PPTP VPN - Verbindung Problemlos möglich, OPEN VPN und L2TP/IPsec jedoch nicht?!

Header · 12. Okt 2013

Hallo liebe Community,

nach stundenlangem probieren und suchen, gelingt es mir dennoch nicht eine konstante Verbindung über OPEN VPN (Tunnelblick) bzw. L2TP/IPsec herzustellen.
Ich baue daher auf eure Hilfe!

Ich verwende folgendes Setup:

o2 Box 6431:
Stelt die Internetverbindung her und hat eine feste IP

Netgear Router:
ist mit der O2 box über LAN 1 an den Wan Port des Routers verbunden und besitzt eine feste IP.

DS213+:
ist mit dem Router verbunden und besitzt ebenfalls eine feste IP.

geöffnete Ports:
500, 1194, 1701, 1723, 4500, werden über Portforwardin weitergeleitet:
Alicbox -> Router -> DS213+ (Fierwall)

Externe Internetverbindung: Iphone Hotspot.

Solange ich die Verbindung über PPTP VPN herstelle klappt alles Problemlos sowohl der Interne Zugriff als auch über den DDNS Domain. Sobald ich jedoch die Verbindung über Open VPN bzw. L2TP/IPsec versuche herzustellen, kann die Verbindung über L2TP/IPsec nur über das lokale Netzwerk hergestellt werden und über OPEN VPN überhaupt nicht.

Eine Sache die noch seltsam war, zwei mal gelang es mir doch eine Verbindung über OPEN VPN (Tunnelblick) herzustellen, dies lies sich jedoch, auch nach ausschalten der DS-Fierwall, nicht reproduzierbar wiederholen.

Ich bin echt am verzweifeln und wäre euch echt dankbar, wenn mir hier jmd weiterhelfen könnte.

Anzeige · 12. Okt 2013

Hallo Header,

Bücher und Hardware zum Thema gibt es bei Amazon: PPTP VPN - Verbindung Problemlos möglich, OPEN VPN und L2TP/IPsec jedoch nicht?!

fpo4711 · 12. Okt 2013

Hallo,

ich kann das zwar nicht überprüfen, aber der o2 Router scheint ziemlich miserabel zu sein. Ich möchte Dir aber doch ein paar Sachen mit an die Seite geben. Normalerweise ist OpenVPN noch am einfachsten anzuwenden. Wichtig hierbei ist nur eine Portweiterleitung und zwar UDP 1194. Nicht TCP sondern UDP. Wenn Du hier also nicht einmal eine Verbindung aufbauen kannst liegt es mit ziemlicher Wahrscheinlichkeit an der Portweiterleitung.

Du schreibst dein o2 Router hat eine feste IP. Ich vermute mal Du meinst damit die lokale IP oder? Denn Du sprichst auch von DDNS. Und hier könnte der zweite Fehler liegen. Ist hier auch wirklich die IP aktuallisiert worden? Also beispielsweise müßte dann ein ping deine.dyndns die gleiche IP anzeigen, die in deinem Router als externe IP angezeigt wird.

Und zu guter Letzt. Immer von Extern testen, und WLAN ist nicht extern. Einige Router haben Probleme mit Loopback und selbst wenn Du noch eine Verbindung aufbauen kannst, von intern wird das nicht funktionieren da alle Synology-VPN-Lösungen das VPN routen. Und somit der übliche Leitsatz.

Client-Subnetz ungleich Tunnel Subnetz ungleich Server-Subnetz

Und ansonsten wäre es vieleicht hilfreich mal einen Blick in das Log von Tunnelblick zu werfen. Hier wird dann auch die Fehlerursache angezeigt.

Gruß Frank

Header · 13. Okt 2013

Hallo fpo4711,

erst ein Mal vielen Dank dass du dir die Mühe gibst mir zu helfen.
Um deine Fragen zu Beantworten:
Ja die Festen Ip-Adressen beziehen sich auf das lokale Netzwerk.
in die OPEN VPN Config habe ich meine Synology DDNS bzw. meine No-Ip DDNS eingetragen, über die ich jeweils auch über das externe Internet auf die DS213+ zugreifen kann.
Für die Test-Internetverbindung benutze ich einen Iphone-Hotspot, welcher eine Internetverbindung über das Mobilfnknetz aufbaut (Extern).

Nach dem Lesen Deiner Nachricht habe ich die Weiterleitung des Ports 1194 sowohl im Router als auch in der O2-Box auf UDP beschränkt, davor wurde dieser Port sowohl für
TCP als auch UDP auf die DS213+ weitergeleitet.
Genau danach, klappte seltsamerweise eine einmalige OPEN VPN Verbindung. Alle folgenden Versuche die Verbindung aufzubauen, schlugen dann jedoch wieder fehl :/.
Das gibt für mich überhaupt keinen Sinn, warum die Verbindung einmalig geht und dann wieder überhaupt nicht.

da du nach dem LOG gefragt hast, habe ich Ihn mit angehängt.
Ich hoffe, Du hast vielleicht noch eine Idee woran es liegen kann.

LG

fpo4711 · 13. Okt 2013

Hallo header,

mir viele da nur noch ein das die Zeiteinstellungen auf Client und Server gleich sein sollten. Ansonsten sieht dein Log so aus als wenn keine Verbindung aufgebaut werden konnte oder auf jeden Fall kein TLS-Handshake. Kurios finde ich allerdings das es dann gelegentlich klappt. Ich vermute mal, und das kann ich im Augenblick nicht in Erfahrung bringen, das es vieleicht doch die o2 Box ist. Ich weiß das ein Freund mal fürchterlich über das Teil gemeckert hat. Ich glaube die letzten Einstellungen hat er mit der Kettensäge vorgenommen.

Ich kenne die Box glücklicherweise nicht, aber vieleicht gibt es dafür ein Update. Oder aber jemand hier im Forum kann mal bestätigen ob es läuft.

Gruß Frank

Header · 15. Okt 2013

Hi Frank,

inzwischen habe ich mal mit der O2-Hotline telefoniert, die meinten Probleme gebe es wohl mit der O2-Box, diese seinen Jedoch anderer Natur.
Auf deren Drängen hin habe ich dann mal die DS213+ direkt an einen der Ports der O2-Box angeschlossen.
Und siehe da, erneut war eine einmalige OPEN-VPN Verbindung möglich.
Da mir das nun schon dritten Mal in Folge nach einer hardwäremäßigen Konfigurationsänderung passiert, stellt sich nun die Frage, ob nicht evtl. doch das Problem softwareseitig ist.
Könnte es sein, dass die Fierwall der DS213+ Mac-Adressen oder ähnliches Sperrt?

In einigen Foren habe ich schon gesehen, dass als einzige Alternative zur O2 Box nur eine 200 Euro teure Fritz-Box infrage kommt, u. der Auslesevorgang scheint auch nicht ohne weiters machbar zu sein.

LG

fpo4711 · 15. Okt 2013

Hallo,

Softwarefehler auschliessen möchte ich nie. Und wie gesagt die O2 Box kenne ich nicht und eine DS213 hab ich auch nicht in der Anwendung. Ich möchte Dir auch keinen Routerwechsel auf Grund einer Vermutung empfehlen. Die Firewall kann nur etwas sperren wenn Du es auch definiert hast. Eine zusätzliche Sperre könnte noch die automatische IP-Blockierung sein. In beiden Fällen ist mir nicht bekannt, das hier ein Fehler vorliegt. Einzig die automatische Wiederverbindung stellt sich etwas zickig unter 4.3 an. Siehe hier

Ich wende an mehrfachen Standorten OpenVPN auch mit der DS völlig problemlos an. Allerdings alles noch unter der 4.2. Nur eine DS läuft zum Test unter 4.3 Man muß ja nicht immer bei allem der Erste sein

Weshalb ich auf jeden Fall mal einen generellen Fehler in der Umsetzung von Synology nicht vermuten würde.

Gruß Frank

Header · 18. Okt 2013

Hallo Frank,

wie du ja festgestellt hast, gibt es beim Verbinden ein Problem mit dem TLS key. Ich verwende mein eigenes unterzeichnete Zertifikat für meine Synology DS, beim exportieren der VPN
Datei über die VPN App fällt jedoch auf, dass dort ein anderes Zertifikat hinterlegt ist.
Ist es möglich dass es deshalb nicht zum Verbindungsaufbau kommen kann?
Wenn ja gibt es eine Möglichkeit in den VPN-Server sein eigenes Zertifikat einzubinden?

LG

fpo4711 · 19. Okt 2013

Hallo header,

Du hast geschrieben das es einmalig gelegentlich zu einem korrekten Verbindungsaufbau kommt. Somit würde ich die Zertifikate ausschliessen. Denn bei falschen Zertifikaten kannst Du niemals eine Verbindung aufbauen!

Die Kuriosität ist einfach, das Du wenn Du Änderungen am Router vornimmst es einmalig funktioniert. Deshalb würde ich den Fehler beim Router annehmen. Vielleicht auch mal einen Test durchführen direkt nach einem Routerneustart. Oder wie oben beschrieben Einstellungen ändern und neuen Test. Bis man einen reproduzierbaren Zustand erreicht. Als weitere Möglichkeit käme mir noch MTU in den Sinn. Wenn Du hiermit experimentieren solltest, immer daran denken das diese Werte sowohl in der Server- als auch in der Client-Config dann gesetzt werden müssen. Genauen Parameter hab ich jetzt nicht im Kopf.

Gruß Frank