Probleme mit VPN-Server

-$!Lv3r- · 23. Apr 2014

Hallo alle zusammen,

seit kurzer Zeit bin ich im Besitz eines DS213+, dieser ist mit zwei 3TB Festplatten der Marke Western Digital ausgestattet und verrichtet seit der Einrichtung im SHR Betrieb fleißig seinen dienst als Storage für meine Bilder und als Photoserver.

Nun hatte ich über Ostern etwas Zeit und wollte mich etwas tiefer mit der Materie beschäftigen. Ich wollte den Server Online zugänglich machen und dies möglichst sicher.Daher habe ich mich zunächst mit der Portfreigabe meines Routers AVM FritzBox 7490 beschäftigt. Im Router habe ich folgende Ports in der Firewall freigegeben, welche direkt an die IP der DS213+ weitergeleitet werden:

5001
80
443
20
21
55536-55663
1194
500
1701
4500
6690
22
7001

Router IP (Gateway) 192.168.222.1
IP DS213+ 192.168.222.20

Als nächstes habe ich im Router eine DynDns Dienst eingerichtet. Nennen wir ihn abc.dyndns.org

Die Konfiguration funktioniert auch soweit, ich kann über die abc.dyndns.org auf meine Photo Station wie auch über den Port 5001 auf meine Benutzeroberfläche DSM5.0 zugreifen.

Da ich den Server als Bilder Storage verwende und diesen mit meinem Workflow Lightroom als Netzlaufwerk verknüpft habe, wollte ich auch von unterwegs diese Verknüpfung nutzen. Dazu habe ich einen VPN Dienst L2TP/IPSec auf dem VPN Server eingerichtet. Die Einstelligen habe ich soweit auf Standart belassen und nur die Benutzerdaten und einen Shared Key konfiguriert. Den IP Bereich habe ich belassen wie er war.

Nun zu meinem Problem:

Ich kann mich über den VPN Dienst auf meinen MAC mit dem DS213+ verbinden. Allerdings gelingt mir kein zugriff auf den Server. Wenn ich über Gehe zu-> Server Verbinden, die DynDns oder auch die IP 192.168.222.20 eintippe, kann kann sich der Computer nicht mit dem Server verbinden. Auf der DSM 5.0 sehe ich dann, wie gelegentlich die Meldung SSH hat den Zugriff von folgender IP... geblockt erscheint.

Nun meine Frage: Was habe ich falsch gemacht und welche Ports sind mindestens nötig um Photoserver, DSM Oberfläche und Per VPN zuzugreifen, ich möchte so wenig wie möglich offen haben. Danke für eure Hilfe!

Viele Grüße

Andreas

Anzeige · 23. Apr 2014

Hallo -$!Lv3r-,

Bücher und Hardware zum Thema gibt es bei Amazon: Probleme mit VPN-Server

fpo4711 · 23. Apr 2014

Hallo,

deine Schilderung ist etwas abenteuerlich. Und die Portweiterleitungen die Du oben angegeben hast sind das auch (Obwohl die Protokolle auch fehlern). Du bist offen wie ein Scheunentor mit diesen Einstellungen.

Zuerst einmal solltest Du dich für EIN VPN entscheiden. Und nur für dieses VPN die Ports öffnen. Mein Favorit (ungeachtet der SSL-Lücke die ja schon größtenteils beseitigt ist) ist OpenVPN. Am wenigsten Probleme über NAT-Router hinweg. Hier wäre dann nur UDP 1194 nötig - Mehr nicht !!!!!!

Ansprechen kannst Du dann die DS von aussen, sofern das VPN aufgebaut ist, mit ihrer lokalen IP. Auch Apfel-K und verbinden mit klappt dann. Voraussetzung ist dann wie bei allen VPN Lösungen über Synology, das Du dich auch in einem anderen Subnetz befindest. Wie üblich der Leitsatz:

Client-Subnetz ungleich Tunnel-Subnetz ungleich Serversubnetz.

Wenn Du das also, von zu Hause oder auch aus dem heimischen WLAN testest, wird das in die Hose gehen. Deshalb Test immer von Ausserhalb. Und zu den beiden anderen Lösungen: IPSec über die Fritzbox ist nur schwierig möglich und PPTP relativ unsicher. In den beiden letzen Möglichkeiten mußt Du als Standardgateway die VPN-Verbindung wählen oder aber manuell Routen eingeben. Was bei OpenVPN nicht nötig ist.

Gruß Frank

-$!Lv3r- · 27. Apr 2014

Hallo,

vielen Dank für die schnelle Hilfe, habe zunächst erstmal alle Ports wieder gesperrt und muss mich wohl doch noch etwas tiefer mit der Sache auseinander setzen.

Zu OpenVPN habe ich noch ein paar fragen. Wenn ich OpenVPN auf dem NAS konfigurieren, besteht die Möglichkeit sich eine Datei zu erstellen, welche ich dann am client, z.b. das MacBook zum konfigurieren der VPN Software nutzen kann. Wenn man nach der readme Datei geht, die automatisch mit erstellt wird, so muss ich lediglich die korrekte IP in die Konfig. Datei eintragen und diese in den entsprechenden Ordner kopieren. Allerdings bekomme ich so keinerlei Verbindung hin. Muss in dieser Konfig. Datei noch mehr eingetragen werden? Es sind noch einige weitere Optionen vorhanden die allerdings dort nicht erklärt werden.

Ich würde gern screenshots der Meldungen usw. posten, allerdings habe ich den Server nicht zur hand, da dieser woanders steht. Daher bitte ich die manchmal etwas ungenauen Erklärungen zu entschuldigen.

Wenn ich jetzt also "NUR" den Foto Server über DynDNS und den VPN auf Basis von OpenVPN betreiben möchte, reicht es da die Ports 80 TCP, 441 TCP und 1194 UDP offen zu haben?

Wie ist es mit dem Port 5001 für die DSM Oberfläche sollte man diese lieber nicht zugänglich machen?

Ich habe schon oft gelesen, dass man hinter seiner Router Firewall auch den Synology NAS Firewall betreiben soll, macht das Sin? Bei meinem letzten Versuch diese zu aktivieren und nur entsprechende Ports für den Zugang freizugeben, war danach trotzdem kein Zugang mehr möglich und ich musste über Reset alle System zurücksetzen. Einstellung war (Alle Zugriffe bis auf Regeln sperren) war das falsch?

Danke schon mal für die Hilfe und Entschuldigung für die teilweise etwas umprofessionellen fragen.

kingofbattle · 04. Mai 2014

Ich habe seit dem VPN Server Update auf 1.2-2414 ab und zu immer mal wieder Probleme. Ich kann dann über OpenVPN einfach keine Verbindung mehr von außerhalb aufbauen. Ein Neustart bringt ebenfalls nicht. Lediglich das Deinstallieren des VPN Server Pakets und das erneute Installieren bringen hier Abhilfe. Ich musste dies bis jetzt bereits 3x machen.... Davor ging alles ohne Probleme. Ist die 2414 Version einfach nur verbugt oder könnte es auch noch an anderen Sachen liegen?

VG Markus

kingofbattle · 05. Mai 2014

Ich konnte das Problem jetzt noch weiter eingrenzen. Nach jedem geplanten Neustart der DS (lasse sie über Nacht runterfahren und dann 7.00 Uhr wiedr hochfahren) kann ich dann nicht mehr über VPN verbinden. Ich bin langsam echt am Verzweifeln ....

DRIV3R · 07. Mai 2014

Ja das kann ich verstehen. Aber viel positives kann ich dir da nicht sagen. Außer das die 2414 wohl ziemliche Probleme macht.
So richtig funktioniert da nichts mehr. Es gibt hier irgendwo schon ne Thread dazu.
Ich denke also auch das es bei dir nicht an deiner Config liegt, sondern an der 2414 des VPNCenters.
Da hilft nur warten.

Gestern habe ich endlich ne Rückmeldung von Synology bekommen. Die sind wohl da dran.

kingofbattle · 07. Mai 2014

Das kommt jetzt etwas spät für mich. Will meine DS jetzt komplett neu aufsetzen. Habe auch Probleme mit meinem verschlüsselten Ordner, der trotz aktivierter automatischer Anhängung nicht angehängt wird und ich somit immer das Passwort eingeben muss wenn ich sie neustarte. Synology lässt sich da aber echt ganz schon Zeit. Darf man mal fragen was genau du oben geschrieben hast und was sie geantwortet haben?

DRIV3R · 07. Mai 2014

Also ich hab nach längerer Zeit endlich mal ne Antwort bekommen.
Hab daraufhin dem Support Logs geschickt, die sie angefordert haben.
Aber ich muss auch sagen, dass die erste Antwort noch nicht wirklich befriedigend war. Der Kollege vom Support ging da wohl noch davon aus, dass es ein Problem beim Routing gibt. Dem ist meiner Meinung nach nicht so. Ich bekomme im Log ja einen Fehler mit dem StartSSL Zertifikat. Denn dieses scheint wohl falsch zu sein.
Was auch immer das VPNCenter in den configs da exportiert.
Aber ich habe jetzt schon von einigen gehört, dass die Version 2414 des VPNCenters krumm ist bzw, es ja auch eventuell an einem der letzten DSM Updates in Beziehung mit dem VPNCenter 2414 liegen kann.

Naja bleibt nichts anderes als zu warten, was der Support sagt. (Auch wenn ich auch schon mit dem Gedanken spiele, alles neu aufzusetzen.