DS413j - Zugriff per VPN (L2TP/IPSec) funktioniert nicht

[blurrrr]

Sapiophile, Du schriebst ja, dass z.B. das Hotel-Netzwerk blockt, aber es dann über Deinen Handy-Hotspot funktioniert. Das liegt dann daran, dass der Mobilfunkanbieter nicht blockt, während das vorhande Netzwerk eingeschränkt ist. Kurzum ist es eben so, dass es Netzwerke gibt, wo VPNs unterdrückt werden und eben Netzwerke wo es nicht so ist. Via OpenVPN wird ein SSL-verschlüsselter Tunnel erzeugt. Port 443 (https) dazu, bleibt es eine SSL-verschlüsselte Verbindung und sieht somit für viele Gerätschaften eben so aus, als wäre es eine normale HTTPS-Verbindung, was eben dazu führt, dass das VPN funktioniert, wenn z.B. nur surfen (http(Port 80) und https( Port 443)) erlaubt ist. Eine SSL-verschlüsselte Verbindung über Port 80 wäre hingehen schon wieder auffällig

 

[Sapiophile]

Danke für deine Antwort, doch der Fehler scheint woanders zu liegen. Ich habe nach deiner Empfehlung OPENVpn aktiviert und du wirst es nicht glauben, exakt der gleiche Fehler. Per WiFi das ich hier im Ferienhaus habe, kann ich zwar verbinden und meine WAN IP ändert sich auf diejenige von zu Hause, aber es funktioniert nix, weder einen shared folder mounten noch der Zugriff auf die MySQL Datenbank. Es scheint exakt der gleiche Fehler zu sein wie vorher mit dem L2TP IPSec. was kann ich noch tun? Danke!!!

 

[blurrrr]

Also kurzum: Die VPN-Verbindung wird aufgebaut, die Pakete wandern entsprechend über das remote-Netz (inkl. Standard-Gateway), nur auf das NAS kannst Du nicht zugreifen? Wenn dem so ist, würde ich mal bei der Firewall nachschauen. Wie sieht es denn aus mit z.B. dem Zugriff auf den heimischen Router bei aktiviertem VPN, funktioniert das denn entsprechend? Interessant wäre übrigens auch noch ein Auszug aus der Routingtabelle (sofern möglich) des Clients.

 

[Sapiophile]

Also der Normalfall: von der Arbeit, über mein Smartphone, von einem Freund aus, egal, der Client auf dem Mac verbindet und voila steht die verbindung. WAN IP hat gewechselt und ich kann alle Anwendungen von meinem NAS nutzen, welche nur lokal verfügbar sind, bsp. Laufwert mounten, MySQL server ansprechen, per IP auf dem Router zugreifen, usw.
Der "Abnormale Fall": von meinen Schwiegereltern aus, hier von diesem Hotel aus und diverse andere Beispiele, der Client auf dem Mac verbindet und schwup auch diese Verbindung steht. Die WAN IP wechselt auch, aber keine einzige lokale Anwendung auf meinem NAS ist verfügbar (auch kein mounten). Man kann auch nicht auf den Router zugreifen, es geht wirklich nichts. Für einen Newbee, was ist eine Routingtablle? Oder wie kann ich dir ein log file exportieren? Danke für deine Hilfe

 

[blurrrr]

Naja, Möglichkeiten gibt es da schon einige... Was die abnormalen Fälle angeht bzw. da konkret den Fall der Schwiegereltern: Hast Du mal geschaut, ob das evtl. die gleichen Netz-IDs sind (192.168.X.x)?

 

[Sapiophile]

hey du bist gut! Ja, daran hätte ich nie gedacht. Also hier im Hotel, bei meinen Schwiegereltern und bei mir zu Hause (dort wo das NAS steht) hat der Router 192.168.1.1 und der DHCP Server beginnt ab 192.168.1.2. Beim VPN habe ich 192.168.2.1 - 192.168.2.10 eingestellt. Gibt's hier ein Konflikt und was soll ich einstellen? Danke blurrr und frohe Weihnachten!

 

[blurrrr]

Halte Dich generell von "üblichen" Netz-IDs fern, die da wären 0/1/2/178 und vielleicht fällt jemandem ja noch mehr dazu sein. Das sind jedenfalls die üblichen, die von vielen Herstellern genutzt werden. Diesbezüglich wäre es mitunter sogar sinnig (ist kein "muss", kann aber auch helfen Probleme zu vermeiden) sämtliche Netz-IDs von den Standards wegzubewegen, kurzum: die Netz-ID für das LAN sollte angepasst werden (schon falls Du auf die Idee kommen solltest, ein Site2Site-VPN zu erstellen irgendwann, also eine LAN-zu-LAN-Verbindung) und die Netz-ID für das VPN (Transfernetz) sollte definitiv auch was anderes sein

 

[Sapiophile]

Hmmm, da hab ich jetzt nicht viel verstanden. Bin gelernter Forstwart, studierter Biotechnologe und heute vollzeit Krebspatient. Über diese 3 Dinge hab ich Ahnung, aber über Netzwerke nur sehr bedingt
Im Heimnetzwerk kann ich 192.168.1.x kaum ändern, das ist bei x Rechnern 100erte Male hinterlegt. Kannst du mich step by step anleiten, was ich an vpn client und server ändern muss um das problem zu beheben? Danke

 

[blurrrr]

Sorry, mir fehlt da die Zeit und Muße hier ein komplettes Kompendium runterzurasseln, nicht böse sein Ich erklär es aber auch gern nochmal ganz einfach: Es gibt Häuser mit Hausnummern. Wenn Du in Haus Nummer 1 bist und Dir jemand sagt, dass Du in Haus Nummer 1 gehen sollst, wirst Du wohl antworten: Wieso, ich bin doch schon hier?! Ist mit Netzen das gleiche - Standort A: 192.168.1.0 und Standort B: 192.168.1.0 - woher sollen die Pakete wissen was Du meinst? Genau da ist das Problem begründet. Sicherlich gibt es diesbezüglich noch Metrik-Werte (Priorisierungen der Netzwerk-Adapter für entsprechende Netze), aber da kann sich auch gern mal ein Fehler einschleichen bzw. kann es sein, dass die Metrik nicht korrekt gesetzt wird, usw. In der Eingabeaufforderung kannst Du das auch nachschauen via "route print" bzw. nur für IPv4 dann "route print -4". Vorne stehen die Netze, ganz hinten die Metriken (Gewichtungen) und vor den Metriken die jeweiligen Netzwerkadapter. Je niedriger der Metrikwert, desto gewichtiger... 2x das gleiche Netz über 2 verschiedene Schnittstellen, dann wird der Adapter mit der niedrigsten Metrik benutzt. 0.0.0.0 stellt in diesem Fall dann die Standardroute dar (für alles andere was nicht in der Liste der Netzwerke aufgeführt ist).

 

[Sapiophile]

Ciao blurrr, das erwartet auch niemand. Im Forum zu Schreiben ist ja ‚Freiwilligenarbeit‘, um die ich natürlich dankbar bin.

In der Zwischenzeit hat der Syno-Support die Ursache indentifiziert, leider aber haben wir keine Lösung. Falls es dich interessiert:

Das VPN dunktioniert ja immer von diesen Client-Netzwerken aus nicht, die den gleichen IP Range benutzen wie mein NAS zu Hause. Das Problem macht nun der Client, mein MacBook. Und zwar wird ja mein Mac virtuel ins Netzwerk von zu Hause gebracht, welches nun aber den gleichen IP-Range hat wie das fremde Netzwerk wo sich der Mac jetzt gerade befindet. Der Mac das dumme Ding macht nun ein durcheinander wohin er die Packete senden soll, weil die Ndtzwerke ja die gleichen adressen haben. Wohlberstanden ist der Hacken gesetzt, dass ALLE PACKETE über das VPN gesendet werden sollen. Ich warte nun auf die Antwort vom Apple support

Danke für deine hilfe und die bildliche erklärung.

Lg und guten Rutsch

 

[blurrrr]

Ach, Mac.. sorry, hatte ich wohl überlesen. Da gibt es dann "netstat -r" bzw. "netstat -rn" zum anzeigen der Routingtabelle. Würde ich auf jeden Fall mal reinschauen bzgl. der Metriken, evtl. sieht man da ja schon was auffälliges Wünsche ebenso einen guten Rutsch!