Synology VPN-Server funktioniert nur über Nas aber nicht über den Router!?

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Ich verstehe nicht, warum es hier immer so überhebliche und leicht arrogante und Antworten gibt.
(Nicht böse gemeint)

Dann erklärt es mir doch bitte was ich jetzt genau falsch mache oder warum etwas besser/schlechter ist...?£
Ich würde es gerne verstehen, dass ich es besser machen kann.

Aber ich kann leider mit solchen kommentaren wie "Ein Schelm wer jetzt an verzockte Einstellungen und die Firewall denkt..." nicht wirklich etwas anfangen.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Du bist doch der mit den "Premium Hosting Services" ?? Ja ne, ich will Dir ja auch nix böses und "überheblich" soll es auch nicht sein...

Also.... wie ich schon alles geschrieben hatte... OpenVPN -> Standard -> 1194/UDP. Wenn dat Ding läuft, braucht es noch (theoretisch) 2 Firewall-Regeln. Die erste besagt, dass man von extern auf den Router via 1194/UDP verbinden darf (ansonsten ist keinerlei Einwahl möglich), die zweite besagt, dass das Netz - aus welchem die OpenVPN-Clients ihre IPs beziehen - eben entsprechend Zugriff auf die gewünschten anderweitigen Netze bekommen. (Bei Änderung des Default-Gateways für die Clients, würden diese noch eine NAT-Regel für das VPN-Client-Netz benötigen.) "Fertig".

Wenn das jetzt etwas NICHT funktioniert, wird man das "eigentliche" Problem sicherlich NICHT dadurch lösen, dass man von UDP auf TCP umstellt. Das ist dann eher ein: "Ich klick solange durch die Gegend, bis es irgendwann funktioniert, warum weiss ich halt nicht." KANN man sicherlich machen, wird Dir aber auf Dauer sicherlich NICHT helfen.
Das wäre schon mal von Vorteil... vielleicht mal in die Grundlagen der von Dir genutzten VPN-"Art" einlesen (OpenVPN/IPSec/etc.).
Ich sag sowas nicht ohne Grund... Schau, es ist ganz einfach: Mach es einmal "richtig" und Du hast "für immer" was dazu gelernt. Dann spielt es auch keinerlei Rolle mehr, ob es ein Syno-Router ist, eine pfSense-Firewall, oder was ganz anderes - es wird "immer" auf die gleiche Art und Weise funktionieren. "Jetzt" hast Du nur irgendwo irgendwas solange verstellt, bis es irgendwann funktioniert hat - Du weisst noch immer nicht warum. Was nutzt Dir das "langfristig"? Neuer (anderer) Router - gleiches Problem von vorn? Will man sowas? Vermutlich eher nicht... (ich jedenfalls nicht ??)

Deswegen sag ich auch: Grundlagen einlesen, es "hinnehmen", dass der Standard bei 1194/UDP liegt und dann "ganz frisch von vorn anfangen". Mitunter auch nicht mit irgendwelchen "fertigen" Regelsets arbeiten (ja ich weiss... die machen es doch soooo schön einfach, jou, gibt es aber vllt woanders eben nicht -> wieder nix gelernt), sondern wirklich mal "händisch" - das was Du meinst / meinst verstanden zu haben - umsetzen. Glaub mir, die Freude darüber es verstanden und korrekt umgesetzt zu haben, wird definitiv höherwertig sein, als irgendwas mit 3 Klicks zugeschustert zu haben, was man im Endeffekt sowieso nicht verstanden hat.

Übersetzt könnte man auch sagen: Lern das Angeln! ... und wirf nicht einfach nur wahllos wie ein Berserker Steine in Wasser, bis Du mal zufällig einen Fisch triffst. Ist sicherlich auch eine Methode, aber so wirst Du garantiert den ein oder anderen Tag ziemlich hungrig zu Bett gehen müssen... ?
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Ich klick solange durch die Gegend, bis es irgendwann funktioniert, warum weiss ich halt nicht.
Also ich vermute halt, dass ich etwas in den Firewall einstellungen falsch hatte, und weil ich von udp auf tcp gegangen bin und dadurch die Regel nochmal neu gemacht habe hat es funktioniert.
Grundsätzlich müsste es ja mit UDP, TCP und mit dem Standard Port (1194) aber schlussendlich auch mit jeden anderen Port funktionieren...?

Es gibt ja keinen technischen Unterschied zwischen Ports oder?
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.530
Punkte für Reaktionen
38
Punkte
94
aber schlussendlich auch mit jeden anderen Port funktionieren...?
auch hier solltest du dich ein wenig schlau machen,
Denn es gibt privilegierte Ports und unprivilegierte Ports.
Soll heißen das bestimmte Dienste als Standard einen privilegierten Port erwarten.
 
  • Like
Reaktionen: blurrrr

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Ja das ist mir bewusst.
Aber trotzdem kann man jede Anwendung auf jedem Port laufen lassen.
Beim OpenVPN Profil gibt man den Port ja an etc.
Also aus rein technischer Sicher ist es möglich.
Ob es Sinn macht lassen wir mal aussen vor.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Port ist Port, spielt erstmal (ganz grob!) keine Rolle. Wichtig wäre um die "Port-Bereiche" zu wissen ... und da kam grade der Post von @laserdesign ... genau .... Guckste mal hier: https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports :)

Theoretisch kannste jede Anwendung auf jedem Port laufen lassen, ABER... (wäre ja langweilig wenn jetzt nicht sowas kommen würde ?)... manche Dinge freuen sich auch so "garnicht", über irgendwelche extra-Dinger... Was dann aber oftmals auch einfach an der Client-Seite (nicht flexibel genug) liegt. Alternativ bringt das ganze eine saumässige Arbeit mit sich, teilweise geht es auch "nicht" anders. Das kommt aber auch immer auf den Einzelfall an. Die "einfachen" Dinge, wie OpenVPN, oder HTTP/S umzubiegen, ist sicherlich kein Problem.

Was Dein VPN angeht, schon mal daran gedacht, kurz nochmal "alles" platt zu machen und mal "neu" zu machen? Oder "läuft jetzt" und "keine Lust mehr"? ?
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Was Dein VPN angeht, schon mal daran gedacht, kurz nochmal "alles" platt zu machen und mal "neu" zu machen? Oder "läuft jetzt" und "keine Lust mehr"?
Ich glaube ich müsste einmal komplett den Router neu aufsetzen.
Jetzt funktionieren nicht mal mehr meine normalen Dienste von der DSM von aussen.
Ist grad echt doof.
Kann es sein, dass da die Software irgendwie exterm Probleme macht?

An den Portweiterleitungen und den Firewall Einstellungen von der DiskStation hab ich nix geamcht.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Also wenn wir mal so unter uns reden... und die besagte Syno die mit den "Premium-Services" ( ;) ) ist... Da sieht von aussen bisher alles ganz normal aus - Webseiten sind alle ganz normal erreichbar, oder was fehlt Dir da noch? (gemeint ist der Anschluss über Liberty Global B.V. ;))
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Tut mir leid ich konnte dir jetzt grad nicht ganz folgen.
Ich hatte grad keinen Empfang mehr in meiner Mail Plus App, Plex hat nicht mehr reagiert und, und und...
Habe jetzt gesagt, dass er die Portweiterleitungen wieder selber in der Firewall konfigurieren darf und schon hat alles wieder funktioniert.
Entweder mache ich hier etwas komplett falsch, oder das System scheint ne Macke zu haben.

Die Webseiten laufen alle nicht über mein Nas ;)
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Das System hat wohl keine komplett grobe Macke. Wird schon an den Firewall-Settings liegen. Zumindest klappts bei mir ganz gut.

Wenn du OpenVpn mit Syno Router oder NAS verwendest, such mal nach „syno client cert openvpn“. Nur Benutzer und Passwort wie es Syno anbietet ist total nicht mehr State of the Art und solltest du anpassen!

Geht auf DS und am Router. Ssh und Bash Kenntnisse sind von nöten.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Habe jetzt gesagt, dass er die Portweiterleitungen wieder selber in der Firewall konfigurieren darf

Autsch. Dh. du lässt dir vom EZ-Assistenten gerade alles nach außen öffnen? Würde ich persönlich nicht nehmen. Du hast ja keine Handhabe, was DSM da meint zu tun.
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Das sollte ja jetzt auch nur für den Übergang sein.
Werde das ändern wenn es dann wieder funktioniert.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen @Skyfay,
ich kann @blurrrr da nur zustimmen, was das selbermachen angeht.
Ist jetzt OT, sorry:
ich habe von Haus aus null Ahnung von IT. Hab immer nen Bogen drum gemacht, alles zu kompliziert. Dann musste ich aber irgendwann mal in den Apfel beißen (Arbeit, Studium, Arbeiten schreiben und so) und am Anfang hab ich alles von Bekannten einrichten lassen: Ergebnis war, dass es lief, bis es dann eben nicht mehr lief...also wieder Bekannte anrufen, und mit Chips und Bier anlocken. Das war auf Dauer für alle doof.
Dann mal langsam eingelesen. Immer noch zu kompliziert und auf solche Dinge eingelassen (Autokonfiguration, einfach so lange Haken setzen/entfernen bis es lief - warum auch immer). War zeitraubend, frustig und auch doof.
Zuletzt vor einigen Jahren dann endlich alles mal angefangen nachzulesen (mega langweilig).
Aber: so nach und nach zeichneten sich bestimmte basics ab, die dann einfach so waren (Gesetzmäßigkeiten). Auswendig gelernt, versucht zu abstrahieren und auf andere settings anzuwenden.
Schließlich zuletzt bei der Umstellung meines privaten (mach das nur aus Hobby) Netzwerkes mindestens 5 Monate in die Materie Netzwerk, Firewall, VPN eingelesen. Dann die hardware gekauft und eingerichtet. Und plötzlich gingen und gehen immer öfter Lichter im Kopf an, der AHA-Effekt stellste sich ein und einzelne Infos verknüpften sich. Kann ich nur empfehlen, denn das ist/war irre motivierend. Heute habe ich regelmäßig immer noch zig Fragezeichen im Kopf zu bestimmten Themen/Problemen der IT. Aber mit der Mühe vorab ist es jetzt wesentlich einfacher neues Wissen anzulesen und dazu zu lernen, statt in derselben Zeit nur gefrustet zu sein.

Wie gesagt: Hobbyanwender. Nun sind hier aber eben auch Menschen, die haben das richtig gelernt, studiert, teils über Jahre ihr wissen dazu angehäuft. Wenn die dann vielleicht aus ihrer Realität auf deine (und meine) Fragen etwas humorvoll oder verkürzt antworten, dann verstehen du und ich anfangs Bahnhof, fühlen uns vielleicht sogar auf die Schippe genommen...für die IT Spezis haben die aber eben in 5 Worten einen reell wichtigen Hinweis gegebn, nur eben auf ihrem Niveau, das eben ein anderes ist. Fachsprech eben.
Bei den allermeisten usern hier im Forum (inklusive und besonders eben auch blurrrr) ist das imho nicht überheblich, sondern da versucht man (mit humorvoller Art) eine Unmenge an knowhow rüberzubringen.

Ich würde mir mal vornehmen: nimm dir einen Tag, an dem du gerne mal aufs Netz verzichten kannst. Lies dich vorher in deine Wünsche ein, so dass du es auch anderen in laienhaften Worten erklären könntest. Und dann legst du los, konfigurierst deinen Router selber, ohne autokonfigurierten Kram. Ich bin sicher, dass du dabei a) eher ans Ziel kommst b) mehr Freude hast (auch langfristig) c) weißt was du da tust und deshalb d) dein System/Netzwerk genau SO einrichten kannst, wie DU es willst (und nicht wie irgendwer im Internet es für sich wollte oder ein Freund oder ein anderes Gerät).

Sicher: ein langer Weg mit steiler Lernkurve, aber unfassbar cooler und nebenbei lernst du unfassbar mehr dazu.

Ich würde also akut ebenfalls den Router bzw den VPN Server auf dem Router komplett platt machen und step by step selber neu aufsetzen. Und vermutlich wird es dann auch was (ist jedenfalls bei mir IMMER so gewesen). Und: man kann wesentlich gezielter suchen oder Fragen formulieren, wenn die Hintergründe vielleicht nicht verinnerlicht, aber zumindest grundsätzlich verstanden sind.
:)

jm2c dazu...
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
@the other Danke für deine Antowrt.

Es ist nicht so, dass ich von IT nichts wissen will geschweige denn dass ich nichts davon weiss.
(Bitte nicht falsch verstehen ich bin kein IT Genie und ich muss noch exterm viel lernen)
Ich bin selber jetzt schon lange an der IT dran und mache auch eine Ausbildung als Informatiker.


Ich habe den Router komplett selber eingerichtet, nur an die Firewall habe ich mich bis jetzt eben noch nicht ran gewagt.
Diesen AHA Effekt den du beschreibst hatte ich schon sehr oft und mir hilft es halt am besten wenn ich einfahc teste und schaue was passiert.
Ich habe oft Dinge eingerichtet und bin genau nach Anleitung vorgegenagne bis etwas nicht mehr funktionierte.
Danach habe ich mir das genauer angesehen und vieles herausgefunden.

Ich würde in Zukunft auch gerne den eigenen DNS-Server selber einrichten aber ich denke ich fange jetzt erstmal mit der Firewall an.

Ich glaube auch nicht, dass es bei mir hier am VPN-Server scheitert sondern an der Firewall.
Allgemein vom Netzwerk habe ich ja schon bisschen Ahnung aber eben von der Firewall die halt auch serh wichtig ist nicht.
Ich habe vor ein paar tagen selber erst gemerkt, dass er die Einträge selber macht.
Ich dachte ich habe das deaktiviert, aber dass war nur UPnP was ich deaktiviert hatte.

Ich beschäftige mich allgemein momentan mehr mit IT/Netzwerk Sicherheit und möchte so auch mein Netzwerk optimieren.
Allerdings bin ich da an einem Punkt eben leider nicht mehr weiter gekommen und an so einer Stelle frage ich gerne mal in einem Forum nach um mir hilfe zu holen.
Da die Leute die einem hier helfen meistens viel mehr Ahnung haben, kommt es so oft halt eben auch zu solchen Missverständnissen, bzw. man versteht die Personen manchmal einfach nicht.

Das ist auch keine Kritik, die Leute sind einfach auf einem sehr hohen Wissensstand.

Wie das mit dem der Quell-IP, dem Quellport etc. funktioniert habe ich schon begriffen.
Aber irgendwie scheitert es doch noch ein bisschen am Verständniss was ich jetzt genau falsch gemacht habe.

Ich habe hier im Vergleich zwei Firewall einträge, eine selber vom System generiert durch die Portweiterleitung und eine selber von mir gemacht.
Die sehen komplett identisch aus, nur dass diese, die ich erstellt habe nur für bestimmte Länder (Geo Sperre) zugelassen ist.
Allerdings funktotniert die obere jetzt irgendwie nicht mehr.
Das ist dann immer etwas verwirrend, weil man den Fehler sucht aber ihn nicht findet.
 
  • Like
Reaktionen: the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
manchmal sind die Geräte auch einfach sch$%& und lassen die reine logische Konfiguration eben so nicht zu, da die Firma meinte, eine Extrawurst braten zu wollen, die dann von allen Standardlösungsansätzen abweicht.
Da sucht man sich dann n Wolf und findet nach zig Stunden suche plötzlich den Hinweis, dass es für DAS Gerät so eben nicht geht. Meganervig.

Ich wollte dir übrigens nicht unterstellen, dass du auf so nem laienhaften Niveau unterwegs bist wie ich es bin. War eher so ne allgemeine Wort zum Sonntag Nummer, da das hier eben oft vorkommt. Und den Syno Routern wird hier im Forum von den alten Hasen idR nicht so viel gutes nachgesagt.
Allein schon, dass da automatisch Regeln eingefügt werden, scheinbar OHNE dich darüber vorher zu informieren oder wenigstens zu fragen, ob du das willst find ich ähh...doof?
Meine firewall macht das zB anders: kann vieles per Wizard einrichten oder manuell. Selbst der Wizard fragt aber zB für VPN IMMER, ob eine auto-rule angelegt werden soll (was ich stets verneine und lieber selber rumschraube, auch wenn es dann auf Anhieb nicht immer klappt, meist erst im 2. Anlauf).

:)
 
  • Like
Reaktionen: Skyfay

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Allein schon, dass da automatisch Regeln eingefügt werden, scheinbar OHNE dich darüber vorher zu informieren oder wenigstens zu fragen, ob du das willst find ich ähh...doof?
Naja, ich finde halt, dass Synology für viele Anwender Lösungen schaffen wollen. Und für Leute die keine Ahnung haben ist sowas halt eben gut.
Natürlich sicherheitstechnisch nicht aber ich hoffe du verstehst was ich sagen will.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
ja, glaube schon...wie die Fritzboxen: für viele viele Menschen out of the box perfekt, anschließen...läuft. Aber wehe, man liest sich mal in Details ein und will was individuelleres konfigurieren. Dann ist eben Ende. So ein bisschen wie ein Krabbelkäfig: Kind ist sicher, wird aber auch wesentlich weniger gute (und weniger gute) Erfahrungen machen.
 
  • Like
Reaktionen: Skyfay

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Das sollte ja jetzt auch nur für den Übergang sein.
IBM - immer besser manuell ;) Aber davon ab... gedulde Dich noch ein bisschen junger Padavan - wenn Du grade in einer Informatiker-Ausbildung steckst (hoffe Systemintegration ?), dann lichten sich die Nebel schon bald... ??
 
  • Haha
Reaktionen: Skyfay

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Kurzes Update:

Ich habe jetzt nochmal alle Firewall Einträge neu geamcht.
Schlussendlich mit dem gleichen Ergebnis.
Wenn ich eine Regeln für OpenVPN auf dem Router mache, dann zeigt er beim Verbinden von aussen Treffer an, aber er kann irgendwie nicht verbinden.
Ich werde jetzt, wenn ich über den Router muss einfach mit SSL VPN arbeiten, da dies funktioniert und ja trotzdem auch ganz sicher sein sollte.
Dann nutze ich OpenVPN halt nur über das Nas.

Wer mir vielleicht noch bei etwas anderem helfen möchte, ich habe noch das Problem, dass das WebVPN nicht richtig funktioniert.
Wenn ich etwas suche dann kommt immer ein 'DSN_PROBE_FINISHED_NXDOMAIN' Error.
Ich habe da mal nachgeforscht und gesehen, dass es irgendwie mit der Domain zusammenhängen sollte.
Das kann aber eigentlich nicht sein, da ich extra eine neue Domain eingerichtet habe, welche komplett auf meine IP zeigt.
(SSL-VPN funktioniert ohne Probleme...)
Manchmal kommt es auch zu dem Fehler: 'Not Found, The requested URL was not found on this server, Additionally, a 404 Not Found error was encoutered while trying to use an ErrorDocument to handle the request'
Das ganze passiert leider auch, wenn ich einen Reverse Proxy für das WebVPN einrichten möchte.

Grüsse Skyfay
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Wenn ich eine Regeln für OpenVPN auf dem Router mache, dann zeigt er beim Verbinden von aussen Treffer an, aber er kann irgendwie nicht verbinden.
Kannst Du bitte mal "ganz klar" definieren, was Du mit "Treffer" meinst? Drop? Deny? Allow? Alles?
Das kann aber eigentlich nicht sein
Ist doch ganz klar... der Computer lügt. Schon immer so gewesen. ?
DSN_PROBE_FINISHED_NXDOMAIN
So hat er denn dieses Fehlerchen mal in der Internetsuchmaschine seines Vertrauens hinterlegt? Wenn es denn bei seinem Client klappt, ist er sich denn seiner Sache auch sicher, dass es bei der Syno/dem Router ebenso ist? Für externe isset ein bissken schwierig, denn die können nur sagen, was der Computer sagt: Problem mit der Namensauflösung ??

Oder DNS mal andersrum: Da kannste mich so oft fragen wo Hansi Mustermann wohnt, wenn ich Dir sage "Ich weiss es nicht!", dann weiss ich es auch nicht! Da kannste auch noch 20x nachfragen, das bringt alles nichts! Entweder sagste mir wo er wohnt, dann kann ich Dir darauf antworten, oder es bleibt beim alten Stand: Ich weiss es nicht.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat