Toggle sidebar

VPN einrichten (DS - Router - Modem - Internet)

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

Solari

Benutzer
Registriert
16. Sep. 2010
Beiträge
39
Reaktionspunkte
0
Punkte
0
Hallo,

Ich möchte einen VPN-Tunnel einrichten, um vom Internet aus auf mein Heimnetzwerk zuzugreifen.
Es handelt sich um die folgende Hardwarekette:

Internet -> Modem (Easybox904) -> WLAN Router (ASUS RT-N66U) -> Diskstation (DS112)

Ich habe auch einen funktionierenden DDNS!

Mein primäres Ziel ist es, vom Internet aus auf die DS und die darauf gespeicherten Medien zuzugreifen. Ich kann mir aber auch vorstellen, dass es durchaus mal nützlich sein kann, wenn ich auch das Modem oder den Router vom Internet aus erreichen kann.

Ich sehe hier also 2 grundsätzliche Möglichkeiten:
1) VPN Server auf Easybox einrichten
2) VPN Server auf Diskstation einrichten
Welche Variante wäre besser/sicherer/performanter?

Ein Vorteil bei der 2. Variante wäre, dass ich IPSec verwenden könnte (ist im iOS System integriert). Bei Variante 1 geht nur OpenVPN (was aber auch ok wäre).

Außerdem habe ich Schwierigkeiten, die VPN Verbindung einzurichten.
1) Ich bekomme zwar eine OpenVPN Verbindung zur Easybox hin, aber von dort komme ich dann nicht auf den Router oder die Dickstation.
2) Eine VPN Verbindung zur Dickstation habe ich überhaupt nicht hinbekommen.

Kann mir jemand vielleicht weiterhelfen?

Vielen Dank und schöne Grüße,
Solari

Ich benutze:
DSM 6.0.2
OS X 10.11.6
iOS 9.3.5
 
Zuletzt bearbeitet:
zu 2)
Für OpenVPN muss Port 1194 UDP an die DS geschleust werden.
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services
Für andere VPN Varianten eben andere Ports und Protokolle.

zu 1)
Es fehlt vermutlich die redirect-gateway Option (die die DS z.B. bei der Option "Clients den Server LAN Zugriff erlauben in die .ovpn schreibt) und eventuell eine Router auf der Easybox für den Rückweg zum Client. Kenne mich leider mit der Easybox nicht aus.
 
Hallo Fusion, vielen Dank für die Antwort!

Die Sache mit "redirect-gateway" hatte ich auch schon im Sinn. Oder besser gesagt, bei meiner ganzen Recherche zum Thema Port-Forwarding und Routing habe ich sowas glaube ich schon mal gelesen.
Das Problem ist, dass ich mich mit den detaillierten Zusammenhängen der Netzwerke-Theorie nicht gut auskenne.

Was ich gemacht habe ist Folgendes:
1) Auf der DS habe ich den Synology VPN Server installiert und als L2TP/IPSec aufgesetzt.
2) Dann habe ich sowohl bei der Easybox als auch bei dem WLAN-Router die IPSec relevanten Ports auf die DS ge-forwarded (1701, 500, 4500).
3) Auf meinem iPhone habe ich nun einen IPSec client mit den entsprechenden Daten (DDNS als Server-URL, DS account, shared-secret) eingerichtet und versucht, über das mobile Netz eine VPN Verbindung zu meiner DS aufzubauen.

Mein iPhone sagt mir dann leider immer "Der VPN-Server antwortet nicht".

Warum antwortet die DS nicht? Ich habe doch die Ports zur DS weitergeleitet? Wahrscheinlich hat es irgendwie mit dem Routing von IP-Adressen zu tun. Aber genau hier fehlt mir das Verständnis.

Bin weiterhin für jeden Tipp dankbar!

Grüße,
Solari
 
Mit "funktionierendes DDNS" meinst du, dass du eine öffentlich IPv4 hast, mit der du bis zum WLAN Router kommst? Oder wer hat die öffentliche IPv4?
Oder anders gefragt, ist die Easybox im Bridge Mode ein reines Modem (dann sollte sie keine Portweiterleitung brauchen, weill alles durchgereicht wird) oder arbeitet sie als Modem-Router?
Oder nochmal anders, der Asus, arbeitet als Router oder als WLAN Access Point?
Indirekt könnten wir das herausbekommen, indem wir mal sämtliche IPs, DNS und Gateway Einstellungen bei den drei Geräten betrachten.

Nach deiner Beschreibung vermute ich, dass doch beide als Router arbeiten und damit eine Kaskade bilden. Das finde ich persönlich unschön und bereitet oft Probleme.
Geschickter finde ich da das erste Gerät als Router zu belassen und weitere nur als WLAN-AP mit Kabelanschluß zu betreiben.
Die IP Verwaltung und NAT bleibt dann alleine beim ersten Gerät und es gibt nur ein IP-Netz innerhalb.
Will man eine Kaskade haben, um sich z.B. von einem Provider Router über den man nicht 100% Kontrolle hat, ab zu schotten, wird es halt schwieriger.

Von daher würde ich vielleicht zuerst nochmal die Router GUIs durchforsten (eventuell Ansicht auf Experte/Erweitert stellen) und nach VPN Passthrough Ausschau halten, ob du das noch irgendwo aktivieren kannst.
Beim Asus sollte das unter WAN > NAT Passthrough sein, oder unter WAN > DMZ. Kann mich grad nicht genau erinnern.
Manchmal braucht der Client auch Antwort auf ICMP Pakete (Pings), die die meisten Router standardmäßig auf der WAN Seite blocken.
Glaube das war unter Firewall > Allgemein > Respond Ping Request from WAN oder so ähnlich.

Vom Client (welcher?) vielleicht auch erstmal direkt auf IP-Basis probieren, anstatt Domain-Namen.

Wenn das alles nix fruchtet müssen wir noch tiefer einsteigen und/oder mindestens testweise mal das Netzwerk-Setup vereinfachen.
 
Fusion, ich denke, deine Fragen/Antworten gehen genau in die richtige Richtung.
Ich habe auch das Gefühl, dass ich die Hardwarekette nicht optimal aufgebaut habe. Oder zumindest nicht vollständig durchschaue, wie ich sie aufgebaut habe.
Ich werde mich bemühen, alle relevanten Informationen rauszusuchen. Soll ich dazu einfach ein paar screenshots posten?

Wäre wirklich nett von dir, wenn du mir dabei helfen könntest.

Erstmal ganz kurz zum ASUS:
- NAT-Passthrough ist alles aktiviert (PPTP, L2TP, IPSec, RTSP, H.323, SIP). Nur PPPoE-Relais ist deaktiviert.
- DMZ it deaktiviert.
- "Auf Ping Anfragen über WAN reagieren" war deaktiviert, habe ich jetzt aber aktiviert.
 
Mit "funktionierendes DDNS" meinst du, dass du eine öffentlich IPv4 hast, mit der du bis zum WLAN Router kommst? Oder wer hat die öffentliche IPv4?
Zum Vergrößern anklicken....
Ich habe es zumindest geschafft, mit DDNS über https auf meine DS zuzugreifen.
Dafür hatte ich nur die entsprechenden https-Ports (z.B. 5001) von der Easybox über den ASUS an die DS weitergeleitet.

Oder nochmal anders, der Asus, arbeitet als Router oder als WLAN Access Point?
Zum Vergrößern anklicken....
Das ist nun eine gute Frage. Da bin ich mir gar nicht so sicher. Ich weiß gerade gar nicht, wie ich das rausfinden kann?
 
Also wenn ich mir das hier genauer anschaue, dann glaube ich, dass ich die Easybox als Modem und Router benutze und den ASUS nur als WLAN Router.
Ich meine mich zu erinnern, dass man de Easybox904 garnicht als reines Modem konfigurieren kann, kann das sein?

Ich habe folgendes rausgesucht:
- Die Easybox hat die IP 192.168.2.1.
- Der ASUS bekommt dann von der Easybox in der NAT Verknüpfungstabelle die IP 192.168.2.152 zugewiesen.
- Als LAN-IP hat der ASUS aber die IP 192.168.1.1. Alle anderen Geräte in meinem Heimnetz haben dann ebenfalls eine IP im Adressbereich 192.168.1.x.

Geschickter finde ich da das erste Gerät als Router zu belassen und weitere nur als WLAN-AP mit Kabelanschluß zu betreiben.
Zum Vergrößern anklicken....
Sieht für mich so aus, als wäre der ASUS hier ein reiner WLAN AP, oder?
 
Zuletzt bearbeitet:
Wenn du im Asus eine Portweiterleitung eintragen kannst, dann arbeitet er als Router. Dafür spricht ja auch, dass er ein zweites LAN aufspannt. 192.168.2.x von der Easybox und 192.168.1.x vom Asus.
Das lässt sich aber auch ganz schnell nachschauen unter Administration > Betriebsmodus.
Wäre er als WLAN AP konfiguriert hätte er nur eine einzige IP und du hättest nur 192.168.2.x im lokalen Netz.

Was ich da nicht kapiere, wenn du sagst alle anderen Geräte hätten auch 192.168.2.x, die DS hinter dem Asus müßte aber eine 192.168.1.x haben, sonst wüßte ich nicht, wie sie überhaupt erreichbar wäre (außer es gibt eine Verbindung die mir jetzt nicht bekannt ist zur Easybox.

Brauchst du den ASUS für igendwas bzw. aus welchem Grund hast du ihn in Betrieb? Besseres WLAN als die EB? oder...

Dem vernehmen nach geht die VPN Verbindung aber aktuell immer noch nicht, oder?
 
Das lässt sich aber auch ganz schnell nachschauen unter Administration > Betriebsmodus.
Zum Vergrößern anklicken....
Dort ist "Wireless Router (Standard)" eingestellt. Du hast also recht, der ASUS arbeitet als Router. Soll ich das einfach auf "Access Point (AP)-Modus" umstellen? Oder bekomme ich dann andere Probleme?

Was ich da nicht kapiere, wenn du sagst alle anderen Geräte hätten auch 192.168.2.x, die DS hinter dem Asus müßte aber eine 192.168.1.x haben
Zum Vergrößern anklicken....
Oh, Du hast natürlich recht, die DS und alle anderen Geräte haben eine Adresse im Bereich 192.168.1.x! Entschuldige die Verwirrung, ein Flüchtigkeitsfehler!
Ich habe das jetzt oben im Thread korrigiert.

Brauchst du den ASUS für igendwas bzw. aus welchem Grund hast du ihn in Betrieb? Besseres WLAN als die EB?
Zum Vergrößern anklicken....
Genau das war der Grund. Aber auch sonst bietet der ASUS einfach mehr Möglichkeiten.

Dem vernehmen nach geht die VPN Verbindung aber aktuell immer noch nicht, oder?
Zum Vergrößern anklicken....
Nee, die Verbindung zum DS VPN Server über IPSec kommt nicht zu Stande.
Die Verbindung mit OpenVPN zur Easybox schaffe ich. Aber dann komme ich nur auf die Easybox und nicht auf die anderen Geräte im Heimnetz.
 
Zuletzt bearbeitet:
OpenVPN, verständlich. Du kommst ja im Netz 192.168.2.x an. Und von da ab ist ja erstmal unbekannt wie man in das 192.168.1.x Netz kommt.
Dafür müsste man vermutlich jetzt eine Route auf der Easybox anlegen (und eventuell auch auf dem Asus). Da muss ich aber erst drüber nachdenken.

Alternativ wäre es z.B. möglich den ASUS mit einer anderen Firmware zu betreiben, die hat auch einen OpenVPN Server eingebaut.
https://github.com/RMerl/asuswrt-merlin

Oder dritte Variante, man hebt die Router-Kaskade auf. DHCP/DNS etc dann auf der Easybox mit Netz 192.168.2.x, alle anderen Geräte und der Asus sind dort drin. Als WLAN AP arbeitet der Asus dann eben nur noch als Netzwerk Switch und WLAN Zugangspunkt.
Da dann alles im Easybox Netz liegt, reicht auch der OpenVPN Server auf der EB (bzw. der L2TP/IPSec auf der DS wäre auch leichter erreichbar).

Das hängt jetzt halt unter anderem davon ab welche der "einfach mehr Möglichkeiten" du effektiv benutzt, und ob diese an den Router Modus des Asus gekoppelt sind.
 
Alternativ wäre es z.B. möglich den ASUS mit einer anderen Firmware zu betreiben, die hat auch einen OpenVPN Server eingebaut.
Zum Vergrößern anklicken....
OpenVPN ist mir nicht so wichtig. IPSec ist mir vielleicht sogar etwas lieber, weil es ja direkt in iOS integriert ist und ich keine extra App benötige. Und von der Sicherheit her sind die beiden Standards doch gleichwertig, oder?

Oder dritte Variante, man hebt die Router-Kaskade auf. DHCP/DNS etc dann auf der Easybox mit Netz 192.168.2.x, alle anderen Geräte und der Asus sind dort drin. Als WLAN AP arbeitet der Asus dann eben nur noch als Netzwerk Switch und WLAN Zugangspunkt.
Zum Vergrößern anklicken....
Verstehe, die einfachere Lösung wäre also, den ASUS als reinen Access Point zu integrieren. Dazu 2 Fragen:
1) Macht das beim Thema Netzwerk Sicherheit einen Unterschied? Weil ja dann alle Geräte sofort erreichbar wären, wenn man meine Easybox erreichen kann. Oder ist das kein echtes sondern nur ein "gefühltes" Mehr an Sicherheit?
2) Wenn ich den ASUS als Router "verliere", gibt es dann irgendwelche grundsätzlichen Einschränkungen für mein Heimnetz, die ich jetzt mit meinem beschränkten Wissen übersehe?

Dafür müsste man vermutlich jetzt eine Route auf der Easybox anlegen (und eventuell auch auf dem Asus).
Zum Vergrößern anklicken....
Das wäre dann also die kompliziertere Variante. Gibt es dabei irgendwelche Vorteile, oder macht es gar keinen Sinn, eine solche Kaskade zu betreiben?
 
Sinn macht ein bestimmter Netzwerkaufbau, je nach Anforderungen. Da gibt es keine Schwarz-Weiß Aussage. Sorry.

Sicherheit bringt die Kaskade insofern, als dass potentiell (nicht notwendigerweise) in mehr (unterschiedlichen) Geräten eben Sicherheitslücken klaffen müssen, bevor ein "Loch" entsteht.
Geräte im LAN sind nur erreichbar, wenn eben in der EB eine Sicherheitslücke klaffen würde, oder du eine Portweiterleitung oder andere Zugangserleichterung von außen einrichtest.
Im Standard lässt ein Router ja erstmal nur Anworten von außen zu für die er vorher eine Anfrage von innen protokolliert hat.
Solange man dann aber alle "Löcher" immer synchron in beiden Routern bohrt, sehe ich da keinen großen Gewinn an Sicherheit mehr. Der wäre nur da, wenn man eben Serverdienste z.B. im vorgelagerten Netz der EB betreibt, die von außen erreichbar sind und hinter dem Asus dann nur Geräte die nur normal "surfen" müssen und eventuell von Innen auf die Serverdienste im vorgelagerten Netz zugreifen. Es muss also schon eine Dienste/Logiktrennung für die verschiedenen LANS da sein, sonst brauch ich keine Trennung.
Das mit dem Asus als WLAN AP ist schwer zu sagen, weil ich ja nicht weiß, welche Funktionen du dort benutzt und welche nicht.
Prinzipiell würde eben DHCP/DNS/NAT/Gateway auf die EB wandern. Firewall/IP-Sharing/NAT auf dem Asus werden deaktiviert.
Einschränkungen sehe ich jetzt keine, aber da kann ich dir keine Garantie geben, solange eben nicht das Gesamtbild mit allen Details bekannt ist.
Kabelverbindungen hast du nachher vom Anschluß zur EB und zum Asus. Die restlichen Anschlüsse an EB/Asus können wir normale Netzwerk-Switches benutzt werden und alle WLAN Clients buchen sich via Asus ins Netz ein.
 
Ok Fusion, jetzt ist mir einiges klarer geworden.

Ich werde also versuchen, den ASUS als AP einzurichten. Die NAT Verknüpfung in der Easybox zum ASUS kann ich dann löschen, oder?
Danach müsste ich dann nur noch die Port-Weiterleitung (1701, 500, 4500) direkt zur DS einrichten, richtig? Ist das dann eigentlich schon ein Sicherheitsrisiko, wenn ich die Ports weiterleite?

Würde mich ja freuen, wenn ich dann nicht nur das VPN zum Laufen bekäme, sondern mein Netzwerk nebenbei auch noch etwas konsistenter und anforderungsgerechter aufgebaut hätte!

Du hilfst mir wirklich sehr! Danke!
 
Ich weiß jetzt nicht, was du mit NAT Verknüpfung meinst?
Wenn du den Asus auf AP Mode umstellst musst du eh eine kleine Neueinrichtung durchlaufen.

Normal würde ich sagen, hast du nachher eben die EB mit z.B. 192.168.2.1. Dort läuft der DHCP (z.B. 192.168.2.20 bis .100), DNS-Relay und ist Gateway ins Internet.
"Infrastruktur" Hardware wie den Asus oder die DS würde ich dann mit fixer IP irgendwo in den Bereich 192.168.2.2 bis .19 legen und in den Geräten eben DNS/Gateway auf die EB zeigen lassen.
Je nach Größe des Geräteparks kann man das Schema ja anpassen.
Überall wo man mehrere DNS in einem Gerät eintragen kann würde ich den ersten auf den Router setzen und den zweiten z.B. auf google-dns 8.8.8.8
Die Portweiterleitung gibt es nur noch in der EB direkt auf das jeweilige Endgerät.
Persönlich habe ich allen Geräten im Netz eine feste IP via DHCP zugewiesen (die einzelnen Geräte stehen also auf automatik). Dabei muss diese Liste halt im Router gepflegt werden. Im anderen Fall muss man eben die feste IP in jedem Gerät einstellen.
Je nach Möglichkeiten der Hardware bevorzuge ich das eine oder andere. Meine Netzwerk-Hardware ist z.B. unter .1 bis .10, alle Fest-PCs .11 bis .20, Entertainment Hardware .21 bis .30, Mobilgeräte .31 bis .40 und für Gast-Geräte gibt es einen DHCP Pool von .50 bis .70.

Bezüglich Risiko: Das Leben ist ein einziges Risiko. Und sobald du ein Gerät ans Internet anschließt besteht dort eben auch ein Risiko. Und wenn man jetzt einen VPN Dienst erreichbar haben will, muss ich diesen auch kontaktieren können. Es besteht also immer ein Betriebsrisiko, das in diesem Moment der erreichbare Dienst darstellt (und wie sicher/sauber dieser funktioniert).
Aber die Alternative ist einzig und allein einen Dienst nicht zu nutzen. Das ist ja aber keine Option... :)
 
Hi Fusion,

Ich habe jetzt mein Netzwerk umgebaut. Der ASUS ist jetzt ein reiner WLAN Access Point. Die Easybox ist Modem und Router.
Alle Geräte sind jetzt im gleichen IP Adressbereich 192.168.2.x.

VPN zur Easybox funktioniert und ich kann dann auch auf die anderen Geräte im Netz zugreifen. Soweit hat erst mal alles geklappt.

Nur die IPSec Verbindung zur Synology VPN will nicht funktionieren. Das wäre mir nämlich lieber, als eine VPN zur Easybox.
Ich habe die entsprechenden IPSec VPN Ports (UDP 1701, 500, 4500) auf der Easybox zur DS weitergeleitet.
Muss ich dafür jetzt noch irgendein bestimmtes IP-Routing vornehmen?

Grüße,
Solari
 
Ansonsten fällt mir jetzt grad nur noch ein vielleicht mal einen anderen Client zu nehmen und die L2TP/IPsec Verbindung zu probieren, nicht, dass vielleicht iOS reinspuckt.
Läßt sich da ein Protokoll/Fehler auf iOS auslesen für die Verbindung? Eventuell das Log gesprächiger machen?

Nachtrag:
Eventuell auch gerade ein DSM Problem?
http://www.synology-forum.de/showth...eine-VPN-Verbindung-mehr-möglich-(L2TP-IPSec)
 
Zuletzt bearbeitet:
So, ich habe jetzt mal L2TP probiert, und siehe da...es funktioniert!
Was läuft denn dann bei IPSec schief? Merkwürdig...
 
Hallo Fusion,

Ich melde mich nochmal kurz zurück, um zu berichten, dass ich die IPSec Auswahl in iOS wohl falsch verstanden hatte.
Meine Erklärung lautet nun folgendermaßen. Das von mir erfolgreich eingerichtete L2TP wird mit IPSec verschlüsselt, es ist also nicht IPSec, was hier nicht funktioniert. Die Auswahl "IPSec" in iOS bedeutet nämlich Cisco IPSec! Und das ist dann wohl wieder was anderes, so dass die Verbindung nicht funktioniert hat. Soweit jedenfalls meine Hypothese...

Wie dem auch sei, vielen Dank nochmal für deine Hilfe!

Grüße,
Solari
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten