DSM 4.3 Beta - VPN over IPsec/L2TP

[catweazle71]

Hallo Gemeinde ;-)

Ich habe mir natürlich sofort die Beta installiert, ich mein mit den Beta's von Synology gab es bei mir nie Probleme. So auch dieses Mal nicht, das vorweg.

Aber ich wollte unbedingt die neue IPsec-Unterstützung testen, um per Android Phone von "draußen" auf mein Netz zuzugreifen. Und, ich wollte den VPN Zugriff über die FritzBox loswerden, da die Config da nie richtig gut funktioniert hat.

Ich also erst mal VPN auf der Fritz gelöscht und auf meiner DS412+ eingerichtet.



Dann einen entsprechenden VPN Client für Android gesucht. Bisher hatte ich VPNcilla, also erst mal mit dem probiert. Kurz gesagt ich bekomme gerade weder mit dem noch mit strongSWAN oder NCP VPN Client eine Verbindung hin. Sowohl auf der Fritz als auch auf der DS sind die Ports 1701, 500 und 4500 (UDP) freigeschaltet. Versuchsweise habe ich auf der Fritz noch ESP an die DS weitergeleitet, was aber eigentlich getunnelt werden müsste über Port 500 (glaub ich). Im Moment bin ich ziemlich ratlos, was ich falsch mache???? Oder ist der VPN Server noch buggy???

Irgendwer Erfahrungen?

 

[P4ddy]

Firewall in der Synology aktiv?

wenn ja deaktiviere sie mal ganz, Synology bugt gerne mal rum wenn es um die Firewall geht.

 

[raymond]

Firewall in der Synology aktiv?

wenn ja deaktiviere sie mal ganz, Synology bugt gerne mal rum wenn es um die Firewall geht.

Firewall ist auch nicht wirklich das Spezialgebiet einer NAS. Um etwas technisch zu werden: iptables ist auf der NAS auch etwas alt (Paket von 2008), worüber dies geregelt wird. Firewall Einstellungen gehören für mich eher beim Router angesiedelt.

 

[sloff]

@catweazle71: Bei mir läuft die DS411slim mit VPN Center auf OpenVPN (schon länger) und L2TP/IPSec (seit gestern Nacht).
OpenVPN funktioniert mit Windows Vista, Windows 7 und Android.
L2TP bekomme ich nur mit dem Android SmartPhone zum Laufen. Windows 7 weigert sich. Das hatte ich ähnlich mit PPTP erlebt und dann aufgegeben.
Ich habe im Wesentlichen folgenden Setup realisiert:
Meine DS hat die LAN-Adresse 192.168.2.2, der Router 192.168.2.1. Ich nutze den DDNS Service von Synology.
OpenVPN vergibt den Adressbereich 192.168.5.0, L2TP den Adressbereich 192.168.6.0 -
@catweazle71: nur hierin unterscheidet sich der Setup meiner DS von Deiner.
Die wesentliche Arbeit hatte ich aber mit dem Router:
1) statische Routen für 192.168.5.0/255.255.255.0 und für 192.168.6.0/255.255.255.0 jeweils auf die DS unter 192.168.2.2
2) Portweiterleitung von Port 1194 (OpenVPN) auf die DS 192.168.2.2
3) Portweiterleitung der Ports 1701, 4500 und 500 ebenfalls auf die DS 192.168.2.2 (vermutlich ein Overkill, Port 500 könnte genügen)
4) Diese Ports sind auch in der Syno-Firewall freigegeben.

Zugriff vom WAN über die DDNS-Adresse der DiskStation. Für OpenVPN verwende ich OpenVPN Portable Client auf dem PC, und die (root-freie) OpenVPN Client App auf dem Android. Für L2TP habe ich jeweils die eingebauten Clients probiert.
Zum Login nutze ich das User-ID/Passwort eines DiskStation-Users (der die entsprechenden Privilegien in DSM erhalten hat). Bei OpenVPN natürlich noch das Client-Zertifikat, entsprechend bei L2TP einen Pre-shared Key.
Stand heute: OpenVPN funktioniert auf Windows und Android 4.2.1, L2TP nur auf Android.

Vielleicht hilfts Dir ja weiter...

 

[joku]

Im Moment bin ich ziemlich ratlos, was ich falsch mache????

Hallo, hast Du die IP Adresse 192.168.0.0 eingetragen ?
Welche IP hat Dein locales Netz ?
Locales Netz ungleich Tunnelnetz ungleich remote Netz.

Gruß Jo

 

[soerenwagneremden]

Hi,

mir geht es ähnlich wie catweazle71. der VPN-Server L2TP/IPSEC ist auf jeden fall richtig konfiguriert. Das kann man ja testen, indem man z.B. über das iPhone versucht sich über die interne IP mit dem VPN Server zu verbinden. Hier bekomme ich ne Verbindung - alles einwandfrei! Nur eben von extern nicht :-( - mit OpenVPN und PPTP funktioniert das im übrigen wunderbar von extern.

Ich nutze eine Fritzbox 7570 vDSL - die entsprechenden Ports sind natürlich freigegeben. Kann es sein, dass die Fritzbox die L2TP/IPSEC Verbindungen nicht durchlässt, da sie ja selbst einen integrierten IPSEC-Server hat?!

Viele Grüße

 

[fpo4711]

Hallo,

das Problem ist die Fritzbox. Versuch wäre bestehende importierte VPN Verbindungen zu löschen. Zum Test kann auch "Exposed Host" genutzt werden. Wer nicht weiß was das ist, Finger weg!

Gruß Frank

 

[soerenwagneremden]

Hallo,

das Problem ist die Fritzbox. Versuch wäre bestehende importierte VPN Verbindungen zu löschen.

verdammt, das hatte ich schon befürchtet. Problem ist, dass ich auf eine alte Buffallo Linkstation an einem anderen Standort sichere. Das heißt meine Fritzbox ist per VPN mit einer anderen Fritzbox gekoppelt. Lösche ich die VPN-Profile kann ich kein Remote-Backup mehr fahren :-(

Dann versuche ich mich mal mit dem Exposed Host.

merci!

 

[soerenwagneremden]

Dann versuche ich mich mal mit dem Exposed Host.

Exposed Host klappt leider auch nicht :-( - dann muss ich wohl mal die VPN-Profile rausschmeißen. Ich berichte wieder vom Ergebnis.

LG

 

[fpo4711]

Hallo Soeren,

es hat mich mal gereizt und deshalb hab ich das mal selbst probiert. Ich habe nämlich auch einen gefrizten Speedport. Bei mir sind nie VPN-Profile vorhanden gewesen. Und es funktioniert auch so wie es soll über die 7570 (Firmware-Version 75.04.90). Hier sind erwartungsgemäß dann nur die UDP Weiterleitungen 500,1701,4500 nötig. Spielt mit einem iPhone als Client wunderbar.

Bei allen anderen Routern könnte vieleicht das hier helfen, jedenfalls als Trost.

Gruß Frank

 

[Quertz]

bei allen anderen routern könnte vieleicht das hier helfen, jedenfalls als trost. :d

 

[fpo4711]

Und wer keine Herrausforderungen hat, sucht sich welche. Nach dem ich vom iPhone und mac die Verbindung aufbauen konnte wunderte ich mich ein wenig darüber das Windows7 rumzickte. Nach einiger Zeit fand ich dann folgende Lösung:

Hier ist folgender Schlüssel in der Registry anzulegen. Unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

den Schlüssel AssumeUDPEncapsulationContextOnSendRule als DWORD 32 anlegen.

Dann doppelt anklickken und den Wert 2 eingeben. Reboot nicht vergessen.

Hier der passende Artikel dazu von den Spaßvögeln aus Redmond.

Gruß Frank

 

[soerenwagneremden]

Und es funktioniert auch so wie es soll über die 7570 (Firmware-Version 75.04.90). Hier sind erwartungsgemäß dann nur die UDP Weiterleitungen 500,1701,4500 nötig. Spielt mit einem iPhone als Client wunderbar.

Bei allen anderen Routern könnte vieleicht das hier helfen, jedenfalls als Trost.

Juchee - Danke für die Info!

Sehr geiles Video ;-)

 

[soerenwagneremden]

Und wer keine Herrausforderungen hat, sucht sich welche. Nach dem ich vom iPhone und mac die Verbindung aufbauen konnte wunderte ich mich ein wenig darüber das Windows7 rumzickte. Nach einiger Zeit fand ich dann folgende Lösung:

auch hierfür - vielen Dank!!!

Gilt wahrscheinlich auch für Windows 8?

 

[sloff]

@fpo4711: DANKE!! Der Hinweis hat bei mir die Verbindung zwischen Windows 7 und DiskStation über 2 x NAT zustande gebracht.
Ich kann nun die DS unter ihrer VPN-Adresse ansprechen, aber nicht unter ihrer LAN-Adresse (trotz static route und port forwarding). Ebenso natürlich kein Zugriff auf andere Services im LAN über VPN.
Unter Android funktioniert zumindest der Zugriff auf die DS Services unter der lokalen Adresse, nachdem erstmal die VPN-Verbindung steht.
Mit OpenVPN habe ich alle diese Zugriffsmöglichkeiten am Laufen.
Ich nutze allerdings weder in OpenVPN noch in L2TP/IPSec den "Gateway on Remote Network".

 

[fpo4711]

@sloff
Bin mir nicht sicher ob das von Dir eine Frage oder Feststellung sein sollte.
Auf jeden Fall ist richtig das bei der Nutzung von openVPN die Routen automatisch zum Server-Subnetz gesetzt werden. Schön komfortabel.
Bei PPTP und L2TP mußt Du diese manuell setzen wenn Du nicht das Standardgateway auf den Tunnel legst. Wenn Du die Route gesetzt hast, dann ist auch der Zugriff auf das Server-Subnet möglich. Zusätzliche Portweiterleitung (ausser denen für VPN) sind nicht nötig.

Gruß Frank

 

[sloff]

@fpo4711: Nochmal Vielen Dank! Mit route add (z.B. als Batch Script auf der Windows 7 Maschine, handgestartet) funktioniert der Zugriff auf das LAN über L2TP/IPSec nun auch unter Windows 7. Der eingebaute Android-VPN-Client scheint den Remote Gateway zu nutzen - ich kann mich jedenfalls nicht erinnern, eine Option zur Abschaltung gesehen zu haben.
Gruß Stefan

 

[catweazle71]

Nochmal ne Frage von mir dazu, bei mir läuft es zwischen Android und DS (L2TP/IPsec) über Fritz immer noch nicht.

Heißt das, ich muss zwingend in der Fritz statische Routen setzen? Obwohl das Port Forwarding den Verkehr schon zur DS leitet?

Die Route müsste dann vom VPN-Subnetz zum LAN-Subnetz gehen, richtig?

Falls jemand mal Lust hat, könnte er vielleicht mal genau aufschreiben, welche Konfiguration z.B. im Android VPN Client erforderlich ist.
Name=<beliebig>
Typ=L2TP/IPsec PSK
Serveradresse=<DDNS des Servers, bei mir ist das animus.mydsnet.eu>
L2TP-Schlüssel=??? ist das der PSK ???
IPsec ID= ???
Vorinstallierter IPsec-Schlüssel = ??? oder ist das der PSK ???
Erweiterte Optionen = ???

 

[sloff]

Name=<beliebig>
Typ=L2TP/IPsec PSK
Serveradresse=<DDNS des Servers>
L2TP-Schlüssel= nicht verwendet
IPsec ID= nicht verwendet
Vorinstallierter IPsec-Schlüssel = das ist der PSK
Erweiterte Optionen = sind bei mir alle nicht verwendet

Ich habe in der Tat eine statische Route im DSL-Router eingerichtet, um unter der LAN-Adresse auf meine DS zugreifen zu können. Bei Netgear gibt man den Adressbereich ein, z.B. bei mir 192.168.6.0 mit Maske 255.255.255.0 und als Gateway die LAN-Adresse der DS, bei mir 192.168.2.2.
Viel Glück, Stefan