DS413j - Zugriff per VPN (L2TP/IPSec) funktioniert nicht

[BFBS]

Hallo zusammen,

besitze eine DS413j und möchte auf diese über einen L2TP/IPSec VPN Server aus dem Internet zugreifen. Leider ist das bisher noch nicht von Erfolg gekrönt. Die Verbindung soll über einen Thomson TWG870 (Kabelmodem mit WLAN Router) hergestellt werden. Auf der Diskstation läuft DSM 4.3-3810 Update4 mit VPN Server 1.2-2313.

Hier erst einmal die bisherigen Einstellungen:

1) Am Router sind die Ports 500, 1701 und 4500 für UDP freigeschaltet und auf die statische IP der Diskstation umgeleitet. L2TP Pass Through ist ebenfalls aktiviert. Die Router-Firewall ist auf "low" gestellt, d.h. es werden keine Ports blockiert. (Blöderweise kann man bei der Firewall nicht einzelne Ports manuell freigeben. Scheiß Ding halt!).

2) Der VPN Server der Diskstation läuft und sofern man die lokale IP der Diskstation eingibt, kann ich mit meinem Mac auch eine VPN Verbindung aufbauen. Gebe ich hingegen die externe IP oder die DynDNS Adresse ein, funktioniert die VPN Verbindung nicht. Dieses wurde auch mit einem PC außerhalb meines Netzwerks getestet, ebenfalls keine Verbindung.

3) An der Firewall der Diskstation sind die Port 500, 1701 und 4500 ebenfalls freigegeben.


Mein erster Verdacht war, dass das Port Forwarding des Routers nicht richtig funktioniert. Allerdings ist es für mich überhaupt kein Problem von außen (d.h. per DynDNS-Adresse) auf den SFTP Server meiner Diskstation zuzugreifen. Das Forwarding scheint also prinzipiell zu funktionieren. Nach Aussage des Supports des Kabelnetz-Betreibers sind auch keine Ports für VPN Verbindungen gesperrt.


Da ich mit meinem Latein am Ende, hoffe ich, dass ihr mir weiterhelfen könnt.


Mfg
BFBS

 

[mike3k]

Von welchem OS aus machst du das?

Edit: Im Text lese ich was von Mac... Für Windows 7/8 hätte ich ne Idee, wo es bei mir klemmte...

 

[BFBS]

Ich habe Mac OS X Mavericks (10.9.1).

Die Verbindung wurde aber auch von außen mit einem Windows 7 PC getestet. Hier konnte ebenfalls keine Verbindung hergestellt werden.

 

[mike3k]

Bei Windows 7 muss erst in der Registry etwas getunt werden.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent

Ein DWORD32 anlegen: AssumeUDPEncapsulationContextOnSendRule = 2

(http://support.microsoft.com/kb/926179/de)

Ggf gibts sowas Ähnliches auch beim Mac...? Im Idealfall auch über eine externe Leitung testen, nicht von innen nach draußen wieder rein...

Im Windows:
- Den Pre-Shared-Key nicht vergessen einzugeben;
- MS-Chap v2 Haken setzen, falls er fehlt

Syno:
- VPN-User im Server einrichten nicht vergessen.

 

[BFBS]

Mir ist nicht bekannt, dass man ähnliche "Verrenkungen" auch beim Mac machen muss. Logischerweise ist ein Test von extern die bessere Lösung. Mache ich auch über mein iPhone bzw. lasse es von außen testen.

Dennoch stelle ich mir folgende Fragen: Wenn bei einem direkten Ansprechen des NAS über die lokale IP ohne Probleme zum VPN-Server connected wird, dann müsste ja die Berechtigungen, Firewall-Einstellungen, etc. beim NAS alle in Ordnung sein. Es kann dann ja eigentlich nur an der Verbindung Router <-> NAS liegen. Da das Port Forwarding für die (S)FTP Ports einwandfrei funktioniert und die Ports für VPN genauso freigeschaltet sind aber nicht zu funktionieren scheinen (L2TP Pass Through aktiv), frage ich mich, ob evtl. der Router mit VPN nicht umgehen kann. Oder wie seht ihr das?

 

[mike3k]

Der Fix von MS mit der Registry ist ja genau das, was du beschreibst!

"Konfigurieren von einem L2TP/IPsec-Server hinter einem NAT-T-Gerät ..."

-> d.h. im internen Netz vorher gehts, durch den NAT-Router nicht mehr... Probier es erstmal aus!

Mit dem Handy: Kann sein, dass der Provider da auch gern blockt. Ich komme z.B. mit meinem Android Gerät über fremde WLAN's rein, über die Mobilfunkkarte (O2) aber nicht! Auch ein möglicher Fehlerfall... Dann lieber von intern über die externe URL testen.

 

[BFBS]

Ok .. Werde das mit dem Fix mal weitergeben. Ich selber kann es leider nicht testen, weil ich keinen Windows-Rechner habe. Abgesehen davon ist es mir eh viel wichtiger, dass die Verbindung zu meinem Mac funktioniert. Doch die geht ja auch nicht.

 

[fpo4711]

Hallo,

die Verbindung vom Mac per L2TP over IPSec funktioniert einwandfrei unter Mavericks. Wenn Du aus dem lokalen Netz die Verbindung aufbauen kannst, kann man definitiv davon ausgehen das Du den VPN-Server richtig konfiguriert hast. Daran denken das aus dem lokalen Netz nur die Verbindung getestet werden sollte. Auch von einem iPhone funktioniert die Verbindung einwandfrei. Der oben genannte Eintrag in die Regsitry ist unter Windows nötig, sofern die Verbindung über NAT Router läuft.

Wenn aus dem lokalen Netz gestestet wird dann sollte auch die lokale IP genommen werden. Die Verwendung der DDNS kann hier auch zu Problemen führen. Wenn Du das mit dem iPhone testen willst dann daran denken das WLAN zu deaktivieren.

Und zu Letzt wie Du schon völlig richtig vermutet hast liegt wahrscheinlich der Fehler bei deinem Router. Dieser muß VPN-Passthru beherrschen. Diese Problematik ist hier recht gut beschrieben.

Alternativ würde ich OpenVPN einsetzen, da dies die ganzen Schwierigkeiten mit NAT nicht hat. Hier ist nur UDP 1194 weiterzuleiten. Auf dem Mac kann dafür Tunnelblick oder mein Favorit Viscosity verwendet werden.

Gruß Frank

 

[mike3k]

Wie ich schrieb, je nach Handy Netz kann es sein, dass es eben eh nicht klappt... Wie bei mir auch.

 

[BFBS]

Moinsen,

vielen Dank erstmal für die Rückmeldungen.

Also .. sowohl vom meinem Mac als auch von dem Win7 PC meines Kumpels funktioniert weder eine PPTP noch eine OpenVPN Verbindung. Es ist also keine exklusives L2TP/IPSec Problem. Über mein Handy, auch wenn es sich im gleichen Wlan befindet, bekomme ich auch bei Verwendung der lokalen IP weder eine L2TP noch eine PPTP Verbindung zustande. Über meinen Mac hingegen ist - wie bereits erwähnt - kein Problem. Mit externer IP bzw. DDNS funktioniert gar nix.

Mein Kumpel hat übrigens sich mal seinen Traffic angeschaut. Anscheinend werden bei der IPSec Verbindung ein paar Datenpakete ausgetauscht bevor die Verbindung abbricht. Dabei werden die Port 500 und 4500 benutzt. Auf Port 1701 findet nix statt.

Hat jemand noch eine Idee? Wie gesagt, habe immer noch stark den Router in Verdacht. Zumal das Thomson Ding eh nicht den besten Eindruck macht. Bei der Firewall kann man lediglich zwischen 4 Profilen wählen "off", "low", "medium" und "high". Je nach Einstellung werden mehr oder weniger Ports geblockt und diese Einstellungen sind nicht veränderbar. Also steht sie momentan bei mir auf "low" (No Ports Restricted). Bin gerade stark am Überlegen, ob ich mir einfach einen Router kaufen und den Kabelmodem-Router im Bridgemodus laufen lassen soll.

Gruß
Stefan

 

[fpo4711]

Man soll ja nie nie sagen, aber ich kenne kein Netz über welches ich nicht als Client mit UDP 1194 auf einen Server zugreifen konnte. Abgesehen von der IPv6 Problematik. Dann würde das aber auch nicht von irgendwelchen anderen WLANs funktionieren.

Gruss Frank

 

[BFBS]

Mmmh .. also auch keine weiteren Ideen, was man noch versuchen könnte?

 

[fpo4711]

Der Port 1701 und ESP ist nur für die Firewall der DS relevant. Für den Router reichen 500 / 4500. Hier drin sind die anderen Pakete gekapselt. Denke mal der Router ist dein Problem. Schon mal versucht für einen Test die Firewall gänzlich zu deaktivieren oder aber die DS in die DMZ zu stellen. Natürlich nur für einen Test. Auch mal die Firewall, falls aktiviert, auf der DS deaktivieren.

Gruß Frank

 

[BFBS]

Das mit den Firewalls habe ich schon versucht, das mit der DMZ noch nicht. Werd ich mal ausprobieren.

So ... gerade Versucht eine PPTP Verbindung aufzubauen. Beide Firewalls waren aus. Für die Diskstation war DMZ aktiviert. Port Forwording war aus. Dennoch nix.

 

[BFBS]

So ... per OpenVPN funktioniert es nun. Bei PPTP und L2TP/IPSec beiße ich allerdings noch auf Granit.

Für meinen Mac passt es aber erstmal mit OpenVPN. Jetzt muss ich nur noch OpenVPN auf meinem iPhone zum Laufen bringen und ich bin glücklich ;-)

 

[fpo4711]

Vielleicht kann ja das hier helfen. Es gibt nämlich auf der DS ein schon für das iOS vorbereitetes Configfile. Ist nur etwas versteckt.

Gruß Frank

 

[BFBS]

Super, vielen Dank. Funktioniert!

 

[Epinephrine]

Ciao ragazzi,

Ich habe ein ähnliches und doch ein anderes Problem mit meinem VPN. Ich benutze auch das L2TP IPSec Protokoll auf meiner DS918+ und das MacBook ist der Client. Funktioniert in den meisten Fällen hervorragend, doch leider gibt es immer wieder Netzwerke; Standorte, von denen aus mein McBook das VPN problemlos verbindet, aber es funktioniert nicht. Ich kann dann pingen was ich will, ich bekomme nichts. Nehme ich dann aber das Netzwerk; der Hotspot von meinem iPhone, funktionierts wieder bestens, ich kann alles Pingen und bekomme alle Anwendungen.

Woher kommt dieses Problem und wie kann ich es beheben, so dass mein VPN von jedem Netzwerk aus funktioniert?

Danke und LG, Urs

 

[blurrrr]

Wenn die anderen VPN-Sachen nicht funktionieren wollen, liegt das mitunter an einem fehlenden VPN-Passthrough (GRE/ESP), macht aber nix denn mit OpenVPN bist Du sowieso gut bedient.

@Epinephrine: Da werden dann einfach solche Dinge geblockt, sowas ist ganz normal (z.B. in Firmen-WLANs, sonstigen Hotspots, usw.), da wird dann z.B. nur auf Mail und Web beschränkt. Helfen "kann" (nicht "muss") da z.B. ein OpenVPN via Port 443, damit klappt es in den meisten Fällen trotz vorliegender Beschränkungen. Nicht klappen wird es, wenn vernünftige Firewalls dazwischen sind, die die Verbindung aufbrechen und reinschauen.

 

[Sapiophile]

Hey blurrrr,

Zur Antwort auf Epinephrines Frage: Warum verbindet dann der VPN-Client wenn bsp. Hotspots VPN blockieren und ich dachte immer, ein VPN sei ein intakter tunnel vom client zum server, wie können da Funktionen unterdrückt werden? Bezüglich deiner Lösung, die wäre interessant für mich. Könnte auch Port 80 gehen? Der sollte doch immer offen sein und ich hab da nix laufen drüber.

Danke und Gruss