L2TP/IPsec funktioniert mit android Handy, aber nicht mit Mac OSX 10.8.5 und IPad

[werbeknecht]

MOin...
Habe mir schon einige wertvolle Tips aus diesem Forum herausgelesen, für mein derzeitiges Problem finde ich allerdings keine Lösung, werder hier noch in den weiten des Netzes.... Vieleicht kann mir jemand helfen.
Habe mir auf der 213+ einen VPN Server eingerichtet.
PPTP funktioniert wunderbar.
Habe L2TP(IPsec eingerichtet. Funktioniert auch wunderbar.
Aber nur vom Handy... HTC Android 4.2.2...
Sobald ich versuche den Server mit meinem MacBook Air oder PRO zu erreichen erhalte ich die Antwort "Der L2TP-VPN-Server antwortet nicht".
Das gleiche mit dem IPad...
Vermutlich habe ich einen Knoten im Kopf...
Da ich den Server aus dem Handynetz und aus dem internen Netz mit meinem HTC erreichen kann, schliesse ich einmal Fehler im Router (Portweiterleitung) aus...
Woran kann es noch liegen ? Firewall an der DS ist ausgeschaltet...
Würde mich über eine Lösung freuen...

 

[fpo4711]

Hallo und willkommen im Forum,

generell sind alle derzeitigen VPN-Lösungen von Synology geroutet. Und somit gilt erstmal der Leitsatz Client-Subnetz ungleich Tunnel-Subnetz ungleich Server-Subnetz. Also auch mit anderen Worten wenn Du das lokal testest ist das schon mal ein Fehler da Du dich im gleichen Subnetz befindest wie der Server. Selbst wenn Du hier eine Verbindung aufbauen kannst, sollte das nicht lange gut gehen. Also prinzipiell sollte hier auch der Test von extern passieren. Und WLAN ist nicht extern.

Und nun kommen wir zu deinem vermutlichen Problem. Ich schätze mal dein MacBook ist warscheinlich noch über einen WLAN-Router angebunden. Hier ist dann auch die Schwachstelle von IPSec. Diese Pakete dürfen nicht verändert werden. Diese Problematik ist in folgendem Link unter dem Thema NAT recht gut beschrieben. Auch das Thema VPN-Passthru gehört dazu.

Wenn Du also eine möglichst sichere und eher unproblematische VPN-Verbindung suchst, solltest Du dich einmal mit OpenVPN auseinandersetzen. Da ist nur eine nicht unerhebliche Hürde bei iOS zu nehmen.

Gruß Frank

 

[werbeknecht]

Hallo Frank,
danke für Deine Antwort. Dein Link war sehr hilfreich, wobei ich nicht sicher bin das ich alles richtig verstanden habe.

Mit meinem Handy einwählen kann ich mich also vermutlich, weil kein zweiter Router dazwischen hängt, der die übertragung dann wieder unmöglich macht... Richtig ?

Also, wenn ich Wert darauf lege, mich von jedem anderen Netzwerk auf dieser Welt in mein eigenes Netwerk eizuwählen, dann ist dieses Protokoll scheinbar nicht geeignet. Üblicherweise verbindet man sich ja dort wo man sich gerade aufhält über WLan oder Netzwerkkabel mit dem Internet. Wenn der zweite Router Teil des Problems ist, dann ist es ja eigentlich auch nicht zu lösen, da man ja für gewöhnlich keinen Zugriff auf fremde Router hat oder bekommt.

Bliebe Open VPN. Dazu benötige ich Tunnelblick, richtig ? Und ein Zugang mit dem IPad wäre schwer oder gar nicht zu realisieren, wenn ich das richtig verstanden habe.

Also, eigentlich bleibt dann ja nur die Möglichkeit PPTP zu benutzen, wenn ich von allen Geräten, ohne großen Aufwand relativ sicher eine Verbindung aufbauen möchte .
Vieleicht kannst Du mir in einer einfachen Weise erklären, wo genau der angebliche Schwachpunkt von PPTP liegt.
Wenn ich mich in irgendeinen WLan Router mit WPA2 einwähle, dann baue ich im Prinzip eine gesicherte Verbindung zu dem Netzwerk des Routers auf. Wenn alles normal ist, dann kann also keiner die Daten mitschneiden, bzw diese sind verschlüsselt. Wie geht es dann weiter ? Der Router des Gastnetzwerkes baut eine Verbindung zu meinem Router auf, der leitet die Anfrage per Portweiterleitung an meinen VPN Server weiter. In der Verbindung zwischen den beiden Routern wird mein Anmeldename und mein Passwort unverschlüsselt übertragen ? Wenn das so wäre, dann müsste ja jemand in einem Netzwerkknoten die Daten mitschneiden. Verstehe ich das richtig ?

HHHMMM, schwierig zu verstehen, das alles ist...

Liebenn Gruß
Dirk

 

[fpo4711]

Hallo Dirk,

WPA2 ist nur die Verschlüsselung zum Accesspoint bei WLAN. Danach würde es ganz normal weitergehen. Also wenn Klartext dann auch Klartext. Die Lücke bei PPTP ist auch nicht so das gleich das Passwort im Klartext übertragen wird. Sondern hier ist die Authorisierungsphase angreifbar. Und das ist auch nicht so einfach. In diesem Link sind auch die entsprechenden Fakten verlinkt.

Für OpenVPN auf dem Mac kannst Du Tunnelblick verwenden oder aber ein paar Dollar ausgeben und Viscosity anwenden. Finde ich persönlich um Längen übersichtlicher und vielseitiger aber dafür kostet das glaube ich jetzt ca. 4 Euro.

OpenVPN unter iOS ist ganz simpel ausgedrückt nur möglich wenn Du eigene Zertifikate generierst, diese an die richtige Stelle kopierst und in die Config kopierst. Hier im Forum (und auch unter dem obigen Link zu finden) gibt es auch eine recht gute Anleitung dazu, ist aber doch einiges an Handgriffen. Allerdings mußt Du das nur einmal für alle iOS Geräte machen. Infos dazu sind oben auch verlinkt.

Und IPSec kann durchaus bei vielen Gelegenheiten funktionieren, da für das NAT Problem NAT traversal zur Verfügung steht. Das muß dann die jeweilige Infrastruktur auch unterstützen. Genauso wie teilweise eben nur eine Verbindung möglich ist. Für mich ist das allerdings ein Punkt den man eben nicht beeinflussen kann und somit Minuspunkt. Ich bin eben ein Fan von OpenVPN, da es die meisten Möglichkeiten bis hin zu Routingdefinitionen per Server bietet. Das muß aber nicht der Weisheit letzter Schluß sein. Sicher sind jedenfalls beide L2TP per IPSec und OpenVPN.

Gruß Frank

 

[werbeknecht]

Hallo Frank,
auf Dein anraten hin habe ich mir Viscosity runtergeladen. Irgendwie verstehe ich zu wenig davon.
Im Synology VPN Server habe ich die Konfigurationsdateien exportiert, in Viscosity/Einstellungen/Verbindungen importieren die Datei openvpn.ovpn eingelesen.
Unter Verbindungen/allgemein/gegenstelle die Adresse eingetragen ...synology.me....
Unter Authentifizierung ist die Art SSL/TLS Client ausgewählt und bei CA: ist CA.CRT hinterlegt.
Was kommt bei CERT und KEY hinein, bzw wo bekomme ich die nötigen Dateien her ?
Scheinbar fehlt etwas, denn wenn ich eine Verbindung aufbauen möchte, findet sich im Protokoll folgende Meldung:

Oct 10 09:17:26: Viscosity Mac 1.4.5 (1151)
Oct 10 09:17:26: Viscosity OpenVPN Engine Started
Oct 10 09:17:26: Running on Mac OS X 10.8.5
Oct 10 09:17:26: ---------
Oct 10 09:17:26: Checking reachability status of connection...
Oct 10 09:17:26: Connection is reachable. Starting connection attempt.
Oct 10 09:17:28: OpenVPN 2.3.2 i386-apple-darwin [SSL (OpenSSL)] [LZO] [PKCS11] [MH] [IPv6] built on Jun 7 2013
Oct 10 09:17:39: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Oct 10 09:17:39: UDPv4 link local (bound): [undef]
Oct 10 09:17:39: UDPv4 link remote: [AF_INET]84.46.13.78:1194

Was mache ich falsch ? Gibt es irgendwo eine Anleitung für Dummies ;-), am besten in deutsch... ?

Lieben Gruß
Dirk

 

[fpo4711]

Hallo,

bis hier hin eigentlich alles richtig. In der letzten Zeile vom Post steht deine externe IP. Die solltest Du vieleicht unkenntlich machen. Leider hört dein Log an der entscheidenden Stelle auf. Vieleicht hast Du ja schon eine Verbindung.

Beim Import werden eigentlich alle relevanten Sachen automatisch in Viscosity eingetragen. Da mußt Du wenn Du keine Sonderwünsche hast eigentlich keine weiteren Angaben machen. Daran gedacht deine DS ist dann unter ihrer lokalen IP zu erreichen.

Gruß Frank

 

[werbeknecht]

Hallo Frank,
Danke für den Hinweis.... Also, manchmal sieht man ja den Wald vor lauter Bäumen nicht....
Vieleicht hätte ich openVPN nicht durch die Firewall blocken sollen....
Also, dieses Viscosity ist wunderbar. Einfach zu bedienen und funktioniert wunderbar...
Ich danke Dir nochmal für Deine Hilfe und Geduld...
LG Dirk