Synology VPN-Server funktioniert nur über Nas aber nicht über den Router!?

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
Nen "Treffer" im Logfile-Informationen der Firewall würd ich doch als ein reject oder block werten, der durchgehende Traffic wird ja idR nicht extra protokolliert.
Ggf kommst du eben nur bis zu deiner Firewall, die verweigert dann,ergo keine Verbindung ins heimnetz und angezeigter Treffer...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Je nach Einstellung - für's Troubleshooting "kann" sich sowas schon anbieten, wenn man wirklich "alles" loggen will. Stimmt aber schon, normalerweise werden nur die geblockten/verworfenen Sachen blockiert (deny/drop).
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
  • Haha
Reaktionen: blurrrr

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Aber das macht ja keinen Sinn, da ich das in der Firewall ja extra zugelassen habe.
Also verstehe ich nicht was er da blockiert…
Muss ich einmal das Packet VpnPlus Server (OpenVPN) und einmal den Port freigeben?

(Würde aber nicht viel Sinn machen, da ich ja aus einem bestimmten Grund das Packet freigebe…)
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Also verstehe ich nicht was er da blockiert…
Das wäre schon mal von Vorteil... vielleicht mal in die Grundlagen der von Dir genutzten VPN-"Art" einlesen (OpenVPN/IPSec/etc.). Mal so als Tip am Rande: Mach nicht alles "gleichzeitig". Leg Dich auf "eine" VPN-Art fest und dann hangel Dich da entsprechend durch :)
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Ich mache doch nichts anderes es geht hier nur um OpenVPN…
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Ich hatte versucht über das VPN Plus Paket auf dem Synology Router ein L2TP und OpenVPN Verbindung einzurichten.
Hat sich da irgendwie "leicht" anders gelesen ;) Aber - umso besser - damit ist der ein oder andere Fallstrick auch schon direkt weg.

Also... Du schreibst, dass Du aus dem internen Netz heraus eine Verbindung zum VPN-Dienst (läuft jetzt auf der Syno, oder doch auf dem Router?) aufbauen kannst, nur von extern nicht?

Zum "testen" benutzt Du bitte "nur" (und ausschliesslich) die "Standard"-Ports und machst da keine Fummeleien (wie die Sache mit Port80). Wenn das irgendwann läuft, dann kannste ja wieder alles kaputt spielen, aber grundsätzlich sollte es ja erstmal laufen ??
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Wenn ich OpenVPN auf der DiskStation einrichte, dann funktioniert es intern und extern ohne Probleme.

Auf dem Router funktioniert es von aussen allerdings nicht.


Hat sich da irgendwie "leicht" anders gelesen
Ja, ich hatte da beide getestet und mich dann für OpenVPN entschieden.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Und Router ist...? Auch so ein Syno-Ding? Dann sollte es eigentlich auch gleichermaßen funktionieren (ggf. an der Firewall noch den Port auf das Gerät selbst zulassen und diese Regel mal relativ weit oben (vor den Verbotsregeln) hinterlegen).
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Schau mal hier, ich hab dir meine (minimalistische) Firewall Konfig mal gescreenshotet. Ich habe 3 Einträge für OpenVPN, 2 davon haben Treffer. Vielleicht fehlt dir ja der untere (VPN Freigabe), welche Quasi die IP deines OpenVPN freigibt (kann bei dir abweichen, check dazu deine VPN Konfig).

Beim unten Block ist 4x verweigern.
Bin mir nicht so sicher, ob das etwas mit den Portfreigaben unten zu tun hat. Denke man braucht die Freigabe fürs andere Subnetz.
 

Anhänge

  • beispiel.PNG
    beispiel.PNG
    46,1 KB · Aufrufe: 16

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Ähm... wenn ich mal so ganz blöde fragen darf @tproko ...
1618567207796.png
Mal vom TCP abgesehen bei der oberen Regel... wo besteht der konkrete Unterschied zu unteren Regel? Man sieht dort ja leider nicht sonderlich viel... VPN-Plus-Server kann vermutlich auch div. an Protokollen, womit das ganze auch nicht so aussagekräftig ist.

Aber generell: Vielleicht hilft es auch, dass man sich garnicht so sehr auf diese "fertigen" Sachen stützt (die es wieder nur bei Synology gibt), sondern sich einfach allgemein das entsprechende Wissen aneignet und nur stumpf die wirklich benötigten Dinge anhand der Protokolle und Ports freigibt (in diesem Fall (OpenVPN) dann halt "1194/UDP" und auch ruhig erstmal für "any/alle" zum testen).

Wenn man alles "händisch" durchgeht, würde es die o.g. Regel benötigen und zusätzlich eben noch eine Regel, dass die Clients aus dem OpenVPN-Netz auch ins LAN dürfen (und die Route auch entsprechend gepusht wird).
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
@blurrrr gibt keine blöde Fragen, von dir sowieso nicht ?

Gute Frage, kann ich nicht mehr sagen, zum Teil legt der Syno Router ja selber regeln an. Kann ich leider nicht mehr sagen, welche da woher kam.
An Hand der Hits sieht man, das wohl beide nicht notwendig sind. Werde ich nachher testen.

Bei mir reicht wohl die Zeile mit vpn Freigabe. Gefühlt würde ich sagen, ist von den oberen 1er vom System. Aber keine Ahnung mehr.
 
  • Like
Reaktionen: blurrrr

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Es hat jetzt funktioniert.
Ich habe eigentlich nur von UDP auf TCP umgestellt (Nutze für den Router Port 8080, da ich für das Nas 1194 verwende) und die Regeln nochmal gelöscht und neu hinzugefügt.

1618574333528.png

Ich kann jetzt also nicht genau sagen woran es wirklich lag.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
@blurrrr also es ist extrem spannend.

Beide wurden vom System angelegt, dass wusste ich bis gerade eben nicht mehr. Der Name offenbart es dann aber, "System Rules" wurden vom Router angelegt.

Man sieht es erst in den Details. Die UDP Regel ist für den OpenVPN Port. Die TCP/UDP Regel war für andere VPN Arten, welche ich nicht verwende. Habe diese daher gelöscht.
 

Anhänge

  • beispiel.PNG
    beispiel.PNG
    13,7 KB · Aufrufe: 7
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
@tproko Ja, sowas hab ich mir schon gedacht, ist halt blöd, wenn einfach nur VPN-Plus-Server in der Regel steht ??

@Skyfay dann hast Du doch schon dran rumgefummelt (von UDP auf TCP umgestellt), dann greift auch eine 0815-OpenVPN-Regel nicht mehr, weil die normalerweise auf UDP (Standard) geht.
Ich habe eigentlich nur von UDP auf TCP umgestellt (Nutze für den Router Port 8080, da ich für das Nas 1194 verwende)
Soll das jetzt in irgendeinem Zusammenhang stehen? Aus welchem Grund hast Du auf TCP umgestellt? Die Ports haben mit den Protokollen erstmal genau "nichts" zu tun. Warum verwendest Du 1194 für das NAS, das sollte doch jetzt über den Router laufen, oder hab ich Dich da falsch verstanden? Irgendwie steh ich etwas auf dem Schlauch :unsure:?
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Klar!
Ich habe jetzt von UDP auf TCP gestellt und es funktioniert.
Davor hat es ja nicht funktioniert.
Und es es jetzt UDP oder TCP oder Port 1 oder 2 ist macht ja keinen Unterschied.
Bei der Firewall Regel sage ich ihm ja welches Protokoll und ich da ich auf das Paket verweise sieht er ja auch den Port.

Ich brauche OpenVPN auf dem Router und auf dem Nas.
Auf dem Router ist OpenVPN leider nicht leistungsstark genug, aber ich will es trotzdem aktivieren, wenn ich mal unterwegs was am System machen muss und das Nas irgendwie keine Verbindung hat oder ich es neu starten muss etc.
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Auf dem Nas hat OpenVPN ja auch direkt mit UDP, TCP, Port 80 und Port 1194 direkt funktioniert.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Ein Schelm wer jetzt an verzockte Einstellungen und die Firewall denkt... ?
 
  • Haha
Reaktionen: the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
und um die Verwirrung zu steigern (ist ja bald Wochenende, da können wir wieder runterfahren) der alte Spruch:
openVPN ist mit TCP idR eben doch fehleranfälliger als mit UDP (sagen bis heute auch die openVPN-Menschen):
https://openvpn.net/faq/why-does-openvpn-use-udp-and-tcp/
So, ich geh jetzt schnell raus in die Sonne, bevor mir das hier um die Ohren fliegt bzgl. "klar geht das" und "aaaaber was ist in restriktiven WLANs mit engen Freigaben"...
;)
 
  • Haha
Reaktionen: blurrrr


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat