VPN Neuling - Ersatz für Fritzbox Heimnetzverbindung über Synology?

Dodger

Benutzer
Mitglied seit
19. Jul 2016
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
Hi Leute,

jetzt, wo ich Glasfaser im Haus liegen habe funktioniert die Heimnetzverbindung der Fritzbox nicht mehr.
Daher wollte ich mir auf der Synology eine VPN VErbindung einrichten und diese als Ersatz für das AVM Geraffel verwenden.
Aber irgendwie stehe ich auf dem Schlauch.
Mein Usecase wäre, mich von aussen in mein Heimnetz einzuwählen und dann auf die angeschlossenen Geräte (ein paar PIs und anderes) über die jeweilige IP Adresse zuzugreifen.
Der Zugriff erfoglt über ein Android 11 Smartphone.
Ich scheitere aber bei den Einstellungen auf beiden Seiten.
in der Synology:
L2TP/IPSec
Dyn IP Adresse: 192.168.2.0 -> was kommt hier rein? Mein Heimnetz hat die 192.168.1
Identitätsprüfung: MS-CHAP v2
MTU: 1400
Vorinstallierter Schlüssel da hab ich ein Passwort eingetragen.

Am Android Phone gibt es aber ganz andere Einstellungen:
Typ: IKEv2/IPSEc MSCHAPv2
server Adresse: meine Adresse vom DDNS
IPSec identifier: Nutzername in der DS?
IPSec-CA-Zertifikat: ?
der ganze DNS Kram ist leer
Benutezrname: Nutzername der DS?
Passowrt: welches Passowrt?

Und dann kommt die Fehelrmeldung: Es können nur nummerische DNS Serveradressen für Always-on VPN verwendet werden....

Irgendwelche Tipps?

Gruß
Dodger
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
651
Punkte für Reaktionen
31
Punkte
48
Warum geht das mit der Fritzbox nicht mehr?
Hast du eine öffentlich IPv4 Adresse? Wenn nicht geht VPN so nicht mehr.
Nur über IPv6. Es müssen aber alle Geräte dann eine 6er IP haben.
 

Dodger

Benutzer
Mitglied seit
19. Jul 2016
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
Warum geht das mit der Fritzbox nicht mehr?
Hast du eine öffentlich IPv4 Adresse? Wenn nicht geht VPN so nicht mehr.

Ja, richtig. Eine öffentliche IPv4 habe ich nicht mehr. Ich sitze quasi mit meinem Router hinter einem Router...
Nur die IPv6 ist öffentlich.
Der Zugriff auf die DS über die IPv6 funktioniert.

Es müssen aber alle Geräte dann eine 6er IP haben
Oh... ich dachte, über VPN bekommt man eine Art Tunnel und ich könnte die Geräte in meinem Heimnetz über deren IPv4 ansprechen...
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.591
Punkte für Reaktionen
460
Punkte
359
Ja, natürlich geht das. Hast du schon richtig verstanden. Wenn du per ipv6 vpn verbunden bist kannst immer noch mit ipv4 intern arbeiten.

Bei IPsec musst drauf achten, dass das von in der Fritzbox komplett deaktiviert ist, sonst werden die Ports 500,1721und xx oder was da verwendet wird nicht korrekt weitergeleitet. Oder halt gleich openvpn + app benutzen. Da brauchst dann nur einen Port.

Für das VPN Transfer Netz kommt ein eigener IP Kreis zum Einsatz. Vergleiche es mit den anderen VPN Typen...

Always on geht bei dem eingebauten System nur mit festen IP Adressen (numerische DNS, scheiß Übersetzung).
Bei anderen wie z.b. Openvpn kann man auch dynDNS Adressen nehmen und die versuchen dann schnellst möglich die Verbindung wieder herzustellen nach einem IP Wechsel.
Wenn es ohne Always On funktioniert hättest du zumindest von der technischen Seite ja schon eine funktionierende Verbindung.
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.383
Punkte für Reaktionen
384
Punkte
129
Wenn du „ein paar Pis“ hast, ist es nach meiner Erfahrung besser, den VPN Server auf einem der Pis einzurichten.

PiVPN erlaubt die Installation von OpenVPN und - mein Favorit - WireGuard. Auf einem Pi4/4GB läuft das so nebenher mit, mit sehr guter Performance und kaum Systemlast.

Mehr Tips dazu gibt es im Pi-Forum.
 
  • Like
Reaktionen: the other

Dodger

Benutzer
Mitglied seit
19. Jul 2016
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
Wenn du „ein paar Pis“ hast, ist es nach meiner Erfahrung besser, den VPN Server auf einem der Pis einzurichten.
dann muss ich dem PI aber auch ne interne IPv6 verpassen, damitmich von aussen darauf zugreifen kann, richtig?
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.383
Punkte für Reaktionen
384
Punkte
129
Bei mir läuft noch alles über IPv4. Allerdings haben alle Geräte im Heimnetz bereits eine IPv6, das hat die FritzBox schon erledigt.

Mit dem IPv6 kennen sich andere besser aus.
 

Dodger

Benutzer
Mitglied seit
19. Jul 2016
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
openVPN bekomme ich auch nicht hin.
Da scheitere ich an der Einstellung "IPv6 Server-Modus aktivieren".
Im dazugehörigen Auswahlfeld kann ich keinen Präfix auswählen.

Die Netzwerkeinstellungen stehen auf "Automatisch", die DS hat sowohl eine interne als auch eine externe IPv6 zugewiesen bekommen.
Irgendwie geht mir der ganze IPv6 Müll anz schön auf den Zeiger....
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.591
Punkte für Reaktionen
460
Punkte
359
Wofür willst du den ipv6 Server Modus aktivieren?
Der verteilt nur ipv6 im Transfernetz an die clients. Das brauchst du nicht.

IPv6 ist kein Müll sondern eher ein Spiegel für etwas womit man sich die letzten 20 Jahre seit es das gibt nicht auseinander gesetzt hat. Aber das ist ein anderes Thema. :)
 
  • Like
Reaktionen: the other

Dodger

Benutzer
Mitglied seit
19. Jul 2016
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
Was auch immer ich vorher falsch gemacht habe: jetzt geht es mit OpenVPN...
Webseiten-Dienste der lokaen Geräte kann ich erreichen.
Nur per TotalCommander auf die LAN Freigabe der DS geht (noch) nicht. Kann ich aber verschmerzen
 
  • Like
Reaktionen: Fusion

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.591
Punkte für Reaktionen
460
Punkte
359
Mit oder ohne Firewall auf der DS? Wäre zumindest eine mögliche Ursache bezüglich SMB Zugriff vom VPN.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.710
Punkte für Reaktionen
408
Punkte
109
Moinsen,
na, dann solltest du dich da mal dran versuchen. Ist doch super, dass es jetzt läuft und wenn als "Nebeneffekt" das Thema firewall aufgeplöppt ist, umso besser...
 

Goeli

Benutzer
Mitglied seit
19. Jan 2021
Beiträge
36
Punkte für Reaktionen
5
Punkte
14
Ich hab auf meiner DS218+ mit DSM 7 Beta WireGuard VPN Server installiert von iDomiX (Dominik Bamberger). Tolle Video Anleitung für 9.99€. Bin happy damit.;) Schade nur das WireGuard noch nicht im DSM 7 implementiert wurde.

WireGuard VPN Server auf Synology DiskStation
 

Fritzbox67

Benutzer
Mitglied seit
05. Jan 2013
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Ich habe im Moment auf dem NAS 220+, meinem Laptop und meinem Handy OpenVPN installiert.
Laut Anleitung von Idomix auch sehr einfach einzurichten. (Video und Anleitungen im Netz zu finden)

Gibt es denn da einen großen Unterschied von der Sicherheit oder vom Komfort zwischen WireGuard und OpenVPN ?
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.710
Punkte für Reaktionen
408
Punkte
109
Moinsen,
nach meinem letzten Kenntnisstand ist wireguard noch nicht unabhängig durch ein Sicherheitsaudit gegangen.
OpenVPN gilt dagegen als recht sicher, kommt aber natürlich auch auf die Konfig an und ob die Version aktuell ist.
Und unabhängig von den VPN Varianten:
- auf dem NAS seid ihr abhängig davon, dass das Paket auch wirklich aktuell ist. Es gibt einige populäre Anwendungen, die da angeboten werden (bzw. gab es in der Vergangenheit), welche eben gerade nicht auf aktuellem Stand waren. Also potentielle Lücke Nr 1...
- selbst wenn: es ist keine gute Idee (maximal ein schlechter Kompromiss), wenn der VPN Server auf dem Fileserver, der das NAS ja ist, läuft. Warum? Nun, um erreichbar zu sein muss für den VPN Server ja ein (oder mehrere) Port(s) geöffnet werden. Ähnlich wie ein Router steht der also immer mit einem Fuß im www. Nun die Frage: will ich dass eben jenes Gerät, welches meine Daten beheimatet somit auch im www erreichbar ist? Warum mache ich denn VPN? Meist, damit ich eben nicht zig PWLs auf das NAS einrichten muss, weil...genau...weil das eben unsicher ist. Nun mache ich mir also die Arbeit mit VPN nur um das dann aufs NAS zu packen um wieder eine PWL aufs NAS zu setzen....irgendwie quatsch, oder?
- ein VPN Server sollte sich immer an der Peripherie des LANs befinden, möglichst eben auf dem Router selber, oder der Firewall...geht das nicht oder ist der Router dazu zu lahm, dann lieber auslagern auf ein eigenes Gerät. Das kann für den Heimgebrauch durchaus auch ein RaspberryPi sein, kostet nicht viel, verbraucht wenig Strom.

jm2c
;)
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.383
Punkte für Reaktionen
384
Punkte
129
OpenVPN ist leider in alle möglichen Richtungen gewachsen, und unübersichtlich geworden. Die Version für die DS ist eine ziemliche Schmalspurausführung mit eingeschränkten Möglichkeiten. Unter Sicherheitsaspekten ist OpenVPN wohl recht gut, aber die Installation und Parametrierung ist eher komplex.

Wireguard ist das neue Kid im Block: Sehr schlank (ich habe mal gelesen, aktuell nur 3.000 Codezeilen), ebenfalls Open source, inzwischen Teil des Linux Kernels und deutlich performanter als alle anderen VPN-Lösungen. WG ist vom Konzept her Peer-to-peer, das heißt es verzichtet auf die Unterscheidung zwischen Server und Client.

Persönlich halte ich nichts davon, die VPN-Anlaufstelle irgendwo tief im eigenen Netz zu haben. Und die letzte Stelle, wo sie hin gehört, ist m.E. der Netzwerkserver. Der gehört zugenagelt, soweit es irgend geht.

Bei mir läuft mein „Gelegenheits-VPN“ auf der FritzBox, als IPSec-Server. Das reicht für die meisten Zugriffe völlig aus. Als Rückfallebene und für den Fall, dass ich mal etwas größere Datenmengen bewegen muss, läuft WG auf einem Raspi 4.
 
  • Like
Reaktionen: the other