VPN Verbindung nicht erfolgreich - Windows 10 Client + FritzBox + Synology DS218

Status
Für weitere Antworten geschlossen.

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
also so ganz klar ist mir nicht wie man von aussen den VPN Server erreichen soll (wenn es sich um den der in der Syno sitzt handelt) ohne dem Anschluss selber, also dem Router im Internet ein DDNS gibt.
Wie soll man den VPN Server der DS erreichen wenn nicht via die externe IP und Portforwarding?
Oder geht es hier um Ip6?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Man braucht eine öffentliche IP.
Diese kann statisch sein oder dynamisch.

Zugriff auf Router via IP ist dann möglich. Von dort brauchst du Portforwards genau.
Ddns verknüpft ja kur eine Domain mit einer IP. Das ist optional, macht aber zB bei dynamischen IPs natürlich Sinn. MMn egal ob ddns am Router oder Syno oder RaspPi läuft.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
hihi...ich glaube ich drücke mich doof aus und wir meinen alle dasselbe: der Client erfährt via DDNS wo er hin soll, hier deine sich immer wechselnde externe öffentliche IP deines Anschlusses. Dort kommt die Anmeldung auf einen Port, dieser wird bei IPv4 per NAT geblockt, wenn keine PWL besteht. Dann geht es weiter auf den VPN-Server.
Nach meinem Verständnis geh es hier nur darum, ob ich den DynDNS auf der Fritzbox schalte oder auf dem NAS, wobei ich ersteres bevorzuge und empfehle.
Solange dein Client weiß, welche externe verknüpfte IP zum DDNS gehört und der Port steht offen, dann sollte es egal sein AFAIK. So verstehe ich tproko jedenfalls, auch wenn ich selber es so nicht geschafft habe damals.

Wie gesagt: ich habe es hier laufen mit DDNS auf der Fritz, dann Weiterleitung auf den VPN Server auf der pfSense. Letztere weiß nix vom DDNS, der ist nur im openVPN-Konfiguationsteil enthalten für den jeweiligen Client.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
>ob ich den DynDNS auf der Fritzbox schalte oder auf dem NAS, <

ach soo, jetzt verstanden

ich habe auch bei einzel DS den DDNS einfach auf den Anschluss also den Router, VPN auf Syno.

Bei den etwas grösseren Netzen haben wir zwar auch L2TP, aber dann ist der Server eine Box von Cisco Meraki und alles wird von dem Router zuerst mal an diese Box geschickt. Dort wird dann sortiert.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ja bei größeren Netzen ist dann hoffentlich auch eine vernünftige Firewall im Spiel.
Nachdem es hier um syno vpn geht denke ich, ist es was kleineres oder privat.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
DDNS wird IMMER vom Router gemacht. Dieser ist die Schnittstelle die direkt am Internet hängt.
Wenn das läuft ist der Router erst mal per Name oder IP direkt ansprechbar.
Die Firewall des Routers (zumindest bei allen SoHo Modellen die ich kenne) spielt jetzt gar keine Rolle mehr, denn im Router muss jetzt eine Portweiterleitung für die VPN Ports auf die IP der Syno eingerichtet sein. Damit hängt die Syno IMMER mit diesem Port direkt im Internet, das ist der gravierende Nachteil (wer hängt schon seinen Fileserver direkt ans Internet?).
Besser ist immer ein VPN-Router, der die Portweiterleitung obsolet macht!
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
DDNS vom Router gemacht?

verstehe ich nicht ganz was damit gemeint ist. Ich muss doch nur irgendjemanden beauftragen der meine IP feststellt und dies dem DDNS Provider meldet. Das kann zwar ein DDNS Client im Router sein, aber nicht alle haben so was.
Dann kann es ein DDNS Client auf der DS, auf einem PC, auf einem Smartphone zu hause sein. Geht alles bestens, vorausgesetzt der Client kann auch mit dem Provider Verbindung aufnehmen.
In einem Fall war ein zweiter Router hinter dem Provider Roter der Client, oft jedoch die DS selber bei kleinen Installationen. Nicht überall kann man einfach einen beliebigen Router einstecken.

Und auch wenn ich den DDNS Client zum Bsp auf einem Smartphone zu hause betreiben würde, ist die DDNS Adresse nur auf den externen Zugang, also die öffentliche IP des Anschlusses bezogen.
Hat also mit dem Router zuerst ja gar nichts zu tun. Der Router hat selber mit DDNS nichts zu tun. Das wird von der Datenbank des DDNS Providers erledigt.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Der Router erhält via DHCP eine immer wechselnde, öffentliche IP. Die kennt niemand anders als der Router selbst. Also ist er der Ansprechpartner für den DDNS Server und nicht der hinter dem Router befindliche PC oder die Syno!
Den Vergleich mit deinem Smartphone verstehe ich gar nicht. Du kannst dein Handy nicht zum DDNS Provider oder Client machen weil du da gar keine öffentliche IP hast.
Dann gibt keine Datenbank bei einem DDNS Provider. Was soll das sein? In dem Moment wo dein Router eine neue IP bekommt teilt er diese dem DDNS Provider mit. Dieser speichert diese IP und ordnet sie dem DNS Namen zu, den du für die Anmeldung nutzt. Meinst du das?
Rufst du jetzt den DNS Namen auf weiss der Provider, welche IP sich gerade hinter diesem Namen verbirgt und stellt die Verbindung her.
So funktioniert das und nicht anders und diese Funktionalität überlässt man immer dem Router!
Man könnte es vereinfacht auch so beschreiben: Der Client nutzt den DDNS Server als Relais. Dieses Relais erhält vom Router immer die aktuelle IP damit der Client an die richtige Stelle weitervermittelt werden kann.
Im übrigen kenne ich keinen einzigen SoHo Router der nicht DDNS unterstützt! Wäre da an Infos interessiert welche Geräte das nicht können!
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
also da muss ich dich nun wirklich korrigieren.

Ich kenne zahlreiche DDNS Clients, das muss nicht der auf dem Router sein. Automatisch macht es ohnehin kein Router. Auf dem Router muss es einen Clint geben, der auch das Protokoll des DDNS Providers beherrscht. Das gibt es nicht überall.
Ich habe zum Bsp auf meinem alten Samsung Phone einen Client des Providers dyndns.org.
Habe ich dieses in meinem Netz laufen, brauche ich keine weiteren DDNS Clients, weder im Router noch in der DS oder PC. Ich hatte es früher oft an einer Aussenstelle verwendet wo sonst nichts lief die meiste Zeit.
Es gibt auch ein Client für PC.
Der DDNS Client, egal auf welchem Gerät er sich in dem lokalen Netz befindet, stellt die öffentliche IP des Routers fest und meldet es an die DNS (Datenbank war das gemeint) des DDNS Providers und der wird es halt dann weiter propagieren müssen an alle weiteren DNS.
Klar ist der Router der erste der es wissen muss dass es eine neu IP gab, aber gleube mir, es gibt weltweit sehr viele Router die entweder gar keinen DDNS Client haben, oder dieser ist vom Provider gesperrt, oder der ganze Router ist gesperrt.
Dann nimmt man was geht. Bei kleinen Büros haben wir den DDNS Updater immer auf der DS laufen lassen, auf einer habe ich gar 2 DDNS Updater, einen von Syno und dann noch den von QTip.

Habe übrigens momentan auch hier arbeitsmässig einen Anschluss, der einen Provider Router hat und dieser hat keinen Zugriff auf den DDNS Client drin. Kann also nicht konfiguriert werden und meldet von sich auch dem nach nichts an unseren DDNS Provider.
Das müssen wir dann von 'innen' machen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Bitte nenne mir einen Router der kein DDNS kann! Ich kenne im SoHo Bereich nicht einen einzigen!
So was poppeliges macht auch AVM mit ausnahmslos jeder Box.

Und der Ablauf den du beschreibst ist auch falsch.
Kein DDNS Provider propagiert seine Infos an andere DNS Server. Anders herum ist der Ablauf. Alle Domains sind zentral registriert. Daher wissen die DNS Server wohin sie eine Verbindung weiterleiten müssen, nämlich zur IP des Main Domainservers. Nur dieser allein hat dann Informationen zu den Subdomains, in diesem Fall zur IP der DynDNS Verbindung.
Gibst du also eine DynDNS Namen in deinen Browser ein landest erst mal bei einem DNS-Server. Dieser kann dem Domainnamen eine IP zuordnen und leitet die ANfrage dorthin weiter.
Als in der Zieldomain gibt es dann die Information zu welcher IP dieser DDNS Name gehört.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
also der kleine Router der Swisscom kann es nicht und kann auch kein Portweiterleitung etc.
Ansonsten wenn der Provider den Zugriff auf den Router nicht erlaubt, dann kann man, selbst wenn es technisch ginge keine DDNS Updater dort verwenden. Und davon gibt es weltweit sehr viel.
Da sich scheinbar immer noch nicht alle DDNS Provider an einem allgemein verbindlichem Vorgang dazu einigen konnten, muss natürlich der Client auch die möglicherweise spezielle Art der unterschiedlichen Provider berücksichtigen.
Jedenfalls haben wir bei kleinen Installationen immer den Updater der DS verwendet, weil es mit den Routern in Nordafrica wohl nicht richtig ging. Je nach dem auch nachgeschaltete FritzB mit dies und jenem beauftragt.

Und jetzt haben wir hier einen Anschluss, den wir so nehmen mussten weil es ein Grossauftrag mit dem Provider gibt. Egal was der Router kann, der Provider will das nicht einrichten. Nur wohl ein DMZ für unseren Bedarf. Und macht man dann halt etwas was gerade geht.


Na ja, die Verbidnug IP-Name wird ja zuerst dem DDNS Provider gemeldet. Kann man auch von Hand bei ihm machen. Richtig ist natürlich, ein DNS wird wissen wo es nachfragen soll wenn etwas nicht bekannt ist oder geht, also bei dem DNS des DDNS Providers.
Heute geht es alles fast perfekt, vor ca 8 Jahren ging es auch schon mal 20min bis man nach einer Änderung der IP wieder das Ziel wirklich erreichte, warum auch immer. Aus dieser Zeit kommt auch die Installation von 2 Updatern auf einer DS. Der von Syno und der von QTip. Entweder hat der ein oder der andere was nicht erreicht oder sich verschluckt. Auch hat der Provider mal seinen Protokoll geändert, da war der ein Updater eine Zeitlang erfolglos und musste erst selber updated werden.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
@NSFH: es gibt leider genug „Drecks“ Router die den eigenen bisherigen ddns Dienst nicht unterstützen oder früher einfach gar kein ddns können.

Nicht umsonst kann das NAS auch ddns. Und es mag auch Leute geben, die es einfach mit einem RaspPi lösen etc. Also das muss definitiv nicht am Router laufen. Wieistmeineip.com liefert auch für meinen Laptop eine externe IP. Also könnte selbst mein Laptop ddns spielen, oder ich wenn ich sie manuell aktualisiere ;)

Ps: selbst 2004 bei meinem Studium lief mein dynamic IP Updater auch auf meinem Laptop im Studentenheim, da waren Router oder Switches noch gar nicht so „in“ bzw. Einfach zu teuer und nicht nötig damals. Bei uns wurden eher noch Hubs genutzt :) So vergeht die Zeit. Heute kann man sich sowas nicht mehr wegdenken.
 

georg1010

Benutzer
Mitglied seit
23. Jul 2018
Beiträge
26
Punkte für Reaktionen
0
Punkte
1
VPN Kanal - vorinstallierter Schlüssel

Hi chrisweb,
ich hatte auch einmal das gleiche Problem, nachdem ich meine VPN-Verbindung mit einem komplexeren "vorinstallierten Schlüssel" sicherer machen wollte. Mit dem Ergebnis, dass es eben nicht mehr ging.
Habe dann im Internet wo gelesen, dass manche Sonderzeichen im vorinstallierten Schlüssel nicht verwendet werden dürfen (kann dir die Quelle leider nicht mehr angeben). Nach Änderung des vorinstallierten Schlüssels hat es dann wieder geklappt.
PS: Auch die Länge des vorinstallierten Schlüssel soll begrenzt sein!?
lg georg1010
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat