Internetverbindung über VPN-Server

[MikeM]

Ich möchte von einem unsicheren Netz über den VPN-Server auf meiner DS214+ ins Internet gehen.

Der VPN-Server ist installiert. Die VPN-Verbindung auf dem Client ist eingerichtet und funktioniert. Ich kann problemlos auf mein Heimnetzwerk zugreifen und komme auch mit dem Browser via Web-Interface auf meinen Router. Nur der Zugriff auf das Internet ist per Browser nicht möglich.

Der Ping auf www.google.de liefert die korrekte IP-Adresse 173.194.32.239 mit akzeptablen Zugriffszeiten. Traceroute www.google.de ergibt folgendes Ergebenis:
VPN-Server -> Heimrouter -> Heimprovider -> div. Zwischenstationen -> 173.194.32.239.

Grundsätzlich funktioniert die Verbindung, nur die Seiten im Browser werden nicht aufgebaut. Muß ich dafür noch einen zusätzlichen Port freigeben? Und wenn ja, welchen?

 

[MaCoM]

zum browsen habe ich den Proxy-Server auf der Synology installiert.
und im Browser (am vpn-Client) dann den Proxy eintragen.

 

[MikeM]

Das wollte ich eigentlich vermeiden, da ich auch andere Verbindungen nutze. Reicht es auch, wenn ich den Proxy in den Einstellungen der VPN-Verbindung eintrage? Bei MacOS scheint das möglich zu sein. Unter Windows habe diese Einstellung noch nicht gesehen.

 

[MaCoM]

Reicht es auch, wenn ich den Proxy in den Einstellungen der VPN-Verbindung eintrage? Bei MacOS scheint das möglich zu sein. Unter Windows habe diese Einstellung noch nicht gesehen.

das bezieht sich nicht auf den browser - sondern darauf das du den VPN-Tunnel über ein proxy aufbauen willst.

 

[MikeM]

Geht es nicht auch ohne den Proxy? Außerdem interessiert es mich, worin das Problem besteht. Bei einer Fritzbox (mit integrierten VPN) funktioniert es ja auch ohne.

 

[fpo4711]

Hallo,

selbstverständlich funktioniert das auch ohne Proxy. Proxy wäre aber in sofern ein gutes Stichwort. Hast Du vielleicht spezielle Einstellungen auf deinem Clienten. Wenn traceroute funktioniert sollte es wohl kein Verbindungsproblem sein. Eventuell ein Problem der Namensauflösung. Einstellungen DNS oder aber irgendwelcher Sicherheitssoftware/Firewall? Hilfreich wäre auch wenn Du angegeben würdest welche DSM Version oder aber mal auf jeden Fall was überhaupt für ein VPN.

Portweiterleitungen sind nur alle wichtigen für das VPN nötig. Ansonsten keine Weiteren.

Gruß Frank

 

[MikeM]

DSM 5.1 (Update 5)
Als DNS-Server auf der Synology ist mein Heimrouter eingestellt.

Client MacOS X 10.8.5
VPN: PPTP
DNS-Server 8.8.8.8

keine besondere Firewall oder Sicherheitssoftware

 

[fpo4711]

Klingt alles chic, obwohl ich pptp nicht gerade favorisieren würde. Hab das gerade mal mit einem Fernzugang geprüft. Gleiche DSM Version allerdings hat mein Mac 10.9.5 Das sollte aber nicht das Problem sein. Jedenfalls funktioniert das bei mir einwandfrei.
Gesamten Verkehr über das VPN leiten hast Du auch angehakt?

Ansonsten könnte ich mir nur vorstellen das dies ein Subnetz-Konflikt mit dem VPN-Server Netz sein könnte. Standardmässig nimmt der Mac wohl 10.0.0.0/24 für den Tunnel. Das sollte auf der Serverseite also ein anderes sein.

Gruß Frank

 

[MikeM]

Der Haken bei allen Verkehr über VPN leiten ist gesetzt. Beim VPN-Server habe ich alles bei den Standardeinstellungen gelassen. Da dies mein erster Versuch mit VPN ist, habe ich es bei der einfachsten Möglichkeit belassen.

IP-Adress-Bereiche:
VPN-Server 10.0.0.0
Client 192.168.x.xxx/24
Home-Netz 192.168.xxx.xxx/24

alles verschiedene Addressbereiche. Hier sollte es keinen Konflikt geben.

 

[fpo4711]

Ich wüßte zwar nicht warum man lokale IP's aus-x-sen muß. Aber wenn deine x-se unterschiedlichen Subnetzen entsprechen sollte das alles richtig sein. Mit fällt dann bloß noch dein Router ein. Da Du nicht angegeben hast welcher, würde ich mal schauen ob auch wirklich das Protokoll GRE auf die DS weitergeleitet wird. Nicht nur TCP 1723. Bei der Fritzbox ist das einzustellen. Bei einigen Routern versteckt sich das auch gern hinter "VPN Passthru".

Gruß Frank

 

[Matthieu]

Welchen Upload hat denn die Internetleitung? Wenn meine "Heimleitung" im Upload (typischer Flaschenhals) stark ausgelastet ist, sieht man im Browser erst mal eine ganze Weile nichts, weil es ewig dauert bis der Browser die Antworten bekommt. Das ist eben der Nachteil an so einer VPN-Lösung, man schleust alles durch den genannten Flaschenhals.

MfG Matthieu

 

[MikeM]

Das mit den x ist die Macht der Gewohnheit.

Mein Router ist eine O2 Box 6431. Da habe leider keine Möglichkeit auf einen anderen auszuweichen.
Das Menu ist extrem mager. Ich kann zwar Ports freigeben, aber Protokolle zum freigeben habe ich nicht gefunden.

 

[MikeM]

@Matthieu

VDSL50 mit einem Upload von 6000 kbit/s

 

[Matthieu]

Was sagt denn der Browser? Lädt der überhaupt?

MfG Matthieu

PS: Der Upload ist ganz schön ordentlich. Ich hab im Downstream gerade mal ~10.000

 

[fpo4711]

Das Problem dürfte da wohl der Router sein und die mangelnde Weiterleitung von GRE. Alternativ kann ich dir nur OpenVPN ans Herz legen. Das ist von allen meiner Meinung nach am flexibelsten sowie auch sicherer als PPTP und es wird für die Portweiterlietung auch nur ein Port UDP 1194 benötigt. Für deinen Mac gibt es auch einen kostenlosen Clienten nämlich Tunnelblick. Möchtest Du es etwas komfortabler und dich schreckt die Anschaffung von ca. 5 Euro nicht ab, dann kann ich dir Viscosity wärmstens ans Herz legen.

Gruß Frank

 

[MikeM]

Ich habe OpenVPN installiert und die Verbindung wird auch hergestellt. Der Haken bei 'Alle Verbindungen über VPN' ist gesetzt. Ich bekomme auch vollen Zugriff auf mein Heimnetz.

Wenn ich aber im Browser mir die IP-Adresse und den Provider anzeigen lasse, bekomme ich nicht meinen Heim-Provider angezeigt, sondern den vor Ort.

Wenn ich dagegen mein Handy auf mobile Daten umstelle und eine VPN-Verbindung über PPTP herstelle, kann ich problemlos alle gewünschten Seiten aufrufen. Alles sehr merkwürdig.

 

[fpo4711]

Der Haken bei 'Alle Verbindungen über VPN' ist gesetzt. Ich bekomme auch vollen Zugriff auf mein Heimnetz.

Was für einen OpenVPN-Clienten benutzt Du denn? Bei mir heißt der Punkt der angehakt werden kann sowohl unter Tunnelblick als auch unter Viscosity anders.

Ansonsten in der openvpn.conf des Clienten das Doppelkreuz vor redirect-gateway entfernen.

Gruß Frank

 

[Blain]

Hallo,

ich möchte mich auch in dieses Thema einklinken. Ich will auch z.B. von meinem Mac oder meinem iPhone von einem unsicheren Hotel-WLAN oder einem öffentlichen WLAN-Hotspot per VPN zu meiner Synology und von dort aus wieder über meine Kabel-Deutschland Verbindung ganz normal raus ins Internet. Einen Zugriff auf irgendwelche Geräte oder Dateien brauche ich nicht. Ganz im Gegenteil, ich will das sogar so gut wie möglich sperren. Wer hat sowas schon mit der Synology eingerichtet und wie geht das?

Danke und Grüße
Blain