Synology VPN-Server funktioniert nur über Nas aber nicht über den Router!?

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Kannst Du bitte mal "ganz klar" definieren, was Du mit "Treffer" meinst? Drop? Deny? Allow? Alles?
Unter Netzwerk-Center>Sicherheit>Firewall wo die Regeln sind gibt es ganz rechts in der Tabelle einen Treffer Tab.
Da werden Treffer bei der Regel für den OpenVPN angezigt wenn ich mich versuche damit zu verbinden.

Zum WebVPN, da gebe ich halt was ein (eine Internetadresse) und es kommt dieser Fehler.
Früher hat es schonmal funktioniert, allerdings habe ich da mit dem Domains etwas geändert und wollte dies jetzt eben auf eine neue umstellen.

Die sieht dann so aus: https://web.xxxxx.xy/webportal.cgi?go=http://google.ch:80/
Und dann kommt eben der Fehler "Not Found"...
Screenshot 2021-04-24 160721.png
Hier noch die Konfiguration.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Unter Netzwerk-Center>Sicherheit>Firewall wo die Regeln sind gibt es ganz rechts in der Tabelle einen Treffer Tab.
Da werden Treffer bei der Regel für den OpenVPN angezigt wenn ich mich versuche damit zu verbinden.
*schnauf*... ich versuch das jetzt nochmal...: "Drop? Deny? Allow? Alles?"... Wenn Du etwas nicht verstehst - ist ja völlig in Ordnung, aber IGNORIER ES NICHT, sondern frag lieber nach ?

Und dann kommt eben der Fehler "Not Found"...
Jo, ist auch richtig (wenn ich jetzt einfach mal meine "Annahmen" überprüfe), kommt nämlich genau "nix" bei rum, da "web" auch keine entsprechende Antwort liefert. Davon ab... grade erst gesehen... "Preise"? Ist nicht Dein Ernst, oder? Vielleicht gibste erstmal ein bisschen Geld für eine "vernünftige" Datenschutzerklärung und ein Impressum aus, ansonsten kann es sehr leicht passieren, dass Du ganz flott die ersten Klagen am Hals hast, noch bevor Du den ersten Kunden hast ;) Apropos... AGBs? Verfügbarkeiten? Redundanzen? Standorte? Überhaupt eine Ahnung was die DSGVO ist? ? "Privat" kannste Dich ja hinstellen wie Du lustig bist, aber sobald das in kommerzieller Absicht geschieht, sieht die Weltauf einmal "ganz" anders aus...

EDIT: Auch "Spenden" muss man "versteuern" ?
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
*schnauf*... ich versuch das jetzt nochmal...: "Drop? Deny? Allow? Alles?"... Wenn Du etwas nicht verstehst - ist ja völlig in Ordnung, aber IGNORIER ES NICHT, sondern frag lieber nach ?
1619274950577.png
Ich kann mit deiner Frage leider nichts anfangen tut mir leid. Ich sehe nur das hier.


Jo, ist auch richtig (wenn ich jetzt einfach mal meine "Annahmen" überprüfe), kommt nämlich genau "nix" bei rum, da "web" auch keine entsprechende Antwort liefert.
Ja aber warum?
Der müsste das doch automatisch machen oder nicht?


Davon ab... grade erst gesehen... "Preise"? Ist nicht Dein Ernst, oder? Vielleicht gibste erstmal ein bisschen Geld für eine "vernünftige" Datenschutzerklärung und ein Impressum aus, ansonsten kann es sehr leicht passieren, dass Du ganz flott die ersten Klagen am Hals hast, noch bevor Du den ersten Kunden hast ;) Apropos... AGBs? Verfügbarkeiten? Redundanzen? Standorte? Überhaupt eine Ahnung was die DSGVO ist? ? "Privat" kannste Dich ja hinstellen wie Du lustig bist, aber sobald das in kommerzieller Absicht geschieht, sieht die Weltauf einmal "ganz" anders aus...

EDIT: Auch "Spenden" muss man "versteuern" ?
Das darf ich doch wohl so machen wie ich es will oder nicht? Ist ja schlussendlich auch mein Problem.
Ich glaub ich biete Dinge an, die man schon bezahlen könnte aber das bezwecke ich ja auch nicht damit sondern das soll eine Spende sein.
Die ganze Seite ist auch nicht an irgendwelche Leute gerichtet sondern ich verwalten den Zugriff.
Nur um das mal klarzustellen ;)

Übrigens, wenn du meine Seite schon ansiehst dann richtig. Du findest angaben vom Standort etc.
DSVGO ist in der Schweiz wieder eine andere Sache ?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Also kurzum: Du hast keinen Schimmer, was "Treffer" jetzt eigentlich genau beinhaltet... korrekt?

Der müsste das doch automatisch machen oder nicht?
Was soll wer automatisch machen?
Das darf ich doch wohl so machen wie ich es will oder nicht? Ist ja schlussendlich auch mein Problem.
Natürlich kannst Du machen wie Du willst, Du bist auch schlussendlich der mit den Problem"en", korrekt. Sagt ja auch keiner was "gegen", nur eben der Hinweis, dass sowas schon ziemlich "teuer" werden kann. Ich seh es auch eher als "nett gemeint", aber wenn Du für's "nett sein" ein paar 1000€ hinlegen darfst... "muss" vllt nicht unbedingt sein (ich mein es ja auch nicht böse, sondern eher als kleine Warnung, dass sowas eben auch völlig in die Hose gehen kann (und sei es noch so gut gemeint)). Gibt es bei meinen Projekten halt auch, schützt nur alles halt vor Strafe nicht, daher die mahnenden Worte ??
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Du benutzt eine Funktion (Firewall), von der Du noch nichtmals weisst, was sie macht bzw. was die Logs bedeuten, wunderst Dich, dass nichts funktioniert, antwortest immer nur auf die Hälfte der Fragen... Sorry, aber wer soll da bitte in der Lage sein Dir zu helfen? Du sagtest, Du wärst in der Ausbildung zum Informatiker? In den ersten paar Wochen/Monaten lernt man schon die Grundlagen Netzwerk-Kommunikation (da wir Anfang des Jahres befinden, müsstest Du demnach schon über ein halbes Jahr in Ausbildung sein und solltest sowas wissen, denn die "Grundlagen" sind für alle Bereiche gleich (egal ob FISI, FIAE, oder ITSK) ?)

Btw, hatte übrigens die falsche Domain, alles gut. Laut Deinem Screenshot (wo Du nur das untere und nicht das obere geschwärzt hast ;)) stimmt der DNS-Eintrag schon (sofern UPC als ISP korrekt ist). Davon ab macht es keinen Sinn einfach "alles" aufzumachen (bei verschlüsselter Nutzung von POP3/IMAP ist es z.B. nicht nötig, auch die unverschlüsselten Ports aufzumachen).

Ein "mögliches" Problem könnte natürlich auch sein, dass Du mit xxxvpn.xx anrückst, das LE-Wildcard-Cert was präsentiert wird, aber für etwas anderes ausgestellt ist. Nutze das komische WebVPN-Ding aber nicht, von daher kann ich dazu auch nur Mutmaßungen anstellen.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
In der Liste mit den Treffern erlaubst oder verhinderst du Zugriff auf IPs und/oder Anwendungen und/oder Ports.

Das meinte blur. Würde schon reichen, wenn du die Zeile mit OpenVPN als ganzes reinstellst. Wird vermutlich ein allow sein
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Achso das meint Ihr...
Sagt das doch gleich ;)
Ich habe grundsätzlich alle Regeln die ich da festgelegt habe auf "allow" bis auf den 8000,8001er Port.

1619285270392.png

Die obere macht eigentlich das gleiche wie die untere ich wollte es nur mal testen ob es einen Unterschied macht.
Die Verbindung funktioniert schlussendlich aber mit beiden nicht.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Das sind jetzt schon zu wenig Regeln...

1. Regel: Rede nicht über den Figh... achne... sorry, das war was anderes... ? Also nochmal:

1. Regel: Any -> 1194/UDP (nennen wir das Kind mal ruhig beim Namen) -> SRM
2. Regel: VPN-Client-Netz -> ANY -> LAN

Sonst kann man sich zwar lustig verbinden, aber halt nirgendwo hin, wäre ja auch irgendwie ein bisschen doof.
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Also ich sage mal wie es für mich logisch erscheint.

Wir haben hier einmal den OpenVPN Server der auf Port 1194 läuft.
Soweit so gut.
Im eigenen Netzwerk funktioniert es wenn ich vom Client über 1194 verbinde also:
Client > UPD, 1194 > OpenVPN.

Jetzt ist aber von aussen die Firewall im Weg und das wird blockiert.
Also gebe ich das ganze frei.
Wan > Firewall > UDP, 1194 (ja) > SRM.

Da auf der SRM ja auf Port 1194 der OpenVPN Service läuft müsste doch dann das ganze funktionieren oder habe ich hier einen Fehler übersehen?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Im eigenen Netzwerk funktioniert es
Das könnte ein trügerischer Schluss sein! Vielleicht funktioniert es nämlich garnicht, sondern es geht nur die normale Route (direkt ins lokale Netz) und nicht durch den VPN-Tunnel. Könnteste mal mit einem "traceroute" nachverfolgen. Solche Tests sollte man übrigens "grundsätzlich" von aussen machen, denn von innen hat man da ganz einfach nichts von (wie in Deinem Fall, funktioniert "vermeintlich" (weiss man nicht genau), hilft aber alles nix, wenn es nicht von aussen funktioniert).

Ich muss auch nochmal nachfragen: Von WAS GENAU sprechen wir denn jetzt eigentlich? Dem "WebVPN", oder "OpenVPN"?

Da auf der SRM ja auf Port 1194 der OpenVPN Service läuft müsste doch dann das ganze funktionieren oder habe ich hier einen Fehler übersehen?
Najo, wenn Du nix verstellt hast, alles auf "0815" steht (halt 1194/UDP), dann sollte das soweit passen und ein Connect sollte grundsätzlich möglich sein. Dazu kommt dann noch das Thema mit den gepushten Routen (damit die Clients wissen, welche Netze sie über die VPN-Strecke erreichen können) und natürlich die o.g. 2. Firewall-Regeln, denn ansonsten kommen die VPN-Clients nicht sonderlich weit.
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
Ich muss auch nochmal nachfragen: Von WAS GENAU sprechen wir denn jetzt eigentlich? Dem "WebVPN", oder "OpenVPN"?
Grundsätzlich geht es um das OpenVPN über den Router und das VPN-Plus Packet von Synology.

Also der Server ist jetzt an der Firewall, was muss ich denn jetzt noch zusätlich einrichten?
 
Zuletzt bearbeitet:

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ich habs auf Seite 2 schon mal geschrieben und @blurrrr auch noch mal.

Gib in deiner Firewall mal das IP Netz von OpenVpn (siehe Server Reiter, normal sowas wie 10.8.0.x oder so ähnlich) für alle Ports für alle Anwendungen frei. Das wird noch blockiert werden.

Bei deiner Syno wird es klappen, weil dort die Firewall aus ist oder halt diese die Firewall mittels EZ umbiegt? Aber das sind reine Vermutungen.

Für mich ist es hier mittlerweile sehr verwirrend.
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
1619290220717.png
So?
Die "Treffer" sind jetzt von einem Verbindugnsversuch.
Funktioniert allerdings noch immer nicht falls es so richtig ist?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Hm... grade mal geschaut, das Paket gibt es anscheinend nur für die Router und eine Demo gibt es dazu auch nicht, von daher kann ich mir das Paket leider auch nicht anschauen, somit kann ich Dich halt nur mit der Theorie zuknallen... Standard-Ports, Standard-Firewall-Regeln und dann ist eigentlich auch schon Ende. Weiss auch nicht, ob das Ding andere Ports nutzt, oder was weiss ich (dann würden auch die Firewall-Regeln nix bringen), k.A. Ich kann nur soviel sagen: Hält man sich an die 0815-Sachen sind es i.d.R. maximal noch "Kleinigkeiten".
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat