeit ändert (nach meiner Erfahrung jedoch nicht allzu oft, jedenfalls nicht bei jedem Neustart der FritzBox) kann es sinnvoll sein, zusätzlich einen DynDNS-Dienst einzusetzen, um diesem die aktuelle IPv6-Adresse des OpenVPN-Servers mitzuteilen. Dies ist jedoch optional und nicht zwingend. Wichtig: Ein externer DynDNS-Dienst wird nur benötigt, sofern man noch eine ältere Version als FritzOS 7.50 auf seiner FritzBox hat. Zudem kann man die aktuelle IPv6-Adresse des OpenVPN-Servers (hier der Synology-Diskstation) auch manuell in Schritt 4. (Einrichtung Feste-IP.net/VPS) eingeben und aktuell halten.

Bei der Verwendung eines DynDNS-Dienstes für diesen Zweck sind zwei Probleme zu umschiffen: Zum einen muss dieser IPv6 unterstützen und zum anderen mit dem DynDNS der FritzBox kompatibel sein. Das DynDNS der Synology-Diskstation beherrscht nämlich leider kein IPv6. Dies war nur über das Zusatzprogramm "DDNS Updater 2" möglich. Leider wird dieses Programm unter der Synology DSM Version 7 nicht mehr unterstützt, so dass nach aktuellem Stand das DynDNS der Synology-Diskstation nicht nutzbar unter IPv6 ist.

Abhilfe schafft dabei der kostenlose Dienst dynv6.com, welcher sich bei den DynDNS-Einstellungen der FritzBox eintragen lässt und Unterstützung für reines IPv6 (AAAA-Record) bietet.

Vorgehensweise:

  • Zunächst ist ein Account bei dynv6 zu erstellen unter: https://dynv6.com/users/sign_up.
  • Dann muss eine Zone erstellt werden unter: https://dynv6.com/zones/new (siehe nachfolgendes Bild 4).
  • Unter "Name" trägt man einen selbst gewählten Namen ein, der später den ersten Teil der DynDNS-Adresse bildet, z.B. "MeinDNS". Bei den Endungen ist "dynv6.net" vorausgewählt, es stehen zudem weitere Endungen zur Verfügung. Der komplette Name in meinem Beispiel würde also "MeinDNS.dynv6.net" lauten.
  • Die Felder bei "IPv4 Adress" und "IPv6 prefix" bleiben leer, anschließend auf "Create Zone" klicken.


Bild 4:

  • Es öffnet sich eine Seite mit "Installation instructions". Wichtig sind dabei vor allem die Update-URL, der Domainname und der Benutzername, die man am Ende der Seite vorfindet (siehe Bild 5 nachfolgend).


Bild 5:


  • Die genannten Daten benötigt man nun im Konfigurationsmenü der FritzBox. Dort geht man in das Menü "Internet" > "Freigaben" > "DynDNS" (siehe nachfolgendes Bild 6). Dort ist zunächst der Haken "DynDNS benutzen" zu setzen.
  • Sollte dort der Eintrag "DynDNS-Anbieter" zu finden sein (ist unter Fritz!OS 7.50 nicht mehr der Fall), ist "Benutzerdefiniert" zu wählen.
  • Sodann muss die Update-URL eingetragen werden. Hierfür wird nur die zweite Update-URL der "Installation instructions" von dynv6 benötigt (also die mit dem Syntax "ip6addr"); die erste URL ist nur für IPv4-DynDNS geeignet. Bei der zweiten URL setzt man ein "s" hinter "http". Die URL wäre daher wie folgt in das Menü der FritzBox einzugeben:

https://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv6=<ip6addr>&ipv6prefix=<ip6lanprefix>

  • Allerdings sind die meisten Parameter in eckigen Klammern lediglich Platzhalter und müssen durch die individuellen Einstellungen (entnommen aus den "Installation instructions" von dynv6) noch angepasst werden. Dazu gehören:
    • <ip6addr> : Dieser Platzhalter bewirkt normalerweise, dass die FritzBox die IPv6-Adresse der FritzBox an dynv6 weiterleitet. Allerdings benötigen wir die IPv6-Adresse des OpenVPN-Servers, in meinem Fall also der Synology-Diskstation. Aus diesem Grunde muss der Platzhalter durch die IPv6-Interface-ID der Synology Diskstation ersetzt werden. Diese finden wir im Menü der FritzBox unter "Heimnetz" > "Netzwerk" > Stiftsymbol neben dem Eintrag für die Synology-Diskstation. Sie fängt immer mit zwei Doppelpunkten an, z.B. wie folgt: "::1234:x0xx:xx01:5678". Bitte den Platzhalter <ip6lanprefix> dagegen so belassen, denn wir möchten ja gerade den aktuellen Präfix der FritzBox übermittelt bekommen.
    • Da die FritzBox allerdings offenbar Probleme mit einer Ersetzung des Parameters <ip6addr> hat, muss dieser noch in der URL als "Dummy" erhalten bleiben; daher wird an die URL noch folgendes angehängt: "&trash=<ip6addr>". Damit gibt sich die FritzBox dann zufrieden.
    • <domain> : Hier wird der Domainname eingetragen (in meinem Beispiel also: "MeinDNS.dynv6.net".
    • <username> : Bitte durch den Benutzernamen der "Installation instructions" von dynv6 ersetzen, z.B. "AbcdeFghi7jK4lmnOpQrstU".
    • Die fertige Update-URL sähe in meinem Beispiel also wie folgt aus (ohne Leerzeichen dazwischen):

https://dynv6.com/api/update?hostname=MeinDNS.dynv6.net &token=AbcdeFghi7jK4lmnOpQrstU &ipv6=::1234:x0xx:xx01:5678 &ipv6prefix=<ip6lanprefix> &trash=<ip6addr>

  • Die weiteren Eingaben im FritzBox-Menü unter "Domainname" und "Benutzername" sind den "Installation instructions" von dynv6 zu entnehmen. Als Kennwort ist "none" einzutragen. Mit Klick auf "Übernehmen" werden die Einstellungen gespeichert.


Bild 6:


  • Das DynDNS sollte daraufhin funktionieren. In den Einstellungen von dynv6 taucht im Reiter "Records" ein AAAA-Eintrag mit der aktuellen IPv6-Adresse der Synology-Diskstation auf (siehe Bild 7):



Zu 4.: Öffentliche IPv4-Adresse über Feste-IP.net oder einen Virtuellen Private Server (VPS)

Dieser Schritt ist der Entscheidende, damit der Fernzugriff auf das Heimnetz im DG-Netz über VPN funktioniert, denn wie bereits oben angesprochen gibt es bei der DG keine öffentliche IPv4-Adresse.

Es besteht somit die Notwendigkeit, dem VPN-Server auf eine andere Art eine öffentliche IPv4-Adresse zu verschaffen. Dies muss über einen externen Dienst erfolgen, der - leider - nur kostenpflichtig zu haben ist.

Zwei Möglichkeiten werden hier aufgezeigt: Entweder der klassische Weg, d.h. der in meinem Artikel hier von Anfang an dargestellte dedizierte Portmapper von Feste-IP.net nebst zugebuchter IPv4-Adresse (hierzu nachfolgend Abschnitt a.) oder alternativ über einen Virtuellen Private Server (VPS)​ (hierzu Abschnitt b.). Die Vor- und Nachteile der beiden Lösungen werden abschließend unter c. gegenübergestellt.


a. IPv4-Adresse mit dediziertem Portmapper von Feste-IP.net

Auf die Tatsache, dass Feste-IP.net ein kostenpflichtiger Dienst ist, wurde schon hingewiesen. Mit folgenden Kosten pro Jahr (Stand: April 2024) muss man dabei rechnen:

  • 5,80 € für den dedizierten Portmapper (Credit-Paket für 365 Tage),
  • 33,00 € für eine IPv4-Adresse (für 12 Monate).

Feste-IP.net bietet aber auch eine Buchung der IPv4-Adressen für kürzere Zeiträume an (1 Monat: 3,85 €, 6 Monate: 19,47 €). Hinzu kommt aber evtl. ein Credit-Paket für mindestens 365 Tage (5,80 €), wenn die kostenlosen Start-Credits (für 50 Tage) schon abgelaufen sind.

Einrichtung: Vollständigen Artikel einblenden


Zur Einrichtung des dedizierten Portmappers von Feste-IP.net sind die folgenden Schritte durchführen:

  • Bei Feste-IP.net einen kostenlosen Account erstellen unter https://www.feste-ip.net/account/register/new/
  • Nach dem Registrieren und Login ist zunächst die IPv4-Adresse zu buchen, denn nur damit funktioniert der dedizierte Portmapper. Ein bloßer universeller Portmapper ohne eigene IP-Adresse funktioniert für OpenVPN nicht.
  • Hierzu im Menü links auf "Credits & Addons" klicken.
  • Im nachfolgenden Menü ist auf den orange unterlegten Button "Addonbuchung" zu klicken.
  • Dort "Dedizierte Portmapper-IPv4" aus dem Ausklappmenü auswählen. Mit einem Klick auf "IP-Adresse verbindlich bestellen" wird die IP-Adresse gebucht. Für Neukunden gibt es hier seit einiger Zeit eine Verbesserung: Man hat die Möglichkeit, die IPv4-Adresse für zwei Tage kostenlos zu testen. Diese Zeit sollte man nutzen, um das System ans Laufen zu bringen. Wenn alles funktioniert oder der kostenfreie Testzeitraum abgelaufen ist, kann man unter "Credits & Addons" zu der gebuchten IP-Adresse entsprechende zahlungspflichtige Buchungen vornehmen. Dabei stehen verschiedene Laufzeiten und Zahlmethoden zur Verfügung.
  • Für den dedizierten Portmapper benötigt man zudem pro Tag einen sog. "Credit", für ein Jahr also 365 Credits. Als "Startguthaben" erhält man von Feste-IP.net 50 Credits geschenkt, d.h. man kann den dedizierten Portmapper 50 Tage testen, ohne dass man weitere Credits kaufen muss (bitte beachten, dass für einen Test in jedem Fall die dedizierte IPv4-Adresse gebucht sein muss, siehe oben). Möchte man den dedizierten Portmapper für ein Jahr buchen, muss man unter "Credits & Addons" das Paket mit 365 Credits für 5,80 € wählen und bezahlen.
  • Nachdem die dedizierte IPv4-Adresse und ggf. die benötigten Credits für den Portmapper gebucht und bezahlt sind, kann der Portmapper eingerichtet werden. Hierzu ist im Menü links unter "Universelle Portmapper" der Portmapper einzurichten.
  • Durch klicken auf den großen"+"-Button wird ein neuer Portmapper angelegt.
  • Siehe auch Bild 8: Im nächsten Fenster unter "Mapping-Server" ist die eben gebuchte dedizierte IPv4-Adresse auszuwählen. Bitte die IPv4-Adresse merken / aufschreiben, denn diese wird für die Einrichtung der OpenVPN-Clientdatei benötigt (siehe unten unter 5.). Bei "IPv4 Port" (rote 1 im Bild) bitte 1194 eintragen, ebenso bei "IPv6 Port" (rote 2 im Bild). Dazwischen ist bei "IPv6 Ziel (DNS oder IP)" entweder die oben unter Schritt 2. erwähnte, bei der Konfiguration der FritzBox eingerichtete IPv6-Adresse der Synology-Diskstation einzufügen (am besten per Copy/Paste, rote 3 im Bild), oder - bei Verwendung von dynv6 - die DynDNS-Adresse, z.B. "MeinDNS.dynv6.net" (siehe oben Schritt 3.), oder - bei Nutzung von FritzOS 7.50 oder größer - die MyFritz-Adresse der Synology-Diskstation, allerdings ohne "https://" am Anfang und ohne ":1194" am Ende, z.B. "synologynas.ab1c2defghijklmn.myfritz.net" (siehe oben Schritt 2.).
  • Sowohl die Nutzung eines DynDNS-Dienstes als auch der MyFritz-Adresse haben den Vorteil, dass die IPv6-Adresse bei einer Änderung des IPv6-Präfixes nicht mehr manuell angepasst werden muss. Mit einem abschließenden Klick auf "System eintragen und Portmappings erstellen" wird die Einrichtung des dedizierten Portmappers abgeschlossen.


Bild 8:


  • Im Anschluss (siehe Bild 9) müsste der Portmapper in der Liste auftauchen. Mit einem Klick auf das "Pfeile-Symbol" bei "IPv6 Ziel" kann die Erreichbarkeit des Ports 1194 getestet werden. Wenn ein Haken mit dem Text "Port erreichbar" erscheint, war die Einrichtung erfolgreich.


Bild 9:


Text schließen

​​​​

b. Virtueller Private Server (VPS) auf Linux-Basis

Diese Lösung ist die Alternative zu Feste-IP.net, welche aber lediglich einen kleinen Baustein der Gesamtlösung darstellt, der allein den Portmapper von Feste-IP.net ersetzt. Alle anderen Punkte dieser Anleitung (OpenVPN-Server auf einem Client im Heimnetz, Portfreigabe auf FritzBox, Einrichtung von MyFRITZ oder DynDNS, Erstellung und Konfiguration des OpenVPN-Profils und Einrichtung der Client-Apps) müssen auch bei Nutzung eines VPS erfolgen.

Hier bieten sich im Wesentlichen zwei Tarife an, die sehr kostengünstig, aber dennoch leistungsfähig sind:

  • STRATO VPS Entry Linux VC1-1 (Tarif ab ca. September 2023 abgeschlossen) oder
  • IONOS VPS S (vor Mai 2023 abgeschlossen) bzw. VPS Linux XS (ab ca. Dezember 2023 abgeschlossen).

Beide Tarife sind auf Linux-Basis und beiden ist gemein, dass diese jeweils eine IPv4-Adresse beinhalten, die man für den hier dargestellten Zweck ja zwingend benötigt. Preislich liegen die beiden jeweils günstigsten Tarife bei dauerhaft 1 € pro Monat und bieten vergleichbare Leistungen. Der STRATO-Tarif ist im Vergleich zum IONOS XS sogar etwas leistungsstärker (mehr Speicherplatz z.B.).

VPS gibt es natürlich noch von vielen weiteren Anbietern. Viele von diesen sind jedoch meist deutlich teurer als die hier genannten Tarife. Zudem ist eine wichtige Voraussetzung bei der Suche nach einem anderen Tarif zu beachten: Es muss bei Verwendung für einen OpenVPN-Server im Netz der Deutschen Glasfaser zwingend eine IPv6-Unterstützung für den VPS enthalten sein. Dies ist bei STRATO (in allen Tarifen) seit etwa September 2023 der Fall (hier ist in der Leistungsbeschreibung von "IPv6-Ready" die Rede) und kann von mir positiv bestätigt werden. Bei IONOS war dies bis vor kurzem nur bei Alttarifen der Fall, die vor Mai 2023 angeboten wurden. Nach aktuellen Nutzerberichten soll dies bei den neuen Tarifen seit etwa Dezember 2023 auch wieder der Fall sein*.

* Bitte beachten: Dies wird in der IONOS-Produktbeschreibung für den VPS Linux XS derzeit immer noch nicht aktiv beworben und kann von mir auch nicht bestätigt werden, da ich derzeit den STRATO-Tarif nutze. Davor hatte ich einen Alttarif von IONOS, wo es problemlos ging. Alle Angaben daher ohne Gewähr!


Was genau macht nun aber der VPS? Es handelt sich um einen virtuellen Linux-Server, wobei man in der Regel verschiedene Linux-Varianten (z.B. Debian, Ubuntu) zur Auswahl hat. Der Server muss im Kundencenter des jeweiligen Anbieters sowie mit Befehlen über ein Terminalprogramm (z.B. PuTTY, Termius) konfiguriert werden. Insbesondere muss die Anwendung "6tunnel" auf dem Linux-Server installiert und eingerichtet werden. Es ist daher (einmalig) ein höherer Aufwand erforderlich als bei Feste-IP.net; zudem sind (Basis-)Kenntnisse von Linux kein Nachteil. Für wen das alles Böhmische Dörfer sind und wer lieber alles über einen normalen Internetbrowser einrichten möchte, sollte daher eher Feste-IP.net in Erwägung ziehen, auch wenn dieser Dienst über ein Jahr gesehen (deutlich) teurer ist.

Einrichtung: Vollständigen Artikel einblenden


Zur Einrichtung des VPS sind folgende Schritte erforderlich:

  • Zunächst den jeweiligen Tarif buchen: Link STRATO, Link IONOS
  • Bei IONOS beginnt man bereits vor Abschluss der Bestellung mit der Konfiguration des Servers: So kann man sich u.a. direkt aussuchen, welches Betriebssystem installiert werden soll. Für den hier geplanten Einsatzzweck reichen folgende Einstellungen: VPS XS / Systemversion: Debian 11 oder 12 / Backup & Recovery: Kein.
  • Nach der Buchung kann man sich mit seinen Zugangsdaten (E-Mail-Adresse / Passwort) in das Kundencenter einloggen und den Status der Bereitstellung des VPS unter "Server & Cloud" verfolgen. Hier müsste der soeben gebuchte Server als "Cloud Server 0" (oder ähnlich; alle Angaben und Screenshots zu IONOS stammen aus April 2023) in der Liste auftauchen. Man sieht in Prozent, wie weit die Einrichtung des VPS schon fortgeschritten ist (das geschieht zunächst ganz automatisch). Erfahrungsgemäß dauert es bis zu 30 Minuten, bis die automatische Bereitstellung des Servers abgeschlossen ist. Ist sie abgeschlossen, wird dies mit einem grünen Punkt signalisiert, siehe Bild 10:

  • In der Server-Übersicht sieht man unter "IP" schon die dazugehörige IPv4-Adresse. Bevor man jetzt mit dem Terminalprogramm weiter macht, müssen im IONOS-Kundencenter allerdings noch ein paar Einstellungen vorgenommen werden, damit das Ganze auch funktioniert: Unter "Netzwerk" > "Öffentliche IP" mit "+ Erstellen" ist dem Server noch eine IPv6-Adresse zuzuweisen. Im darauf erscheinenden Menü wählt man einfach "IPv6" unter IP-Version aus und weist diese dem "Cloud Server 0" zu. Als Preis hierfür werden 0 € angezeigt, weil eine IPv6-Adresse im Tarif enthalten ist (siehe aber meine Angaben dazu oben). Mit "Erstellen" wird die IPv6-Adresse hinzugefügt. Auch hier muss man ein paar Minuten warten, bis der Konfigurationsvorgang abgeschlossen ist. Der Status wird erneut in Prozent angezeigt und nach Abschluss leuchtet wieder ein grüner Punkt. Unter "Netzwerk" > "Firewall-Richtlinien" findet man bereits drei Ports, die in der Firewall des VPS geöffnet wurden: TCP 22, 80 und 443. Für den Zugriff über ein Terminalprogramm ist die Öffnung des Ports 22 TCP unerlässlich. Wir müssen die Regel allerdings noch mit einem weiteren Port ergänzen. Mit einem Druck auf die vorhandene Regel "Linux" öffnen sich die Details und man kann weitere Ports hinzufügen: Für OpenVPN (siehe oben Schritte 1. und 2.) muss der Port 1194 hier ebenfalls freigegeben werden: Erlaubte IP: Alle / Protokoll: TCP (wenn man vorher schon Feste-IP.net genutzt hat; ansonsten kann man den OpenVPN-Server auch mit UDP betreiben; egal wie man es macht müssen die Einstellungen aber überall gleich sein, also nicht TCP und UDP mischen!) / Port: 1194 / Beschreibung: irgendein sinnvoller Text, z.B. OpenVPN. Danach auf "Regel hinzufügen" (grüner Haken) klicken. Sodann muss wieder etwas gewartet werden, bis die Einstellung aktiv ist (sichtbar am grünen Punkt).
  • Sodann gehen wir zu "Server" und klicken auf "Cloud Server 0", um die Details des Servers anzeigen zu lassen (siehe nachfolgendes Bild 11). Hier finden wir unter anderem die Zugangsdaten, nämlich: IPv4-Adresse des Servers (1 im Bild), den Benutzer (standardmäßig "root", 2 im Bild) und das Initial-Passwort, welches sich mit einem entsprechenden Klick anzeigen lässt (3 im Bild). Diese drei Angaben brauchen wir, um uns mit einem Terminalprogramm auf den virtuellen Server zu schalten und diesen weiter zu konfigurieren.


Bild 11:


  • Bei STRATO kann die Konfiguration erst nach Abschluss des Bereitstellungsvorgangs im Kundencenter beginnen. Diese dauert laut Angaben von STRATO bis zu 24 Stunden. Bei mir dauerte es nur knapp 2,5 Stunden, bis die entsprechende E-Mail kam.
  • Danach kann man sich mit seinen Zugangsdaten im Kundencenter einwählen. Bis zur Bereitstellung bekommt man einen Hinweis wie in Bild 12 angezeigt:

  • Sobald die Aktivierung abgeschlossen ist, bekommt man schon ein paar Daten wie die IPv4-Adresse des Servers im Kundencenter angezeigt. Der eigentliche Server muss jetzt aber erst noch installiert werden, indem man auf "Neuinstallation" klickt (siehe nachfolgend Bild 13):

  • Die im nachfolgenden Bild 14 gezeigten Angaben müssen jetzt gemacht werden: Betriebssystem (bevorzugt Debian 11 oder 12 - Bitte beachten: Ich würde Debian 12 nehmen. Bei Debian 11 ist nämlich die Aktivierung der IPv6-Adresse deutlich umständlicher, siehe den im Bild 14 gezeigten Hinweistext von STRATO mit eigener FAQ. Auch hier in der Kommentarspalte hatte ein User Probleme mit der Bereitstellung von IPv6 - vermutlich wegen Debian 11). Das Root-Passwort (nach eigenem Belieben) und ein sog. Public SSH-Key im OpenSSH-Format müssen eingegeben werden. Zu letzterem bietet STRATO eine eigene, dort verlinkte Hilfeseite an; diese bitte befolgen. Anschließend die Installation starten und abwarten. Dies dauert erfahrungsgemäß ca. 10 Minuten.


Bild 14:


  • Nach der Installation sollte im Kundencenter unter Serverdetails auch die IPv6-Adresse des Servers erkennbar sein (siehe nachfolgendes Bild 15):

  • Zuletzt sind im STRATO-Kundencenter noch die Firewall zu aktivieren (ist standardmäßig deaktiviert) und zumindest zwei Ausnahmeregeln anzulegen, entsprechend dem nachfolgenden Bild 16 (Port 22 TCP für den SSH-Zugriff mit dem Terminal-Programm, Port 1194 TCP oder UDP für den OpenVPN-Server, je eine für IPv4 und IPv6):


  • Für STRATO und IONOS: Nun muss die weitere Konfiguration des Servers mittels eines Terminalprogramms erfolgen. Hierzu bieten sich unter Windows PuTTY und unter iOS/iPadOS sowie Android Termius (Link iOS, Link Android) an, die entsprechend herunterzuladen und zu installieren sind. Die nachfolgende Beschreibung und die gezeigten Screenshots basieren auf Termius unter iPadOS. Mit PuTTY funktioniert es aber ganz ähnlich. Bitte beachten: Bei STRATO muss der Zugang zum Server über SSH zwingend mittels des SSH Private Keys erfolgen (siehe STRATO-Anleitung).
  • In Termius wählt man sich unter "Hosts" auf den Server ein. Mit einem Klick auf + wird ein neuer Host angelegt. Bereits mit Termius verwendete Hosts lassen sich leicht wieder öffnen, weil entsprechende Shortcuts angelegt werden.
  • Sodann wählt man aus dem sich öffnenden Kasten den Eintrag "New Host" aus. Dort werden die Zugangsdaten des Servers für IONOS (siehe oben Bild 11) in die folgenden Felder eingetragen: Hostname - Die dem Server zugeordnete IPv4-Adresse im Format 111.222.333.44; Use SSH aktivieren; Port: 22; Username: root; Password: Das Initial-Passwort des Servers aus dem Kundencenter, wie in Bild 11 dargestellt. Danach auf "Save" drücken. Sodann kann man die Verbindung durch einen Druck auf den nunmehr angelegten Shortcut herstellen. Für die Herstellung der Verbindung bei STRATO bitte die oben verlinkte Anleitung verwenden.
  • Anschließend öffnet sich das Terminalfenster, wie im nachfolgenden Bild 17:

  • Ab hier muss nun mit Linux-Befehlen gearbeitet werden. Dabei muss man zunächst die Paketquelle (hier: apt-get), aus der die benötigte Anwendung 6tunnel installiert werden soll, neu einlesen/updaten. Dies geschieht mit folgendem Befehl (Bild 18), den man mit der Tastatur hinter "root@localhost:~#" eingibt (siehe rote Umrandung). Anschließend Return nicht vergessen:

  • Das erfolgreiche Update wird mit der Erfolgsmeldung "Done" und ein paar weiteren Meldungen auf dem Bildschirm quittiert (siehe oben). Danach steht zunächst ein Test an, ob IPv6 auf dem Server erreichbar ist, wozu nachfolgender Befehl (rote Umrandung Bild 19) einzugeben und mit Return zu bestätigen ist:

  • Dabei sollte der auf dem obigen Screenshot ersichtliche Text so oder ähnlich erscheinen. Die dort zu sehende IPv6-Adresse ist von Google. Jetzt ist die Anwendung 6tunnel mit folgendem Befehl (rote Umrandung Bild 20) zu installieren und mit Return zu bestätigen:

  • Danach kann 6tunnel mit folgendem Befehl+Return (rote Umrandung Bild 21) aktiviert werden. Dabei bitte beachten, dass zwischen den beiden Portangaben "1194" (einmal für IPv4 und einmal für IPv6) entweder die IPv6-Adresse des OpenVPN-Servers (also z.B. der Synology-NAS) selbst einzugeben ist, oder - wie oben eingerichtet - die MyFritz-Adresse des OpenVPN-Servers (hier beispielhaft mit synologynas.ab1c2defghijklmn.myfritz.net im Screenshot zu sehen) bzw. die DynDNS-Adresse. Auch hier sind die beiden letzteren Optionen vorzugswürdig, da bei Angabe der MyFritz- oder DynDNS-Adresse bei einer Änderung des IPv6-Präfixes die IPv6-Adresse in 6tunnel nicht manuell geändert werden muss:

  • Im Grunde sind wir an der Stelle mit der Einrichtung des VPS und 6tunnel fertig, d.h. man könnte an der Stelle aufhören und mit Schritt 5. (OpenVPN-Profildatei erstellen/bearbeiten und Open-VPN-App konfigurieren) weitermachen. Allerdings ist darauf hinzuweisen, dass 6tunnel nach einem Neustart des VPS, aus welchen Gründen auch immer (planmäßig oder unplanmäßig, z.B. bei einem Stromausfall), nicht mehr aktiv ist. Die Aktivierung wie oben erklärt hält also nur so lange, bis der Server neu startet. Dies wäre für die dauerhafte Stabilität des OpenVPN-Servers natürlich kontraproduktiv. Aus diesem Grund ist dringend zu empfehlen, im Linux-Server einen Autostart-Befehl für 6tunnel einzurichten, damit 6tunnel nach jedem Server-Neustart des VPS automatisch mitstartet. Dies kann man beispielsweise mit dem Befehl "crontab" erledigen. Hierzu ist zunächst folgender Befehl (rote Umrandung Bild 22) einzugeben und mit Return zu bestätigen:

  • Sollte Crontab noch nicht installiert sein, erscheint eine Fehlermeldung. Dies war bei mir unter Debian 12 der Fall. Daher muss mit dem Befehl "apt-get install cron" Crontab erst installiert werden. Danach o.g. Befehl einfach noch einmal ausführen.
  • Beim allerersten Aufruf von crontab erscheint zunächst eine Abfrage, in welches Verzeichnis die Datei abgelegt werden soll. Hier gibt man einfach eine 1 ein (/bin/nano), was der Standard ist. Sodann erscheint relativ viel Text, wobei das meiste nur ein Beschreibungstext (erkennbar an der Raute # zu Zeilenbeginn) ist - siehe nachfolgendes Bild 23. Man bewegt sich in crontab mit den Pfeiltasten nach unten, bis man in der freien Zeile nach der letzten Zeile mit # angelangt ist und gibt den in der roten Umrandung des Bildes 23 genannten Text, beginnend mit "@reboot" ein - wiederum angepasst an die eigene MyFritz-, DynDNS- bzw. IPv6-Adresse des OpenVPN-Servers:

  • Anschließend drücken wir die Tastenkombination Ctrl + X, um Crontab zu verlassen. Die erscheinende Abfrage, ob die vorgenommenen Änderungen gespeichert werden sollen, quittiert man mit einem Y. Dann muss man noch einmal Return drücken, danach sollte die Meldung "crontab: installing new crontab" erscheinen. Danach ist man wieder im Eingabemodus von Linux.
  • Das erfolgreiche Einrichten von crontab kann mit dem Befehl "crontab -l" + Return getestet werden. Die eben getätigten Eingaben sollten sichtbar sein.
  • Zum Schluss kann man mit dem Befehl "sudo reboot" + Return einen Server-Neustart des VPS durchführen und anschließend testen, ob 6tunnel trotzdem noch aktiv ist. Hierzu nach erfolgreichem Neustart und Wiederherstellen der Verbindung zum VPS über Termius folgenden Befehl (rote Umrandung im nachfolgenden Bild 24) eingeben und mit Return bestätigen:

  • Der 6tunnel-Status ergibt sich aus dem sodann erscheinenden Text, in dem die getätigten Eingaben (Port / IPv6-Adresse / Port) ersichtlich sind. Damit sind der VPS und 6tunnel korrekt und vollständig eingerichtet. Weiter geht es mit Schritt 5.
Text schließen


c. Vor- und Nachteile der beiden Varianten

Der besseren Übersichtlichkeit wegen hier noch einmal die Vorteile (+) und Nachteile (-) von Feste-IP.net und einem VPS von STRATO oder IONOS:


Feste-IP.net VPS
+ Schnelle, relativ unkomplizierte Einrichtung
+ Flexible Laufzeiten auf Prepaid-Basis
+ Gute Performance
+ Viele verschiedene Zahlungsmittel (u.a. SEPA-Lastschrift, Kreditkarte, PayPal, Sofortüberweisung, giropay) möglich
- Höhere Kosten als mit günstigem VPS-Tarif (38,80 € pro Jahr)		 + Grundeinstellungen des Servers im Kundencenter schnell erledigt
+ Sehr günstiger Preis (ab 12,00 € pro Jahr)
+ Gute Performance
+ Verschiedene Zahlungsmittel möglich, je nach Anbieter (teilweise SEPA-Lastschrift, Kreditkarte oder PayPal-Zahlung)
- Einmalige Einrichtung des Servers und von 6tunnel über Terminalprogramm mit Linux-Befehlen erforderlich


Ich habe alle Services getestet und kann sie auch alle empfehlen. Wer mit Linux kein Problem hat, wird wahrscheinlich zu der deutlich günstigeren VPS-Variante von STRATO oder IONOS greifen; bequemer einzurichten ist jedoch der Portmapper von Feste-IP.net.



Zu 5.: OpenVPN Connect, Passepartout-App (iOS) oder OpenVPN für Android bzw. VPN Client Pro (Android) für den Fernzugriff von mobilen Endgeräten

Zu guter letzt muss man natürlich noch die (mobilen) Endgeräte, mit denen man auf das Heimnetzwerk per VPN zugreifen möchte, einrichten. Zuvor ist allerdings die OpenVPN-Profildatei zu erstellen und zu bearbeiten (hierzu unter a.).

Für Windows-PCs/Laptops benötigt man das Programm OpenVPN Connect (näheres hierzu unter b.).

Für das iPhone/iPad mit iOS/iPadOS gibt es ebenfalls OpenVPN Connect. Ich empfehle und nutze hier allerdings mittlerweile eine andere App, und zwar Passepartout, welche es auch für den Mac gibt (näheres hierzu unter c.).

Für Android-Smartphones/Tablets gibt es gleich mehrere Apps, die man verwenden kann. Wer nur gelegentlich ins VPN möchte und keine Automatisierung benötigt, fährt am besten mit der App OpenVPN für Android. Die "offizielle" Android-App Open VPN Connect hat sich in meinen Tests demgegenüber als deutlich komplizierter erwiesen, weil diese im Hinblick auf das Zertifikat Probleme macht. Sie bietet gegenüber OpenVPN für Android auch keinen Mehrwert. Wer dagegen auf mehr (Komfort-)Funktionen Wert legt, sollte sich unter Android mit dem VPN Client Pro beschäftigen.


a. Erstellung und Bearbeitung der OpenVPN-Profildatei

  • Auf dem PC oder einem anderen geeigneten Endgerät (Tablet, Laptop oder stationärer Computer) in DSM der Synology-Diskstation einloggen. Wichtig ist, dass man dort bereits einen/mehrere Benutzer angelegt hat und das Passwort kennt (unter "Systemsteuerung" > "Benutzer"). Dann im VPN Server in DSM auf "Berechtigung" (DSM 7) bzw. "Privileg" (DSM 6) klicken. Dort muss für den betreffenden Benutzer, der OpenVPN nutzen will, ein Haken gesetzt sein (siehe roter Kreis in Bild 25). Der Benutzername wird ebenso noch benötigt wie das Passwort, welches man für den Benutzernamen in DSM festgelegt hat.


Bild 25:


  • Im VPN Server der Synology-Diskstation ist sodann unter "VPN Server einrichten" > "OpenVPN" auf die Schaltfläche "Konfigurationsdateien exportieren" zu klicken. Es erfolgt der Download eines ZIP-Archivs mit dem Namen "openvpn.zip". Dieses extrahieren und in ein Verzeichnis der Wahl speichern. Auf jeden Fall benötigt wird die Profildatei "VPNConfig.ovpn"; sofern auch die Zertifikatsdatei "ca.crt" (nur bei DSM 6) dabei ist, kann diese ebenfalls gespeichert werden (wenn Windows genutzt wird; für iOS und Android wird sie nicht benötigt).
  • Die Profildatei "VPNConfig.ovpn" muss sodann mit einem Text-Editor (z.B. dem Windows-Editor) bearbeitet werden, da die individuellen Einstellungen darin noch fehlen. Hierzu die Datei mit dem Editor (in Windows mit einem Rechtsklick und "Öffnen mit" > "Editor") öffnen. Darin sind folgende Anpassungen vorzunehmen:
    • Vor die Zeile "remote YOUR_SERVER_IP 1194" eine neue Zeile einfügen mit dem Inhalt "dhcp-option DOMAIN fritz.box" (ohne Anführungszeichen eintragen, auch alle nachfolgenden Einträge).
    • In der Zeile ("remote YOUR_SERVER_IP 1194") "YOUR_SERVER_IP" durch die IPv4-Adresse ersetzen, die man bei Feste-IP.net bzw. IONOS erhalten hat (siehe oben, Schritt 4), also z.B. "111.22.333.44". Auch "1194" darf nicht gelöscht werden.
    • In der Zeile "#dhcp-option DNS DNS_IP_ADDRESS" das Rautezeichen (#) entfernen und "DNS_IP_ADDRESS" ersetzen durch "192.168.178.1". Optional kann man danach eine weitere Zeile neu einfügen mit "dhcp-option DNS 8.8.8.8" (abhängig vom genutzten Endgerät; bei Apple-Geräten und Nutzung von Passepartout ist die Google-DNS-Adresse nicht erforderlich).
    • Die dhcp-option mit DOMAIN und die erste mit DNS bewirken, dass bei Bestehen der VPN-Verbindung die anderen Clients im Heimnetz auch mit ihrem Namen anstatt mit der lokalen IP-Adresse ansprechbar sind (Beispiele: fritz.box als Name für die IP-Adresse der FritzBox wie z.B. 192.168.178.1 oder fritz.repeater als Name für die IP-Adresse des FritzRepeaters wie z.B. 192.168.178.15 oder synologynas als Name für die IP-Adresse der Synology-Diskstation wie z.B. 192.168.178.10). Die hier angegebenen IP-Adressen bzw. Namen sind nur Beispiele und müssen an die eigene Netzwerkumgebung angepasst werden. Wenn die IP-Adresse der FritzBox also nicht 192.168.178.1, sondern anders lautet, muss natürlich die korrekte eigene IP-Adresse des Routers in der Profildatei angegeben werden (Hinweis: Es muss auch dann die IP-Adresse des Routers angegeben werden, sofern sich das NAS mit dem OpenVPN-Server in einer eigenen Domäne mit DNS-Server befindet!).
    • Die zweite, optionale dhcp-Option ist die Google-DNS-Adresse und bewirkt ggf., dass man auch im VPN eine Internetverbindung hat (dies ist nur erforderlich, falls die IP-Adresse des Routers hierfür nicht schon ausreicht; ggf. ausprobieren).
    • Die dhcp-Optionen mit der DOMAIN fritz.box und der DNS IP-Adresse der FritzBox bewirken bei mir mit Clients unter iOS, iPadOS (OpenVPN Connect und Passepartout), Android (OpenVPN für Android) und mittlerweile auch Windows 11 (OpenVPN Connect), dass die o.g. Namensauflösung im VPN funktioniert.
    • Speziell zur Funktionsfähigkeit der Namensauflösung in Windows bitte beachten: Neben den hier in der Profildatei vorzunehmenden Einstellungen sollte man vor jeder neu oder geändert eingespielten Profildatei OpenVPN Connect am besten deinstallieren und auch darauf achten, dass in der Windows-Netzwerkkonfiguration (in Windows 11 unter Einstellungen > Netzwerk und Internet > Erweiterte Netzwerkeinstellungen > Weitere Netzwerkadapteroptionen) der TAP-Adapter, der von OpenVPN Connect hier angelegt wurde, ebenfalls gelöscht ist. Erst danach OpenVPN Connect komplett neu installieren, wobei dann automatisch ein neuer TAP-Adapter in den Netzwerkeinstellungen angelegt wird. Ist die VPN-Verbindung aktiv, lässt sich in den IPv4-Einstellungen des TAP-Adapters nachvollziehen, dass die in der Profildatei gemachten DNS-Einstellungen auch übernommen werden. Ich habe zunächst den Fehler gemacht, dass ich OpenVPN Connect nach erfolgten Änderungen der Profildatei nicht deinstalliert habe, weshalb bei mir die Namensauflösung unter Windows 11 lange Zeit nicht funktioniert hat. Seitdem ich dies jedoch mache, läuft die Namensauflösung auch mit Windows einwandfrei.
    • Sollte die Namensauflösung in Windows trotz dieser Einstellungen noch nicht funktionieren, gibt es im Internet noch weitere Hinweise, denen man in diesem Fall nachgehen könnte und die ich ebenfalls umgesetzt habe. Insbesondere sollte die Metrik der VPN-Verbindung niedriger sein als die des normalen Ethernet- bzw. WLAN-Adapters, weil diese die Priorisierung der Netzwerkadapter in Windows regelt. Die Metrik der VPN-Verbindung lässt sich mit einem Befehl in Windows Powershell einstellen. Die an dieser Stelle ursprünglich verlinkte Anleitung existiert leider nicht mehr, weitere Anleitungen zur Einstellung der Metrik finden sich aber zahlreich. Ferner kann auch die "SmartNameResolution" in Windows die DNS-Einstellungen beeinflussen. Hierzu empfehle ich eine weitere Anleitung.
    • In der Zeile "#redirect-gateway def1" das Rautezeichen (#) entfernen, so dass "redirect-gateway def1" in der Zeile steht.
    • Gegebenenfalls eine neue Zeile vor <ca> und dort "client-cert-not-required" einfügen, damit es kein mögliches "Gemecker" wegen eines fehlenden Zertifikats gibt.
    • Der Rest ist so zu belassen. Im Menü des Editors unter Datei darf das Speichern nicht vergessen werden.


Der Inhalt der Datei VPNConfig.ovpn könnte also beispielhaft wie folgt aussehen:

dev tun
tls-client
dhcp-option DOMAIN fritz.box
remote 111.22.333.44 1194
redirect-gateway def1
dhcp-option DNS 192.168.178.1
dhcp-option DNS 8.8.8.8
pull
proto tcp-client
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
client-cert-not-required
<ca>
</ca>

Anmerkungen zu den in Kursiv dargestellten Inhalten:

  • 111.22.333.44 ist nur eine Beispiel-IP-Adresse, welche durch die eigene bei Feste-IP.net oder IONOS gebuchte Adresse ersetzt werden muss.
  • 192.168.178.1 ist die lokale IP-Adresse der FritzBox bzw. des Routers; sofern diese abweicht ist sie entsprechend anzupassen.
  • dhcp-option DNS 8.8.8.8 ist nur erforderlich, sofern ohne die Einstellung im VPN keine Internetverbindung aufgebaut werden kann.
  • Der pull-Befehl wird laut einer Nutzermeldung (siehe Kommentare unten) bei Nutzung von OpenVPN Connect für Windows ab Version 3.4.0 nicht mehr unterstützt. In diesem Fall den Befehl aus der Profildatei herauslöschen.
  • Die Zeile client-cert-not required ist fakultativ und daher nicht zwingend erforderlich.
  • Zwischen <ca> und </ca> steht das eigene Zertifikat; es wird automatisch erzeugt.


b. Einrichtung OpenVPN Connect mit Windows 10/11

  • Zunächst OpenVPN Connect auf dem PC installieren; eine ggf. vorhandene Version deinstallieren (Grund: s. oben).
  • Die Zertifikatsdatei "ca.crt" (sofern vorhanden, s. oben) kann man (optional) im Windows-Explorer mit einem Doppelklick installieren und dabei "Aktueller Benutzer", "Alle Zertifikate in folgendem Speicher speichern", Durchsuchen und "OpenVPN Certificate Store" auswählen. Nach mehrfachem Bestätigungsklick sollte die Meldung, dass der Import erfolgreich war, erscheinen.
  • Danach das Programm OpenVPN Connect öffnen. Mit einem Klick auf das orange hinterlegte "+" wird ein neues Profil erstellt. Unter "File" und "Browse" ist die OpenVPN-Profildatei auszuwählen, die man eben erstellt und bearbeitet hat. Anschließend sollte der grüne Text "Profile successfully imported" erscheinen. Unter "Username" gibt man den Benutzernamen der Synology-Diskstation ein, dem man oben die Rechte zur OpenVPN-Nutzung gewährt hat. Nach Setzen des Hakens bei "Save password" ist das zugehörige Passwort des Benutzers der Diskstation einzugeben. Unter "Certificate" ist die oben installierte Zertifikatsdatei auszuwählen. Anschließend auf "Add" klicken. Unter "Profiles" kann man das eben eingerichtete Profil sehen und mit Klick auf den Schieberegler wird die VPN-Verbindung gestartet.


c. Einrichtung Passepartout-App auf einem iPhone oder iPad

Für iPhone, iPad oder Mac unter iOS, iPadOS bzw. MacOS nutze ich mittlerweile nicht mehr die OpenVPN-App, sondern die Passepartout-App, die man ebenfalls im App Store findet. Diese bietet deutlich mehr Einstellmöglichkeiten.

So hat man hier die Möglichkeit, VPN dauerhaft aktiv zu halten (trotz Schlafmodus des Endgerätes) und zudem bestimmte WLANs und/oder das Mobilfunknetz als "vertrauenswürdige Netzwerke" zu definieren. Dies hat dann zur Folge, dass das VPN im heimischen Netzwerk oder im (normalerweise sicheren) Mobilfunknetz deaktiviert bleibt. Sobald man sich in ein "fremdes" WLAN einwählt, z.B. im Urlaub, am Flughafen, Bahnhof oder auf öffentlichen Plätzen, wird die Verbindung zum heimischen OpenVPN-Server aber automatisch aufgebaut und gehalten, ohne dass man das VPN manuell einschalten muss. Dies halte ich für sehr praktisch und komfortabel.

Die Passepartout-App ist grundsätzlich zunächst kostenlos herunterzuladen. Für die genannte Komfortfunktion "vertrauenswürdige Netzwerke" benötigt man aber zusätzlich einen In-App-Kauf zur Vollversion für einmalig 9,99 € (nur iOS/iPadOS oder MacOS) bzw. 17,99 € (iOS/iPadOS und MacOS) - Stand: April 2024. Für die genannte Funktion gut investiertes Geld, wie ich finde.

Eine vergleichbare App gibt es auch für Android, nämlich VPN Client Pro. Diese unterstützt unter anderem OpenVPN, welches in der kostenlosen Basisversion vollumfänglich funktioniert. Auch hier lässt sich die OpenVPN-Profildatei importieren. Die Automatisierung wie in Passepartout ist jedoch ebenfalls kostenpflichtig mittels In-App-Kauf, wobei man zwischen einer Life-Time-Lizenz für den OpenVPN Client und einem Abo-Modell wählen kann.

Die Einrichtung von Passepartout:

  • Zunächst die App aus dem App Store herunterladen.
  • Zur Nutzung als OpenVPN-Client benötigt man wieder die oben erstellte und auf die individuelle Umgebung angepasste OpenVPN-Profildatei. Am einfachsten bekommt man diese in Passepartout importiert, indem man die Datei mit dem PC oder dem Mac in der iCloud Drive ablegt und die Datei anschließend mit der Dateien-App des iPhones bzw. iPads öffnet und dann die "Teilen"-Funktion nutzt. Dort dann einfach die Passeportout-App auswählen. Alternativ kann man sich die Datei auch per E-Mail zusenden und in der E-Mail-App mit der "Teilen"-Funktion in Passepartout öffnen (weniger sicher).
  • Sodann öffnet sich die Passepartout-App automatisch und man wird aufgefordert, einen Titel für das VPN einzugeben, z.B. OpenVPN.
  • Nach Druck auf "Weiter" gibt man seinen Benutzernamen und das Passwort des OpenVPN-Servers ein (also in meinem Beispiel von der Synology-Diskstation, siehe oben).
  • Nach Druck auf "Fertig" ist das Profil in Passepartout einsatzbereit.
  • Im Menü von Passepartout können nun noch ein paar Einstellungen vorgenommen werden (siehe auch unten Bilder 26 und 27). Wenn man in der Profildatei noch keine DNS-Einstellungen vorgenommen hat, sollte man unter "Netzwerk-Einstellungen" die Einstellung "DNS" auf "Manuell" umschalten. Weiter unten unter "DNS" ggf. die Google-DNS-Adresse 8.8.8.8 eintragen, da man je nach Endgerät ansonsten keinen Internetzugriff über die VPN-Verbindung hat (siehe oben). Möchte man auch eine IPv6-Adresse im VPN haben (siehe hierzu schon oben unter 1.), kann man die Einstellung "Standard-Gateway" ebenfalls auf "Manuell" umstellen und neben dem Schieberegler für IPv4 auch den für IPv6 aktivieren. Dann geht man mit "zurück" wieder in das Hauptmenü des OpenVPN-Profils. Dort ggf. den Schieberegler "Verbindung aktiv halten trotz Schlafmodus" einschalten, wenn dies gewünscht ist (hat ggf. negativen Einfluss auf die Akkulaufzeit). Unter "Vertrauenswürdige Netzwerke" kann der Schieberegler bei "Mobilfunknetz" aktiviert werden, unter "WLAN hinzufügen" kann man das oder die eigene(n) WLAN-Netzwerk(e) eintragen, unter denen man keine VPN-Verbindung haben möchte. Wichtig: Sofern man die Vollversion von Passepartout noch nicht gekauft hat, wird man hier dann aufgefordert, diese zu kaufen. Erst nach dem In-App-Kauf kann man diese Funktion nutzen. Zu guter letzt unter VPN den Schieberegler "Aktiviert" (ganz oben) einschalten. Das bewirkt, dass das VPN von nun an "selbständig" eingeschaltet wird, wenn man sich in einem fremden WLAN aufhält. Zur Kontrolle der Funktion kann man das Mobilfunknetz bei den vertrauenswürdigen Netzwerken deaktivieren und das WLAN des iPhones kurzzeitig abschalten, so dass man über Mobilfunk mit dem Internet verbunden ist. Nach ein paar Sekunden sollte sich die VPN-Verbindung automatisch aufbauen. Bei der ersten Verwendung wird man von iOS gefragt, ob man das Hinzufügen von VPN-Konfigurationen durch Passepartout erlaubt, was man dann macht. Fertig!


Bild 26:


Bild 27:


Zu 6.: FRITZ!App Fon zum Telefonieren von unterwegs im VPN über die FritzBox

Mit der FRITZ!App Fon kann man auch mit seinem Smartphone Telefonate über die FritzBox, also den Glasfaseranschluss, führen. Das schöne dabei ist, dass dies sogar von unterwegs funktioniert, wenn man über VPN mit dem Heimnetzwerk verbunden ist. Dann funktionieren zumindest abgehende Anrufe mit der App problemlos. Seit der Version 5.0 der FRITZ!App Fon sind über iOS allerdings ankommende Anrufe, wenn man sich nicht in einem WLAN-Netzwerk befindet und die App nicht permanent offen hält, nicht mehr möglich, selbst wenn man über VPN verbunden ist. Dies hängt laut AVM mit neuen Vorgaben von Apple zusammen.

Wenn eine Verbindung mit OpenVPN zum Heimnetzwerk eingerichtet ist (siehe oben 1. bis 5.) und man von unterwegs über die FritzBox telefonieren möchte, ist Folgendes zu tun:

  • Zunächst aus dem jeweiligen App-Store (iOS, Android) die FRITZ!App Fon auf dem Mobiltelefon herunterladen.
  • Als nächstes muss das Smartphone als "LAN/WLAN (IP-Telefon)" in der FritzBox angelegt werden. Die Einrichtung eines IP-Telefons in der FritzBox wird im Kapitel "Telefonie einrichten" näher beschrieben.
  • Wichtig: Damit man sein Gegenüber beim Telefonieren mit der FRITZ!App Fon bei einer Verbindung über OpenVPN auch hören kann und man selbst gehört wird, muss in der FritzBox-Konfiguration noch eine weitere Einstellung vorgenommen werden unter "Heimnetz" > "Netzwerk" > "Netzwerkeinstellungen" > "weitere Einstellungen" > "Statische Routingtabelle" > "IPv4 Routen" > "Neue IPv4 Route". Dort sind folgende Einstellungen vorzunehmen (siehe nachfolgendes Bild 28):
    - IPv4-Netzwerk: 10.0.0.0
    - Subnetzmaske: 255.0.0.0
    - Gateway: die lokale IPv4-Adresse des Netzwerkgeräts, auf dem der VPN-Server läuft (in meinem Beispiel also die Synology-Diskstation, z.B. 192.168.178.10).
    Anschließend ist ein Haken zu setzen bei "IPv4-Route aktiv", danach auf "OK" drücken. 
  • Sind diese Vorarbeiten erledigt, kann die FRITZ!App Fon geöffnet werden. Dabei wird zunächst nach der FritzBox gefragt, mit der man verbunden werden will. Nachdem man diese ausgewählt hat, kann man bereits über die App telefonieren.


Bild 28:


Ihnen hat der Artikel geholfen und Sie möchten sich bedanken? Dann bitte hier entlang.


Kommentare / Fragen

Stephan (Webmaster)
15.04.2024 20:52

Hallo Candy,

da bin ich leider überfragt, da ich Wireguard nicht nutze. Probiere es einfach aus und teile gerne das Ergebnis hier mit.

Viele Grüße
Stephan

Candy
15.04.2024 11:17

Vielen, vielen Dank für diese Anleitung. Hat auf Anhieb alles funktioniert. Eine Frage hätte ich noch. Ist es möglich, über den v-Server auch eine wireguard verbindung direkt auf die Fritzbox zu legen. Sodass ich im Inland mit iPV6 die Wireguard-App mit der automatischen Konfiguration der Fritzbox nutzen kann und im Ausland mit IPv4 dann den Schieberegler über den v-Server nutzen kann und auf beiden Wegen vollen Zugriff auf mein Netz habe?

Stephan (Webmaster)
02.04.2024 20:47

Hallo Andi,

"sicher" ist im Sinne von zuverlässig/stabil gemeint. Wenn Sie von unterwegs über Mobilfunk (jedenfalls in Deutschland) über das FritzBox-Wireguard-VPN auf Ihr Zuhause zugreifen, funktioniert das. Weil IPv6 in deutschen Mobilfunknetzen seit ein paar Jahren unterstützt wird. Halten Sie sich aber im Ausland auf oder in fremden WLANs, kommen Sie mit der Lösung allerdings nicht (immer) weiter, weil diese Netzwerke oft noch keinen IPv6-Support haben. Das hat mit der IPv4-Adresse Ihrer FritzBox auch gar nichts zu tun. Sie haben in dem Fall gar keinen Zugriff, da über die beiden FritzBox-eigenen VPNs (auch Wireguard) bei einer öffentlichen lediglich IPv6-Adresse (wie bei der Deutschen Glasfaser) nur dann Zugriff besteht, wenn im Fremdnetz ebenfalls IPv6-Support besteht. In Ihrem Fall hatten Sie diesbezüglich wohl bisher Glück gehabt, aber richtig dauerhaft zuverlässig, unabhängig davon wo man sich aufhält, ist die Lösung halt nicht...

Insofern halte ich die Investition von 1 € pro Monat (STRATO oder IONOS) für nicht zu viel Geld, wenn man dafür aus allen Netzen Zugriff hat. Von dem dadurch bestehenden Datenschutz aufgrund des VPN gar nicht zu reden, gerade in öffentlichen Hotspots.

Viele Grüße
Stephan

Andi
02.04.2024 18:56

Hallo. Ein sehr informativer Artikel, der mir vieles klarer gemacht hat. Eine Frage hätte ich aber. Sie schreiben:“ „Fakt ist jedenfalls, dass man für einen Zugriff von außen auf das Heimnetzwerk unter Verwendung eines VPN-Systems eine feste öffentliche IPv4-Adresse benötigt, jedenfalls dann, wenn man aus allen Fremdnetzwerken (Mobilfunk im In- und Ausland, WLAN-Hotspots und fremde WLAN-Netze) SICHEREN Zugriff haben möchte.“ was bedeutet in diesem Zusammenhang „sicher“? Sicher so lange die ipv4 sich wegen CGN nicht ändert, also im Sinne von „zuverlässig,“ „jederzeit“ bzw. „stabil“? Oder sicher im Sinne von „nicht mitlesbar“ bzw. „nicht kompromittierbar“? Ich frage, weil ich einen Deutsche Glasfaser Anschluss habe, und einen VPN Tunnel auf der Fritzbox eingerichtet habe und mittels WireGuard auf dem Iphone von extern auf die FB zugreifen kann. Und das schon seit 2 Wochen. Jedenfalls wird auf dem Iphone auch im fremden WLAN und über das Mobilfunknetz das VPN Symbol angezeigt und ich kann auch auf Smarthome-Anwendungen zugreifen, was vor der Einrichtung des VPN nicht ging. Hatte ich bislang nur „Glück“, weil sich meine ipv4-Adresse „zufällig“ noch nicht geändert hat?

Stephan (Webmaster)
18.03.2024 20:02

Hallo drakrochma,
nach einigen Meldungen hier sollte es mit STRATO eigentlich gehen, ich kann es selbst aber nicht verifizieren, da ich derzeit IONOS (alt) nutze. Hast Du nach dem Aufsetzen des Servers diesen mal neu gestartet, ggf. etwas abgewartet? Eigentlich sehe ich nicht, woran es scheitern sollte. Bitte beachte auch den Hinweis von Michael (Post vom 07.11. weiter unten).

Viele Grüße
Stephan

drakrochma
18.03.2024 18:40

Guten Abend,
ich hab entsprechend der Anleitung alles aufgesetzt, aber nen kleinen VPS bei Strato genommen.
Laut der Übersicht zum Vertrag hab ich sowohl eine ipv4 als auch eine v6 für den Server zugewiesen bekommen.
Als OS hab ich Debian 11 genommen, wie von Strato empfohlen.
beim anpingen von google kommt aber nur folgendes:

root@debian:~# ping -c 5 ipv6.google.com
PING ipv6.google.com(fra24s06-in-x0e.1e100.net (2a00:1450:4001:829::200e)) 56 data bytes

--- ipv6.google.com ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4075ms

Hab ich was falsch gemacht?
Funktioniert es doch nicht richtig mit Strato?
Nachdem ich alles eingerichtet habe und 6tunnel wohl auch läuft, bekomme ich auch keine Verbindung hin.
Openvpn-connect bricht mit nem timeout ab.

Gibt es vielleicht Ideen was ich da machen kann?

Stephan (Webmaster)
09.02.2024 16:00

Kurze Info an alle Mitlesenden zum Thema IONOS VPS und IPv6-Support in den aktuellen Tarifen: Ich habe Nutzerberichte erhalten, wonach seit kurzem auch in den aktuellen IONOS VPS-Tarifen eine IPv6-Adresse hinzugebucht werden kann. Da ich selbst noch einen Alttarif mit IPv6-Support habe, kann ich diese Berichte leider nicht verifizieren. Eine Buchung zu dem hier dargestellten Zweck erfolgt daher (wie immer) auf eigenes Risiko!

Viele Grüße
Stephan

Stephan (Webmaster)
08.02.2024 14:33

Hallo Markus,
das sollte funktionieren, sofern man auf diesen einen OpenVPN-Server einrichten und entsprechend der hier genannten Einstellungen konfigurieren kann. Mit den genannten Geräten kenne ich mich leider nicht aus, zumindest bei einem QNAP-NAS sollte es aber funktionieren (siehe einige Beiträge hier in der Kommentarspalte).
Viele Grüße
Stephan

Markus T.
08.02.2024 08:59

Hallo Stephan,
einfach super. Schon sehr sehr lange bin ich auf der Suche nach einer Lösung, die ich auch verstehe. Vielen Dank für die tolle Erklärung. Ich bin ein absoluter Laie und bin froh über so eine Beschreibung bis ins kleinste Detail.
Eine Frage habe ich noch. Kann man anstatt der Synologie-Diskstation auch ein GL.iNet MT2500 (Brume 2) Mini-VPN-Sicherheitsgateway oder aber eine QNAP-Nas für einen VPN Aufbau nutzen?

Viele Grüße
Markus

Stephan (Webmaster)
28.11.2023 14:11

Hallo Julian,
vielen Dank für die netten Worte.
Zu Deiner Frage: Ich kann Dir nicht sicher sagen, ob dies funktionieren würde. Am besten einfach mal ausprobieren, wenn es soweit ist. Was ich schon sicher sagen kann ist aber, dass dabei ganz wichtig ist, ob es sich um einen TCP- oder UDP-Port handelt, denn Feste-IP.net kann nur mit TCP-Ports umgehen, UDP geht nicht. Was ich nach kurzem googeln gelesen habe ist, dass Port 51820 wohl ein UDP-Port ist, was bei Feste-IP nicht funktionieren würde. Allenfalls mit einem VPS, welches nicht auf TCP beschränkt ist (siehe meine Anleitung). Dabei bitte darauf achten, dass der Anbieter des VPS eine IPv6-Unterstützung garantiert. Dies ist in den aktuellen Tarifen von IONOS offenbar weiterhin nicht der Fall. STRATO soll dagegen wohl mittlerweile funktionieren, siehe ein paar Beiträge unter meinem.

Viele Grüße
Stephan

Julian
28.11.2023 12:06

Hallo Stephan,
vielen Dank für deine ausführlichen Beschreibungen. Ich habe den Eindruck es ist die kompakteste Anleitung zu dem Thema, die im Netzt zu finden ist. Viele Foren beschäftigen sich damit und verfangen sich früher oder später mit der Analyse der Gründe warum es nicht funktioniert :-)
Sehr hilfreich mal einen Lösungsansatz zu finden, der zu Ende gedacht ist.

Vielleicht kannst du mir aber doch bei einem kleinen Abstecher behilflich sein. Ich habe verstanden, dass ich mit dem Wireguard der Fritzbox nur aus IPv6 Netzten eine Verbindung herstellen kann. Wenn ich aber die "Feste-IP" Variante wähle und den Port von Wireguard (Port 51820) anstatt dem Port 1194 von OpenVPN benutzte, sollte das nicht auch funktionieren?
Mit deiner Anleitung bekomme ich OpenVPN bestimmt konfiguriert. Die Wireguard Verbindung wird mir von der Fritzbox aber komfortabel selbst konfiguriert :-)
Ich stehe erst in ein paar Monaten vor der Freischaltung der Glasfaser und beschäftige mich daher noch rein theoretisch mit der Materie^^

Viele Grüße
Julian

Stephan (Webmaster)
14.11.2023 17:07

Hallo Michael,
vielen Dank für die Nachricht. Das dürfte dann eine echt günstige Alternative sein, zumal die neuen VPS-Tarife von IONOS unverändert keinen IPv6-Support haben.

Grüße
Stephan

Michael
07.11.2023 09:57

Hallo zusammen,

wollte nur eben mitteilen, dass dies auch über den STRATO VPS Tarif klappt. Ganz wichtig dabei ist, dass zuerst die IPv6 Adresse in /etc/network/interfaces eingetragen werden muss. (Anleitung: https://www.strato.de/faq/server/einrichtung-und-verwendung-von-ipv6/#Einrichtung-Debian). Danach kann man, wie nach der Anleitung, mit der Installation von 6Tunnel fortfahren.

Viele Grüße
Michael

Stephan (Webmaster)
19.09.2023 19:54

Hallo Sebastian,

schön, dass es jetzt funktioniert. Zu Deiner Frage fällt mir nur so viel ein, dass es doch funktionieren sollte, wenn sich die Nextcloud-Instanz im Web befindet, oder verstehe ich Dich da irgendwie falsch? Wenn diese sich auf dem NAS im Netz der DG befindet, gibt es für den Zugriff über IPv4-only natürlich dass hier beschriebene Problem, welches sich aber mittels eines VPS und 6tunnel oder über FesteIP ebenfalls lösen lassen sollte. Ggf. müssen die entsprechenden Ports angegeben/freigegeben werden. Da ich diese nicht kenne bzw. da ich mit Nextcloud nicht arbeite, kann ich leider nichts weiter dazu beitragen. Am besten einfach probieren…

Viel Erfolg und Grüße
Stephan

sebastian
18.09.2023 17:52

Hallo Stephan,
vielen Dank für die schnelle Antwort. Tatsächlich klappt es jetzt auch. Ich hatte einen haken in der Fritz!Box vergessen. Kurze Frage zu 6tunnel. Ich habe einen eigenen ups und habe auch Zugriff via vpn. Es läuft auf meiner Synology im /web eine nextcloud Instanz, wie erhalten Personen die nur im ipv4 Netz sind zugriff auf meine Nextcloud Instanz?
Gruß Sebastian

Stephan (Webmaster)
06.09.2023 14:21

Hallo Sebastian,
in der Anleitung wird hierauf eingegangen. Hast Du alle Anweisungen, insbesondere bei Punkt 1 (Optional…) befolgt? Dort wird explizit beschrieben, welche Einstellungen man in der FritzBox und im OpenVPN-Server machen muss, um im VPN auch eine IPv6-Adresse zu haben. Ferner muss man in seinem Client-Programm ggf. einen entsprechenden Regler aktivieren (z.B. bei Passepartout unter iOS), dies wird unter Punkt 5. näher beschrieben. Mit den Einstellungen habe ich auch eine IPv6-Adresse.

Viele Grüße
Stephan

Sebastian
06.09.2023 13:55

Hallo,
Erstmal danke für die tolle Anleitung. Bei mir funktioniert auch alles. Nur das Problem, wenn ich via vpn verbunden bin erhalte ich ja auch nur eine ipv4 Adresse und damit erreiche ich nicht mehr meine synology Dienste. Weder surveilance noch meine Webseite die auf synology gehostet ist. Jemand eine Idee was schief läuft?
Gruß Sebastian

PT
27.07.2023 13:38

Super Anleitung! Vielen Dank dafür.
Es hat mit Fritzbox + NAS alles genau so funktioniert!

Eine Sache hat sich wohl noch bei openVPN Connect (Version 3.4.0 auf Windows) geändert. Der Befehl "pull" wird nicht mehr unterstützt und ich musste diesen Befehl aus der Konfigdatei auskommentieren.

Rest passte zu 100% Top!

Stephan (Webmaster)
15.06.2023 08:25

Vielen Dank @André, dass Du Deine Erkenntnisse hier teilst. Freut mich, dass ich Dir helfen konnte.

Viele Grüße
Stephan

Andre
15.06.2023 08:21

An alle die den OpenVPN Server gerne auf Ihrem QNAP-NAS betreiben möchten und wie ich auch fast daran gescheitert sind ;-)

Es funktioniert wie folgt:
1. Sich mit dem Qnap NAS verbinden z.B. ssh aktivieren wenn deaktiviert.
2. Datei /etc/init.d/vpn_openvpn.sh editieren
3. Nach proto ${VPN_PROTO} suchen und lediglich um die 6 erweitern!
4. proto ${VPN_PROTO}6
5. Den OpenVPN Server über die Oberfläche einfach neu starten.

Gruß an Alle und danke @Stephan für die Hilfe.

1 | 2 | 3 | 4 | 5 | 6