VPN klappt nur intern

[Raivenstar]

Hallo liebe Community, ich habe folgendes Problem:

Ich habe auf meiner DS214 (DSM 5.1-5004) den VPN-Server installiert und die Verbindung PPTP eingerichtet. Ob die nun sicher ist oder nicht, darüber möchte ich nicht diskutieren. Leider bekomme ich aber nur intern eine Verbindung zu der VPN. Sobald ich meinen DynDns eintrage in der Konfig komme ich einfach nicht mehr weiter. Im Router ist der Port 1723 auf mein NAS freigegeben und weitergeleitet. Ebenfalls ist Port 1723 in der Firewall vom NAS freigegeben. Sobald ich aber mit TelNet nachschaue, ob der Port offen ist, kommt er nicht durch.
Ich habe auch schon etliche Tutorials ausprobiert und mich exakt dran gehalten, nichts hat funktioniert.

Hat hier irgendeiner eine Idee was ich noch ausprobieren könnte? Ich bin langsam am verzweifeln, bei anderen klappt es doch auch problemlos..


Liebe Grüße

Raivenstar

 

[haol0013]

Hallo,

seit dem Update auf DSM 5.1-5004 kann ich die PPTP-VPN Verbindung zwar noch aufbauen, aber nicht mehr per App mittels interner IP zugreifen. Mit DSM 5.0 und früher klappte das noch wunderbar. Ticket ist gestellt. Scheint ein Thema mit DSM 5.1 zu sein.

Grüße

Oli

 

[Raivenstar]

Ok, falls es wirklich ein Problem mit der DSM Version ist brauche ich ja wenigstens nicht zu befürchten das ich es einfach nicht gebacken bekomme *g*
Gibt es eine Möglichkeit, das DSM downzugraden? Ich möchte einfach nur schauen, ob es mit der 5.0 funktioniert

EDIT: Schonmal vielen Dank für die rasche Antwort ;-)

 

[ottosykora]

Ich habe auch schon etliche Tutorials ausprobiert und mich exakt dran gehalten, nichts hat funktioniert.

also eigentlich soll man VPN nur dann versuchen zu testen wenn sich der Server und der Client in unterschiedlichen Subnetzen befinden.
Wenn du es mit der internen IP versuchst dann bist du ja wohl im gleichen Netz?

Ob Port offen ist kann man auch mit einem externen Webtool testen, zum Bsp http://www.dnstools.ch/port-scanner.html oder ähnlich.
Es ist auch noch zu beachten, dass es oft Situationen gibt in denen ein Aufruf der DDNS Adresse vom gleichen Netz nicht geht weil der Router kein NAT Loopback beherrscht.

Ich würde dann auch zuerst mal die DS Firewall abschalten und sehen ob sich was ändert.

 

[Raivenstar]

Danke für die Hinweise ottosykora,

auch mit dem Webtool sagt er mir das der Port geschlossen ist. Ich hätte erwähnen sollen das ich die VPN Verbindung auch von externen Netzen getestet habe (sowohl in anderen Heimnetzen sowie am Smartphone). Da funktioniert es halt nicht. Und nur weil ich im selben Netz bin heißt es nicht das es auch automatisch funktioniert. Schließlich muss trz. Port 1723 angesprochen werden können und der VPN Server korrekt laufen, das sagt er mir auch intern das alles klappt.

Wie schalte ich denn die Firewall aus, ich finde nur die Freigabe von Ports ?!

 

[ottosykora]

Systemsteuerung, Sicherheit, Firewall, deaktivieren , alles erlauben

Wenn Port von aussen nicht erreichbar ist, dann kommt die Anfrage nicht bis zu dem VPN Server oder der VPN Server bietet seinen Dienst nicht an.

Im selben Netz oder im Netz mit dem gleichen Subnetz funktionieren VPN Experimente eben oft nicht wirklich, sollen auch nicht.

Bei dir ist es aber klar zuerst der Port.
Ich tippe auf eine Fehleinstelleung im Router.
Was für einen Router ist es?

 

[Raivenstar]

Der Router ist eine FRITZ!Box Fon WLAN 7141.
Wie gesagt, ich habe nur eine Portweiterleitung eingerichtet, mehr wüsste ich auch nicht was ich am Router konfigurieren soll.

 

[ottosykora]

zeigt die DynDns wirklich auf deine derzeitige externe IP?
Wirde der Updater von der DS oder von der Fritz verwendet?
Sind andere Ports weitergeleitet und funktionieren diese auch?
Hat die DS ein fixe interne IP? Oder DHCP? Stimmt die IP der DS mit der Weiterleitung in FB?

 

[Raivenstar]

Bitte entschuldige meine späte Antwort.
Ja, die DynDns läuft über DynDns.org als Pro-Account und funktioniert einwandfrei.
Die DynDns Adresse ist in der Fritzbox hinterlegt und wird von dieser gesteuert.
Ja, ich nutze auch andere Portweiterleitungen wie 3389 für Remote Desktop oder 8001 für die Downloadstation. Diese funktionieren auch seit ewig ohne Probleme.
Die DS bekommt eine feste IP zugewiesen, ist auch schon ewig so und hat noch nie Probleme gemacht. Die Fritzbox Portweiterleitung ist richtig, läuft defintiv auf das NAS.

 

[ottosykora]

nur so als Fehlersuche:
du sagst wenn du im gleichen Netz bist dann gibt etwas auf eine Anfrage an Port 1723 Antwort. Wenn du jedoch 'draussen' bist dann gibt nichts Antwort und noch schlimmer der Port scheint gar nicht bedient zu sein oder die Anfragen kommen bei dem Server nicht an.
Ich würde dann die Weiterleitung in FB löschen und nochmals anlegen. Dann nochmals testen ob Anfragen beantwortet werden mit dem externen Portscanner.
Die Firewall abgestellt?


Hast du ev etwas an dem VPN Server verstellt?

Dann nur von 'aussen' testen. Wenn du zum Bsp ein Subnetz hast 192.168.178.x dann sollst du es aus einem Netz versuchen welches genau diesen Subnetz NICHT hat.

 

[g202e]

Teste bitte mal hiermit. Hinter Port Number 1723 eingeben und "Check"
Wenn der sagt "closed", dann ist dicht! Und dann brauchst du nicht weiter suchen, sondern deine FB umkonfigurieren...

 

[ottosykora]

Ja, er hat es offenbar mit einem Online Scanner (ein anderer aber gleichwertig) getestet und das Ding sagte offenbar geschlossen.
Zumindest gibt da nichts eine Antwort von extern auf die Anfragen an 1723.


Anderseits soll da intern etwas funktionieren. (VPN Server ON)

Darum meine ich auch da stimmt was grundsätzlich mit der FB nicht. Kleiner Vertipper oder Zahlendreher bei der Weiterleitung oder ähnliche Kleinigkeit vielleicht.

 

[Raivenstar]

Ok, mal angenommen es liegt an der Fritzbox, wonach muss ich gucken? Die Portweiterleitung ist definitiv richtig, hab ich schon mehrfach gechecked und neu eingetragen. Was könnte denn noch der Grund sein?

 

[fpo4711]

Ok, mal angenommen es liegt an der Fritzbox, wonach muss ich gucken? Die Portweiterleitung ist definitiv richtig, hab ich schon mehrfach gechecked und neu eingetragen. Was könnte denn noch der Grund sein?

Für PPTP nicht nur den Port 1723 TCP weiterleiten, sondern auch das Protokoll GRE.

Gruß Frank

 

[Raivenstar]

Auch schon alles probiert fpo4711 Bringt mir aber leider nichts wenn nicht einmal der Port 1723 durchkommt und immer als geschlossen gemeldet wird.
Ich habe nach ein bisschen Suche nochmal das hier gefunden, ich gehe jetzt einfach davon aus das es daran liegt und werde mir einen neuen Router anschaffen, die jetzige Fritzbox hat ja auch schon seine 7 Jahre auf dem Buckel.

Zitat aus der Synology VPN Anleitung: "Hinweis: Der PPTP-VPN-Dienst ist in bestimmten Routern integriert, deshalb ist evtl. der Port 1723 belegt. Um sicherzustellen, dass der VPN Server ordnungsgemäß funktioniert, muss möglicherweise der integrierte PPTP VPN-Dienst über die Router-Verwaltungsschnittstelle deaktiviert werden. Darüber hinaus können bestimmte ältere Router das GRE-Protokoll (IP-Protokoll 47) blockieren, wodurch die VPN-Verbindung fehlschlägt. Wir empfehlen den Einsatz eines Routers, der VPN Pass-through unterstützt."

Da ich keine Möglichkeit gefunden habe, diesen "integrierten" Port abzuschalten, werde ich mir einfach eine Neue Fritzbox mit VPN Passthrough besorgen.
Ich danke euch allen trotzdem für eure Hilfe und wünsche noch ein schönes Wochenende!

 

[Raivenstar]

Mal so nebenbei: Ich hatte eig nur vor mit der VPN Verbindung meine Netzlaufwerke auch von woanders einbinden zu können, halt einfach dafür das ich meine Daten in normaler Windows-Ordner Ansicht habe. Gibt es dafür vielleicht eine andere Möglichkeit?

 

[g202e]

Gibt es dafür vielleicht eine andere Möglichkeit?

Ja.

VPN-Server installiert und die Verbindung PPTP eingerichtet. Ob die nun sicher ist oder nicht, darüber möchte ich nicht diskutieren.

Ohne jetzt über Sicherheit zu diskutieren: Was hindert dich, OpenVPN zu nutzen? Das funktioniert jedenfalls meistens.

 

[Raivenstar]

Magst du mir diese andere Möglichkeit vielleicht auch erläutern?

Da scheiterte es bei mir an der Einrichtung.

EDIT:

Habe auf dem Router wie im Bild zu sehen Open VPN weitergeleitet, der Open VPN Server ist auf dem NAS aktiv und die Firewall lässt OpenVPN auf dem NAS durch. Trotzdem ist der Port als geschlossen markiert. Das kann doch nur am Router liegen oder?

EDIT2&3:

EDIT 4: