Hallo liebe Community
Habe zuhause einen NAS der intern soweit super läuft, würde aber gerne von aussen über VPN (l2tp/ipSec) zugreifen. Bin seit 4 Tagen am Rätselraten und schon verschiedenste Foren abgecklappert auch hier im SC-Forum. Folgende Ausgangslage:
Hardware:
- Centro Grande (Motorola)
- Synology DS214
Gemachte einstellungen:
- Synology DS mit fixer IP (ausserhalb des DHCP-Range)
- NAT-Einstellungen auf CG vorgenommen
- UDP Portweiterleitung von CG auf Synology DS
- DDNS Service auf Synology DS aktiviert (zugriff über; abcdef.ghijk.me:5000, funktioniert)
- VPN Server aktiviert
- User auf NAS mit Berechtigung angelegt (gleiche Userdaten werden auch für Anmeldung am VPN Client verwendet)
Wie greife ich drauf zu:
- Windows 8.1 Laptop verbunden mit UMTS-Hotspot (Handy)
VPN-Verbindungs-Einstellungen am Client:
- Hostname: DDNS-Adresse (abcdef.ghijk.me)
- Sicherheit: L2TP/ipSec (MS-CHAP v2), Preshared-Key ebnfalls korrekt eingegeben
- IPV4 Gateway: als Standard Gateway deaktiviert
Die UDP-Ports für VPN habe ich kontrolliert aber scheinen blockiert zu sein, trotz NAT-Freigabe und weiterleitung. (Siehe letztes Bild)
Weiss jetzt echt nicht mehr wo ich was falsch mache oder übersehe....
Bin am verzweifeln, bitte um hilfe...
Habe noch paar Screens gemacht vlt. sieht man da was, was ich schlicht übersehe.
So Leute gute Neuigkeiten ! :smileyvery-happy:
Standardmässig unterstützt Windows (ab Vista) scheinbar kein L2TP wenn sich der VPN-Server hinter einem NAT-Gerät (Centro Grande zB.) befindet. Man muss den Regestry-Eintrag wie hier beschrieben:
http://support.microsoft.com/kb/926179/de hinzufügen.
DWORD-Wert auf "zwei" (dezimal) stellen !
Mein Fehler war anfangs den Wert auf "eins" zu stellen
"Der Wert 1 konfiguriert Windows, so dass es Sicherheitszuordnungen mit Servern einrichten kann, die sich hinter NAT-Geräten befinden."
was sich ja eig. richtig anhört, verlangt wird jedoch der wert "zwei".
Okay egal... Windows und seine, ja umschreiben wir es als Finessen :smileywink:
Problem gelöst 😄
Danke für die Hilfreichen Tipps, durch euch konnte ich mich Stück für Stück weiter nach vorne Arbeiten und mehrere Sachen ausschliessen.
Hoffe der Beitrag kann einmal einem anderem User behilflich sein.
Danke nochmals an die Community !
welche Firmware hat dein Router?
Weil der DHCP Bereich von 33-63 zeigt, dass du eine veraltete Firmware hast.
Bei aktueller Firmware ist der DHCP Bereich ab 101
Die aktuellste für den CG Motorola ist die 9.0.10h2d8. kanst du hier downloaden:
http://www.swisscom.ch/de/privatkunden/hilfe/downloads/inhalt/internet/centro-grande.html
nach der Installation unbedingt den Router zurücksetzen auf Werkseinstellungen via GUI !
Bezüglich NAS Zugriff von aussen siehe:
http://www.tuxone.ch/2013/04/improve-nas-security-synology.html
Gruss, POGO 1104
Hallo Pogo,
Danke für die schnelle Antwort 😄
Aktuelle Firmware ist: 9.0.7h3d2
Werde gleich mal aktualisieren und Testen.
Solche Portchecker machen in aller Regel nur Aussagen zu offenen TCP-Ports. Da die hier verwendeten VPN-Protokolle aber alle über UDP laufen, sagen die Resultate nicht allzu viel aus. Bei Problemen mit VPN muss man leider meistens recht tief in die Trickkiste greifen, mit Tools wie Wireshark.
Hast du schon überlegt, statt L2TP OpenVPN zu verwenden?
Morgen Power Mac,
Bis ein wahrer Frühaufsteher :smileyvery-happy: danke für die Antwort.
Okay das mit dem Port-Checker wusste ich nicht, good to know. Manchmal ist es besser ein voll Leihe zu sein wie ein "halb-Leihe" da man sonst dinge falsch annimmt. Man lernt nie aus 😉
Ja open-VPN käme für mich persönlich in Frage hatte es auch schon probiert und klappte soweit. (Damals mit einer QNAP 219p-II). Da es aber auch für meine Kollegen und Verwandte ausserhalb meiner "erreichbarkeit" verwendet werden soll, muss es eine Windows-integrierte Lösung sein.
Kann ihnen nicht zumuten den Open-VPN Client zu installieren und einen Auto-Start Batch-Script zu erstellen. Vorallem weil bei einem autom. Login mit Open-VPN man die User-ID's und Passwort in der Batch-Datei speichern müsste (Thema-Sicherheit).
Möchte eine möglichst sichere Lösung haben die nicht so einfach auszulesen ist wenn jetzt wer auf einen dieser Clients zugriff erlangen sollte. Klar ist mir bewusst dass auch l2tp/ipsec mit einem Zugriff auf einem der Clients mit etwas know-how geknackt werden kann, aber die Hürde ist hier grösser wie wenn alle Angaben als Reintext im batch-script liegen.
Wie greife ich drauf zu:
- Windows 8.1 Laptop verbunden mit UMTS-Hotspot (Handy)
Wie sieht es mit einer "normalen" Verbindung über einen DSL Router aus? Auch kein Zugriff? Dann gabs auch in der Vergangenheit gewisse Probleme mit dem Centro und IPSec. Aber ich denke, dass dies nicht mehr aktuell ist oder gibt es andere User die mit der gleichen FW auch keine IPSec Verbindung zustande bringen?
Ist schon länger her, seit ich das letzte Mal ein Windows-L2TP-VPN aufgesetzt habe. Da die Windows-Fehlermeldungen wie gewohnt wenig aussagekräftig sind, kommt man bei der Fehlersuche mit einem Packetsniffer (eben z.B. Wireshark) deutlich weiter. Wenn du diesen installiert hast, dann...
Der Output sollte den IPsec-Verbindungsaufbau in 2 Phasen darstellen. Die Details weiss ich jetzt gerade nicht mehr aus dem Kopf, aber evt. sieht man aus dem Wireshark-Output schon heraus wo es "klemmt", z.B. wenn von der Gegenstelle keine Pakete kommen.
Nachtrag: ich würde dir wärmstens raten, die Einstellung "NAT Standard" wieder rauszunehmen, da du die Synology so ziemlich ungeschützt dem Internet aussetzt. Mit korrekt eingestellten Portforwardings wirst du auch ein funktionierendes VPN hinkriegen.
Hallo corbendallas
Muss schauen ob ich von der Firma aus mal testen darf, wird aber schwer werden (strenge IT-Richtlinien).
Ansonsten muss ich mal kurz bei nem Freund über TeamViewer oder direkt vorbei gehen und VPN Verbindung so mal testen.
Melde mich wieder wenn ich den Versuch über einen "normalen" Anschluss getestet habe.
NAT Standart wurde nur "kurz" aktiviert um sicherzustellen dass der VPN-Service funktioniert. Portweiterleitungen und Dienste werden wenn der Service läuft auf ein minium reduziert. Auf der NAS sind zurzeit auch keine Daten (wurden Offline abgelegt). Aber danke für den Hinweis :smileyhappy:
UPDATE:
Darf vom Firmennetzwerk keine VPN Verbindung auf mein NAS testen, was verständlich ist. Machbar wäre es aber die Admins haben grad leider keine Zeit.
So hab nun versucht die Verbindung NUR vom Handy aus herzustellen... siehe da es klappt :smileyvery-happy:
Zugriff auf die Ordner über ES-Datei Explorer funktioniert ebenfalls.
So das heisst jetzt das mein Client-Setup am Laptop nicht korrekt ist :smileyfrustrated:, oder ist meine Schlussfolgerung falsch ?
Also hier folgend meine Einstellungen der VPN-Verbindung am Client:
Hostname: wie zb "abcdefg.hijklmn.me" (Ohne Anführungszeichen)
Vorinstallierter Schlüssel = PreShared-Key welcher auf dem VPN-Server festgelegt wurde.
Netzwerkverbindungen: IPV4 Standard-Gateway deaktiviert, Internet etc. soll weiter über den "am Platz" vorhandener Gateway laufen.
Was mach ich falsch ? 😞
Ich vermute, dass über UMTS gewisse Firewalls blockieren resp. ich hatte da mal was gehört (bin aber nicht 100% sicher)...
Nein. Es gibt div. Firewalls im Swisscom Netz, die evt. etwas damit zu tun haben könnten. Aber ich kenn mich da zuwenig aus mit dem ganzen technischen Kram im Swisscom Netz.
Die Lösung bei einem Freund war dann diese:
L2TP funktioniert definitiv übers Mobile Netz, das hast du ja auch schon festgestellt. Es gibt zwar eine zentrale NAT Box, die erlaubt aber explizit L2TP.
Du solltest bedenken das dein Handy im Hotspot Modus auch nochmal NATen muss... L2TP stellt an NAT Geräte spezielle Anforderungen (Stichwort ALG [Application Layer Gateway]). Würdest du an deinem Laptop ein UMTS Stick direkt einstecken, wärst du gleich weit wie direkt mit dem Handy und es sollte funktionieren, sofern alles korrekt konfiguriert ist. Ich hab leider beim Hotspot via Android/WM keine Ahnung, besitze nur ein iPhone.
Hoffe das hilft dir weiter. Gruss
UPDATE:
- Zugriff über UMTS-Handy (Android) --> OK
- Zugriff über UMTS-Handy (iOS) --> OK
- Zugriff über UMTS-Hotspot und Laptop --> funktioniert nicht
- Zugriff über anderen Internetanschluss --> funktioniert nicht
Also der gemeinsame Nenner ist Windows... sprich die Konfiguration am Windows-Client müsste falsch sein wenn ich über Mobile-Betriebssysteme drauf komme aber an einem Windows Client keine Verbindung herstellen kann.
Aber ich kann mir nicht vorstellen was ich falsch eingestellt habe (siehe Screenshots in den vorherigen Posts).
Bitte um hilfe, könnte mir die Haare ausreissen :smileymad:
Wünsche trotzdem euch allen einen schönen Tag :smileyvery-happy:
UPDATE 2:
Anpingen des VPN-Servers funktioniert ebenfalls von allen Netzen, intern, UMTS, Arbeit, sowie von einem einem anderem internet Anschluss aus.
Verbindung direkt mit Handy klappt.
Dieses Tutorial brachte auch keine besserung:
http://support.microsoft.com/kb/926179/de
Man man man...
Wenn irgend wer nen Tipp hat wäre ich sehr dankbar darüber.
So Leute gute Neuigkeiten ! :smileyvery-happy:
Standardmässig unterstützt Windows (ab Vista) scheinbar kein L2TP wenn sich der VPN-Server hinter einem NAT-Gerät (Centro Grande zB.) befindet. Man muss den Regestry-Eintrag wie hier beschrieben:
http://support.microsoft.com/kb/926179/de hinzufügen.
DWORD-Wert auf "zwei" (dezimal) stellen !
Mein Fehler war anfangs den Wert auf "eins" zu stellen
"Der Wert 1 konfiguriert Windows, so dass es Sicherheitszuordnungen mit Servern einrichten kann, die sich hinter NAT-Geräten befinden."
was sich ja eig. richtig anhört, verlangt wird jedoch der wert "zwei".
Okay egal... Windows und seine, ja umschreiben wir es als Finessen :smileywink:
Problem gelöst 😄
Danke für die Hilfreichen Tipps, durch euch konnte ich mich Stück für Stück weiter nach vorne Arbeiten und mehrere Sachen ausschliessen.
Hoffe der Beitrag kann einmal einem anderem User behilflich sein.
Danke nochmals an die Community !