Zugriff von außen (dauerhaft im Finder) VPN / DDNS / Portweiterleitungsproblem

[kimsen]

Hallo erstmal zusammen!

Nach unzähligen Foren und Tutorials muss ich nun doch hier Hilfe erbitten :/

Mein Setup:
Synology DS 214
Router TP Link WDR3600
Unity Media Kabel Bw mit ipv4! (siehe anhang?!)
Firewall in NAS deaktiviert!
DDNS Account via Synology.me

Was ich will:
Idealerweise möchte ich die NAS dauerhaft in meiner Netzwerk haben. Der Zugriff von Zuhause per Wlan/Lan funktioniert einwandfrei und über Quickconnect klappt es gut!
Jetzt würde ich gerne auch auf Reisen einfach über den Finder (Mac) auf meine Daten zugreifen können.
So wie ich das verstanden habe muss ich dafür ja DDNS einrichten und dann eine VPN Verbindung herstellen! Korrekt?

Innerhalb des Netzwerks konnte ich eine VPN herstellen. Laut verschiedenen PortForwarding Test sind aber alle meine freigebenen Ports zu. An was kann das liegen oder kann ich den Test eh nicht aus dem Heimnetzwerk machen?
Falls noch Angaben fehlen, einfach schnell schreiben und ich versuche so gut es geht die Infos zu geben

Vielen Dankschonmal - wenn ihr das hier löst macht ihr mich unglaublich glücklich. Bin kurz davor das ganze aufzugeben und die nas zu verkaufen

 

[fpo4711]

Hallo,

So wie ich das verstanden habe muss ich dafür ja DDNS einrichten und dann eine VPN Verbindung herstellen! Korrekt?

Ja, wenn Du das in den Finder einbinden willst.

Du schreibst leider nicht was für ein VPN Du verwenden willst. Ich vermute mal als Mac-User nutzt Du wahrscheinlich PPTP. Von Sicherheitsbedenken mal abgesehen, ist dafür die Portfreigabe TCP 1723 an die DS nötig. Zusätzlich noch das Protokoll GRE. Diese Einstellung versteckt sich meist hinter Begriffen wie VPN-Passthru oder ähnlich im Router. Auf der CLientseite dann auch "Gesammten Verkehr über die VPN Verbindung leiten" anhaken oder Du mußt eine manuelle Route angeben.

Empfehlen würde ich Dir aber OpenVPN dann kannst Du das mit der Route vergessen, da OpenVPN dies automatisch erledigt. Für OpenVPN UDP 1194 am Router weiterleiten.

Und ein Test im heimischen Netz kann nur bewerten ob der Server läuft und eine Verbindung aufgebaut werden kann. Nach einer Weile sollte es dann aber zu Problemen kommen. Also wirklich nur für einen kuzen Test nutzen.

Gruß Frank

 

[kimsen]

Hallo Frank und vielen Dank für die unglaublich schnelle und nette Antwort!
Immerhin bin ich dann schonmal nicht ganz auf dem holzweg

Bin bzgl. der Art von VPN ziemlich frei - habe zunächst PPTP und L2PT getestet (und ging beides mit meiner internen LAN IP). Allerdings komme ich ja von außen nicht drauf und ein Port Weiterleitungstest besagt, dass alle ports zu sind (dieser hier: http://www.yougetsignal.com/tools/open-ports/) - oder sind diese Tests sinnlos innerhalb vom Netz?

Probiere es nun mal mit OpenVPN und erstatte dann Bericht!

 

[kimsen]

Gerade versucht per Tunnelblick mit dem erstellen OpenVPN Zertifikat auf die NAS zuzugreifen und leider funktioniert es nicht . Er bleibt schon beim Status "Servernamen auflösen" hängen...

 

[fpo4711]

Gerade versucht per Tunnelblick mit dem erstellen OpenVPN Zertifikat auf die NAS zuzugreifen und leider funktioniert es nicht . Er bleibt schon beim Status "Servernamen auflösen" hängen...

Hast Du auch in der Config deinen DDNS Namen eingetragen?

 

[kimsen]

Glaube nicht! :/ Wo mache ich das?

 

[fpo4711]

Glaube nicht! :/ Wo mache ich das?

In der openvpn.conf findest Du eine Zeile

remote YOUR_SERVER_IP 1194

Hier ist der Part YOUR_SERVER_IP durch deine DDNS Adresse zu ersetzen. Beispielsweise

remote meine.dyndns.org 1194

 

[kimsen]

Ohja - jetzt ist es drin und zumindest nach draußen sind ein paar Bytes gegangen

Glaube tatsächlich das mein Problem noch viel grundlegender ist - habe das Gefühl mein DDNS via Synology.me funktioniert schon nicht richtig...kann nämlich auch nicht per Browser auf meine DDNS Server zugreifen...
Allerdings zeigt es in der Nas den Status auf "Normal" an - aber das heißt wohl nichts?! Sorry, bin leider echt kein Netzwerkexperte, daher lieber alles in Newbie Sprache erklären :I
Bei der Portweiterleitung gebe ich ja schon meine eingetragene LAN Adresse (ipv4) an (z.b. 192.168.1.105) und nicht die DNS 192.168.1.1 ein, oder? Zuviele unterschiedliche Ips und Hostnamen überall...

 

[fpo4711]

Die Adresse mit 192.168..... das sind deine internen, also lokalen IP's. Deine DDNS-Adresse sorgt dafür das Du die externe Adresse auflösen kannst. Das sollte die 95..... dann sein. Dein Router sollte Dir an irgendeiner Stelle auch die im Augenblick gültige externe IP anzeigen. Ob jetzt dein DDNS richtig aufgelöst wird kannst Du mit einen Ping testen. Beispielsweise:

ping deine.synology.me

im Terminal oder aber die Adresse im Netzwerkdienstprogramm unter Ping angeben. Hier sollte dann die gleiche IP angezeigt werden wie die externe IP in deinem Router.

Ist das nicht der Fall dann läuft der DDNS nicht richtig. Und wenn Du den VPN-Server testest, dann möglichst von extern. Könnte nämlich auch sein das dein Router kein sogenanntes "Loopback" beherrscht.

Prüfen ob dein OpenVPN Server richtig läuft und eine Verbindung zuläßt kannst Du in dem Du in der openvpn.conf auch mal deine lokale IP anstatt der DDNS-Adresse einträgst. Wenn hier der Verbindungsaufbau klappt dann bist Du schon mal sicher das der VPN-Server richtig läuft.

Gruß Frank

 

[kimsen]

Besten Dank für deine gute Erklärung - toll dass Leute hier so hilfbereit sind!

Also tatsächlich bekomme ich keine DDNS verbindung zum Laufen und kann sie nicht anpingen!
Habe nun mittlerweile Accounts bei no-ip, two dns, synology.me und habe die Einrichtung sowohl innerhalb der NAs als auch auf dem Router selber probiert.

So bin ich vorgangen:
DDNS eingerichtet...
Portfreigabe (80,5000) auf meine NAS die eine "Lokale Ip alla 192.168.... hat"

versucht mit dem browser auf meine DDNS Domain zu kommen (meine.noip.me....)
--> auch mit dem Handy außerhalb des Netzwerkes.

Was kann noch falsch sein?!

 

[fpo4711]

Mit synology.me gibt es im Augenblick glaube ich Probleme. Hatte wohl hier auch was im Forum gelesen. Die Empfehlung mit dem Ping war auch weniger wegen des Pings, den könnte vielleicht auch dein Router nicht beantworten. Aber der Ping macht Dir auch schon die Namesnauflösung spricht zeigt dir die IP an. Hier mal ein Beispiel im Terminal eingegeben:

imac:~ Frank$ ping www.heise.de
PING www.heise.de (193.99.144.85): 56 data bytes
64 bytes from 193.99.144.85: icmp_seq=0 ttl=246 time=25.526 ms

Das gleiche funktioniert dann mit deiner DDNS. Anstatt www.heise.de die DDNS (deine.no-ip.com oder wie auch immer) Im Beispiel oben hat heise die externe IP 193.99.144.85 Wenn Du also deine DDNS beim ping angibst, solltest Du auch die externe IP von Dir sehen. Stimmt die mit der im Router angegebenen überein funktioniert schon mal der DDNS. Dann kann es nur am Router / Portweiterleitung liegen. Stimmt sie nicht überein, dann liegt das Problem beim DDNS.

Gruß Frank

 

[kimsen]

Da kommt sowas hier:

PING meine.noip.me (95.208.248....): 56 data bytes
Request timeout for icmp_seq 0

er findet also die Ip aber macht dann timeouts...

 

[fpo4711]

Gestern standen wir noch vor dem Abgrund, heute sind wir schon einen ganzen Schritt weiter

Ich fasse das mal kurz zusammen. Dein DDNS funktioniert (Externe IP identisch mit der die im Router angezeigt wird), dein VPN-Server läuft (im lokalen Netz kann Verbindung aufgebaut werden). Dann gibt es jetzt nur noch zwei Möglichkeiten

1.) Dein Router / Portweiterleitung - Kenne das gute Stück leider nicht weshalb ich hier passen muß.

2.) Deine IPv4 IP läßt das zwar nicht vermuten aber vielleicht Du hast einen Dual Stack Lite. Tja, dann bist Du gekniffen. Da bliebe dir nur eine IPv6 Verbindung und das wird in Punkto VPN noch nicht von Synology unterstützt.

Da würde Dir dann bloß als noch halbwegs komfortable Lösung der Weg über die Apps z.Bsp FileStation in Verbindung mit QuickConnect bleiben. Ich glaube aber das hängt im Augenblick bei Synology. Also Du hast keinen guten Tag erwischt.

Gruß Frank

 

[kimsen]

Na immerhin wissen wir/ich nun mehr

und wie bekomme ich nunr raus ob ich DL Lite oder echtes DL habe?
Habe ja in meiner Eingangsfrage das ipv4 Bild angehängt...

Habe einen ca 1 1/2 Jahre alten KabelBW Anschluss - evt sagt das auch was aus?

 

[Pole20]

Beschäftige mich ebenfalls mit diesem Problem...
Bei mir liegt es definitiv am IPV6 (habe kein Dual Stack)
Habe bei Kabel BW angerufen und denen mitgeteilt dass ich zwingend notwendig Dual Stack brauche um eben DDNS und Co zum Laufen zu bringen.
Die meinten die kümmern sich drumm.

Ich halte das Forum auf dem Laufdenden über folgenden Link

http://www.synology-forum.de/showthread.html?55417-DS213-Air-kein-Zugriff-von-Extern