Toggle sidebar

ipsec oder nicht?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
B

berlin10

Benutzer
Registriert
24. Juni 2011
Beiträge
236
Reaktionspunkte
0
Punkte
16
hallo,
jetzt wo ipsec installiert ist, ists doch besser als pptp zu nutzen, richtig? ja dachte ich auch, also aufm iphone eingestellt, in der ds angeklickt, lokal probiert, keine reaktion, ja berechtigung is auch vergeben in der ds, hilft alles nicht. pptp klappt.
jemand ne idee?
es kommt keine verbindung zustande, kein eintrag im protokoll, ports sind alle offen, bin ja über wlan im lan
 
Hi!

Ich habe mein iPhone auch auf IPSec umgestellt und bei mir klappt das ohne Probleme in Verbindung mit der DS bzw. dem VPN-Server. Ich hab das aber gleich über meine DDNS laufen lassen und nicht erst intern im LAN getestet (geht das überhaupt ?!?).

Hast du bei der Portfreigabe auch darauf geachtet, das du nicht TCP sondern UDP eingestellt hast? Naja, im internen LAN braucht man ja diese Ports nicht im Router zu öffnen, was mich wieder zu der Frage bringt... (geht das überhaupt im LAN !?!) Hast du das denn mal von extern getestet?

Tommes
 
also PPTP geht intern, man bekommt ja ne neue ip. ipsec hab ich nicht von extern getestet, mach ich aber gleich mal.

fritzbox auf exposed host gesetzt, firewall an ds weitergeleitet, ergebnis "der vpn server antwortet nicht"
vergelichen wir doch mal die eintragungen:
beschreibung egal
server ddns adresse der ds
account der account der auf der ds freigeschaltet ist für ipsec
kennwort ...
zertifikat (kommt später)
gruppenname hab ich leer
shared secret wie auf der ds eingegeben

kein proxy
 
Ich nutze den DDNS-Dienst von Synology und habe die Zugangsdaten im DSM hinterlegt. Die DS-Firewall habe ich standardmäßig ausgeschaltet (hab ja einen Router, der das übernimmt), ansonsten habe ich nichts außergewöhnliches.

Einstellungen in der Fritzbox Internet/Freigaben:

Neue Portfreigabe erstellen: Andere Anwendung

Bezeichnung: VPN-IPCec
Protokoll: UDP
Von Port: 500 (1701) (4500) bis Port:500 (1701) (4500)
An Computer: [DISKSTATION]
An IP Adresse: [IP-DER-DISKSTATION]
An Port: 500 (1701) (4500)

Ich habe für jeden der Ports, also 500, 1701, 4500 eine eigene Portfreigabe eingerichtet.
 
Ja die FB is ja kein Problem, hab danach aber noch ne richtige firewall ;)
könntest du bitte mal probieren ob du mit ipsec dich lokal anmelden kannst?
bei der ds kann man ja nicht viel einstellen.
und vielleicht kannste dich ja zu nem foto vom iphone hinreissen lassen ;)
danke und gruß
 
Ok, habs mal getestet im lokalen Netzwerk und es läuft tatsächlich. Hab auch ein paar Bildschirmfotos geschossen. Da wo die IP eingetragen ist, hab ich normaler Weise meine DDNS-Adresse stehen. Ich hoffe das hilft dir weiter, auch wenn man auf den Bildern nicht wirklich viel sehen kann.

2013-08-30_VPN-L2TP.PNG


2013-08-30_VPN-PPTP.PNG


2013-08-30_VPN-IPSec.PNG
... und leider nicht auf dem letzen Bild ist der Punkt: "Shared Secret", der natülich einen Wert besitzt.
 
Dann würde ich jetzt erstmal auf deine "richtige Firewall" tippen, oder aber die DS-Firewall.

Tommes
 
jein, denn die firewall der ds ist aus und die firewall von der richtigen firewall ist im interenen netz ja nicht das problem, da die pakete direkt vom wlan router zur ds gelangen...
komisch
 
ich meine pptp geht ja, von innen und aussen, warum geht ipsec nicht :(
 
Also, ich bin in Sachen VPN jetzt auch kein Profi, aber ich habe jedem Protokoll einen anderen IP-Adressbereich zugeteilt. Für PPTP: 192.168.177.x, für OpenVPN: 192.168.176.x und für IPSec folglich: 192.168.175.x. Ob man das so tun muß oder nicht, weiss ich nicht genau, meine aber mal sowas gelesen zu haben. Vielleicht stören sich ja die Adressbereiche bei dir?

Tommes
 
ne ich hab ja die ds standardeinstellungen gelassen 10.1.x.x, 10.2.x.x und so, also das kanns nicht sein. es ist auch kein anmeldefehler, wie rechte oder passwort, sondern die fehlermeldung kommt, dass der vpn server nicht antwortet
 
Könnte es nicht sein dass du im adressfeld die dyndns adresse eingegeben hast und nicht die interne ip nummer? Den dannnläuft das ganze ja im loopback durchbden router also auch die firewall!!
 
Hallo,

renaulti hat auf jeden Fall schon mal ein Problem richtig erkannt. Auf jeden Fall ist der Aufbau einer VPN-Verbindung aus dem eigenen Subnetz netzwerktechnisches Chaos. Auch wenn das noch beim Verbindungsaufbau funktionieren sollte, beim Zugriff sollte das auf jeden Fall versagen. Funktionieren tut das nur weil hier ein redirekt auf dem Standard-Gateway passiert. Das geht nicht lange gut.

Bei allen VPN-Lösungen von Synology gilt der Leitsatz Nr.1

Client-Subnetz ungleich Tunnel-Subnetz ungleich Server-Subnetz. (Ich glaub ich leg mir das bald in die Signatur)

Ansonsten kann ein korrektes Routing nicht funktionieren! Deshalb auch ein Test nur von Aussen (und WLAN ist nicht Aussen).

In diesem Thread wurde alles wichtige abgehandelt. Folge dem und Du wirst von Erfolg gekrönt.

Gruß Frank

p.s. Und daran denken für L2TP sind drei UDP Weiterleitungen nötig. Port 500,1701 und 4500.

Gruß Frank
 
Endlich mal jemand, der den Durchblick hat. Danke für deine Ausführungen. Ich werd mich wohl doch mal mit dem Thema VPN mehr beschäftigen müssen.

fpo4711 schrieb:
Client-Subnetz ungleich Tunnel-Subnetz ungleich Server-Subnetz. (Ich glaub ich leg mir das bald in die Signatur)
Zum Vergrößern anklicken....
Auf jeden Fall wäre es mal was neues, denn den Satz " ein RAID ersetzt kein Backup" kann ich langsam nicht mehr hören :D

Tommes
 
Naja, nutzen tu ich VPN ja bereits seit längeren erfolgreich. Zuerst über die Fritzbox, aktuell halt über den VPN-Server der DS. Und da es immer auf Anhieb funktioniert hat hab ich mir auch nie wirklich Gedanken darum gemacht. Und grade weil es Zeitgemäßer denn je ist und ich gerne auch zu diesem Thema anderen Leuten helfen würde, muss ich mich da jetzt wirklich mal reinlesen. Wollt das schon vor langer Zeit schon getan haben... aber was nimmt man sich nicht alles so vor.

Tommes
 
OT

@Tommes

Vieleicht kann ich Dir noch meinen Favoriten OpenVPN an's Herz legen. Hat den Vorteil das hier noch Routen und Client-to-Client Routen definiert werden können. Noch nicht ganz so verbreitet wie PPTP oder L2TP aber mit Sicherheit im kommen. Von PPTP ist anzuraten auf Grund einer Schwäche bei der Anmeldung. Braucht man nicht überbewerten, aber ist nun mal vorhanden. Wenn die Anmeldung vorbei ist, ist das genauso sicher wie alles andere. Hier die Info's dazu.

Tja, und L2TP eben dazwischen.

Bin mir sicher, das packst Du relativ zügig.

Gruß Frank
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten