DSM 6.x und darunter DS218play als VPN-Client eines Draytek-Routers einrichten

[SHCSHC]

Hallo zusammen,

bitte verschiebt das Thema gerne in ein anderes Unterforum, falls ich eine falsche Auswahl getroffen habe.

Ich versuche seit einigen Tagen eine Synology DS (DS218play oder DS416) als VPN-Client bei einem Draytek-Router anzumelden. Hierfür verwende ich L2TP mit IPsec, da der Draytek-Router kein OpenVPN unterstützt.
Leider kommt bislang keine Verbindung zustande. Andere Geräte (iPhone, iPad, MacBookPro) können problemlos eine Verbindung herstellen.

Gibt es hier Erfahrungen mit dieser Konstellation? Ich würde mich gerne mit jemandem austauschen, der erfolgreich eine Verbindung aufgebaut hat.

Die Verbindung sieht wie folgt aus:

Draytek 2925 <--> FritzBox mit DynDNS <--> VPN-Client
- Die nötigen Ports sind auf der FB frei gegeben
- Andere VPN-Verbindungen funktionieren problemlos


Testweise habe ich eine der externen DS auch schon ins interne LAN gehängt und die IPv4-Adresse als Ziel angegeben - das funktioniert leider auch nicht (mit den anderen Geräten problemlos möglich).

Settings Draytek (der Pre-Shared Key wird auf einer anderen Seite generiert)



Settings DS218play



Ich bin für jeden Rat dankbar!
SHC

 

[ikorbln]

Hallo,

Setz mal noch das Häkchen bei IPsec-Tunnel und stelle beim L2TP von "Must" auf die nächste Stufe (mir fällt gerade die Bezeichnung nicht ein.
Ansonsten habe ich keine guten Erfahrungen mit dieser Art der Verbindung gemacht, weder mit Synology-VPN-Client noch mit QNAP-VPN-Client.
Immer wieder sind die Tunnel nicht aufgebaut worden, ich habe es dann abgebaut.

 

[SHCSHC]

Hallo,

vielen Dank für Deine Hilfe und Tips!

Ich habe beides ausprobiert. Sowohl den IPsec-Tunnel an/ausgeschaltet und bei L2TP auf "nice to have" und auch "none". Beides hat leider nicht zum Erfolg geführt. Die Anfrage kommt definitiv beim Router an, die werden sich aber irgendwie nicht einig.

Während eines Verbindungs-Versuchs habe ich auf beiden Seiten das Log mitgeschrieben. Weiß einer von Euch, woran die Verbindung scheitert? Meine Kenntnisse reichen dafür nicht aus:


Log der DS218 (Leserichtung von oben nach unten)
----------------------
2019-03-26T19:29:13+01:00 DS218play gateway_change hook event: NEW 0.0.0.0 on eth0
2019-03-26T19:29:13+01:00 DS218play ipsec_setup: Starting Openswan IPsec U2.6.46/K4.4.59+...
2019-03-26T19:29:13+01:00 DS218play ipsec_setup: Using NETKEY(XFRM) stack
2019-03-26T19:29:14+01:00 DS218play ipsec_setup: ...Openswan IPsec started
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: adjusting ipsec.d to /etc/ipsec.d
2019-03-26T19:29:14+01:00 DS218play pluto: adjusting ipsec.d to /etc/ipsec.d
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: Labelled IPsec not enabled; value 32001 ignored.
2019-03-26T19:29:14+01:00 DS218play pluto: Labelled IPsec not enabled; value 32001 ignored.
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 adding connection: "L2TP-PSK-CLIENT"
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 listening for IKE messages
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 adding interface eth0/eth0 192.168.1.10:500
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 adding interface eth0/eth0 192.168.1.10:4500
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 adding interface lo/lo 127.0.0.1:500
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 adding interface lo/lo 127.0.0.1:4500
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 adding interface lo/lo ::1:500
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 loading secrets from "/etc/ipsec.secrets"
2019-03-26T19:29:14+01:00 DS218play ipsec__plutorun: 002 SYNO: IPSEC ready.
2019-03-26T19:29:53+01:00 DS218play synovpnc: connection.c:768 Wait 30 seconds; Failed to get net card info '' [0x0900 file_get_line.c:25]
2019-03-26T19:29:53+01:00 DS218play synovpnc: connection.c:866 /usr/syno/etc.defaults/synovpnclient/scripts/l2tpc.sh failed
2019-03-26T19:29:54+01:00 DS218play gateway_change hook event: DEL 0.0.0.0 on eth0
2019-03-26T19:29:55+01:00 DS218play ipsec_setup: Stopping Openswan IPsec...
2019-03-26T19:29:55+01:00 DS218play ipsec_setup: rmmod: ERROR: Module xfrm4_mode_transport is in use
2019-03-26T19:29:55+01:00 DS218play ipsec_setup: rmmod: ERROR: Module esp4 is in use
2019-03-26T19:29:58+01:00 DS218play ipsec_setup: ...Openswan IPsec stopped
2019-03-26T19:29:58+01:00 DS218play xl2tpd[32510]: death_handler: Fatal signal 15 received
2019-03-26T19:29:59+01:00 DS218play synovpnc: connection.c:1296 CreateL2TPConnection(l1553596455) failed
2019-03-26T19:29:59+01:00 DS218play synovpnc: synovpnc.c:376 VPN id 'l1553596455' is failed to create


Log des Draytek-Routers (Leserichtung von unten nach oben)
----------------------
"2019-03-26 19:29:18", "[L2TP][@192.168.1.10] IKE release: state wait_L2"
"2019-03-26 19:29:17", "L2TP <== Control(0xC802)-L-S Ver:2 Len:12, Tunnel ID:10, Session ID:0, Ns:4, Nr:4"
"2019-03-26 19:29:17", "L2TP <== Control(0xC802)-L-S Ver:2 Len:12, Tunnel ID:10, Session ID:8, Ns:4, Nr:3"
"2019-03-26 19:29:17", "L2TP ==> Control(0xC802)-L-S Ver:2 Len:38, Tunnel ID:22612, Session ID:0, Ns:3, Nr:4"
"2019-03-26 19:29:17", "L2TP ==> Control(0xC802)-L-S Ver:2 Len:38, Tunnel ID:22612, Session ID:35961, Ns:2, Nr:4"
"2019-03-26 19:29:17", "[L2TP][@192.168.1.10] pppShutdown "
"2019-03-26 19:29:17", "L2TP <== Control(0xC802)-L-S Ver:2 Len:50, Tunnel ID:10, Session ID:8, Ns:3, Nr:2"
"2019-03-26 19:29:17", "L2TP ==> Control(0xC802)-L-S Ver:2 Len:28, Tunnel ID:22612, Session ID:35961, Ns:1, Nr:3"
"2019-03-26 19:29:17", "L2TP <== Control(0xC802)-L-S Ver:2 Len:48, Tunnel ID:10, Session ID:0, Ns:2, Nr:1"
"2019-03-26 19:29:17", "L2TP <== Control(0xC802)-L-S Ver:2 Len:20, Tunnel ID:10, Session ID:0, Ns:1, Nr:1"
"2019-03-26 19:29:17", "L2TP ==> Control(0xC802)-L-S Ver:2 Len:104, Tunnel ID:22612, Session ID:0, Ns:0, Nr:1"
"2019-03-26 19:29:17", "L2TP <== Control(0xC802)-L-S Ver:2 Len:106, Tunnel ID:0, Session ID:0, Ns:0, Nr:0"
"2019-03-26 19:29:14", "IPsec SA established with 192.168.1.10. In/Out Index: 66/0"
"2019-03-26 19:29:14", "IPsec SA #9 will be replaced after 23925 seconds"
"2019-03-26 19:29:14", "IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x20, Message ID = 0x68f27541"
"2019-03-26 19:29:14", "IKE ==>, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x20, Message ID = 0x68f27541"
"2019-03-26 19:29:14", "Responding to Quick Mode from 192.168.1.10"
"2019-03-26 19:29:14", "[IPSEC/IKE][Local][66:-][@192.168.1.10] quick_inI1_outR1: match network"
"2019-03-26 19:29:14", "Receive client L2L remote network setting is 192.168.1.2/32"
"2019-03-26 19:29:14", "Accept ESP prorosal ENCR ESP_AES, HASH AUTH_ALGORITHM_HMAC_SHA1 "
"2019-03-26 19:29:14", "IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x20, Message ID = 0x68f27541"
"2019-03-26 19:29:14", "sent MR3, ISAKMP SA established with 192.168.1.10. In/Out Index: 66/0"
"2019-03-26 19:29:14", "IKE ==>, Next Payload=ISAKMP_NEXT_ID, Exchange Type = 0x2, Message ID = 0x0"
"2019-03-26 19:29:14", "IKE <==, Next Payload=ISAKMP_NEXT_ID, Exchange Type = 0x2, Message ID = 0x0"
"2019-03-26 19:29:14", "IKE ==>, Next Payload=ISAKMP_NEXT_KE, Exchange Type = 0x2, Message ID = 0x0"
"2019-03-26 19:29:14", "Matching General Setup key for dynamic ip client..."
"2019-03-26 19:29:14", "NAT-Traversal: Using RFC 3947, no NAT detected"
"2019-03-26 19:29:14", "IKE <==, Next Payload=ISAKMP_NEXT_KE, Exchange Type = 0x2, Message ID = 0x0"
"2019-03-26 19:29:14", "IKE ==>, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x2, Message ID = 0x0"
"2019-03-26 19:29:14", "Accept Phase1 prorosals : ENCR OAKLEY_AES_CBC, HASH OAKLEY_SHA "
"2019-03-26 19:29:14", "Matching General Setup key for dynamic ip client..."
"2019-03-26 19:29:14", "Responding to Main Mode from 192.168.1.10"
"2019-03-26 19:29:14", "IKE <==, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x2, Message ID = 0x0"


Andere Geräte können problemlos eine VPN-Verbindung herstellen.

Vielen Dank für Eure Hilfe,
SHC

 

[siza2503]

Hallo,

hat sich zwischenzeitlich eine Lösung für das Problem ergeben? Ich scheitere aktuell nämlich auch daran, von einer DS, die an einem Remote-Standort steht, eine Verbindung zu meinem Draytek Router herzustellen. Mit anderen Geräten ist es ohne Probleme möglich.

Viele Grüße
Simon

 

[servilianus]

ich habe selbst draytek vigor router hinter fritzboxen. An den Vigors dann Synologies. Die Vigor Router sind meine VPN-Server, auf die ich dann von ausserhalb zugreife - und darüber dann mit der internen Lan-IP auf meine Synos. Warum willst Du überhaupt die Synologies als „VPN-client“ an den Vigor-Routern „anmelden“? Die Vigor-Router erstellen doch schon eine Vpn-Verbindung, mit der man dann doch problemlos auf die Syno (oder andere Geräte im Netzwerk) zugreifen kann...

 

[siza2503]

Hallo,

ich habe mal schematisch dargestellt, wie die Situation derzeit aussieht.




Auf der rechten Seite ist der Teil zu sehen, der an einem Remote-Standort bei einem Bekannten steht. Auf die Fritzbox habe ich keinen Zugriff, derzeit ist ein Zugriff auf das WebInterface der Backup DiskStation möglich.
Ich möchte nun auf dem Draytek Router einen VPN-Server betreiben, an dem sich die Backup DS als VPN Client anmelden kann, und eine IP aus dem Netz link (10.0.1.0/24) bekommt. Mit einem iPhone gelingt das auch und ich kann alle Geräte im Netzwerk links über ihre interne IP erreichen. Mit der DiskStation rechts bekomme ich aber keine Verbindung.

 

[NSFH]

Was ist das für ein Konstrukt????
In der Synology richtest du kein VPN ein! Die betreibe weiter so wie im lokalen LAN.
Die Verbindung baust du vom VPN Client auf deinem PC via Internet auf den Draytek auf, in dem du dich identifizieren musst. (Kannst du auch mit RADIUS im Draytek mit Verbindung zur Nutzerliste in der DS realisieren)
Steht die Verbindung loggst du dicvh in die DS ein als wärst du im lokalen LAN.
Das du schreibst alle anderen VPN Verbindungen funbktionieren errzeugt bei mir nur Fragezeichen welche das denn wohl sein könnten?

Warum nutzt du nicht den VPN Client von Draytek und damit eine sicherere VPN Verbindung? zB SSL-VPN geht über Port 443 und du musst keine zusätzlichen Ports im Router öffnen!

PS: Gerade die überlappende Antwort gelesen. Nicht sinnig ist die Fritz in dem Konstrukt, dass ist die absolute Tempobremse! Wegen der Fritz kannst du dann auch kein SSL-VPN nutzen.

 

[siza2503]

Sorry, das Konstrukt soll dazu dienen, dass einmal nachts ein Backup von meiner NAS auf die Backup-NAS durchgeführt wird. Da diese Daten über Internet laufen, möchte ich sie per VPN absichern.

 

[siza2503]

PS: Gerade die überlappende Antwort gelesen. Nicht sinnig ist die Fritz in dem Konstrukt, dass ist die absolute Tempobremse! Wegen der Fritz kannst du dann auch kein SSL-VPN nutzen.

Zwischen dem Vigor und der Fritzbox ist Internet und ca. 400KM.

 

[NSFH]

Ich meinte mehr Draytek als VPN Router und dahinter nochmalk die Synology mit VPN FUnktion. das macht keinen Sinn.
Was du willst ist eine site-2-site Verbindung. Die richtet man nur über die Router ein, nicht über die Clients.

 

[NSFH]

PS.: Das schöne bei Draytek ist, dass der Nutzersupport und die FAQ wirklich besispielhaft sind!
https://www.draytek.de/VPN-Draytek-Vigor-Router-zu-Fritzbox.html

 

[siza2503]

Ok, was ich aber noch nicht verstanden habe: warum kann ich mich mit einem iPhone aus dem Internet per VPN auf meinem Router verbinden, und das iPhone bekommt eine IP aus dem Bereich links und mit der DiskStation rechts funktioniert das nicht?
Ich will ja bewusst nicht beide Netze koppeln, da mich nicht interessiert was noch so in dem Netz rechts passiert und den Bekannten, der die DS bei sich beherbergt auch nicht angeht, was in meinem Netz links passiert.

 

[NSFH]

Ich weiss nicht, was du in der Diskstation rechts eingestellt hast. Beide DS sollten mit dem VPN nichts zu tun haben, das Regeln nur die beiden Router!
Gibst du dann rechts eine IP aus dem Draytek-Bereich ein, stellt die Fritz die Verbindung zum Draytek her und der Client bekommt eine IP aus dessen LAN.
Dass du dich im Draytek mit Clients anmelden kannst zeigt nur, dass der Router richtig konfiguriert wurde. Nach der Anmeldung bist du mit deinem Smartphone im LAN und kannst die 218 ansprechen als wärst du zu Hause.
Die Sicherheit erzeugst du, in dem du die Weiterleitung auf die DS auf feste IPs beschränkst und alles andere in der Firewall des Draytek verbietest.

 

[siza2503]

Dass du dich im Draytek mit Clients anmelden kannst zeigt nur, dass der Router richtig konfiguriert wurde. Nach der Anmeldung bist du mit deinem Smartphone im LAN und kannst die 218 ansprechen als wärst du zu Hause.

Sorry, wenn ich da irgendwie noch auf dem Schlauch stehe oder mich missverständlich ausdrücke. Genau das will ich eben auch mit der DS rechts machen - sie soll sich (wie es mit dem iPhone ja auch funktioniert) über das Internet per VPN an dem Vigor Router anmelden und eine private IP aus dem Bereich links bekommen. Dazu habe ich auf der DS rechts ein VPN Profil erstellt mit den Daten des Vigor Router (natürlich mit der Public IP des Vigor).










Während ich bei meinem iPhone sofort "online" bin, versucht die Diskstation erst ewig, eine Verbindung herzustellen, scheitert aber letztlich:

 

[NSFH]

Nur mal um Fehlerquellen rechts wie Firewall etc auszuschliessen: Hast du aus dem rechten LAN schon mal probiert eine VPN Verbindung mittels PC herzustellen?
Mal den Haken setzen bei Standard Gateway remote verwenden.

 

[siza2503]

Ich habe leider ausschließlich Zugriff auf die Synology und kann daher keine weiteren Tests im rechten LAN durchführen.
Da die Verbindungsrichtung ja "von rechts nach links" ist, war ich der Meinung, keine besonderen Freischaltungen in der FB zu brauchen (von der aktuellen Portfreischaltung für das DS Webinterface mal abgesehen).

 

[siza2503]

Nachtrag: wenn ich den Verbindungstyp auf PPTP ändere, kann ich mich auf dem Vigor anmelden... Nun ist das aber wg. fehlender Verschlüsselung auch keine echte Option...

 

[SHCSHC]

Hallo Simon,

ich habe mich sehr lange mit der Problematik auseinander gesetzt und auch die beiden Hersteller (Synology & Draytek) sowie das IT-Systemhaus Xtivate mit einbezogen. Mir ging es darum, dass sich eine entfernte Synology DS zu Backupzwecken bei einem Draytek-Router per VPN einwählt. Eine einfache Portfreigabe kam hierfür aus Sicherheitsgründen nicht in Frage.

Synology hat mir das Problem bestätigt und wollte sich zurück melden. Leider ist das auch nach sechs Monaten nicht passiert
Draytek konnte das Problem ebenfalls nachstellen aber nicht erklären. Die beiden Geräten verstehen sich schlicht nicht. Der Grund war nicht heraus zu finden

Xtivate hat sehr intensiv bei mir nach dem Problem gesucht und hatte Zugriff auf beide Geräte. Aber auch hier konnte nur bestätigt werden, dass es nicht funktioniert. Die von Xtivate vorgeschlagene Problemlösung funktioniert nun für meinen Fall: Der lokale Draytek-Router Vigor 2960 initiiert einen VPN-Tunnel zur entfernten FritzBox und somit kann die lokale DS ein Backup auf die an der FritzBox hängenden DS erstellen. Ab und an bricht der Tunnel zusammen aber in 9 von 10 Fällen kann ich das Backup problemlos durchführen.

DS416 --- Vigor2960 (VPN ->) --- FB7430 ----- ## Internet ## ---- FB 7430 --- DS218play


Melde Dich gerne, wenn Du hierzu Fragen hast. Die Konfiguration war nicht ganz einfach, ich habe sie aber dokumentiert.


@Servilianus: Ich verwende nur einen Draytek-Router, die entfernte DS hängt an einer normalen FritzBox.



Viele Grüße,
SHC

 

[SHCSHC]

Nachtrag: wenn ich den Verbindungstyp auf PPTP ändere, kann ich mich auf dem Vigor anmelden... Nun ist das aber wg. fehlender Verschlüsselung auch keine echte Option...

Das kann ich bestätigen. Wurde auch bei den Tests von Draytek und Synology bestätigt. PPTP geht, IPSec nicht.

 

[SHCSHC]

Ok, was ich aber noch nicht verstanden habe: warum kann ich mich mit einem iPhone aus dem Internet per VPN auf meinem Router verbinden, und das iPhone bekommt eine IP aus dem Bereich links und mit der DiskStation rechts funktioniert das nicht?
Ich will ja bewusst nicht beide Netze koppeln, da mich nicht interessiert was noch so in dem Netz rechts passiert und den Bekannten, der die DS bei sich beherbergt auch nicht angeht, was in meinem Netz links passiert.

Auch das kann ich bestätigten. Ich wähle mich mit drei iPhones und einem MacBook bei dem Draytek-Router ein. Die DS kann es aber leider nicht (wie gesagt, auch von Synology und Draytek bestätigt).