VPN Verbindung nicht erfolgreich - Windows 10 Client + FritzBox + Synology DS218

Status
Für weitere Antworten geschlossen.

chrisweb

Benutzer
Mitglied seit
20. Feb 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich werde hier langsam bekloppt.

Ich bekomme einfach keine Verbindung zu meinem VPN Server (Synology DS218+) hin.

Jedes mal erhalte ich die Fehlermeldung: "Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten SIcherheitsaushandlung mit dem Remotecomputer aufgetreten ist."

Der Support von Synology (Wenn er mal antwortet) ist auch schon Sprachlos.

Hier sind meine Einstellungen.

einstellungen-vpn-server.jpg

ports-fritzbox.jpg

windowsclient.jpg

allg-ein-vpn.png

ddns.png

Sowohl bei meinem Windows Client als auch MAC Book klappt die Verbindung NICHT... bin echt mit meinem Latein am Ende.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
1.) Hängt dein Windows Client dann per LTE Hotspot im Netz, oder wie versuchst du den Zugriff von außen?
2.) Firewall auf Fritzbox bzw. Synology kurzfristig mal abschalten, um Firewall auszuschließen.
3.) Prüfe ob ein ping auf provivet.synology.me auf die richtige IP auflöst, sobald du "extern" den Abruf versuchst (bei mir löst es ebenfalls auf 37.201.195.28 auf, also das dürfte passen).
4.) Evt. mal bei unitymedia checken, ob die Ports einfach sperren?
5.) Ich kenne die Fritzbox nicht, löst der den Hostname "Diskstation" eh richtig auf? Ich habe meine Port-Weiterleitung bei mir mit statisch vergebenen IPs. Ggf. für Tests mal diese interne IP eintragen.
 

chrisweb

Benutzer
Mitglied seit
20. Feb 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hallo Tproko,

vielen Dank für deine rasante Antwort.

1.) Ich bin gerade Zuhause und gehe mit meinem Windows Client über LAN ins Internet.
Die Synology Box ist mit meiner Fritzbox im Büro verbunden. Versuche also den Zugriff von außen.

2.) Die Firewall auf der Synology ist deaktiviert und auf der Fritzbox aktiviert (glaub ich) muss ich mal schauen

3.) funktioniert

4.) Die Ports wurden ja auf der Fritzbox freigegeben

5.) Ja löst er richtig auf.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
Bilder sind leider nicht gut lesbar, aber verwendest du Presheared Key oder Zertifikat?
Ich habe alles mit Key (~Password) und es geht prima.
Und ich muss immer noch bei Windows für die L2TP mit der Syno wie auch mit Arbeitsnetzwerk Registry modifizieren mit dem AssumeUDPEncapsulation....

https://de.giganews.com/support/vyprvpn/vpn-setup/windows-10/l2tp.html

Du versucht es schon von echt extern und nicht etwa zu hause im gleichen Netzwerk?
 

chrisweb

Benutzer
Mitglied seit
20. Feb 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hallo Ottosykora,

ich verwende den VPN-Typ: L2TP/IPsec mit vorinstalliertem Schlüssel

klappt aber leider nicht.

Den Registry eintrag habe ich auch vorgenommen, tut sich aber trotzdem nichts :-(

Genau, ich bin gerade zu hause und NICHT im gleichen Netz.
 

chrisweb

Benutzer
Mitglied seit
20. Feb 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Jetzt erhalte ich Plötzlich eine andere Fehlermeldung.

".... Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzwerkgeräte (z.B Firewall, NAT, Router, usw) zwischen Ihrem Computer und dem Remoteserver nicht
für das Zulassen von VPN-Verbindungen konfiguriert ist."
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
nach dem Registry Eintrag noch neu booten.

Aber was ich nicht genau sehe ist ob da in dem Windows Client etwas anders ist als bei mir.
Ich nehme auch an die lokale IP Bereiche sind unterschiedlich wie es sein soll.
Der Fehler kenne ich irgednwie, kann mich momentan nicht errinern was es damals bei mir war.
Windows soll heute den Authent Protokol selber aushandeln, Chap v2 sollte also gehen.

Nam kann noch mit einem Portscann checken ob da wirklich was antwortet.
http://www.dnstools.ch/port-scanner.html
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
für das Zulassen von VPN-Verbindungen konfiguriert ist."

ja, das kommt bei unserem Netzwerk ähnlich auch gelegentlich, ist aber zumindest in unserem Fall auf Funktionalität beim Provider zurückzuführen. Soll aber auch Eingenschaft von Routern sein.
 

chrisweb

Benutzer
Mitglied seit
20. Feb 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Jetzt habe ich erneut versucht mich mit dem VPN Server zu verbinden und jetzt verbindet er sich schon seit 10 min ohne Ergebnis....
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
schmeisst er noch den gleichen Fehler?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
ja das meine ich auch, darum vielleicht doch mal kurz mit einem Portscann von aussen schauen ob da wirklich wa serreichbar ist an den Ports.

Allerdings scheint es jetzt noch an der Authetisierung klemmen, die Verbindung scheint schon etwas stehen

Ich habe da noch einen Vorschlag:
die Verbindung nicht aus dem Tray starten, sondern aus der Systemsteuerung direkt.
Da gab es nämlich Probleme, etwa 6 Monate ging es nicht aus dem Tray, hat ewig gedauert und kam nicht zum Schluss.
Von der Systemsteuerung selber ging es jedoch.
Dies wurde zwar Ende Jahr gepacht und geht nun korrekt, aber je nach dem welche Updates installiert sind kann es wichtig sein.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
generell wirklich mal prüfen bitte, ob du da IPv6 und IPv4 Mischmasch hast oder nen DSlite Anschluss, bitte. Das wäre für Probleme ne Erklärung.
Aber:
aus deinen Worten und Bildern erschließt sich mir nicht, wo du den DynDNS Eintrag gemacht hast. Gilt das für die IP deines NAS (hier VPN-Server) oder für den Router (Fritzbox)?
Den Bildern nach hast du das für deinen VPN Server eingerichtet, das wäre dann AFAIK falsch.

nicht gut (DynDNS auf VPN Server):
Du (Client) -------------------------------------------------------------------------------Router----------------------------------------------------------VPN Server
sucht nach VPN Server..........................................................macht NAT bei IPv4......................................ist hinter dem Router nicht sichtbar trotz DynDNS


besser:
sucht nach VPN Server.................................................hat die DynDNS und ist somit erreichbar............................nimmt vom Router entgegen und handelt VPN
..................................................................................Portweiterleitung auf IP VPN Server und Port.................................Tunnel aus nach individueller Konfig


Schau auch hier:
https://administrator.de/forum/nas-vpn-dyndns-erreichbar-376763.html
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Natürlich wäre es besser wenn vpn am Router terminiert, aber wie kommst du auf die Vermutung das sein NAS und sein Router verschiedene externe IPs haben? Ich glaube, wo das ddns läuft macht in dem Setup keinen Unterschied, solange die ip stimmt. Es liest sich für mich so, dass er halt den syno ddns nutzen wollte und keinen anderen.

Beim auflösen der IP ist ja sein Router vorerst nicht involviert. Lässt sich auch einfach ausgrenzen, in dem er direkt die ip für den Verbindungsaufbau verwendet als Test.
 

chrisweb

Benutzer
Mitglied seit
20. Feb 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Guten Morgen zusammen,

vielen Dank für eure hilfreichen Ratschläge.

"nicht gut (DynDNS auf VPN Server):
Du (Client) -------------------------------------------------------------------------------Router----------------------------------------------------------VPN Server
sucht nach VPN Server............................................ ..............macht NAT bei IPv4......................................ist hinter dem Router nicht sichtbar trotz DynDNS"

Diese Anweisung habe ich aber von dem Support von Synology erhalten. Das ich doch bitte einen Dyndns eintrag auf meinem VPN einrichten soll.

Aktueller Stand:

Ich versuche mich über den VPN Server auf meinem Server auf der Arbeit zu verbinden... ohne Erfolg jetzt kommt sogar schon keine Meldung mehr. Nach 15 min breche ich die verbindung immer ab, weil er nichts mehr findet.
 

chrisweb

Benutzer
Mitglied seit
20. Feb 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
So folgende Fehlermeldung kommen raus, wenn ich mich beim Win Client unter dem

Verbindungstyp "L2TP/IPSec mit Zertifikat" verbinde

"Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet...."

Verbindungstyp "L2TP/IPSec mit vorinstalliertem Schlüssel"

"Der l2tp-verbindungsversuch ist fehlgeschlagen, da ein verarbeitungsfehler während der ersten sicherheitsaushandlung mit dem remotecomputer aufgetreten ist."
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
und den Portscann hast du gemacht?

ist der Schlüssel, also das Password wirklich auf beiden Seiten identisch?

Verbindung bei w10 aus der Systemsteuerung und nicht aus Tray versucht? (Microsoft Bug)



Bei mir stehen diverse DS einfach hinter einem Router, habe bis jetzt aber alles in IPv4

Der Anschluss hat DDNS.
Vorinstallierter Schlüssel

Damit habe ich in der VPN den DDNS Namen als Ziel.
In dem Router sind dann die entsprechenden Ports an die DS, also an die interne IP4 der DS geleitet.
Dort lauscht der VPN Server an diesen Ports
VPN Server baut nun den Tunnel zu dem Klient auf und die Berechtigung wird auch gleich kontrolliert

Ab da steht die Verbindung

Die DS kann nun mit ihrer internen IP angesprochen werden, genau so wie alle anderen Geräte in dem Netz wo sich die DS befindet.
Damit kann ich zum Bsp auf dem Drucker der sich in dem Zielnetz befindet drucken etc.

Voraussetzung ist, dass die Registry Korrektur exact eingefügt wird: https://support.microsoft.com/de-de/kb/926179

Die Ports müssen auch wirklich zu der DS geöffnet werden.
Beachten muss man auch ob die Authetisierungsprotokolle übereinstimmen.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
@tproko: klar, das sollte auch auf die beschriebene Art und Weise gehen, da hattest du völlig recht. Lustigerweise habe ich auch jedesmal ein Problem gehabt, wenn der DDNS Eintrag NICHT auf den peripheren Router zeigte, direkt auf den VPN-Server eingerichtet gab es hier ebenfalls eher unzuverlässige Tunnelaufbauversuche. Seit ich das aber auf den Router geschaltet habe und diese dann per PFW weitergibt, geht es zu 100%. Abgesehen von der IT-Sicerheit daher mein favorisierter Aufbau, der auch bei Bekannten immer sofort gefunzt hat.

@TE: an deiner Stelle würde ich das alles einmal löschen, zurückstellen und dann in aller Ruhe von vorne starten. Auch das wäre (in meiner Erfahrungswelt, klein wie sie sein mag) nicht das erste Mal, das erst beim 2. Versuch alles geht. Man selber ist ruhiger, kennt die GUI, weiß um die benötigten Schritte und kann nochmal genauer darauf achten, dass die Konfiguration auch wirklich passt (Passwort, Zertifikate, EInstellungen, DDNS, PWLs).
Versuchsweise (kostet ja nüscht) würde ich persönlich trotzdem nochmal einen DDNS Eintrag auf den Router legen und auch diese Variante probieren...
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.170
Punkte für Reaktionen
864
Punkte
268
ich habe bei einem PC auch lange keine Verbindung bekommen. Dachte schon da ist was defekt in Windows oder so was.

Dann nach langem Ärger nochmals den Registry Eintrag angeschaut, und siehe da, ich habe mich da vertippt bei dem Namen des Schlüssels, ein Buchstabe war anders.

Alles korrigiert, neu gestartet und alles geht nun bestens.
Es kann also auch an solchen Kleinigkeiten liegen.


@the other
>jedesmal ein Problem gehabt, wenn der DDNS Eintrag NICHT auf den peripheren Router zeigte, direkt auf den VPN-Server eingerichtet gab<
Kannst mir bitte erklären wozu soll so was eingesetzt werden? Oder ist das für irgendwelche internen Versuche?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
naja, erklären nicht direkt. Ich sehe es eben so, dass das äußerste Gerät im Netzwerk die Verbindung zum bösen Internet darstellen soll. Da laufen dann alle Anfragn zuerst auf, deswegen zeigt mein DDNS auf die Fritzbox. Dort werden dann die (bei mir openVPN) notwendigen PWL angelegt, welche (bei mir) auf den VPN-Server zeigen. Sonst ist von außen nichts freigegeben oder erreichbar. Die Fritz leitet dann weiter zum VPN Server. Fertig. Läuft. Gerade wenn VPN mit der NAS betrieben wird, folge ich somit den üblichen Empfehlungen, wie zB in dem link auf das andere Forum im oben angefügten Beitrag meinerseits zu lesen.
Davon ab: wenn es beim TE auf die betriebene Variante nicht läuft, dann kann es ja auch gleich mal mit der anderen Variante ausprobiert werden und (wenn ok), dann ist die Implementierung eben gleich best-practice (von Außen nur auf periphere Geräte kommen dürfen).
Am Ende sollte, nochmal klar gesagt, natürlich auch der andere Ansatz rein technisch gehen. Wo also die individuellen Probleme beim TE liegen. erschließt sich mir leider auch nicht. Vermuten tu ich eine fehlerhafte Konfiguration (Buchstabendreher, falsche Konfiguration, fehlende Einträge, deswegen würde ICH alles beerdigen und neu aufsetzen...analog zu dem IT-Klassiker: "Haben sie den Rechner mal runtergefahren und neu gestartet?")...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat