VPN mit DDNS-Adresse klappt nicht - nur mit externer IP geht es

mf_2

Benutzer
Mitglied seit
31. Aug 2008
Beiträge
152
Punkte für Reaktionen
4
Punkte
18
Hallo zusammen,

ich habe die L2TP/IPSec VPN-Verbindung auf meiner RackStation eingerichtet. Per externer IP kann mein Windows 11 Client die Verbindung aufbauen. Leider ist meine externe IP aber nicht statisch, wodurch ich gerne eine DDNS-Adresse (meineadresse.synology-me) in den VPN-Verbindungseinstellungen des Clients hinterlegen will. Die DDNS-Adresse löst korrekt zur IP auf wenn ich sie im Browser mit Port 80 aufrufe, aber Windows kann damit keine Verbindung zum VPN herstellen.
Mit OpenVPN das gleiche (externe IP geht, DDSN-Adresse nicht). Wie kann ich das beheben (außer mir eine statische IP zu holen oder jedes Mal die Konfiguration meiner Clients manuell anzupassen wenn die IP sich ändert)?

Viele Grüße
mf_2
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Ich nutze es schon lange nicht mehr, aber damals hatte ich bei openvpn meine Dnydns Adresse drin. Bist du dir sicher dass das Config File stimmt?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Abgesehen das ich kein Feund von Quickconnect bin, hast du auch die Ports auf den Router freigegeben?
Was sagt der "Ping" und "nslookup" zu deiner dyndns?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.105
Punkte für Reaktionen
2.073
Punkte
259
Klappt bei mir ohne Probleme mit nicht statischer IPv4 wobei ich a) nicht die Synology-DDNS-Lösung verwende und b) nicht auf einen VPN-Server auf der DS gehe. Meine beiden Varianten lauten

1) VPN auf der Fritz!Box, mit myfritz-DDNS
2) Wireguard auf einem Raspi, mit DDNS von my-router.de (koscht nix, funzt aber)

Habe beide eingerichtet, eine als Rückfallebene, falls die andere mal geblockt werden sollte.
 
  • Like
Reaktionen: Stationary

mf_2

Benutzer
Mitglied seit
31. Aug 2008
Beiträge
152
Punkte für Reaktionen
4
Punkte
18
Entschuldigt die späten Antworten, aber die Benachrichtigungen bei neuen Antworten haben irgendwie nicht geklappt.

Ich nutze es schon lange nicht mehr, aber damals hatte ich bei openvpn meine Dnydns Adresse drin. Bist du dir sicher dass das Config File stimmt?
Ich bin kein VPN-Experte, daher kann ich mir nicht zu 100% sicher sein. Allerdings funktioniert das OpenVPN-Configfile sobald ich den DDNS Alias durch die IP ersetze.
Dito wenn ich die L2TP/IPSec-Verbindung direkt in Windows mit der IP anstatt des Alias versehe.
Abgesehen das ich kein Feund von Quickconnect bin, hast du auch die Ports auf den Router freigegeben?
Was sagt der "Ping" und "nslookup" zu deiner dyndns?
Ping löst zur externen IPv4 bzw. IPv6 Adresse des VPNs auf - sieht also gut aus.
nslookup zeigt folgendes:
Code:
Server:  pi.hole
Address:  192.168.0.240

Nicht autorisierende Antwort:
Name:    MEINEADRESSSE.synology.me.<KUNDE>.COM
Address:  XXX.XXX.XXX.XXX
Wobei MEINEADRESSE eingentlich meine echte Alias-Adresse enthält und <KUNDE> anscheinend ein Überbleibsel einer VPN-Verbindung eines Kunden ist. Dessen VPN steuere ich mittlerweile nur noch aus einer virtuellen Maschine heraus an, daher sollte es hier eigentlich nicht mehr zu finden sein. XXX.XXX.XXX.XXX ist eine externe IP (vmtl. die IP des Kunden)

Kann es sein, dass der PiHole das Problem ist? Diesen nutze ich für meine Rechner als DNS-Server.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129

mf_2

Benutzer
Mitglied seit
31. Aug 2008
Beiträge
152
Punkte für Reaktionen
4
Punkte
18
Ich habe nun die Gegenprobe gemacht -> Windows-Client über einen Hotspot des Smartphones ins Internet gebracht -> also komplett am häuslichen LAN mit PiHole vorbei. Auch dann kann ich keine Verbindung zum VPN herstellen - weder per IP (was Ende Mai noch ging), noch per DDNS-Alias.
Wie kann ich das weiter analysieren?
Ein Ping vom Client an das DDNS-Alias löst korrekt zur externen IPv4 Adresse auf und liefert auch eine Antwort.
Die NAS als "exposed host" im Router (Fritzbox) einzutragen (IPv4 und 6) macht keinen Unterschied - und wäre auch keine gute Lösung.
Es sind alle von Synology geforderten Ports (UDP: 1701, 500, 4500) im Router freigegeben und das entsprechende Port Forwarding zeigt auf die NAS.
Man kann ja an der Fritzbox den Traffic mitschneiden und dann mit Wireshark analysieren. Leider kann ich da nicht erkennen, ob der Router überhaupt den Verbindungsversuch des Clients empfängt.
Kann ich am Windows-Client Logging bzgl. der Verbindungsherstellung sehen? Ich versuche es aktuell über das Windows-interne VPN.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.948
Punkte für Reaktionen
1.268
Punkte
194
Wäre es eine Option, den VPN-Server auf die Fritzbox zu verlegen?
 

mf_2

Benutzer
Mitglied seit
31. Aug 2008
Beiträge
152
Punkte für Reaktionen
4
Punkte
18
Zur Not ja, aber dann müsste ich vermutlich dort nochmal alle Benutzer anlegen (oder?).
Aktuell habe ich einen Domain Controller mit allen Benutzern. Die Syno ist via LDAP in das AD integriert und zieht sich die Benutzer von dort.
Meine Hoffnung war nun (wenn es denn überhaupt mal gehen würde), dass ich dann mich mit meinem AD User am Syno VPN-Server anmelden kann.

Die Fritzbox hat diese Möglichkeit meines Wissens nach generell nicht.
Ich prüfe das heute Abend mal. Ich hatte gestern schon kurz in den VPN-Einstellungen der Fritzbox nachgesehen und da konnte ich die Fritzbox nur mit einem anderen VPN-Server verbinden. Aber ich recherchiere mal.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.105
Punkte für Reaktionen
2.073
Punkte
259
Die FB hat einen eigenen VPN Server.

Allerdings sind die User dort die FB-User. Ich denke nicht, dass es über eine zentrale Benutzerverwaltung funktioniert.

Jeder User kann zu einem Zeitpunkt nur genau eine VPN-Verbindung aufbauen - mit einem Sammeluser geht es also schon rein technisch nicht (abgesehen vom Sicherheitsproblem).
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich hatte gestern schon kurz in den VPN-Einstellungen der Fritzbox nachgesehen und da konnte ich die Fritzbox nur mit einem anderen VPN-Server verbinden. Aber ich recherchiere mal.
Das ändert sich bald, in der aktuellen Labot ist bereits Wireguard als VPN verbaut. Im nächsten Relaese wird das denn für alle verfügbar sind. Wireguard ist der VPN-Dienst der aktuell zu empfehlen ist, wegen der Performance. AVM hat da lange verschlafen, selbst der Telekom Router hat Wireguard seit fast 3 Jahren. Ich warte auch schon gespannt, da ich schon seit Jahren keine Labor mehr nutze (Lehrgeld bezahlt). Aktuell geht es langsam auf das Release-Candidate und danach Release zu. Das solltest du im Hinterkopf behalten oder das ganze im Docker oder Labor schon jetzt testen.

Auch würde ich das ganze erst einmal ohne Pi-Hole probieren, denn erkennst du sofot ob es am VPN oder an der DNS liegt.
 
  • Like
Reaktionen: mf_2

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.948
Punkte für Reaktionen
1.268
Punkte
194
da konnte ich die Fritzbox nur mit einem anderen VPN-Server verbinden.
Meine Fritzboxen halten jeweils über VPN Kontakt zu drei anderen Fritzboxen - gleichzeitig! Das geht selbst mit der IPSec-VPN-Version von AVM. Multiples Vernetzen von Fritzboxen ist also durchaus möglich, und das auch schon seit Jahren.
 

Denny546

Benutzer
Mitglied seit
11. Mrz 2012
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,
habe gerade diesen Thread gefunden, da ich das gleiche Problem habe. Habe seit Jahren die Konfig meiner 218+ mit VPN L2TP laufen und via Synology (diskstation.me) die Verbindung vom iPhone und mehreren Laptops aufgebaut. Seit 2 Monaten jedoch nicht mehr genutzt. Letzter Connect war am 23.03.22 danach hatte ich einfach keinen Bedarf.

Jetzt seit ein paar Tagen keine Verbindung mehr möglich. Eben gerade nach Lösungen gesucht, den Thread hier gefunden, ausprobiert mit der IP und auf einmal geht es. Wobei ich einige Dienste direkt (nicht via VPN) von der Fritzbox aufrufen kann mittels der DDNS, verweigert es mir den Zugang jetzt mit VPN. Also irgendwo hat sich was geändert bei dem DDNS. Weil ich sonst keine Änderung an der Konfig seit über einem Jahr durchgeführt habe. Oder könnts am letzten Update von DSM6 liegen?

Wie seht ihr das?

VG
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.828
Punkte für Reaktionen
3.769
Punkte
468
Probier mal mit "nslookup irgendwas.diskstation.me", ob inzwischen evtl. auch die IPv6-Adresse der DS aufgelöst wird.
Evtl. werden ja IPv4 und IPv6 aufgelöst, IPv6 dann verwendet, und es fehlt dafür die Unterstützung/Freigabe im Router.
 

Denny546

Benutzer
Mitglied seit
11. Mrz 2012
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
Hi Benares, Danke für Deine Antwort. Ich habe eine IPv4 Adresse bei Vodafone. (langes thema, habe die schon seit x Jahren, seit UM/Vodafone mit IPv6 und Tunneling da probleme hat)

habe es eben ausprobiert und er löst meine IPv4 adresse auf.

Habe gerade auch noch mal probiert auf den Server via IP zuzugreifen... jetzt geht es nicht mehr und vorher ging es 2x...

Habe eine Fritzbox 7590 nach dem UM Router (connect Box) vorgeschaltet die alle Ports für L2TP weiterleitet... leider kann ich da nicht sehen ob eine eingehende verbindung weitergeleitet wird... evtl. hängts auch an der Fritzbox?!
Oder kennt jemand eine Möglichkeit die IP Weiterleitungen der Fritzbox auszulesen ?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.828
Punkte für Reaktionen
3.769
Punkte
468
Na ja, wenn nslookup nur die IPv4 (und zwar die richtige) liefert, sollte es egal sein, ob man beim VPN mit der IP oder dem DDNS-Namen arbeitet.

Oder kennt jemand eine Möglichkeit die IP Weiterleitungen der Fritzbox auszulesen ?
Sieht man doch auf der FB entweder unter Internet, Freigaben, Portfreigaben oder auch unter Diagnose, Sicherheit.
 

Denny546

Benutzer
Mitglied seit
11. Mrz 2012
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
So sehe ich das auch, es sollte egal sein. :) Scheint so oder so nicht mehr zu funktionieren.
Habe Syno und Fritzbox neu gestartet.. aber kein Erfolg.

Sieht man doch auf der FB entweder unter Internet, Freigaben, Portfreigaben oder auch unter Diagnose, Sicherheit.

Ich sehe auf der Fritz die Portweiterleitungen und alles... was ich aber in KEINEM Protokoll sehe, ob eine Verbindungsanfrage aus dem I-Net auch weitergeleitet wurde.. im VPN Server sehe ich unter Protokoll , keine Einträge. Ich vermute somit, dass die Weiterleitung nicht richtig funktioniert.. obwohl noch mehr Ports für die Syno freigegeben sind, die nix mit VPN zu tun haben und diese sind aus dem Internet erreichbar.. Nur das VPN nicht :-/
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.828
Punkte für Reaktionen
3.769
Punkte
468
Ach so meinst du das. Nein, ein Protokoll wer wann eine Weiterleitung genutzt hat, gibt es in der Tat nicht.
Da VPN auch meist UDP verwendet, ist auch gar nicht so leicht zu testen. Mit einem Portscanner aus dem Internet vielleicht?
 

Denny546

Benutzer
Mitglied seit
11. Mrz 2012
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
Hey Benares, Danke für die Info. Ja ich hab da auch gerade keine Idee wie ich da dran komme.
Fakt jedenfalls ist, das es heute ein mal kurz funktioniert hat mit der alten Konfiguration wie ich im VPN Server-Log sehen konnte.

Alternativ habe ich gerade FitzboxVPN ausprobiert. Das funktioniert einwandfrei mit IpSec für IOS Konfiguration. Doof nur das hier dann windows 11 nicht mehr mitspielt.

Also gerade stehe ich echt auf dem Schlauch und hab keine Idee was sich geändert hat. Ausser evtl. dass es seitens DSM ein Update gegeben hat in den letzten 2 Monaten .. im Mai auf Version

6.2.4-25556 Update 6​

Das ist das einzige wie ich es mir gerade erklären kann warum die Konfig nicht mehr funktioniert. bzw. nicht mehr richtig funktioniert.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat