VPN L2TP - Kein Zugriff auf Internet während der VPN-Verbindung

Status
Für weitere Antworten geschlossen.

*Maverick*

Benutzer
Mitglied seit
27. Jul 2019
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Moin Zusammen,

bei einer bestehenden VPN-Verbindung über L2TP ist kein Internet-Zugriff möglich. Dieser sollte aber von der Disk Station aus über den Router erfolgen.

Schema: Notebook => über VPN => Disk Station => Internet

Wo liegt der Fehler?

Beste Grüße

Maverick
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
normalerweise geht so was ohne Probleme.
Vielleicht mal checken ob du übrhaupt den Router sehen kannst (ping)
Machts du alles auch wirklich von aussen? Subnetz Quelle -ungleich- Tunel- ungleich- Subnetz Ziel?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
wenn ich dich korrekt verstehe, dann wählst du dich von AUßEN mit deinem Notebook auf deine Syno (als VPN Server) ein und willst zum einen den sicheren ZUgriff auf dein NAS und daneben auch via VPN surfen.
Stimmt soweit?
Neben den Fragen von otto noch eine von mir: hast du in der VPN Konfiguration ggf ein redirect gateway eingetragen? Bei den meisten VPN Konfigs ist das der Punkt, der anzuwählen ist, damit alle Clients ihren kompletten Verkehr durch den VPN Tunnel schicken...vielleicht da nochmal schauen?
Sag Bescheid...
Grüßle
the other
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
VPN Konfiguration ggf ein redirect gateway eingetragen? Bei den meisten VPN Konfigs

das ist in der Konfig von Open VPN drin, aber zu dem VPN Server L2TP auf Syno ist so was nicht vorhanden, oder besser gesagt es scheint keine Einstellung dazu zu geben . Trotzdem funktioniert es normalerweise.
 

*Maverick*

Benutzer
Mitglied seit
27. Jul 2019
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Moin Zusammen,

danke für Eure Hilfe. Richtig, ich greife von Außen per Notebook oder Smartphone per VPN auf die DS als VPN-Server zu und möchte von dort aus - via VPN - auf das Internet zugreifen.

Ich habe eine DS 918+ und VPN-Server ist funktionsfähig als L2TP eingerichtet, in der Firewall sind nur unbedingt notwendige Freigaben eingerichtet, ebenso die Portfreigaben in der Fritz!Box 7590.

Wie pinge ich den Router an und was bedeutet "Subnetz Quelle -ungleich- Tunel- ungleich- Subnetz Ziel?" genau?

Beste Grüße

Maverick
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
otto meinte damit (vermutlich) eine der VPN Grundregeln:
der Client (dein Notebook) muss einen anderen Netzadressbereich haben als der VPN Tunnel und der wiederum anders als der Server. Plus der Frage, ob du bei dem Kontaktaufbau auch wirklich von AUSSEN den Zugriffsversuch unternimmst. Also zB IP deines Notebooks aus 172.168.10.X auf den VPN Server mit 192.168.25.X via Tunnel mit Bereich in 10.10.12.X.
Außerdem sollte dein Notebook eben nicht im gleichen LAN/WLAN sein wie dein VPN-Server, denn das wird meist nicht funktionieren. Weil das aber oft nicht beachtet wird, ist das eine Routinefrage hier im Forum bei der Fehlersuche. Müsste bei dir aber eigentlich alles passen, denn den VPN Zugang selber kannst du ja aufbauen.

Eine PING Anfrage an den Server zu schicken ist nicht schwer. Je nach OS deines Notebooks (Apple OS, Windows, Linux) einfach via Terminal eingeben...schau hier:
https://hilfe-center.1und1.de/dsl-h...windows-oder-mac-os-x-ausfuehren-a794479.html
Beim Anwenden dann eben die jeweils zutreffende IP angeben und schauen was geht...

Hast du davon abgesehen mal versuchsweise deine NAS Firewall deaktiviert und versucht, ob du so via VPN ins Netz kommst, um zu surfen?

Grüßle
the other
 

*Maverick*

Benutzer
Mitglied seit
27. Jul 2019
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Moin Zusammen,

danke für Eure Hilfe.

Ping an den Router funktioniert bei richtigem Zugriff von außen nicht. Beim Ausschalten der Firewall habe ich massive Bedenken, daher habe ich alle Einstellungen geprüft und nichts gefunden, was den Internet-Zugrif verhindern könnte.

Freigaben in der Firewald der Disk Station wie folgt:
Anwendung/Port/Protokoll
DLNA/50001, 50002/TCP
DLNA/1900/UDP
NTP/123/NTP
Surveillance/9901/HTTPS
Surveillance/19998, 19997/Search Surveillance
Surveillance/554/RTSP
Photo/443/HTTPS
Windows Server/137, 138, 139, 445/CIFS
VPN Server/1701/VPN Server L2TP
VPN Server/500, 4500/VPN Server L2TP
Verwaltung/5001/HTTPS
Visual Station/19999/Visual Station suchen

Habt Ihr eine Idee?

Beste Grüße

Maverick
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
na gut...
welches Betriebssystem nutzt du auf deinem Client Notebook? Win 10?
Welches Gateway hast du dort in den Netzwerkeinstellungen deiner VPN Verbindung eingetragen (zu sehen bei VPN Verbindung Einstellungen > IPv4 Einstellungen > Advanced TCP/IP Settings)? Wie ist dort die Einstellung gewählt unter IP Settings?

Siehe auch:
https://www.synology.com/de-de/know...ogy_s_VPN_Server_using_a_Windows_PC_or_Mac#t4

Grüßle
the other
 

*Maverick*

Benutzer
Mitglied seit
27. Jul 2019
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Moin,

auf meinem Notebook ist Win 10 Pro installiert.

In den Netzwerkeinstellungen der VPN-Verbindung erscheinen nur die Verbindungseigenschaften (Name, Server-Adresse, Anmeldeinfotyp, Benutzername und Kennwort mit ***). Darüber hinaus das Netzwerkprofil "öffentlich". IP-Settings kann man keine aufrufen. Schaue ich vielleicht im falschen Menü?

Win-Symbol => Einstellungen => Netzwerk u. Internet => VPN => Verbindungsname => Erweiterte Optionen

Grüße

Maverick
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154

*Maverick*

Benutzer
Mitglied seit
27. Jul 2019
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Moin,

danke, aber beim Aufrufen des Link erscheint "404 Not Found".

Grüße

Maverick
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
gerade probiert...geht bei mir.
Hm...
Grüßle
the other
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen nochmal,
Leider gibt es einen parallel thread, selbes Problem anderes client bs...
deswegen auch hier die Frage :
Du kannst nach erfolgreicher Herstellung des vpn Tunnels deinen Router im heimnetz nicht anpingen, sagst du... Welchen DNS Server Eintrag nutzt du allgemein, welchen für vpn und wie ist DNS in deinem Router eingetragen? Oder nutzt du einen eigenen DNS Server (vermutlich nicht)?
Grüssle
the other
 

*Maverick*

Benutzer
Mitglied seit
27. Jul 2019
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Moin Zusammen,

frohes, neues Jahr. Ja, bei bestehendem Tunnel kann der Router nicht angepingt werden.

In der Fritz!Box ist unter DNSv4-Server vom Internetanbieter zugewiesene DNSv4-Server verwenden hinterlegt.

Um die DS von außen zu erreichen, ist DynDNS eingerichtet, im Router sind die Portfreigaben für VPN eingerichtet, sonst würde der Tunnel ja nicht funktionieren.

Hier noch einige Details der Konfiguration, vielleicht kommen wir der Fehlerursache damit näher.

Im VPN-Server auf der DS sind nachfolgend genannte Einstellungen hinterlegt.

Überblick
========
L2TP/IPSec ist aktiviert
IP-Bereich: 10.2.0.0 – 10.2.0.255

L2TP/IPSec
=========
L2TP/IPSec VPN-Server ist aktiviert
Dynamische IP-Adresse: 10.2.0.0
Max. Anzahl Verbindungen: 5
Max. Anzahl von Verbindungen mit demselben Konto: 3
Identitätsprüfung: MS-CHAP v2
MTU: 1400
Manuelle DNS verwenden (IP-Adresse der Fritz!Box) ist DEAKTIVIERT (Ursache des Fehlers?)
Im Kernel-Modus ausführen ist aktiviert
SHA2-256-kompatiblen Modus (96 Bit) ist aktiviert


In Windows sind nachfolgend genannte Einstellungen hinterlegt.

Eigenschaften VPN / Eigenschaften TCP/IPv4 / Erweiterte Einstellungen TCP/IP
================================================================
Standardgateway für das Remotenetzwerk verwenden ist aktiviert
Direkt darunter ist klassenbasiertes Hinzufügen der Route DEAKTIVIERT

Automatische Metrik ist aktiviert

Falls spezielle Angaben benötigt werden, beschreibt mir bitte genau, wo ich diese finde.

Beste Grüße

Maverick
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
ich glaub nicht, dass es damit zu tun hat.
Vorschlag: alles weg, nochmal ganz neu nach der Anleitung von Synology machen. Ja nervig, wäre aber nicht das erste Mal, dass es beim ersten Mal nicht funzt. :)

Führ die Schritte in den Anleitungen Punkt für Punkt durch. Bei mir hat es damals auch erst im 2. oder 3. Versuch geklappt. Aktuell benutze ich aber nicht mehr das NAS als VPN-Server (und dasselbe würde ich auch jedem User hier raten), daher kann ich dir keine Beispiel Konfiguration von hier schicken...
Beachte besonders die Vorgaben zu Gateways in Anleitung 2 Punkt 4...

Anleitung Server einrichten:
https://www.synology.com/de-de/knowledgebase/DSM/help/VPNCenter/vpn_setup

Anleitung Clients einrichten:
https://www.synology.com/de-de/know...ogy_s_VPN_Server_using_a_Windows_PC_or_Mac#t4

Grüßle
the other
 

Cambridge1

Benutzer
Mitglied seit
29. Dez 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Um das Problem des TEs (kein Internetzugriff bei bestehendem VPN Tunnel) zu lösen hat bei mir geholfen:

In den Firewalleinstellungen der DS unter Schnittstelle "VPN" Port 80 (HTTP), Port 443 (HTTPS), Port 5357 (WS Transfer) und Port 3702 (WS Discovery) als Ausnahme hinzufügen.
 

*Maverick*

Benutzer
Mitglied seit
27. Jul 2019
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Moin,

weiß jemand, was genau sich hinter "Port 5357 (WS Transfer) und Port 3702 (WS Discovery)" verbirgt?

Ferner ist in den Windows-10-Einstellungen für VPN (Windows Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent) unter AssumeUDPEncapsulationContextOnSendRule der Wert 2 eingetragen.

Grüße

Maverick
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
also, ich bin wie gesagt, kein windows nutzer (außer wenige gezielte anwendungen liegt die parallell installierte win10 partition eher brach).
Aber da google ja mein Freund ist (stell ich dir gerne mal vor, etwas neugierig, weiss aber viel) in kürze folgende Info:

Wert 2 bedeutet AFAIK, dass sowohl VPN Server als auch Clients hinter Routern mit NAT betrieben werden. Ob das bedeutet, dass es anders nicht geht, weiß ich nicht. Schau hier:
https://frank-hilft.de/knowledge-base/l2tp-ipsec-anpassung-bei-windows-10/
(schon wieder frank hilft, ich bin nicht frank und hoffe, dass der link dieses mal für dich geht...)

Die Ports sind idR für Windows spezifische Dienste. Der eine für WSDAPI...schau hier:
https://www.technikaffe.de/forum/index.php?thread/2200-offene-nicht-benötigte-ports-schließen/

hier:
https://en.wikipedia.org/wiki/Web_Services_for_Devices

und hier:
http://www.gidf.de/

:)

Grüßle
the other
ps:ports einfach mal zumachen und schauen was passiert...hinsichtlich Auswirkungen im Alltag...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat