VPN-Verbindung über iPhone (PPTP) will nicht mehr

[drtp]

Hallo,

ich habe DSM 4.1 und den VPN-Server 1.1-2256 auf meiner DS111 installiert und bekomme nach anfänglichem Erfolg nun keine Verbindung (PPTP) mehr mit meinem iPhone 4 (iOS6) zustande. Ich habe den Server heute das erste Mal eingerichtet, und es kam auch zu einer einmaligen, erfolgreichen VPN-Verbindung. Doch nun sagt mir das iPhone jedes Mal, dass die Verbindung vom Koimmunikationsgerät getrennt wurde und ich es erneut versuchen bzw. meine Einstellungen überprüfen solle. Der Status der VPN-Verbindung wechselt von "Verbinden" über "Starten...", und kurze Zeit später erscheint besagte Meldung.

Da es aber ja beim ersten Mal funktioniert hat, bin ich nun etwas ratlos. Hatte auch schon den VPN-Server de- und wieder neu installiert sowie die VPN-Verbindung auf dem iPhone gelöscht und neu eingerichtet. Beides leider ohne Erfolg.

Hat jemand evtl. einen Tipp?

Gruß,

Thorsten

 

[drtp]

Schade. Keiner eine Idee? Hab jetzt ca. 30 bis 40 vergebliche Versuche gestartet, um noch mal eine Verbindung via VPN herzustellen. Nichts hat funktioniert.

Hab den VPN-Server neu installiert. Ohne Erfolg.
Hab eine neue DDNS über Synology eingerichtet. Ohne Erfolg.
Hab den VPN-Client auf den iPhone mehrfach neu eingerichtet. Ohne Erfolg.
Hab eine von 10.0.0.0 abweichende dynamische IP ausprobiert. Ohne Erfolg.
Hab die Verschlüsselung deaktiviert und wieder aktiviert. Ohne Erfolg.
Hab den Switch bei "Für alle Daten" auf dem iPhone an- und ausgeschaltet. Ohne Erfolg.
Habe verschiedene Accounts meiner DiskStation ausprobiert. Ohne Erfolg.
Habe es mal mit einem Proxy versucht. Ohne Erfolg.
Habe es mal über RSA-SecureID versucht. Ohne Erfolg.

Natürlich habe ich Port 1723 auf meinem Linksys E3000 weitergeleitet. Auch der VPN-Tunnel ist aktiv. Es hat ja auch ein einziges Mal funktioniert mit der VPN-Verbindung. Leider war danach Feierabend. Ehrlich gesagt, ich bin nun mit meinem Latein am Ende. Jetzt habe ich keine Lust mehr im Nebel herumzustochern.

 

[Hanfmann]

Servus,

die Version 1.1-2256 will auf meiner DS212+ in Verbindung mit dem iPhone über PPTP ebenfalls nicht.

Workaround: Ich habe manuell im Paketzentrum die Vorgängerversion 1.1-2197 installiert, damit läuft's.

http://hkdl.synology.com/download/packages/VPNServer-88f628x-1.1-2197.spk

Viel Erfolg!

Hanfmann

 

[Hanfmann]

Eben gesehen, es geht auch anders!


Du musst in der Firewall der DS den Port 1723 für eingehende Verbindungen öffnen, dann klappt's auch
mit 1.1-2256.

Soeben erfolgreich getestet mit iPhone 5 (sprich iOS 6.0) über PPTP.

 

[drtp]

Danke für die Hinweise, Hanfmann.

Leider führten sie aber auch nicht zum Erfolg. Die Firewall auf der DS habe ich gar nicht aktiviert. Sprich, es gibt nichts, was irgendwie ausgefiltert wird, da ich zum Einen keine Regeln definiert habe (weder für LAN, noch für PPPoE) und zum Anderen der Auswahlpunkt "wenn keine Regel zutrifft, Zugriff erlauben" markiert ist.

Auch das Deinstallieren der Version 1.1-2256 und das Installieren der Version 1.1-2197 half nichts. Ich bekomme auf meinem iPhone beim Versuch, eine VPN-Verbindung herzustellen, immer die Nachricht "Die Verbindung wurde vom Kommunikationsgerät getrennt..." angezeigt.

Ich schau mir heute Abend noch mal meinen Cisco-Router an. Aber bei dem ist Port 1723 definitiv weitergeleitet. Ansonsten würde er ja im iPhone in den VPN-Einstellungen erst gar nicht "Starten..." nach dem Herstellen der Verbindung anzeigen, oder? Vielleicht greift dort aber noch irgend eine Firewall-Einstellung.

Gruß,

Thorsten

 

[Hanfmann]

Hmm, vielleicht ist's auch ein Problem von iOS. Mit 5.1.1 bestand das Problem definitiv und konnte durch Installation der 1.1-2197 behoben werden.


Einen Versuch war's Wert.

 

[drtp]

Gestern Abend habe ich das Ganze mal innerhalb meines WLAN-Netzes probiert. Sämtliche Einstellungen habe ich unverändert gelassen. Sprich, die Verbindung lief über meine dynamische DNS (xxx.myDS.me). Und siehe da, es funktionierte. Ich hatte sofort eine VPN-Verbindung. Ergo kann es ja nicht an DSM 4.1 und dem VPN-Server 1.1-2256 liegen, oder? Und auch der VPN-Client unter iOS6 scheint nicht Ursache für das Problem zu sein.

Bleibt eigentlich nur noch mein Linksys E3000 als Problemquelle. Bei dem habe ich aber den Port 1723 als TCP durchgeschleift, und auch der VPN-Tunnel für PPTP ist aktiv, um die Firewall des Routers zu umgehen. Stehe jetzt ein wenig auf dem Schlauch, wo ich noch suchen soll.

Vielleicht hat ja noch jemand eine Idee.

Gruß,

Thorsten

PS.: Gelegentlich kommt übrigens auch die Meldung auf dem iPhone, dass der PPP-Server nicht gefunden wurde.

 

[Cyberbob19]

Hi,

ich kenne den Linksys E3000 zwar nicht, aber ich denke auch, dass es an ihm liegt. Hat der in der Konfigurationsoberfläche eine Möglichkeit Firewalleinstellungen vorzunehmen? Es wäre möglich dass dein E3000 das GRE-Protokoll blockiert. Das GRE ist bei PPTP VPN zum Verbindungsaufbau notwendig.

Gruß

Bob

 

[drtp]

Mir ist gerade noch was eingefallen. Ich habe ja vor dem Linksys noch eine Easybox von Arcor/Vodafone hängen. Evtl. muss ich dort noch die Firewall deaktivieren bzw. den Port 1723 weiterleiten.

An den Firewall-Einstellungen des Linksys kann es eigentlich nicht liegen. Zum Einen ist ja der PPTP-Tunnel aktiv, zum Anderen habe ich gestern auch ohne Erfolg die gesamte Firewall deaktiviert.

Werde mir aber heute Abend noch mal die Easybox vorknöpfen.

 

[synas]

Und hast du den "Fehler" gefunden?

Bei mir geht seit einigen Tagen auch nix mehr in puncto VPN PPTP 212+ Vodafone Box

 

[CyberLine]

Das hat mit der Easybox schon funktioniert? Ich hatte die auch mal und die kann kein Protokoll 41 (GRE). Somit dürfte das überhaupt nicht funktionieren damit.

 

[synas]

Also bei mir hat es seit Monaten problemlos funktioniert, in Verbindung mit der Easybox. Bei iPhone und mit iPad habe ich mich fast täglich ins VPN einwählen können. Seit einigen Tagen leider nicht mehr.

 

[drtp]

Leider habe ich es immer noch nicht hinbekommen.

Hier noch mal meine Ausgangssituation:

- EasyBox A401: 192.168.2.1, DHCP-Server aktiv mit 192.168.2.100-199
Port-Weiterleitung 1723 TCP auf 192.168.2.100
- Linksys E3000: 192.168.1.1, DHCP-Server aktiv mit 192.168.1.100-150
Port-Weiterleitung 1723 TCP auf 192.168.1.142
+ diverse Ports zum externen Zugriff auf die DiskStation
- Synology DS111: 192.168.1.142, VPN-Server aktiv mit 10.0.0.0-10.0.0.255

Der externe Zugriff auf meine DS111 über xxx.myDS.me funktioniert einwandfrei. Auch auf die Photostation etc. kann ich mit den entsprechenden iPhone-Apps problemlos zugreifen. Nur der VPN-Zugriff wird mir verweigert.

Problem ist leider, dass mir die Port-Weiterleitung des Ports 1723 innerhalb der Easybox auf die IP-Adresse 192.168.2.100 nicht viel bringt. Eine Weiterleitung auf die Adresse 192.168.1.1 ist leider nicht möglich. Also hatte ich gestern mal versucht, den Linksys E3000 auf die IP-Adresse 192.168.2.100 umzuändern. Das ist als solches kein Problem gewesen. Nur leider war danach überhaupt kein Zugriff auf die EasyBox und das Internet über WLAN mehr möglich. Auch ein Abschalten des DHCP-Servers auf der Easybox oder alternativ die Verwendung der Adresse 192.168.2.2 für den Linksys E3000 brachte keinen Erfolg. Damit kam ich nicht mehr ins Internet. Also hab ich den Linksys E3000 wieder auf die 192.168.1.1 zurück gesetzt. Nun funktioniert wenigstens wieder der WAN-Zugriff.

Wie gesagt, in der Easybox bringt die Deaktivierung der Firewall leider nichts. Was ich noch versuchen könnte, wäre die Einrichtung der 192.168.1.1 als DMZ. Die Sache wird aber langsam ziemlich anstrengend.

Gruß,

Thorsten

 

[drtp]

So, Problem ist beseitigt. Evtl. lag's gar nicht an der Easybox, aber da ich den ISP von Arcor/Vodafone auf KabelBW wechselte, wurde auch das Modem ausgetauscht. Easybox ging; Cisco EPC3208G kam. Was habe ich anders gemacht? Nun ich habe den ersten Linksys-Router (E3000) als Access Point umkonfiguriert. Will sagen, ich habe ihm eine feste IP-Adresse (192.168.0.2) verpasst und DHCP deaktiviert. Das KabelBW-Modem (192.168.0.1) arbeitet nun als Gateway und Router. Die Verbindung zwischen dem Modem und dem Linksys E3000 erfolgt nun nicht mehr über den WAN-Port des E3000, sondern über einen der vier normalen LAN-Ports. Am Cisco EPC3208G wurden die benötigten Ports weitergeleitet und der VPN-Tunnel aktiviert. Und nun funktioniert auch der VPN-Zugriff auf dem VPN-Server meiner nachgeschalteten DS111 via iPhone 5 ohne Probleme. Endlich!

Gruß,

Thorsten

 

[Fotografin]

Guten Morgen. Ich brauche bitte einmal eine schrittweise Anleitung zu VPN. Was muss ich bei meiner Diskstation eingeben, was in meinem Iphone?

 

[jus7incase]

Ich habe dasselbe Problem:
PPTP aus dem WLAN: funktioniert
PPTP aus dem WAN: Timeout beim Tunnelaufbau

TCP-Port 1723 ist im Router (OpenWRT, eigenbau) durchgeschleift (auch zusätzlich UDP erlaubt, brachte nichts)
Die Verbindung geht durch die Firewall, ich kann das per TCPdump auf der DS sehen (siehe unten)

VPN-Server 1.1-2267
DSM 4.2-3211

iOS 5.1.1

PAP statt CHAP: kein Erfolg
Encryption MAXIMUM, Require MPPE: beides kein Erfolg

Hat jemand das Problem mittlerweile gelöst?

Ich muss wohl noch dazu sagen, dass es (nach meiner Erinnerung) alles einwandfrei funktioniert hat, bis ich das letzte DSM update eingespielt habe.

Hie rnun die packet dumps, in denen man oben die WAN-Verbindung sieht, die nicht funktioniert. Man sieht gut, dass die TCP-Verbindung zu port 1723 korrekt aufgebaut wird. Ich bin allerdings ratlos, wo das weitere Problem liegt.


WAN:

13:51:47.430832 IP ip-109-42-0-104.web.vodafone.de.62090 > ds212.1723: Flags , seq 4156378176, win 32768, options [mss 1410], length 0
13:51:47.430897 IP ds212.1723 > ip-109-42-0-104.web.vodafone.de.62090: Flags [S.], seq 2672495144, ack 4156378177, win 5840, options [mss 1460], length 0
13:51:47.860475 IP ip-109-42-0-104.web.vodafone.de.62090 > ds212.1723: Flags [.], ack 1, win 32768, length 0
13:51:48.148524 IP ip-109-42-0-104.web.vodafone.de.62090 > ds212.1723: Flags [P.], seq 1:157, ack 1, win 32768, length 156: pptp CTRL_MSGTYPE=SCCRQ PROTO_VER(1.0) FRAME_CAP(A) BEARER_CAP(A) MAX_CHAN(0) FIRM_REV(0) HOSTNAME() VENDOR()
13:51:48.148574 IP ds212.1723 > ip-109-42-0-104.web.vodafone.de.62090: Flags [.], ack 157, win 6432, length 0
13:51:48.162032 IP ds212.1723 > ip-109-42-0-104.web.vodafone.de.62090: Flags [P.], seq 1:157, ack 157, win 6432, length 156: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0) FRAME_CAP() BEARER_CAP() MAX_CHAN(1) FIRM_REV(1) HOSTNAME(local) VENDOR(linux)
13:51:48.220456 IP ip-109-42-0-104.web.vodafone.de.62090 > ds212.1723: Flags [.], ack 157, win 32612, length 0
13:51:49.078307 IP ip-109-42-0-104.web.vodafone.de.62090 > ds212.1723: Flags [P.], seq 157:325, ack 157, win 32768, length 168: pptp CTRL_MSGTYPE=OCRQ CALL_ID(47220) CALL_SER_NUM(0) MIN_BPS(300) MAX_BPS(100000000) BEARER_TYPE(Any) FRAME_TYPE(E) RECV_WIN(64) PROC_DELAY(0) PHONE_NO_LEN(0) PHONE_NO() SUB_ADDR()
13:51:49.079288 IP ds212.1723 > ip-109-42-0-104.web.vodafone.de.62090: Flags [P.], seq 157:189, ack 325, win 7504, length 32: pptp CTRL_MSGTYPE=OCRP CALL_ID(512) PEER_CALL_ID(47220) RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(100000000) RECV_WIN(64) PROC_DELAY(0) PHY_CHAN_ID(0)
13:51:49.142420 IP ip-109-42-0-104.web.vodafone.de.62090 > ds212.1723: Flags [.], ack 189, win 32736, length 0
13:51:49.222980 IP ip-109-42-0-104.web.vodafone.de.62090 > ds212.1723: Flags [P.], seq 325:349, ack 189, win 32768, length 24: pptp CTRL_MSGTYPE=SLI PEER_CALL_ID(512) SEND_ACCM(0xffffffff) RECV_ACCM(0xffffffff)
13:51:49.254943 IP ds212.1723 > ip-109-42-0-104.web.vodafone.de.62090: Flags [.], ack 349, win 7504, length 0


WLAN:

13:52:39.004621 IP iPhone4-wlan.54669 > ds212.1723: Flags , seq 3814422251, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 919325631 ecr 0,sackOK,eol], length 0
13:52:39.004705 IP ds212.1723 > iPhone4-wlan.54669: Flags [S.], seq 3488764109, ack 3814422252, win 5792, options [mss 1460,sackOK,TS val 33367795 ecr 919325631,nop,wscale 5], length 0
13:52:39.008690 IP iPhone4-wlan.54669 > ds212.1723: Flags [.], ack 1, win 8235, options [nop,nop,TS val 919325640 ecr 33367795], length 0
13:52:39.010946 IP iPhone4-wlan.54669 > ds212.1723: Flags [P.], seq 1:157, ack 1, win 8235, options [nop,nop,TS val 919325640 ecr 33367795], length 156: pptp CTRL_MSGTYPE=SCCRQ PROTO_VER(1.0) FRAME_CAP(A) BEARER_CAP(A) MAX_CHAN(0) FIRM_REV(0) HOSTNAME() VENDOR()
13:52:39.010995 IP ds212.1723 > iPhone4-wlan.54669: Flags [.], ack 157, win 215, options [nop,nop,TS val 33367795 ecr 919325640], length 0
13:52:39.016791 IP ds212.1723 > iPhone4-wlan.54669: Flags [P.], seq 1:157, ack 157, win 215, options [nop,nop,TS val 33367796 ecr 919325640], length 156: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0) FRAME_CAP() BEARER_CAP() MAX_CHAN(1) FIRM_REV(1) HOSTNAME(local) VENDOR(linux)
13:52:39.021399 IP iPhone4-wlan.54669 > ds212.1723: Flags [.], ack 157, win 8225, options [nop,nop,TS val 919325651 ecr 33367796], length 0
13:52:39.025072 IP iPhone4-wlan.54669 > ds212.1723: Flags [P.], seq 157:325, ack 157, win 8225, options [nop,nop,TS val 919325654 ecr 33367796], length 168: pptp CTRL_MSGTYPE=OCRQ CALL_ID(2319) CALL_SER_NUM(0) MIN_BPS(300) MAX_BPS(100000000) BEARER_TYPE(Any) FRAME_TYPE(E) RECV_WIN(64) PROC_DELAY(0) PHONE_NO_LEN(0) PHONE_NO() SUB_ADDR()
13:52:39.026015 IP ds212.1723 > iPhone4-wlan.54669: Flags [P.], seq 157:189, ack 325, win 248, options [nop,nop,TS val 33367797 ecr 919325654], length 32: pptp CTRL_MSGTYPE=OCRP CALL_ID(640) PEER_CALL_ID(2319) RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(100000000) RECV_WIN(64) PROC_DELAY(0) PHY_CHAN_ID(0)
13:52:39.032363 IP iPhone4-wlan.54669 > ds212.1723: Flags [.], ack 189, win 8223, options [nop,nop,TS val 919325659 ecr 33367797], length 0
13:52:39.034870 IP iPhone4-wlan.54669 > ds212.1723: Flags [P.], seq 325:349, ack 189, win 8223, options [nop,nop,TS val 919325659 ecr 33367797], length 24: pptp CTRL_MSGTYPE=SLI PEER_CALL_ID(640) SEND_ACCM(0xffffffff) RECV_ACCM(0xffffffff)
13:52:39.074035 IP ds212.1723 > iPhone4-wlan.54669: Flags [.], ack 349, win 248, options [nop,nop,TS val 33367802 ecr 919325659], length 0

 

[fpo4711]

Bei PPTP muß nicht nur der Port 1723 sondern auch das Protokoll GRE weitergeleitet werden. Verbirgt sich entweder unter Weiterleitung GRE oder je nach Router auch mal gern unter dem Begriff "VPN Passthru".

Gruß Frank

 

[jus7incase]

Klingt gut, hat abe rnicht geholfen, config s.u.

 

[fpo4711]

Hast Du auch mal deine DDNS überprüft ob die auch mit deiner WAN-IP im Router übereinstimmt?

Gruß Frank

 

[jus7incase]

Die IP-Datagramme kommen ja bei der DS an. Aber das PPTP passthrough ist bei Openwrt scheinbar etwas afwändiger, ich bin gerade dabei es aufzubauen.