VPN Zugang läuft ... und jetzt? (ein paar Fragen eines Newbies)

Frizow84

Benutzer
Mitglied seit
08. Mrz 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Guten Tag allerseits,

nach Wechsel von einer veralteten WD NAS auf eine DS220J habe ich nun ein paar Fragen zum Thema VPN.

  • Ich habe den VPN Server installiert (L2TP/IPSec)
  • die DDNS Unterstütung aktiviert und über Synology eine externe Adresse und IP zugeteilt bekommen (Servername.synology.me)
  • die für L2TP nötigen Ports am Speedport Smart 2 freigegeben
  • am Handy (Poco X 3, MIU 12) eine VPN Verbindung hergestellt
  • Am PC (Windows 10) eine VPN hergestellt (zusätzlich die Registry angepasst, damit Windows versteht, dass der VPN Server hinter dem Router liegt, danke an iDomiX für das gute Youtube Video!!)
Beide VPN Verbindungen laufen und werden auch in der Synology VPN Anwendung angezeigt, sobald verbunden.

Die NAS hat derzeit keine Fire Wall aktiviert (hierzu muss ich mich separat noch mal hier im Forum informieren, welche Dienste zwingend erforderlich sind ... hatte mich fast selbst ausgeschlossen...)
Meine Telekom-Leitung dürfte eine vollwertige sein (nicht DS-Lite).

Jetzt zu meinen Problemen:
1) Ich kann die servername.synology.me Adresse nicht über den Browser ansteuern (unabhängig, ob ich VPN aktiviert habe oder nicht). Die Quickconnect Adresse funktioniert. Aber das läuft dann ja auch nicht über VPN...Die DDNS hat den Status "Normal", sollte also funktionieren.
2) Gleiches gilt für den Login der Handy Apps (DS Photo, DS File, etc.). Hier geht auch nur die Quickconnect Adresse

Frage 1: Was habe ich übersehen?? Wäre für jeden Hinweis dankbar!!
Frage 2: Eine VPN hinter einem Router ist sicherlich nicht die beste Idee. Der Speedport Smart 2 hat aber leider keine Optionen, das selbst zu übernehmen. Sollte ich hier den Router wechseln, oder ist vertretbar, den Server so aufzusetzen? Kann ich noch irgendwelche Einstellungen am Speedport optimieren, für mehr Sicherheit?

Vielen Dank im Voraus!!
 
Zuletzt bearbeitet:

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
4.765
Punkte für Reaktionen
301
Punkte
163
Wenn die VPN-Verbindung erstmal steht, wieso versuchst du dann noch mit DynDNS-Adressen auf deine Anwendungen zuzugreifen?
Der Sinn von VPN ist es ja, diverse Portweiterleitungen für die einzelnen Anwendung durch eine VPN-Verbindung zu ersetzen um dann so arbeiten zu können als ob man zu Hause im WLAN wäre. Daher nutze bei deinen Anwendungen doch einfach die lokalen Namen/Adressen.
 

Frizow84

Benutzer
Mitglied seit
08. Mrz 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Vielen Dank! Ich bin anscheinend nicht wirklich im lokalen Netz, da ich über die interne IP (192.168...) auch nicht in die Anwendungen rein komme. Außerdem: Auch wenn ich dann über den VPN im lokalen Netz bin, sollte dennoch die DynDNS funktionieren, oder habe ich da einen Denkfehler?
Ich habe jetzt auch noch mal einen 2. DDNS Anbieter ausprobiert. Geht leider genauso wenig.
Edit: Ich wollte mich soeben im VPN über die IP des Routers auf die Anmeldeseite des Routers einloggen, und dabei ist dann wohl der Router oder die NAS ausgestiegen. Jedenfalls kann ich jetzt auch nicht mehr über die Quickconnect ID zugreifen. Sehr merkwürdig. Sobald ich zu Hause bin, muss ich das mal überprüfen.
 
Zuletzt bearbeitet von einem Moderator:

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
4.765
Punkte für Reaktionen
301
Punkte
163
DynDNS ist lediglich erstmal dazu da, deine ständig wechselnde externe IP-Adresse über einen festen Namen ansprechen zu können. Das hat mit Remote-Zugriff, egal ob über Portweiterleitungen oder VPN, zunächst mal überhaupt nichts zu tun. Auch der Anbieter ist egal. Ob die Auflösung klappt, kannst du ganz leicht mit "nslookup <DynDNS-Name>" ausprobieren.
Wozu man diesen Namen dann nutzt steht auf einem anderen Blatt. Man kann darüber die Anwendungen entweder über Portweiterleitungen direkt ansprechen oder ihn zum Aufbau der VPN-Verbindung verwenden. Bei VPN war's das auch schon, alles andere sollte dann wie zu Hause im heimischen WLAN laufen. Tut es das nicht, ist was anderes faul.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.710
Punkte für Reaktionen
408
Punkte
109

Frizow84

Benutzer
Mitglied seit
08. Mrz 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Bitte entschuldigt, dass ich mich jetzt erst wieder melde.
VPN läuft jetzt, d.h. ich kann mich per VPN von außen verbinden und dann über meine lokale IP den Router adressieren und diese auch zum Einloggen in die jeweiligen Anwendungen nutzen (DS Photo, etc.). Leider kann ich nicht genau sagen, wieso es jetzt doch funktioniert.
Was noch nicht funktioniert, ist die dynDNS weiterleitung. Ich habe noch einmal eine neue Adresse erstellt. Hier weiß ich allerdings nicht, welche Ports ich im Router freischalten muss. Mittlerweile überlege ich, das ganze Projekt DynDNS aufzugeben. Die wichtigsten Funktionen gehen ja per VPN. Den Rest brauche ich eigentlich nicht.

@the other: Vielen Dank für den Link! Welche zusätzlichen Ports aus der Liste sind denn Programm-unabhängig nötig, damit ich mich nicht aussperre? Ich vermute 80 und 443? Wenn ich nur die Ports für L2TP/IPSec (1701, 500 und 4500) in der Firewall der DS "Freischalte" und eine Regel eintrage, dass alle weiteren Anfragen geblockt werden sollen (Reihenfolge dabei wurde beachtet!) bekomme ich die Meldung, dass die Firewall zurückgesetzt wurde, damit ich mich nicht ausversehen aussperre.

 
Zuletzt bearbeitet:

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.710
Punkte für Reaktionen
408
Punkte
109
Moinsen,
was ich gerade so gar nicht verstehe ist dies:
du erreichst deinen Router von extern (da ja generell VPN zu gehen scheint, wie du schreibst). Also wird jawohl vermutlich DynDNS auf den Router (wenn der als VPN Server dient) gehen. Also Thema 1 erledigt...
WENN (also wirklich im Sinne von FALLS) also VPN geht, dann brauchst du doch keine extra Ports mehr...oder wie oder was?

Also: wenn VPN Server auf Router, dann alles tutti...
Wenn VPN Server auf NAS (was ja zu gehen scheint), dann keine weiteren Ports (außer den benötigten VPN Ports) nötig.

Und zu deiner Firewall Frage: da solltest du dich mal gründlich einlesen, das ist nicht "mal so nebenbei" erklärt, da auch immer ne individuelle Frage (je nach setting). Abgesehen davon: ich bin KEIN Freund von IT-Kochanleitungen...ich sag gerne wo der Messerblock, die Brettchen und die Töpfe wie auch Gewürze liegen....schneiden, abschmecken und garen muss dann ein jedeR selbst....nur weil es MIR so schmeckt, muss es dir oder anderen ja noch lange nicht munden...

Hmmm, bekomme gerade Hunger.

Okay?
;)
 
  • Like
Reaktionen: blurrrr

Frizow84

Benutzer
Mitglied seit
08. Mrz 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Das mit der Firewall...😁 Köstlich!! Ja da werd ich wohl noch Mal etwas Hirnschmalz und Zeit investieren!
Zum VPN: das mit DynDNS ist ja das merkwürdige, denn über die DynDNS erstelle ich ja die VPN Verbindung durch die offenen L2TP Ports im Router (dort ist die dymDNS auch eingetragen) hin zur NAS. Also muss das klappen. Wenn ich nun die gleiche DynDNS Adresse aber im Browser öffne, gibt's nach 5 Minuten oder so einen timeout.
Im Prinzip reicht es ja dann so für meine derzeitigen Ansprüche (kein Webserver oder so geplant) aber verstehen tue ich es nicht(wie so einiges in dieser für mich noch neuen Welt der Netzwerke*g*

Btw: ganz herzlichen Dank für die bisherige Hilfe!! Super Forum hier!
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.710
Punkte für Reaktionen
408
Punkte
109
Moinsen,
aus dem eigenen LAN mit DynDNS zu arbeiten ist idR total überflüssig. Das zum einen (denn DynDNS ist ja dafür da, deine externe IP, die du vom ISP bekommst und die immer wieder wechselt, eben dauerhaft erreichbar zu machen....da du aber im eigenen LAN bist, musst du diesen Umweg ja nicht gehen).
Zum anderen sind viele Router mit einer Funktion versehen, welche sich DNS Rebind Schutz nennt...

Normalerweise ist es so: du richtest DynDNS ein für deinen Router. Damit ist der dann erreichbar. Geht das (und erst dann) macht man weiter, zB richtet man sich dann einen VPN Server ein. Jede VPN Spielart hat eigene Ports. Wenn also du extern bist, dann:
Mobilfunk auf dem Handy an, auf die DynDNS Adresse einwählen mit zugehörigem Port fürs jeweilige VPN, fertig.
Du hast aber scheinbar deine DynDNS auf dein NAS gelegt, daher die PWL. Du kannst (solltest sogar, aber ne andere Diskussion) deinen VPN Server möglichst eben gerade NICHT auf dem NAS laufen haben, sondern auf dem Router oder ggf. einem Raspi. Wenn du ne Fritzbox hast, dann kannst du auch den kostenlosen myfritz Dienst statt DynDNS nutzen (macht quasi dasselbe). Mit dieser ist dein Router dann von extern erreichbar. Da die Fritzboxen auf VPN Server spielen können, hättest du alles auf einem Gerät....
;)
 

Frizow84

Benutzer
Mitglied seit
08. Mrz 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Besten Dank für die Erklärungen. Dann sollte ich mich doch noch Mal von dem Speedport verabschieden und mit eine Fritzbox kaufen. Ist Euro die etwas bessere Lösung was für Sicherheit angeht