• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Zugriff von aussen auf Synology DS über Centro Grande

L4stJudgment
Level 3
1 von 19

Hallo liebe Community

 

Habe zuhause einen NAS der intern soweit super läuft, würde aber gerne von aussen über VPN (l2tp/ipSec) zugreifen. Bin seit 4 Tagen am Rätselraten und schon verschiedenste Foren abgecklappert auch hier im SC-Forum. Folgende Ausgangslage:

Hardware:
- Centro Grande (Motorola)
- Synology DS214

Gemachte einstellungen:

- Synology DS mit fixer IP (ausserhalb des DHCP-Range)

- NAT-Einstellungen auf CG vorgenommen 

- UDP Portweiterleitung von CG auf Synology DS

- DDNS Service auf Synology DS aktiviert (zugriff über; abcdef.ghijk.me:5000, funktioniert)

- VPN Server aktiviert

- User auf NAS mit Berechtigung angelegt (gleiche Userdaten werden auch für Anmeldung am VPN Client      verwendet)

 

Wie greife ich drauf zu:
- Windows 8.1 Laptop verbunden mit UMTS-Hotspot (Handy)

 

VPN-Verbindungs-Einstellungen am Client:

- Hostname: DDNS-Adresse (abcdef.ghijk.me)

- Sicherheit: L2TP/ipSec (MS-CHAP v2), Preshared-Key ebnfalls korrekt eingegeben

- IPV4 Gateway: als Standard Gateway deaktiviert 

 

 

Die UDP-Ports für VPN habe ich kontrolliert aber scheinen blockiert zu sein, trotz NAT-Freigabe und weiterleitung. (Siehe letztes Bild)

 

Weiss jetzt echt nicht mehr wo ich was falsch mache oder übersehe....
Bin am verzweifeln, bitte um hilfe...
Habe noch paar Screens gemacht vlt. sieht man da was, was ich schlicht übersehe.

 

 

Routersetup_DHCP.png

 

 Netzwerkteilnehmer.png

 

 

 

IP-Weiterleitung.png

 

 Portweiterleitungs-Setup.pngDDNS_Setup.pngVPN Setup.pngVPN_User_Privilegien.pngVPN_Status.png

Fehlermeldung_VPN.png

Port_Checks.png

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
Editiert
HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
L4stJudgment
Level 3
19 von 19

So Leute gute Neuigkeiten ! :smileyvery-happy:

Standardmässig unterstützt Windows (ab Vista) scheinbar kein L2TP wenn sich der VPN-Server hinter einem NAT-Gerät (Centro Grande zB.) befindet. Man muss den Regestry-Eintrag wie hier beschrieben: 

http://support.microsoft.com/kb/926179/de hinzufügen.

 

DWORD-Wert auf "zwei" (dezimal) stellen ! 

Mein Fehler war anfangs den Wert auf "eins" zu stellen
"Der Wert 1 konfiguriert Windows, so dass es Sicherheitszuordnungen mit Servern einrichten kann, die sich hinter NAT-Geräten befinden."
was sich ja eig. richtig anhört, verlangt wird jedoch der wert "zwei".

Okay egal... Windows und seine, ja umschreiben wir es als Finessen :smileywink:

 

Problem gelöst 😄
Danke für die Hilfreichen Tipps, durch euch konnte ich mich Stück für Stück weiter nach vorne Arbeiten und mehrere Sachen ausschliessen.

 

Hoffe der Beitrag kann einmal einem anderem User behilflich sein.

Danke nochmals an die Community !

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
18 Kommentare 18
POGO 1104
Super User
2 von 19

@L4stJudgment 

 

welche Firmware hat dein Router?

Weil der DHCP Bereich von 33-63 zeigt, dass du eine veraltete Firmware hast.

Bei aktueller Firmware ist der DHCP Bereich ab 101

Die aktuellste für den CG Motorola ist die 9.0.10h2d8. kanst du hier downloaden:

http://www.swisscom.ch/de/privatkunden/hilfe/downloads/inhalt/internet/centro-grande.html

nach der Installation unbedingt den Router zurücksetzen auf Werkseinstellungen via GUI !

 

Bezüglich NAS Zugriff von aussen siehe:

http://www.tuxone.ch/2013/04/improve-nas-security-synology.html

 

Gruss, POGO 1104

keep on rockin'
keep on rockin'
L4stJudgment
Level 3
3 von 19

Hallo Pogo,

 

Danke für die schnelle Antwort 😄

Aktuelle Firmware ist: 9.0.7h3d2
Werde gleich mal aktualisieren und Testen.

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
L4stJudgment
Level 3
4 von 19
Firmware wurde auf 9.0.10h2d8 updated.
Werkseinstellungen per Web-GUI ebenfalls durchgeführt.
Portforwarding und NAT-Einstellungen wurden wieder vorgenommen.

Habe die Ports mal geprüft... leider gleiches Bild.
5000 - OK
500 - gesperrt
1701 - gesperrt
4500 - gesperrt
trotz Portforwarding.

Fehlerbild am Client ist jetzt auch ein neues:

Fehler "789": Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.

Sprich: Der Handschake bzw. auth vom preshared-key schlägt Fehl ? oder liege ich falsch ?
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
PowerMac
Super User
5 von 19

Solche Portchecker machen in aller Regel nur Aussagen zu offenen TCP-Ports. Da die hier verwendeten VPN-Protokolle aber alle über UDP laufen, sagen die Resultate nicht allzu viel aus. Bei Problemen mit VPN muss man leider meistens recht tief in die Trickkiste greifen, mit Tools wie Wireshark.

Hast du schon überlegt, statt L2TP OpenVPN zu verwenden?

have you tried turning it off and on again?
have you tried turning it off and on again?
L4stJudgment
Level 3
6 von 19

Morgen Power Mac, 

 

Bis ein wahrer Frühaufsteher :smileyvery-happy: danke für die Antwort.

 

Okay das mit dem Port-Checker wusste ich nicht, good to know. Manchmal ist es besser ein voll Leihe zu sein wie ein "halb-Leihe" da man sonst dinge falsch annimmt. Man lernt nie aus 😉

 

Ja open-VPN käme für mich persönlich in Frage hatte es auch schon probiert und klappte soweit. (Damals mit einer QNAP 219p-II). Da es aber auch für meine Kollegen und Verwandte ausserhalb meiner "erreichbarkeit" verwendet werden soll, muss es eine Windows-integrierte Lösung sein.

Kann ihnen nicht zumuten den Open-VPN Client zu installieren und einen Auto-Start Batch-Script zu erstellen. Vorallem weil bei einem autom. Login mit Open-VPN man die User-ID's und Passwort in der Batch-Datei speichern müsste (Thema-Sicherheit). 
Möchte eine möglichst sichere Lösung haben die nicht so einfach auszulesen ist wenn jetzt wer auf einen dieser Clients zugriff erlangen sollte. Klar ist mir bewusst dass auch l2tp/ipsec mit einem Zugriff auf einem der Clients mit etwas know-how geknackt werden kann, aber die Hürde ist hier grösser wie wenn alle Angaben als Reintext im batch-script liegen.

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
corbendallas
Level 3
7 von 19

Wie greife ich drauf zu:
- Windows 8.1 Laptop verbunden mit UMTS-Hotspot (Handy)

 

Wie sieht es mit einer "normalen" Verbindung über einen DSL Router aus? Auch kein Zugriff? Dann gabs auch in der Vergangenheit gewisse Probleme mit dem Centro und IPSec. Aber ich denke, dass dies nicht mehr aktuell ist oder gibt es andere User die mit der gleichen FW auch keine IPSec Verbindung zustande bringen?

PowerMac
Super User
8 von 19

Ist schon länger her, seit ich das letzte Mal ein Windows-L2TP-VPN aufgesetzt habe. Da die Windows-Fehlermeldungen wie gewohnt wenig aussagekräftig sind, kommt man bei der Fehlersuche mit einem Packetsniffer (eben z.B. Wireshark) deutlich weiter. Wenn du diesen installiert hast, dann...

  1. Verbindest du dich mit einem öffentlichen Netzwerk
  2. Startest du einen Trace, gefiltert nach der öffentlichen IP deines Routers
  3. Startest du einen VPN-Verbindungsversuch

Der Output sollte den IPsec-Verbindungsaufbau in 2 Phasen darstellen. Die Details weiss ich jetzt gerade nicht mehr aus dem Kopf, aber evt. sieht man aus dem Wireshark-Output schon heraus wo es "klemmt", z.B. wenn von der Gegenstelle keine Pakete kommen.

 

Nachtrag: ich würde dir wärmstens raten, die Einstellung "NAT Standard" wieder rauszunehmen, da du die Synology so ziemlich ungeschützt dem Internet aussetzt. Mit korrekt eingestellten Portforwardings wirst du auch ein funktionierendes VPN hinkriegen.

have you tried turning it off and on again?
have you tried turning it off and on again?
Editiert
L4stJudgment
Level 3
9 von 19

Hallo corbendallas

 

Muss schauen ob ich von der Firma aus mal testen darf, wird aber schwer werden (strenge IT-Richtlinien).
Ansonsten muss ich mal kurz bei nem Freund über TeamViewer oder direkt vorbei gehen und VPN Verbindung so mal testen.

Melde mich wieder wenn ich den Versuch über einen "normalen" Anschluss getestet habe.


--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
L4stJudgment
Level 3
10 von 19

NAT Standart wurde nur "kurz" aktiviert um sicherzustellen dass der VPN-Service funktioniert. Portweiterleitungen und Dienste werden wenn der Service läuft auf ein minium reduziert. Auf der NAS sind zurzeit auch keine Daten (wurden Offline abgelegt). Aber danke für den Hinweis :smileyhappy:

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
L4stJudgment
Level 3
11 von 19

UPDATE:

 

Darf vom Firmennetzwerk keine VPN Verbindung auf mein NAS testen, was verständlich ist. Machbar wäre es aber die Admins haben grad leider keine Zeit.

So hab nun versucht die Verbindung NUR vom Handy aus herzustellen... siehe da es klappt :smileyvery-happy:

 

Screenshot_2014-07-25-09-47-10.png

 

Zugriff auf die Ordner über ES-Datei Explorer funktioniert ebenfalls.


 

 

So das heisst jetzt das mein Client-Setup am Laptop nicht korrekt ist :smileyfrustrated:, oder ist meine Schlussfolgerung falsch ?

 

Also hier folgend meine Einstellungen der VPN-Verbindung am Client:

 

VPN_Domain.JPG

 

Hostname: wie zb "abcdefg.hijklmn.me" (Ohne Anführungszeichen)

 

 

 

VPN_Preshared_Key.JPG

 

Vorinstallierter Schlüssel = PreShared-Key welcher auf dem VPN-Server festgelegt wurde.

 

 

 

Netzwerk_Optionen.JPG

 

Netzwerkverbindungen: IPV4 Standard-Gateway deaktiviert, Internet etc. soll weiter über den "am Platz" vorhandener Gateway laufen. 

 

 

 

Was mach ich falsch ? 😞

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
corbendallas
Level 3
12 von 19

Ich vermute, dass über UMTS gewisse Firewalls blockieren resp. ich hatte da mal was gehört (bin aber nicht 100% sicher)...

L4stJudgment
Level 3
13 von 19
Also du meinst dass die Windows Firewall auf UMTS blockiert ?
VPN-Server bis zu UMTS-Hotspot wird alles weiter gereicht und dann von Hotspot auf Client macht die Win-Firewall zu ?
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
corbendallas
Level 3
14 von 19

Nein. Es gibt div. Firewalls im Swisscom Netz, die evt. etwas damit zu tun haben könnten. Aber ich kenn mich da zuwenig aus mit dem ganzen technischen Kram im Swisscom Netz.

 

Die Lösung bei einem Freund war dann diese:

http://www.swisscom.com/solutions/de/start/loesungen/security/identity-and-access-security/secure-ac... 

L4stJudgment
Level 3
15 von 19
Ja aber das wäre eine kostenpflichtige Lösung nicht ?
Den VPN-Server habe ich ja eig. schon auf dem NAS brauche nicht extra einen VPN-Service von der Swisscom wenn ich selber eins bereitstelle.

Und wenn die Swisscom intern gewisse VPN-Ports oder kA was alles sperrt müsste das ja eig auch nicht über Mobile machbar sein. Was bei mir aber soweit klappte. Anbieter ist auch beim Mobile Swisscom.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
hohlst
Level 1
16 von 19

L2TP funktioniert definitiv übers Mobile Netz, das hast du ja auch schon festgestellt. Es gibt zwar eine zentrale NAT Box, die erlaubt aber explizit L2TP.

Du solltest bedenken das dein Handy im Hotspot Modus auch nochmal NATen muss... L2TP stellt an NAT Geräte spezielle Anforderungen (Stichwort ALG [Application Layer Gateway]). Würdest du an deinem Laptop ein UMTS Stick direkt einstecken, wärst du gleich weit wie direkt mit dem Handy und es sollte funktionieren, sofern alles korrekt konfiguriert ist. Ich hab leider beim Hotspot via Android/WM keine Ahnung, besitze nur ein iPhone.

 

Hoffe das hilft dir weiter. Gruss

Editiert
L4stJudgment
Level 3
17 von 19

UPDATE:

 

- Zugriff über UMTS-Handy (Android) --> OK

- Zugriff über UMTS-Handy (iOS) --> OK

- Zugriff über UMTS-Hotspot und Laptop --> funktioniert nicht
- Zugriff über anderen Internetanschluss --> funktioniert nicht

Also der gemeinsame Nenner ist Windows... sprich die Konfiguration am Windows-Client müsste falsch sein wenn ich über Mobile-Betriebssysteme drauf komme aber an einem Windows Client keine Verbindung herstellen kann.

 

Aber ich kann mir nicht vorstellen was ich falsch eingestellt habe (siehe Screenshots in den vorherigen Posts).

 

Bitte um hilfe, könnte mir die Haare ausreissen :smileymad:

 

Wünsche trotzdem euch allen einen schönen Tag :smileyvery-happy:

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
L4stJudgment
Level 3
18 von 19

UPDATE 2:

Anpingen des VPN-Servers funktioniert ebenfalls von allen Netzen, intern, UMTS, Arbeit, sowie von einem einem anderem internet Anschluss aus. 

Verbindung direkt mit Handy klappt. 

 

Dieses Tutorial brachte auch keine besserung:

http://support.microsoft.com/kb/926179/de

 

Man man man... 
Wenn irgend wer nen Tipp hat wäre ich sehr dankbar darüber.

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
L4stJudgment
Level 3
19 von 19

So Leute gute Neuigkeiten ! :smileyvery-happy:

Standardmässig unterstützt Windows (ab Vista) scheinbar kein L2TP wenn sich der VPN-Server hinter einem NAT-Gerät (Centro Grande zB.) befindet. Man muss den Regestry-Eintrag wie hier beschrieben: 

http://support.microsoft.com/kb/926179/de hinzufügen.

 

DWORD-Wert auf "zwei" (dezimal) stellen ! 

Mein Fehler war anfangs den Wert auf "eins" zu stellen
"Der Wert 1 konfiguriert Windows, so dass es Sicherheitszuordnungen mit Servern einrichten kann, die sich hinter NAT-Geräten befinden."
was sich ja eig. richtig anhört, verlangt wird jedoch der wert "zwei".

Okay egal... Windows und seine, ja umschreiben wir es als Finessen :smileywink:

 

Problem gelöst 😄
Danke für die Hilfreichen Tipps, durch euch konnte ich mich Stück für Stück weiter nach vorne Arbeiten und mehrere Sachen ausschliessen.

 

Hoffe der Beitrag kann einmal einem anderem User behilflich sein.

Danke nochmals an die Community !

--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
--- SIGNATURE ---
Wir hatten eine Steinzeit, Bronzezeit, Eisenzeit. Und wenn nicht alles täuscht, stehen wir schon mitten drin in der Siliziumzeit.
Nach oben