PPTP VPN von extern scheint unmöglich ;o(

[Frogman]

Ich weiß nicht wie gut du dich mit Netzwerksicherheit auskennst, aber ich rate jedem ab, irgendwelche Ports zu öffnen/weiterzuleiten, wenn es sich vermeiden lässt. Sowas birgt immer Risiken - insbesondere wenn man nicht genau weiß was man macht.

Das erläutere jetzt einmal
Weißt Du genau, was Du dort tust? Wie genau kannst Du den VPN Server der Fritzbox kontrollieren? Was ist, wenn jemand über eine Schwäche oder einen erfolgreichen Angriff die Kontrolle über die Fritzbox erlangt? Der VPN Server der Fritzbox teilt dem Client eine LAN-IP zu und Du kannst gar nicht wählen, ob er damit auch Zugriff auf das LAN erhält. Will man das denn?
Beim VPN Server der DS kannst Du weit mehr einstellen - nicht nur das Protokoll, sondern bspw. bei OpenVPN auch verwendete Ciphren für Daten- und Kontrollkanal, inkl. Perfect Forward Secrecy.

Ermöglicht der VPN Server von Synology eine VPN-Verbindung nur zur DS, oder ins ganze Netzwerk? Mit dem VPN der FritzBox könntest du auf das ganze Netzwerk zugreifen.

Beim VPN Server der DS kannst Du entscheiden, ob der Tunnel einen Zugriff auf den Rest den LAN gestattet oder nicht!

Abgesehen davon - hier kannst Du mal nachlesen, was die NSA mit IPSec so treibt

 

[coolkuh]

...aber jetzt zerredet bitte nicht meine verwirrten Hilfeschreie.

Frogman- wo kommst Du her? ...da muss ich mal mit meinem Pc zu Dir kommen ;o)

 

[Frogman]

...
Eventuell liegt ja der Fehler in den Eigenschaften der VPN Verbindung- ich habe doch beim VPN Server auf der DS einen Schlüssel eingegeben- also so ein Wort ... muss ich das auch hier in den Eigenschaften der VPN Verbindung unter SICHERHEIT/ ERWEITERTE EINSTELLUNGEN eingeben?
...
Anhang anzeigen 26739

Ich bin nicht ganz sicher, aber ich denke, EAP-MSCHAP v2 erfordert die Überprüfung eines Zertifikats.
Hast Du mal probiert, stattdessen den Punkt "Folgende Protokolle zulassen" zu wählen und dann "Microsoft CHAP, Version 2 (MS-CHAP v2)" (aber ohne den Punkt "Automatisch eigenen Windows-Anmeldenamen..)?
Der VPN Server der DS verwendet jedenfalls MS-CHAP v2:

 

[coolkuh]

Okay- das habe ich probiert-

bei Datenverschlüsselung -Keine- kam das


bei Datenverschlüsselung -optional-


bei Datenverschlüsselung -erforderlich-


und bei -maximale-


...das gibt's doch alles nich

 

[Vincent Vega]

Hi Frogman.

Du hast Recht - mit Crypto habe ich mich noch nicht wirklich ins Detail beschäftigt - sollte auch keine Belehrung in irgendeiner Weise sein. Vielleicht ist das hier der Anstoß, sich damit etwas mehr zu befassen.

Ich sah hier eher die geöffneten Ports als Schwachstelle, als die VPN-Software der Geräte - daher meine Empfehlung mit der FritzBox.

Vor Sicherheitslücken und Angriffen ist aber auch der VPN-Server der DS nicht gefeit. Ob man dem VPN-User Zugang auf das ganze Netzwerk gewährt, kommt auf den Verwendungszweck an. Die Option auszuwählen, ob man nur auf die DS zugreifen darf, oder auf das ganze Netzwerk, ist im Fall von coolkuh aber durchaus sinnvoll. Das ist definitiv ein Vorteil der DS. Ich möchte auf das ganze Netzwerk zugreifen, daher wäre die Option zwar schön - ist aber nicht unbedingt notwendig.

Das Shared Secret lässt sich bei der FritzBox frei wählen. Ob für jede Sitzung ein neuer Schlüssel ausgehandelt wird, da bin ich aber überfragt. Wobei nach dem Artikel alles außer einer Verschlüsselung auf Paketebene auch sinnlos ist.

Hätte mich auch stark gewundert, wenn die NSA da keine Möglichkeit gehabt hätte sich mit einzuklinken. Meinen Datenverkehr hätten sie spätestens, wenn ich wieder im heimischen Netzwerk sitze. Ich bin trotzdem froh, wenn nicht jeder 0815 Sniffer meinen Datenverkehr im WLAN (Hotel) abhören kann.

 

[-ivan]

@coolkuh
Es gibt sogar offiziell eine Anleitung ... hast Du diese schon ausprobiert?
Herstellung einer Verbindung zu Synology VPN Server mit einem Windows-PC oder Mac

 

[Frogman]

Okay- das habe ich probiert- bei Datenverschlüsselung -Keine- kam das ...

Ok - aber hast Du das Protokoll auch geändert? Du schreibst leider immer nur sehr bruchstückhaft...

 

[-ivan]

wenn man die obige Anleitung liest, sieht man, dass Deine Einstellung falsch ist.
Bei Authentifizierung darf nichts eingetragen sein.

 

[Frogman]

Bei Authentifizierung darf nichts eingetragen sein.

Der VPN-Server der DS erwartet eine Authentifizierung

 

[-ivan]

Der VPN-Server der DS erwartet eine Authentifizierung

Ich würde es so machen wie es in der Synology Anleitung steht.
Bei Schritt 9 sieht man die Einstellung schön ...

 

[Frogman]

Bei Schritt 9 sieht man die Einstellung schön ...

Aber Du hast schon gesehen, was dort aktiviert ist? Im rot umrandeten Bereich werden Protokolle aktiviert (u.a. eben auch MS-CHAP v2, von dem ich oben in #23 schrieb) - und dabei handelt es sich um Authentifizierungsprotokolle (erkennbar daran, dass es sich in dem grau umrahmten Kästchen befindet, was mit 'Authentication' betitelt ist). Es gibt eben EAP-MSCHAP (mit Zertifikaten) oder den unteren Bereich mit unterschiedlichen Passwort-Varianten.

 

[-ivan]

das ist mir bewusst ...
Die Authentifizierung ist bei coolkuh am falschen Ort eingetragen (das meinte ich mit Authentifizierung)
Es muss der Haken bei Protokolle gesetzt und die Einstellungen berücksichtigt werden.

siehe http://www.synology-forum.de/showth...glich-o(/page2&p=572159&viewfull=1#post572159

 

[Frogman]

Die Authentifizierung ist bei coolkuh am falschen Ort eingetragen (das meinte ich mit Authentifizierung)

Und eben das klang anders, als Du geschrieben hast

wenn man die obige Anleitung liest, sieht man, dass Deine Einstellung falsch ist. Bei Authentifizierung darf nichts eingetragen sein.

Das Fette ist falsch, und daher mein Kommentar

 

[coolkuh]

Hallo- da bin ich mal wieder ;o)

Ich habe alles gelesen und versucht Erfolge zu erzielen- das Ergebnis...



Firewall habe ich mal komplett ausgeschaltet- brachte auch nix

Sicherheitseinstellungen:




mfg, Ronny

 

[Frogman]

Bei den erweiterten Eigenschaften zu L2TP nicht den Punkt mit Zertifikat wählen, sondern den "vorinstallierten Schlüssel" - das ist der pre-shared-Key, den Du im VPN Server der DS angegeben hast. Und Firewall ist wirklich aus? VPN-L2TP/IPSec-Port am entfernten Router weitergeleitet?

 

[coolkuh]

Hi Frogman- dieser vorinstallierte Schlüssel- ist das ein Wort oder Kombination die ich mir einfallen lassen muss?

Dazu hat nämlich keine Anleitung was ausgesagt, lediglich: nutzen Sie bei Bedarf einen Generator...???

Nich, dass das die lösung ist und ich dort mit meiner Eingabe das Ei gelegt habe


Ergebnis:


immer mal ne andere Meldung- Oje

 

[Frogman]

Das ist ein Passwort, was Du Dir ausdenken kannst. Details hier unter Pre-Shared-Keying.

 

[coolkuh]

OKAY- dann is das auch nicht das Problem-

Ich nehm gleich ne Axt und hack den ganzen Mist zusammen- ich werd verrückt mit diesem Sch...

Meine frau will an Ihre Daten und dieser Kram der für alle total einfach ist, läuft einfach nicht.

Ich geh jetzt was anständiges arbeiten- also wo man richtiges, greifbares Werkzeug in der Hand hat.

...muss mich abreagieren. *grrrrrr....aufstapf...auf´n Tisch haut*

 

[coolkuh]

So, bin wieder da- mein Problem hat sich leider nicht von allein erledigt.

Was nun tun?

 

[Frogman]

Probiere es mal von einem anderen Rechner, der nicht Windows 10 hat.