Zugriff auf NAS (L2TP) via VPN möglich ohne Schlüssel mitzugeben

Status
Für weitere Antworten geschlossen.

hane46

Benutzer
Mitglied seit
25. Jan 2018
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen
Ich bin ein versierter PC-Admin, aber ein Neuling was NAS und VPN betrifft.
Folgendes Problem: Ich habe einen NAS DS212 mit einem Benutzer aufgesetzt, die notwendigen Privilegien gesetzt und das L2TP-Protokoll gewählt. Identitäsprüfung MS-Chap V2 und einen vorinstallierten Schlüssel eingegeben.
Auf der anderen Seite habe ich ein Windows10-System und von dem connecte ich ein Laufwerk vom NAS. Dies funktioniert wunderbar, was mich aber stört ist, dass ich keinen Schlüssel mitgeben muss. Ich nutze VPN-Typ "automatisch", da kann ich gar keinen Schlüssel eingeben. Benutzer gebe ich den mit, den ich im NAS aufgesetzt habe.
Irgend etwas verstehe ich falsch. Kann mir jemand helfen?
Herzlichen Dank im Voraus Hane
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
dann hast du vermutlich auf Seiten des Servers kein IPSEC mit Presharedkey aktiviert. Dafür müsste auch beim Client die Funktion "automatisch" ausgeschaltet sein, wenn ich mich recht erinnere. MS-ChapV2 ist schon lange nicht mehr Stand der Dinge, würde ich nicht mehr nutzen.
Hast du eine Fritzbox? Damit geht das alles am einfachsten.
 

hane46

Benutzer
Mitglied seit
25. Jan 2018
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
danke für die Hinweise, allerdings bin ich jetzt noch mehr verwirrt.
1) Wie und wo kann ich auf der Seite des Servers IPSEC mit Presharedkey aktivieren?
2) Ich kann auf meinem Client die Funktion "automatisch" ausschalten, aber das hilft mir nicht weiter. Ein X-beliebiger Hacker connected dann immer noch mit "automatisch".
3) Ich verstehe nicht was das ganze mit der Fritzbox zu tun hat, meine Verbindung funktioniert ja problemlos, ich möchte einfach die Sicherheit erhöhen. Ich habe einen SWISSCOM-Router im Einsatz.
4) Was ist die beste Alternative zu MS-ChapV2?
Besten Dank
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Die sicherste Lösung ist Ike V2 mit Zertifikat. Alternativ Ike V1 mit Presharedkey.
Das MS Protokoll ist das, was Windows nativ unterstützt. In den Einstellungen müsstest du bei Win10 die Einstellung "L2PT/IPSEC mit vorinstalliertem Schlüssel" finden. Das sollte das Minimum sein.
Nur grundsätzlich kann an deinen Servereinstellungen etwas nicht stimmen, wenn du zwar PSK nutzen willst oder vermeintlich eingestellt hast aber der Client auch ohne PSK einloggen kann.
Nach der Fritz habe ich gefragt, weil da die Konfiguration mit PSK sehr einfach unterstützt wird, aber hat sich ja erledigt.
 

hane46

Benutzer
Mitglied seit
25. Jan 2018
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Danke nochmals für die Hinweise. Wenn ich IKEV2 verwenden würde, müsste ich aber sowohl auf NAS- wie auf Windows-Seite Einiges installieren. Ich bin mir auch bewusst, dass an meinen Server-Einstellungen etwas nicht stimmt, aber ich habe noch nicht herausgefunden was.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Habe ich mir mal durchgelesen. Wenn in Windows kein PSK vorhanden ist aber im Server so eingestellt und trotzdem eine Verbindung zustande kommt würde ich das VPN Verfahren sofort auf dem Server abschalten. Die Schuld kann ja nicht beim Client liegen, dass er auf einen Server kommt der den Zugang eigentlich negieren müsste.
Mein Rat: Ein anderes VPN Verfahren nutzen! Es gibt ja auch VPN Clients für den PC die mehr Möglichkeiten bieten als die Win Bordmittel.
Aber erst mal müsste Synology hier was verändern. Ich würde auf jeden Fall ein Ticket aufmachen!
Kenne deinen Router nicht. Unterstützt der vielleicht VPN? Dann würde ich dort die Tür aufmachen und nicht per Portweiterleitung auf der Syno.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
OpenVpn wäre eine Alternative, wo es mit Ios, Android, Linux und Windows relativ simple zum connecten ist.

In dem englischen Forum steht auch noch, welche Portforward nicht notwendig sein sollte. Entferne den sonst mal, und teste nochmals, ob dann ohne PSK eine Verbindung aufgebaut wird.
 
Zuletzt bearbeitet:

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Was heißt das genau? Wenn 1701 nicht weitergeleitet wird, was ist dann? Dann kommt doch die Passphrase?
 

hane46

Benutzer
Mitglied seit
25. Jan 2018
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Ursprünglich hatte ich im Router die Ports 500, 1701 und 4500 weitergeleitet. Vom Windows-Client aus konnte ich im VPN dann Protokoll "automatisch" wählen und musste keinen PDK mitgeben. Dann habe ich die Portweiterleitung 1701 im Router entfernt und VPN "automatisch" von Win 10 funktionierte nicht mehr. Der erste Versuch mit Potokoll L2TP funktioniert dann aber nicht. Darum habe ich als nächstes im Win 10 den oben erwähnten Registry-Eintrag gemacht und neu gebootet. Von da an funktionierte die Verbindung mit dem PDK.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Ah, danke für die Aufklärung. War mir bisher nicht bekannt - klasse, danke! :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat