OpenVPN auf DS212j; Port 1194 lässt sich nicht öffnen

[LarsE]

Hallo,

ich würde auf meiner DS212j gerne den OpenVPN Server laufen lassen. Eingerichtet habe ich sowohl auf der Diskstation als auch auf meinem Laptop alles nach der Anleitung hier im Forum.

Leider kann ich jedoch nicht auf die Station zugreifen. Bisherige Recherche hat ergeben, dass der Port 1194 von aussen gar nicht offen ist, weiterleitung im Router ist gesetzt (funktioniert auch). Muss ich den noch irgendwo gesondert freigeben auf der Diskstation?

Gruß
Lars

 

[Tommes]

Hi!

Hast du das z.B. mit http://www.canyouseeme.org/ überprüft? Wenn das trotz richtiger!?! Portweiterleitung im Router nicht funktioniert, Versuch mal den Router sowie die DS neu zu starten. Bei meinem Router wirkt das manchmal Wunder!

Tommes

 

[Ap0phis]

Naja, und manche Router erkennen ein Loopback, wenn man aus dem eigenen Netz (mit dem Laptop) ein Zugriff von Aussen realisieren will und lassen das einfach nicht zu. Abgesehen davon, dass ein VPN-Zugriff zwischen identischen Subnetzen auch nicht funktioniert!
Also ist die Komponente Router auch nicht ganz unwichtig! Welcher ist es denn?

 

[Pfanne]

Moin,

ich stehe gerade vor dem gleichen Problem.
Ich versuche mit meinem Android (V4.03) per openVPN (V0.5.24) auf meinen frisch eingerichteten VPN-Server (openVPN) zuzugreifen.

Wenn ich mich vom Android per WLAN aus einlogge (Server = NAS-IP) klappt alles, die Konfiguration (Zertifikat etc.) sollte somit stimmen.
Wenn ich jetzt im Android auf meine DynDNS umstelle bleibt das Handy bei "wait" hängen.

Eine Kontrolle mit http://www.canyouseeme.org/ zeigt, dass der Port 1194 zu ist!
Im Router habe ich die Ports 1-6500 (TCP+UDP) an meine NAS-IP weitergeleitet.
VPN-Passthrough im Router ist aktiv (wozu auch immer das gut sein mag).
Die NAS-Firewall ist auch aus.....

Hat da noch jemand ne Idee....

schönen Sonntag.

 

[Ap0phis]

...
Im Router habe ich die Ports 1-6500 (TCP+UDP) an meine NAS-IP weitergeleitet.

Das ist hoffentlich ein Scherz, oder?
Falls nicht, dann lösche diese Portfreigaben mal ganz schnell wieder. Ansonsten könntest du deine DS auch gleich als DMZ im Router einrichten, damit alle von aussen fröhlich zugreifen können! ;-)

Wenn du auf "DynDNS" umstellst, ist dann dein WLAN auch deaktiviert?

 

[Pfanne]

Im Router habe ich die Ports 1-6500 (TCP+UDP) an meine NAS-IP weitergeleitet

nur zum Testen..... um weiterleitungsprobleme auszuschließen....

Wenn du auf "DynDNS" umstellst, ist dann dein WLAN auch deaktiviert?

Ja, WLAN ist dann aus.....

Eine Kontrolle mit http://www.canyouseeme.org/ zeigt, dass der Port 1194 zu ist!

Ich denke hier hängt es.... ich weiß leider nicht, wie ich den auf bekomme....

 

[Pfanne]

Aaarrrgggg..... DynDNS war nicht aktuell!!
Manchmal hängt mein Linksys E2000 da ein wenig ist mir schon mal aufgefallen!

OK, eine Verbindung in der DS sehe ich, was ich noch nicht ganz verstehe ist die IP-Zuordnung.

Verstehe ich folgendes richtig:
Mein Heimnetz hat einen DHCP-Server, der vergibt IPs in meinem Subnetz 192.168.1.XXX.
Über den VPN-Tunnel kann mein Handy nicht in das selbe Subnetz.
Also müssen die externen in ein anderes Subnetz z.B. 192.168.2.XXX.
Damit die Geräte aus Subnet 192.168.1.XXX und Subnet 192.168.2.XXX sich "sehen" müssen die Subnet-Masken angepasst werden 255.255.0.0

Ist das soweit richtig????

Falls ja, wie erkläre ich dem VPN-Server welche IP er vergeben soll??

Danke für die Unterstützung.

Gruß
Pf@nne

 

[Pfanne]

Mein Handy hat jetzt von dem DS-VPN-Server die 192.168.2.6 erhalten.
Ein Ping von meinem PC (192.168.1.112) war jedoch erfolglos.

Ich habe jetzt die Subnetzmasken meines PCs und der DS von 255.255.255.0 auf 255.255.0.0 umgestellt, in der Hoffnung
mein Handy pingen zu können jedoch ohne Erfolg......

Da hab ich wohl noch grundlegende Verständnissprobleme....
Wäre schön wenn da jemand Licht ins Dunkel bringen könnte.....

 

[Ap0phis]

Mein Handy hat jetzt von dem DS-VPN-Server die 192.168.2.6 erhalten.
Ein Ping von meinem PC (192.168.1.112) war jedoch erfolglos. ...

Der Ping kann nicht funktionieren.
Dein Handy ist jetzt Client und kann auf dein LAN zugreifen. Nicht umgekehrt.

 

[Pfanne]

OK, der Rest läuft auch soweit.
Ich kann jetzt mit meiner HandyApp im LAN-Modus auf meinen Linux-SAT-Receiver aus den WAN zugreifen,
damit ich nicht über eine "unsichere" Portfreigabe das Linux-Teil am WAN habe.

Es funzt auch alles mit Subnetzmaske 255.255.255.0.....


Ich hoffe damit eine Sicherheitslücke geschlossen zu haben.


Gruß
Pf@nne

 

[LarsE]

Moin,

Restart von DS und Router haben keine Besserung gebracht. Wenn ich den Port mit canyouseeme.org überprüfe zeigt er mir an das 1194 zu ist, 443 ist offen, den habe ich für die Photostation freigegeben.
Router ist ein Alice IAD 3221.

Vorschläge? Muss der 1194 in der DS noch speziell freigegeben werden?

Gruß
Lars

 

[Tommes]

Ich komm nochmal auf deinen Eingangsbeitrag zusück:

ich würde auf meiner DS212j gerne den OpenVPN Server laufen lassen. Eingerichtet habe ich sowohl auf der Diskstation als auch auf meinem Laptop alles nach der Anleitung hier im Forum.

Was war das denn für eine Anleitung? Synology bietet in deren Wissensbasis auch eine Anleitung zum Thema VPN-Server. Vielleicht schaust du da nochmal rein.

Leider kann ich jedoch nicht auf die Station zugreifen. Bisherige Recherche hat ergeben, dass der Port 1194 von aussen gar nicht offen ist, weiterleitung im Router ist gesetzt (funktioniert auch). Muss ich den noch irgendwo gesondert freigeben auf der Diskstation?

Was heißt denn, Weiterleitung im Router ist gesetzt (funktioniert auch) Wie prüfst du das denn, wenn der Port 1194 geblockt wird?

Restart von DS und Router haben keine Besserung gebracht. Wenn ich den Port mit canyouseeme.org überprüfe zeigt er mir an das 1194 zu ist, 443 ist offen, den habe ich für die Photostation freigegeben.
Router ist ein Alice IAD 3221.

Hast du mal die Einträge im Router miteinander verglichen. Kann ja eigentlich nicht sein, das er bei Port 443 weiterleitet und bei Port 1194 nicht? Oder mal ins Handbuch deines Alice Routers auf Seite 20 unter Punkt 4.4.1 geschaut?

Vorschläge? Muss der 1194 in der DS noch speziell freigegeben werden?

Nö, du mußt halt nur dem VPN-Server konfigurieren!

Tommes!

 

[jahlives]

Wenn ich den Port mit canyouseeme.org überprüfe zeigt er mir an das 1194 zu ist, 443 ist offen, den habe ich für die Photostation freigegeben.

per default läuft OVPN auf Port 1194 UDP. Und UDP Ports kannst du von extern nicht wirklich prüfen ob die offen sind. Das geht nur bei TCP Ports einigermassen zuverlässig.

 

[Tommes]

per default läuft OVPN auf Port 1194 UDP. Und UDP Ports kannst du von extern nicht wirklich prüfen ob die offen sind. Das geht nur bei TCP Ports einigermassen zuverlässig.

Ah jetzt, ja.... daran hab ich garnicht gedacht. Ich bin davon ausgegangen, das der Port 1194 genauso wie der Port 1723 (PPTP) über TCP läuft. Das der Port 1194 über UDP läuft ist mir entfallen!

Tommes!