VPN Verbindung von außen nicht möglich

[SaschaK94]

Ich versuche seit einiger Zeit von außen eine VPN-Verbindung (L2TP/IPsec) zu meiner DS hinzubekommen.

Folgende Netzwerkverbindung besteht bei mir:
ISP <-----> FritzBox 6490 Cable <-----> Switch <-----> Synology DS

Ich versuche mit meinem Surface (Windows 10) eine VPN Verbindung von außen hinzubekommen, jedes mal kommt es zu Fehlermeldungen, egal wie ich es versuche.

Im Heimnetz funktioniert alles, sofern ich die IP von der DS eingebe, deswegen muss es irgendwie mit dem PortForwarding zusammen hängen.

Folgende Ports sind offen:
UDP 500
UDP 4500
UDP 1701
ESP
GRE

Hat jemand eine Idee für mich? Besten Dank.

 

[blurrrr]

Was für einen Internetanschluss hast Du denn? Privat? Business? IPv4? IPv6? statische IP? dynamische IP?

 

[SaschaK94]

Privat, IPv4 & IPv6, dynamisch

 

[heavy]

warten bis es ein update von synology gibt, sofern du dsm6 nutzt. Oder auf openvpn umzusteigen anscheinend hat synology bei ipsec was verbockt.

 

[SaschaK94]

Bin aktuell auf folgender Version: DSM 6.0.2-8451 Update 6

Aber wieso klappt das dann intern? Da wird IPsec doch auch verwendet
OpenVPN wird von Windows anscheinend nicht von Haus aus unterstützt, kann ich nicht in meiner Liste auswählen.

 

[SaschaK94]

@blurrrr: Danke für den Tipp in der privaten Nachricht, jedoch bin ich nicht auf DS-Lite, SSH und Co. gehen wunderbar mit Port Forwarding.

Die Sache direkt über IPv6 habe ich allerdings noch nicht probiert, ist dann aber auch blöd, wenn ich in einem fremden WLAN bin, welches nur IPv4 kann.

 

[blurrrr]

Vpn

@blurrrr: Danke für den Tipp in der privaten Nachricht, jedoch bin ich nicht auf DS-Lite, SSH und Co. gehen wunderbar mit Port Forwarding.

Die Sache direkt über IPv6 habe ich allerdings noch nicht probiert, ist dann aber auch blöd, wenn ich in einem fremden WLAN bin, welches nur IPv4 kann.

Das mit IPv6... da sollte es "theoretisch" dann aber entsprechende 6to4-Gateways geben, aber ich finde, dass die derzeitige IPv6-Unterstützung bisher total fürn ******* ist... hatte vor einiger Zeit mal ein IPv6-Netz bei Hurricane Electric angemietet, um die Sache mal zu testen (und ggf. schon umzustellen), allerdings durfte ich damals eine gute Stunde nach einem Ubuntu-Mirror suchen, welcher auch IPv6 unterstützt hat (VM war "rein" IPv6, also direkt ohne v4), von daher hab ich für mich auch erstmal beschlossen: das lass ich erst nochmal eine ganze Weile ruhen ....

Hast Du denn mal via Shell in die Logs geguckt bzw. via "tail -f" live mitverfolgt? Kommt denn überhaupt "irgendwas" an, oder schlichtweg garnichts?

 

[heavy]

@saschaK94 ganz ehrlich das kann ich dir nicht beantworten. Nur ließt man es vermehrt, dass user von außen keine Verbindung aufbauen können obwohl die DS sogar als exposed host eingerichtet ist (um eine fehlende portweiterleitung auszuschließen). Oder auch von Leuten bei denen es vor dem update noch ging und (angeblich) bis auf das update der ds nichts geändert wurde.

 

[blurrrr]

Mal so richtig blöd gefragt: VPN ist aber auf der Fritz!Box deaktiviert oder? Nicht, dass sich die direkt die Pakte krallt... ggf. mal im Log der Fritze schauen (und im Log der Syno via SSH).

 

[SaschaK94]

Mal so richtig blöd gefragt: VPN ist aber auf der Fritz!Box deaktiviert oder? Nicht, dass sich die direkt die Pakte krallt... ggf. mal im Log der Fritze schauen (und im Log der Syno via SSH).

Hatte Anfangs versucht, das mit der Fritz!Box zu machen, einen User mit dem Recht VPN angelegt und probiert, dann jedoch gelesen das man ein extra AVM-Programm dafür braucht.
Auf sowas habe ich kein Bock, außerdem klappte es mit der Fritz!Box auch nicht. Habe den User dann gelöscht und mich tot gesucht, VPN auszuschalten, in voller Hoffnung, das es vielleicht automatisch aus ist, sofern es dafür keine User gibt.

Hast Du denn mal via Shell in die Logs geguckt bzw. via "tail -f" live mitverfolgt? Kommt denn überhaupt "irgendwas" an, oder schlichtweg garnichts?

Nein, habe ich nicht. Aus dem Grund, weil ich nicht weiß, in welche File er dies schreibt.
Die Logs, welche man über die Oberfläche sehen kann, war etwas minimal. Nur erfolgreiche An- und Abmeldungen, sowie Dienst gestartet oder gestoppt.

 

[blurrrr]

Für's AVM-VPN brauchst Du kein extra AVM-Programm?! User auf der Fritte erstellen, VPN-Zugang gewähren, bei den Benutzern Dir die Config anzeigen lassen, fertig... Funktioniert wunderbar... das mit der extra AVM-Software, das war "früher" mal (zur Erstellung der VPN-Config für Server und Client), geht mittlerweile aber schon lange alles via Weboberfläche ... Als VPN-Client kannst Du beim Rechner einsetzen was Du willst (ich nutze da gern ShrewSoft VPN, kostenlos). Auf den Mobilgeräten ist schon entsprechend die VPN-Funktionalität vorhanden, musste nur noch die Daten reinpacken, die die Fritte Dir vorgibt.

 

[SaschaK94]

Danke für die Info, dann funktioniert das nämlich auch nicht

 

[Mstrobel]

Hallo zusammen,

ich habe das gleiche Problem mit IPSec. Liegt es wirklich an DSM, das IPSec nicht funktioniert oder ist das nur eine Vermutung? Und tritt dieses Problem auch nur im Zusammenspiel mit der Fritzbox auf?

Gruß Manuel

 

[Stationary]

Also der beste Weg ist da meiner Meinung nach, das VPN über die FritzBox aufzubauen. Geht problemlos ohne erfordert auch keine weitere Software. Ich gehe mal davon aus, dass Ihr alle bereits eine DDNS-Adresse habt, die Ihr in der FritzBox in der VPN-Konfiguration eintragt (ich verwende spdns.de als Provider, gibt aber viele andere, wie z.B. no-ip). Weiterhin sollten alle Geräte im Heimnetzwerk nach Möglichkeit eine statische IP-Adresse besitzen. Das kann auch in der FritzBox eingestellt werden. Schlussendlich ist noch wichtig, dass die IP-Adressen im Heimnetzwerk von denjenigen des Netzwerkes, von wo aus Ihr das VPN zu Eurem Heimnetz aufbauen wollt verschiedenen sind. Soll heissen: wenn Ihr aus 192.168.1.x kommt, dann darf Euer Heimnetz nicht auch 192.168.1.x sein, sondern beispielsweise 192.168.y.x mit y ungleich 1. IPSec funktioniert damit von Handy's und Tablets problemlos, und auch Laptops kommen so von ausserhalb ins Heimnetz. Wenn Ihr also von unterwegs auf Eure Synology zugreifen wollt: erst VPN aufbauen, dann mit den DS Apps direkt auf das NAS zugreifen (als Adresse des NAS dann nicht die quickconnect-Adresse nehmen, sondern die IP-Adresse im Heimnetz. Mit DS Finder könnt Ihr das NAS dann auch von unterwegs aufwecken und schlafen legen, WOL funktioniert in der beschriebenen Konfiguration problemlos (auch ohne Portweiterleitung), wichtig ist nur, dass der Router weiss, welche IP-Adresse das NAS hat (also statisch), und dass im Router das Häkchen bei "Gerät starten bei Zugriff" gesetzt ist. Im NAS muss natürlich dafür dann auch WOL on LAN1 aktiviert sein. Ich verwende eine FritzBox 7490 und eine Synology 216+II und damit geht es problemlos.