Synology VPN-Server funktioniert nur über Nas aber nicht über den Router!?

[Skyfay]

Hallo zusammen.
Ich habe ein Problem mit einer VPN Konfiguration.

Ich hatte versucht über das VPN Plus Paket auf dem Synology Router ein L2TP und OpenVPN Verbindung einzurichten.
Es hat nicht funktioniert.
Ich konnte keine Verbindung herstellen.
Dann hab ich das VPN Paket mal auf meinem Nas heruntergeladen und eine Portweiterleitung mit den Ports auf das Nas gemacht.
Nun hat die Verbindung direkt ohne Probleme funktioniert.

Es hat sich für mich so angefühlt, als ob der Synology Router nicht checkt, dass die Anfrage für Ihr ist wenn ihr wisst was ich meine.
Also ob der Router eine Art Portweiterleitung auf sich selber brauchen würde.

Ich habe alle möglichen Einstellungen überprüft aber der Router hatte alle Berechtigungen für die VPN Server.

SSL Vpn hatte ich auch mal genutzt das hat ohne Probleme funktioniert.

Ich würde es sehr gerne über den Router hinbekommen, da ich auch wenn das Nas mal Offline wäre in mein Netzwerk könnte.
Hat vielleicht jemand eine Idee was ich versuchen könnte oder hatte jemand das gleiche Problem?

Nas - DS920+
Router - RT2600AC

Mit freunldlichen Grüssen

Skyfay

 

[derek]

Hi Skyfay,
im Netzwerk-Center unter Sicherheit -> Dienst kann der Eintrag "VPN Plus Server" aktiviert werden. Dieser erzeugt dann im Netzwerk-Center unter Sicherheit -> Firewall einen entsprechenden Eintrag. Dieser gewährt dann TCP/UDP Paketen Zugriff auf alle Ports/VPN-Anwendungen für alle VPN-Varianten die der Router anbietet.



Alternativ kannst Du eine eigene Firewall Regel erstellen und in dieser Regel unter Ports bei "Wählen Sie aus der Liste der eingebauten Anwendungen aus" die VPN Anwendungen auswählen die Du einsetzen möchtest. Z. B. für IPSec over LT2P "VPN Plus Server (IPsec)" und "VPN Plus Server (L2TP) anhaken.

VG
Derek

 

[Skyfay]

@derek Vielen Dank für diese schnelle Antwort

Das erste hatte ich schon überprüft. Der Hacken ist schon aktiviert.
Bei dem Porteinstellungen hatte ich einen geöffnet, einfach für den Router.

Ich habe da nicht gesehen, dass man auch eine Anwendung auswählen kann.
Werde das aber gleich mal überprüfen.

 

[Skyfay]

Die Verbindung funktioniert leider nur im eigenen Netzwerk.

 

[derek]

Sehe gerade, dass ich beim Screenshot aus meiner Doku bei der selbst erstellten Regel als Ziel-IP noch "Alle" stehen habe, dort sollte statt "Alle" "SRM" stehen, wobei das wohl nicht dein Problem sein sollte.

Du hast auch keine andere Regel die oberhalb der OpenVPN Regel steht, die den Zugriff auf Port 1194 blockiert (1194 ist der Standardport, falls Du den nicht geändert hast).

VG
Derek

 

[Skyfay]

Ich habe den Port auf UDP 80 gesetzt.

 

[derek]

Da fällt mir noch etwas ein, hängt vor deinem Synology Router noch ein Router des Providers davor? Wenn ja, ist dort dann soetwas wie Bridging, Exposed Host oder eine Portweiterleitung entsprechend aktiv?

VG Dirk

 

[Skyfay]

Ja, das Modem vom Provider hängt davor.
Bridget, also mein Router sollte direkt im Internet sein.
Alle anderen Dienste auch auch die DS etc. funktionieren.

 

[derek]

Da fällt mir jetzt auch nichts mehr ein :-(
Im Netzwerk-Center unter Firewall gibt es noch die Spalte "Treffer", wenn Du versucht dich von extern über OpenVPN einzuwählen, werden die Treffer hochgezählt? So dass schon mal sichergestellt ist, ob überhaupt Datenverkehr eingeht unabhängig davon ob die Einwahl erfolgreich ist.

 

[Skyfay]

Nein, da steht eine „0“…
Ich finde es komisch, dass es mit dem Nas funktioniert.

 

[derek]

nur um sicher zugehen, du testest den Zugriff von außen über das Internet und nicht im internen Lan/WLan?

 

[Skyfay]

Ja, ich teste dann mit 4G.
Im Lan funktioniert die Verbindung ja.
Alle anderen Dienste wie die ich nutze funktioniert halt auch was mich wunder.
Diese sind allerdings mit einer Portweiterleitung versehen.
Für mich sieht es halt so aus, als ob der Router nicht versteht, dass die Verbindung für diesen Dienst gedacht ist.

 

[tproko]

Seltsam. Der Router braucht keine Portweiterleitung.

Nachdem es mit gleichem Port am NAS dann mit Portweiterleitung klappt, wird es das Modem davor schon richtig weiterleiten.

Ich würde an deiner Stelle einfach mal versuchen, die Firewall kurzfristig zu deaktivieren, um das als Fehlerquelle auszuschließen.

Auf welchem Port horchst du mit OpenVPN?

 

[Skyfay]

Auf welchem Port horchst du mit OpenVPN?

Ich hatte es davor auf dem Port 1194 und jetzt auf dem Port 80 UDP.

Unten bei der Firewall kann man einstellen, dass alle anderen Ports akzeptiert werden oder nicht. Ich habe das mal zum Test so eingestellt, dass alles offen ist. Hat aber leider auch nicht funktioniert.

 

[blinddark]

Hast du den betreffenden Nutzer auf deinem Router auch berechtigt, OpenVPN oder L2TP zu nutzen? Lösche mal alle Regeln und starte den Router neu, danach aktiviere mal unter Sicherheit/Dienste VPN-Server zudem unter Sicherheit/allgemein noch pas-trough für l2tp. Das sollte dann funktionieren. Bitte auch die Regeln für das NAS löschen und wenn upnp aktiviert deaktivieren, dass sich dein NAS die Regeln nicht selbst wieder anlegt.

 

[Skyfay]

Kurz zur Info ich habe es jetzt hinbekommen.
Ich denke ich weiss auch woran es lag.

Der Router hat für Portweiterleitungen selber die Firewall Regeln konfiguriert.
Diese Regeln waren ganz unten aufgeführt.
Ich glaube der arbeitet die Regeln ja von oben nach unten, bedeutet er hat wohl immer die der Portweiterleitung bevorzugt, auch wenn die Portweiterleitung nicht aktiv war.

Ich habe allgemein jetzt bisschen mehr Einschränkungen mit Geo Sperre etc. gemacht und deshalb habe ich das ausgestellt.

Jetzt funktioniert es einwandfrei.

Vielen Dank für die Hilfe!

 

[Skyfay]

Okey zu früh gefreut, es funktioniert anscheinend nur in meinem Netzwerk und nicht von aussen :/

Mir ist aber aufgefallen, wenn ich mit von aussen verbinden will zeigt er bei der Firewall Treffer an.
Irgendwie komisch da es dann doch funktioniern müsste oder nicht?

 

[blurrrr]

VPN testet man auch nicht aus dem eigenen Netz heraus... Wenn der Connect aus dem eigenen Netz allerdings schon stattfindet, "kann" es eigentlich nur noch an der Firewall/Router liegen.

wenn ich mit von aussen verbinden will zeigt er bei der Firewall Treffer an.

Kann jetzt "gut" oder "schlecht" sein - schlecht wäre, wenn die Pakete verworfen werden

 

[Skyfay]

Kann jetzt "gut" oder "schlecht" sein - schlecht wäre, wenn die Pakete verworfen werden

Und was heisst dass jetzt in meinem Fall?

 

[blurrrr]

Das kannst wohl nur Du selbst wissen, da hier keiner Zugriff/Einsicht auf Deine Firewall hat ??