ipsec oder nicht?

[berlin10]

hallo,
jetzt wo ipsec installiert ist, ists doch besser als pptp zu nutzen, richtig? ja dachte ich auch, also aufm iphone eingestellt, in der ds angeklickt, lokal probiert, keine reaktion, ja berechtigung is auch vergeben in der ds, hilft alles nicht. pptp klappt.
jemand ne idee?
es kommt keine verbindung zustande, kein eintrag im protokoll, ports sind alle offen, bin ja über wlan im lan

 

[Tommes]

Hi!

Ich habe mein iPhone auch auf IPSec umgestellt und bei mir klappt das ohne Probleme in Verbindung mit der DS bzw. dem VPN-Server. Ich hab das aber gleich über meine DDNS laufen lassen und nicht erst intern im LAN getestet (geht das überhaupt ?!?).

Hast du bei der Portfreigabe auch darauf geachtet, das du nicht TCP sondern UDP eingestellt hast? Naja, im internen LAN braucht man ja diese Ports nicht im Router zu öffnen, was mich wieder zu der Frage bringt... (geht das überhaupt im LAN !?!) Hast du das denn mal von extern getestet?

Tommes

 

[berlin10]

also PPTP geht intern, man bekommt ja ne neue ip. ipsec hab ich nicht von extern getestet, mach ich aber gleich mal.

fritzbox auf exposed host gesetzt, firewall an ds weitergeleitet, ergebnis "der vpn server antwortet nicht"
vergelichen wir doch mal die eintragungen:
beschreibung egal
server ddns adresse der ds
account der account der auf der ds freigeschaltet ist für ipsec
kennwort ...
zertifikat (kommt später)
gruppenname hab ich leer
shared secret wie auf der ds eingegeben

kein proxy

 

[Tommes]

Ich nutze den DDNS-Dienst von Synology und habe die Zugangsdaten im DSM hinterlegt. Die DS-Firewall habe ich standardmäßig ausgeschaltet (hab ja einen Router, der das übernimmt), ansonsten habe ich nichts außergewöhnliches.

Einstellungen in der Fritzbox Internet/Freigaben:

Neue Portfreigabe erstellen: Andere Anwendung

Bezeichnung: VPN-IPCec
Protokoll: UDP
Von Port: 500 (1701) (4500) bis Port:500 (1701) (4500)
An Computer: [DISKSTATION]
An IP Adresse: [IP-DER-DISKSTATION]
An Port: 500 (1701) (4500)

Ich habe für jeden der Ports, also 500, 1701, 4500 eine eigene Portfreigabe eingerichtet.

 

[berlin10]

Ja die FB is ja kein Problem, hab danach aber noch ne richtige firewall
könntest du bitte mal probieren ob du mit ipsec dich lokal anmelden kannst?
bei der ds kann man ja nicht viel einstellen.
und vielleicht kannste dich ja zu nem foto vom iphone hinreissen lassen
danke und gruß

 

[Tommes]

Ok, habs mal getestet im lokalen Netzwerk und es läuft tatsächlich. Hab auch ein paar Bildschirmfotos geschossen. Da wo die IP eingetragen ist, hab ich normaler Weise meine DDNS-Adresse stehen. Ich hoffe das hilft dir weiter, auch wenn man auf den Bildern nicht wirklich viel sehen kann.








... und leider nicht auf dem letzen Bild ist der Punkt: "Shared Secret", der natülich einen Wert besitzt.

 

[berlin10]

hm ja, identisch bei mir. komisch

 

[Tommes]

Dann würde ich jetzt erstmal auf deine "richtige Firewall" tippen, oder aber die DS-Firewall.

Tommes

 

[berlin10]

jein, denn die firewall der ds ist aus und die firewall von der richtigen firewall ist im interenen netz ja nicht das problem, da die pakete direkt vom wlan router zur ds gelangen...
komisch

 

[Tommes]

...komisch

In der Tat... sehr komisch!

 

[berlin10]

ich meine pptp geht ja, von innen und aussen, warum geht ipsec nicht

 

[Tommes]

Also, ich bin in Sachen VPN jetzt auch kein Profi, aber ich habe jedem Protokoll einen anderen IP-Adressbereich zugeteilt. Für PPTP: 192.168.177.x, für OpenVPN: 192.168.176.x und für IPSec folglich: 192.168.175.x. Ob man das so tun muß oder nicht, weiss ich nicht genau, meine aber mal sowas gelesen zu haben. Vielleicht stören sich ja die Adressbereiche bei dir?

Tommes

 

[berlin10]

ne ich hab ja die ds standardeinstellungen gelassen 10.1.x.x, 10.2.x.x und so, also das kanns nicht sein. es ist auch kein anmeldefehler, wie rechte oder passwort, sondern die fehlermeldung kommt, dass der vpn server nicht antwortet

 

[renaulti]

Könnte es nicht sein dass du im adressfeld die dyndns adresse eingegeben hast und nicht die interne ip nummer? Den dannnläuft das ganze ja im loopback durchbden router also auch die firewall!!

 

[fpo4711]

Hallo,

renaulti hat auf jeden Fall schon mal ein Problem richtig erkannt. Auf jeden Fall ist der Aufbau einer VPN-Verbindung aus dem eigenen Subnetz netzwerktechnisches Chaos. Auch wenn das noch beim Verbindungsaufbau funktionieren sollte, beim Zugriff sollte das auf jeden Fall versagen. Funktionieren tut das nur weil hier ein redirekt auf dem Standard-Gateway passiert. Das geht nicht lange gut.

Bei allen VPN-Lösungen von Synology gilt der Leitsatz Nr.1

Client-Subnetz ungleich Tunnel-Subnetz ungleich Server-Subnetz. (Ich glaub ich leg mir das bald in die Signatur)

Ansonsten kann ein korrektes Routing nicht funktionieren! Deshalb auch ein Test nur von Aussen (und WLAN ist nicht Aussen).

In diesem Thread wurde alles wichtige abgehandelt. Folge dem und Du wirst von Erfolg gekrönt.

Gruß Frank

p.s. Und daran denken für L2TP sind drei UDP Weiterleitungen nötig. Port 500,1701 und 4500.

Gruß Frank

 

[Tommes]

Endlich mal jemand, der den Durchblick hat. Danke für deine Ausführungen. Ich werd mich wohl doch mal mit dem Thema VPN mehr beschäftigen müssen.

Client-Subnetz ungleich Tunnel-Subnetz ungleich Server-Subnetz. (Ich glaub ich leg mir das bald in die Signatur)

Auf jeden Fall wäre es mal was neues, denn den Satz " ein RAID ersetzt kein Backup" kann ich langsam nicht mehr hören

Tommes

 

[fpo4711]

Ich werd mich wohl doch mal mit dem Thema VPN mehr beschäftigen müssen.

Und wie man der Presse entnehmen kann, zeitgemäßer denn jeh

Gruß Frank

 

[Tommes]

Naja, nutzen tu ich VPN ja bereits seit längeren erfolgreich. Zuerst über die Fritzbox, aktuell halt über den VPN-Server der DS. Und da es immer auf Anhieb funktioniert hat hab ich mir auch nie wirklich Gedanken darum gemacht. Und grade weil es Zeitgemäßer denn je ist und ich gerne auch zu diesem Thema anderen Leuten helfen würde, muss ich mich da jetzt wirklich mal reinlesen. Wollt das schon vor langer Zeit schon getan haben... aber was nimmt man sich nicht alles so vor.

Tommes

 

[fpo4711]

OT

@Tommes

Vieleicht kann ich Dir noch meinen Favoriten OpenVPN an's Herz legen. Hat den Vorteil das hier noch Routen und Client-to-Client Routen definiert werden können. Noch nicht ganz so verbreitet wie PPTP oder L2TP aber mit Sicherheit im kommen. Von PPTP ist anzuraten auf Grund einer Schwäche bei der Anmeldung. Braucht man nicht überbewerten, aber ist nun mal vorhanden. Wenn die Anmeldung vorbei ist, ist das genauso sicher wie alles andere. Hier die Info's dazu.

Tja, und L2TP eben dazwischen.

Bin mir sicher, das packst Du relativ zügig.

Gruß Frank

 

[joku]

Zuerst über die Fritzbox, aktuell halt über den VPN-Server der DS.

Hallo Tommes, warum bist Du von der FritzBox weg ? Gruß Jo