VPN auf NAS über Telekom Speedport Smart 3

borisvp

Benutzer
Mitglied seit
10. Mai 2022
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Hallo,

Ich bin zwar IT-mäßig nicht ganz ahnungslos, aber auch kein Netzwerk- oder VPN-Spezialist. Da mir die diversen Anleitungen zur Einrichtung und zum Zugriff auf einen VPN nicht geholfen haben, versuche ich es mal hier: Gibt es eine verständliche und vor allem konsistente Anleitung, wie man so was einrichtet?

Ziel: Zugriff auf das NAS von unterwegs über Internet mit Windows Explorer (direktes Öffnen und Bearbeiten von Dateien auf dem NAS ohne diese vorher herunterzuladen).

Ich habe eine DS118 und einen Speedport Smart 3 als Router, und das habe ich probiert:
  • VPN-Server auf dem DSM installiert und mit den Default-Einstellungen für PPTP aktiviert
  • Gemäß Hinweis des VPN Server bei der Einrichtung auf dem Speedport eine Weiterleitung für TCP Port 1723 angelegt
  • Die Firewall des DSM ist nicht aktiv
  • Gemäß Anleitung auf dem Client-Gerät (mein Notebook, für den Test über Mobile Hotspot im Internet) den Schlüssel in der Registrierung eingetragen sowie eine VPN-Verbindung (PPTP) angelegt mit der aktuellen externen IP des Speedport (um DDNS kann ich mich später noch kümmern)
Ich komme bis zum Login und melde mich mit den Zugangsdaten des DSM an. Eine Verbindung kommt jedoch nicht zustande. Es konnte keine Verbindung mit dem Remotecomputer hergestellt werden, sodass der für diese Verbindung verwendete Port geschlossen wurde.

Ich nehme an, irgendwas fehlt noch. Was ist es?

Bitte keine Hinweise zum Thema Sicherheit, und auch keine Verweise auf Alternativen, auch wenn beides sicherlich berechtigt ist. Ich möchte erst mal eine Verbindung mit Bordmitteln auf die einfachst mögliche Weise zustande bekommen - und auch verstehen was da passiert. Sicherheit und Komfort hinzufügen kann ich später immer noch.

Grüße
Boris
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
eigentlich geht PPTP in der Regel recht gut

Also du kommst bis auf die DSM Login Seite?
Damit ist die Verbindung zu DS aber eigentlich schon da.
Was meldet diesen Fehler? Die DS oder Router?
Hast du da so was wie Upnp, also automatische Port Konfiguration am laufen? Wenn ja, bitte unbedingt abstellen.
 

Georgius

Benutzer
Mitglied seit
10. Apr 2021
Beiträge
231
Punkte für Reaktionen
10
Punkte
18
Muß der User nicht für VPN eine Berechtigung haben?
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Ich komme bis zum Login und melde mich mit den Zugangsdaten des DSM an.
Also du kommst bis auf die DSM Login Seite?
Damit ist die Verbindung zu DS aber eigentlich schon da.

Ich verstehe das so, dass beim Verbindungsaufbau zum VPN Server die Abfrage der Anmeldedaten erfolgt und @borisvp verwendet hierfür die Account Daten eines Users des DSM.

Muß der User nicht für VPN eine Berechtigung haben?
Das ist korrekt. Dem User muss erst die Berechtigung zugewiesen werden.

1652249813963.png

Bitte keine Hinweise zum Thema Sicherheit, und auch keine Verweise auf Alternativen, auch wenn beides sicherlich berechtigt ist.
Wie du schon selbst schreibst solltest du so bald wie möglich das VPN Protokoll wechseln. Denn schon im Jahr 2012 wurde bekannt dass PPTP leicht auszuhebeln ist. Siehe z.B. Der Todesstoß für PPTP
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.503
Punkte für Reaktionen
1.093
Punkte
194
Bevor man sich über den VPN Server unterhält, sollte zunächst geklärt werden, ob du überhaupt eine echte IPv4-Adresse besitzt. Erreichst du denn die DS, wenn du temporär den Port 5001 öffnest?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
Ich verstehe das so, dass beim Verbindungsaufbau zum VPN Server die Abfrage der Anmeldedaten erfolgt und @borisvp verwendet hierfür die Account Daten eines Users des DSM.

ach so, der VPN Client fragt nach VPN Password vermutlich meinst du? und es geht noch nicht um DSM?
Daran habe ich nicht gedacht, die Creds für VPN speichere ich bei der Konfiguration halt in dem Client (Windows) aus Bequemlichkeit.


@borisvp , lass uns wissen was für ein Login du da siehst, oder wo wirst du nach Credentials gefragt
 
  • Like
Reaktionen: luddi

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Bevor man sich über den VPN Server unterhält, sollte zunächst geklärt werden, ob du überhaupt eine echte IPv4-Adresse besitzt.
Das mag ja sein, aber wenn man schon bis zum Login gelangt und somit die Benutzerdaten abgefragt werden vermute ich mal stark dass diese Anfrage auch vom Server selbst kommt. Somit erübrigt sich die Frage ob man den Server erreicht.

Oder wie ist das von euch zu verstehen?
 

borisvp

Benutzer
Mitglied seit
10. Mai 2022
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Zunächst wegend er IP-Adresse: Natürlich habe ich eine dynamische IP von der Telekom, aber die kann ich ja zum Testen verwenden. Außerdem habe ich den Synology-DDNS aktiviert, der über meineadresse.synology.me eine Verbindung zu meiner aktuellen externen IP herstellen sollte (die sich übrigens seit meinem ersten Post nicht geändert hat).

Die Berechtigung für mich als User im VPN-Server habe ich aktiviert.

Es kommt Verbindung mit meineadresse.synology.me wird hergestellt, dann kommt Anmeldeinformationen werden überprüft, dann wieder die Fehlermeldung.

Stimmt denn die Port-Weiterleitung überhaupt so?

1653153602459.png

Wie sieht es mit der dynamischen IP-Adresse (intern) im VPN-Server aus? Dort ist 10.0.0.0 eingestellt. Das NAS hat im LAN eine feste IP in 192.168.1.0


Erreichst du denn die DS, wenn du temporär den Port 5001 öffnest?
Wie müsste ich das testen? Mit meineadresse.synology.me geht es nicht (timeout), und natürlich auch nicht mit der internen IP.


lass uns wissen was für ein Login du da siehst, oder wo wirst du nach Credentials gefragt
Entweder es kommt das Standard-Windows-Anmledefenster oder die Meldungen wie oben, wenn ich die Anmeldeinformation in der VPN-Verbindung speichere. Egal ob die Windows- oder DSM-Anmeldedaten. Das DSM-Login sehe ich gar nicht.
 

Georgius

Benutzer
Mitglied seit
10. Apr 2021
Beiträge
231
Punkte für Reaktionen
10
Punkte
18
X.X.X.0 ist keine gültige Geräteadresse. Die gehen von 0-254
 

borisvp

Benutzer
Mitglied seit
10. Mai 2022
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Das weiß ich auch. Ich wollte damit nur sagen dass sich die Adresse in diesem Bereich befindet, also meinetwegen 192.168.1.15
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.970
Punkte für Reaktionen
1.278
Punkte
194
Die gehen von 0-254
Wenn die von 0-254 gingen, wäre x.x.x.0 eine gültige Geräteadresse.
Aber wie auch immer, x.x.x.0 ist keine gültige Adresse für das NAS. x.x.x.0/24 definiert das lokale Netz.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.970
Punkte für Reaktionen
1.278
Punkte
194

Georgius

Benutzer
Mitglied seit
10. Apr 2021
Beiträge
231
Punkte für Reaktionen
10
Punkte
18
Wenn die von 0-254 gingen, wäre x.x.x.0 eine gültige Geräteadresse.
Aber wie auch immer, x.x.x.0 ist keine gültige Adresse für das NAS. x.x.x.0/24 definiert das lokale Netz.
Hast natürlich recht. Nur finde ichkeine Editmöglichkeit
 
  • Like
Reaktionen: Stationary

borisvp

Benutzer
Mitglied seit
10. Mai 2022
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
So. Nach einem Abend, den ich wohl sinnvoller hätte nutzen können, habe ich folgendes erreicht:
  • Ich bekomme eine VPN-Verbindung in mein LAN zustande, allerdings nur wenn ich meine externe IP-Adresse verwende. Nehme ich die Synology-DDNS-Adresse, geht es nicht. Und das hat auch erst funktioniert, nachdem ich diesen dubiosen Registrierungsschlüssel (AssumeUDPEncapsulationContextOnSendRule=2) gelöscht und exakt genauso wieder eingetragen habe.
  • Der DDNS funktioniert durchaus, aber nur wenn ich im Router auch den Port 5000 öffne, und ich komme damit auch nur auf den DSM. Das hilft mir nicht weiter.
  • Auch wenn ich eine VPN-Verbindung habe, kann ich mich zwar in meinem Netzwerk umsehen (d.h. ich kann alle internen IP-Adressen erreichen, sogar meinen Photovoltaik-Wechselrichter) - aber meine Netzlaufwerke bzw. irgendwelche Netzwerkgeräte sehe ich nicht. Auch nicht das was ich wollte. Im DSM wird die Verbindung übrigens angezeigt.
Fazit: Es funktioniert mit Sicherheit irgendwie, nur fehlt wohl irgendwo noch ein Häkchen, oder zwei. Nur wo - dafür bin ich zu wenig IT-Spezialist. Vielleicht liegt's ja auch an meinem Router. Wireguard? Keine Ahnung, und auch kein Bedürfnis. Smartphone-App? Brauche ich nicht. Medienserver? Brauche ich auch nicht. Ich habe ein Notebook mit Windows drauf; mit dem möchte ich unterwegs arbeiten, und zwar einfach nur mit banalen Office- und PDF-Dateien, wie wenn ich zu Hause wäre.

Aber trotzdem danke für eure Hinweise und Ratschläge :)
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
  • Like
Reaktionen: Stationary

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.970
Punkte für Reaktionen
1.278
Punkte
194
Keine Ahnung, und auch kein Bedürfnis.
Keine Ahnung: glaube ich gern. Kein Bedürfnis: glaube ich eher nicht, vor allem, weil Du von extern mit Daten auf Deiner Diskstation arbeiten willst. Damit löst Du nämlich die gestellte Aufgabe. Aber wie der Vorredner schon sagte: Thema durch.
 

borisvp

Benutzer
Mitglied seit
10. Mai 2022
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Kein Bedürfnis, weil ich der naiven Meinung anhing, das 400-Euro-Teil hier bietet diese Möglichkeit ohne Fremdmittel und ohne IT-Spezialist zu sein. Scheint wohl doch nicht so einfach zu sein wie einen die Werbung glauben machen will. Sonst hätte mir hier ja jemand erklären können wie ich das hin bekomme.

Wie viele andere Kunden, die sich die DiskStation für den gleichen Zweck gekauft haben, wissen wohl wie man im Registrierungseditor herum bastelt?

Habe Wireguard übrigens noch angetestet. Verbindung kommt zustande, aber dann komme ich auch nicht weiter, schon gar nicht auf meine Netzlaufwerke.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.970
Punkte für Reaktionen
1.278
Punkte
194
Jetzt übertreib´ mal nicht… eine DS118 ist kein 400 Euro-Gerät :) Ein VPN aufzusetzen erfordert auch keine Spezialkenntnisse, das Problem ist vielleicht eher, daß der von Dir verwendete Router vielleicht eine gewisse Verbreitung besitzt, aber bei Leuten, die ihre Netzwerke von außen erreichen wollen vermutlich eher non-Provider-Router vorherrschen, da man dort mehr Kontrolle hat.

Aber zurück zum Thema. Du kommst auf den Router mit Wireguard? Dann müßtest Du auch in Dein Netzwerk kommen. Das Handbuch ist etwas mager, aber wenn das VPN auf dem Router eingerichtet ist, wie versuchst Du dann auf Deine Netzlaufwerke zu kommen?
 

borisvp

Benutzer
Mitglied seit
10. Mai 2022
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Na gut, 325 Euro. Und ich vermute auch dass es an meinem Hausfrauen-Router liegt. Telekom weiß was gut für mich ist. So wie Microsoft :rolleyes: Nur - mich mit der Konfiguration und dem Betrieb eines Non-Provider-Routers zu beschäftigen, dafür habe ich nun wirklich keine Zeit. Mehr Kontrolle heißt auch dass man um so genauer wissen muss was man tut, sonst steigt das Risiko ziemlich schnell an. Ich hatte erwartet dass Anbieter wie Synology einem genau das mit entsprechenden Anwendungen abnehmen.

Ich hatte mir davor eine WD MyCloudHome gekauft (nachdem mein 8 Jahre altes MyBook nach wie vor fehlerfrei läuft, aber die App für den externen Zugriff end of life hatte), aber das Ding ist ja nun total unbrauchbar. Zwar haben sie eine neue App, mit der ich auch von extern per Explorer auf das Netzlaufwerk zugreifen kann, aber für den täglichen Gebrauch kann man es vergessen. Nicht nur dass jede Datei, auch wenn ich zu Hause bin, über Internet (und WD-Server) hin und her geschoben wird, sobald ich mal mehr als 10 Dateien auf einmal übertragen will, bricht in 50% der Fälle die Verbindung ab und das Teil hängt sich auf. Soviel dazu.

Wireguard: Der Speedport zeigt mir eine aktive Verbindung an. Auf mein Netzwerk versuche ich zu kommen wie ich es zu Hause mache und wie ich es auch erwarte: Mit dem Windows Explorer. Dort sehe ich meine Netzwerkgeräte, dort kann ich auf Freigaben und Netzlaufwerke zugreifen.

Was halt über den VPN nicht funktioniert. Im Explorer des Remote Client ist nichts davon zu sehen.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Also du hast einen „Hausfrauen“Router und eine der kleinsten DS - aber ein VPN soll „fully automatic“ funktionieren ?

VPN auf der DS ist ungefähr so, wie wenn du die Haustür offen lässt, und das passende Schloss für den Schlüssel installierst du in der Küche. Der Weg bis dahin bitte zwischen Stacheldraht, man will ja nicht, dass jemand unbefugtes reinkommt. Die Einlasskontrolle findet zwischen den Vorratsschränken statt, in denen deine Daten stehen.

Heißt: Der beste Ort für einen VPN-Server ist außen, auf dem (VPN-fähigen) )Router. Wobei WireGuard eigentlich keine Server kennt, von der Idee her ist das Peer to Peer. Nach der Einwahl ins VPN bist du in deinem Heimnetzwerk, und kannst zugreifen.

Wie du den Explorer einrichten musst, keine Ahnung. Mac und iOS only …
 
  • Like
Reaktionen: Stationary


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat