VPN auf Synology funktioniert nicht (IPSEC/L2TP)

lampy · 2024-08-05T11:28:35+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

lampy

Hallo Community,

hat jemand von euch es geschafft mit der “Sunrise Internet Box Fiber” eine VPN-Verbindung herzustellen über IPSEC/L2TP zu eurer Synology? Wir betreiben neu eine Synology NAS im Vereinslokal mit Sunrise Glasfaser. Ich habe schon mehrmals verschiedene Diskstations in verschiedenen Haushalten und über verschiedene Internetprovider aufgesetzt und jetzt stosse ich das erste Mal an Grenzen.

In den Routereinstellungen habe ich die DS in eine DMZ gesetzt, da ich es nicht geschafft habe UPnP zum laufen zu bringen. Natürlich läuft auf dem System eine strikte Firewall. Diese habe ich testesweise auch mal ausgeschaltet fürs Troubleshooting. Als Clients habe ich iOS und MacOS versucht, mit beiden kann ich mich zu den anderen Diskstations z.B. zu Hause oder in die Firma verbinden. Auch andere Dienste auf verschiedensten Ports laufen auf dem Vereins-NAS ohne Probleme. Wir scheinen auch ohne nachzufragen bereits eine IPv4 erhalten zu haben. DDNS und externer Zugriff ist kein Problem über unsere eigene Domain. Zeitweise habe ich auch die IP-Adresse direkt versucht. Es kommt nicht mal zu einer Authentifizierung, der Verbindungsversuch taucht in den Logs nicht auf.

Kann es sein, dass die Sunrise Internet Box Fiber diesen Dienst aus irgendeinem Grund nicht unterstützt bzw. die UDP-Ports nicht weiterleitet im DMZ? Das Modell scheint älter zu sein, ich finde es nicht mehr auf der Sunrise Webseite. Das User Interface sieht auch relativ antik aus. Es ist dieses Modell.

pato

lampy Schau mal ob du im MySunrise eventuell noch das Surf & Protect auf dem Konto aktiv hast, dies könnte dies unterbinden.
Ansonsten sind alle notwendigen Ports wirklich weitergeleitet?

Daniele_Sunrise

lampy Ich habe nun deinen Anschluss vor 09:30 Uhr umgestellt auf IPv4. Kannst du es bitte in einigen Minuten nochmals versuchen?

Liebe Grüss
Daniele

lampy

pato

Danke für die Tipps! Ja, ich habe tatsächlich auch schon mal versucht die Ports manuell freizugeben ohne Erfolg. So sieht es dann aus:

Leider habe ich selbst keinen Zugriff auf das MySunrise-Konto. Den Anschluss hat ein Vereinsmitglied eröffnet und ich befürchte, dass es den Zugriff auch nicht mehr hat. Kann ein technischer Mitarbeiter @Sunrise_Team diese Einstellung ändern, wenn ich die IP-Adresse mitteile per PN?

Daniele_Sunrise

lampy Herzlich Willkommen in der Community!

Da ich dich nicht identifizieren kann mit der IP Adresse, benötigen wir für die Prüfung folgende Daten des Kontoinhabers: die Kundennummer, komplette Anschrift inkl. Vor- und Nachname sowie das Geburtsdatum.

Danach kann ich gerne einmal das Modem prüfen. Hast du schon mal versucht bei Externer Host, deine öffentliche IP Adresse einzutragen, welche du hier nachschauen kannst?

Liebe Grüsse
Daniele

lampy

@Daniele_Sunrise

Danke für deine rasche Antwort! Ich habe nicht alle Angaben, werde aber nachfragen und leite sie dir dann gerne per PN weiter. Bedingt die Überprüfung des Anschlusses bzw. dieser Einstellung Surf&Protect, dass der Anschluss unterbrochen oder der Router neugestartet wird?

Ja, habe ich gerade auch versucht. Aber da die externe IP ja sowieso gelegentlich wechseln kann, wäre diese Einstellung ja gar nicht praxistauglich. Bei anderen Ports funktioniert der Platzhalter (*) problemlos. Wir haben da noch einen weiteres Endgerät im Netzwerk, das mit dem Platzhalter problemlos die richtigen Ports (auch UDP) zugewiesen erhält.

Daniele_Sunrise

lampy Ja ich würde gerne das Surf Protect prüfen, sowie die Portweiterleitungen. Sobald ich die Daten von dir erhalte, werde ich alles prüfen. Wegen der externen Host IP - ich dachte nur, dass es vielleicht an der fehlenden öffentlichen IP Adresse liegt. Da du dies aber getestet hast, können wir weitermachen und das Konto prüfen.

Liebe Grüsse
Daniele

lampy

Super, dann melde ich mich nochmals mit den Angaben per PN.

Übrigens, da ich eigentlich ungerne ein DMZ auf lange Zeit betreiben möchte, gibt es bzgl. UPnP bekannte Kompatibilitätsprobleme mit diesem Router und Synology? So sieht das bei uns aus:

Daniele_Sunrise

lampy Hierzu müsstest du Synology fragen, ob sie den Sunrise Router hinzufügen können in die Liste der Router. Ich persönlich habe UPnP nicht aktiv, da ich sonst keine Kontrolle habe, welche Ports offen sind, da dies automatisch gesteuert wird.

Liebe Grüsse
Daniele

lampy

Daniele_Sunrise

Synology hat diese Liste der nativ unterstützen Routern schon seit Jahren nicht mehr aktualisiert. Sie bieten nun die Einrichtung per UPnP an, da dies mit allen Routern kompatibel sein sollte. Evtl. verwendet der Sunrise Router da noch einen alten Standard.

Jedenfalls ist das Thema UPnP gerade zweitrangig und ein DMZ in Kombination mit Firewall ist auch ganz praktisch zum neue Dienste austesten 🙂

lampy

Daniele_Sunrise Top! Vielen Dank.

Nun sehe ich eine Anmeldemaske von Sunrise, wenn ich unsere Domain eingebe (statt das DSM Web Interface). Sie sieht aus wie diese vom Router, aber das Router-Passwort funktioniert nicht. Ist das normal?

Daniele_Sunrise

lampy Ich erhalte, wenn ich deine öffentliche IP eingebe, die DMS Webserver Seite:

Was aber noch nicht abgeschlossen ist, wäre die Anpassung auf Pv4. Kannst du bitte dein Modem einmal neu starten und dich wieder hier melden?

Liebe Grüss
Daniele

lampy

Daniele_Sunrise Danke! Wurde gemacht, das Modem ist seit heute Morgen mehrmals neugestartet.

Leider genau dieselbe Situation wie vorher. IPSec geht nicht, die anderen Protokolle wie PPTP usw. schon. Im LAN funktioniert es problemlos. Ich vermute es liegt am Router. Syno schreibt in ihrer KB, dass es da verschiedene Protokolle wie L2TP Pass-through und ALG gibt, die von Routern unterstützt werden:

Ich finde die Optionen nicht im Router und vermute es ist eine Limitation des Modells. Wir überlgen uns nun die Sunrise Box einfach in den Bridge Mode zu schalten und einen modernen Router nachzuschalten.

Daniele_Sunrise

lampy Ich sehe keine offenen Ports mehr für VPN auf deinem Modem.

Kannst du bitte nochmals die Ports UDP 4500 + 500 auf dem Modem öffnen? Danach würde ich nochmals prüfen, ob die Ports auch auf der Syno in der Firewall geöffnet wurden. bei mir sieht das so aus zu Hause:

Wird bei dir beim VPN Server etwas in der Protokollliste angezeigt, was IPSec betrifft?

Liebe Grüsse
Daniele

pato

lampy Stelle auch sicher, dass auf deinem Test Client NAT Traversal aktiv ist in den Einstellungen, eventuell auch auf dem Synology. Bin aber nicht ganz sicher ob dies bei L2TP auch notwendig ist, bei IKEv1 (und ev. Ikev2) ist es, wenn der Testclient hinter einem NAT hängt.

lampy

Daniele_Sunrise

Danke für die ausführlichen Anleitungen!

Die Ports habe ich wieder gelöscht, da es keinen Unterschied machte. Was ich jetzt noch versuche ist alle Ports nochmals manuell weiterzuleiten und die DMZ auszuschalten.

Die Firewall ist richtig konfiguriert, ausschalten machte auch keinen Unterschied. Und die Verbindungsversuche tauchten bisher nie in den Logs auf über IPSEC, nur die über PPTP. Fazit ist, dass der Router aus irgendeinem Grund einen der 3 UDP-Ports nicht weiterleiten möchte. Was ich dazu noch gefunden haben in der KB von Synology:

L2TP or IPSec VPN service is built-in on some routers, so the port 1701, 500 or 4500 might be occupied. To ensure VPN Server works properly, you might need to disable the built-in L2TP or IPSec VPN service through the router’s management interface to have the L2TP/IPSec of VPN Server work. It is recommended using a router that supports VPN pass-through connections.

@pato Danke auch für diese Tipps! Da ich mit demselben Client problemlos auf andere Synology VPNs zugreifen kann, scheint das Problem nicht lokal zu sein bei mir zu Hause. Nach Recherche habe ich herausgefunden, dass diese Einstellung serverseitig schon aktiviert ist und vom User seit einigen DSM Versionen nicht mehr verändert werden kann im GUI.

lampy

Update: habe nun die Ports alle manuell weitergeleitet. Testesweise habe ich dasselbe auch für PPTP gemacht, wo alles ohne Probleme funktioniert. Der Verbindungsversuch über IPSEC taucht nicht in den Logs auf, die Pakete kommen nicht zur Diskstation durch.

Kann es sein, dass der Router einen der UDP Ports selbst benötigt für den Fernzugriff von Sunrise aus bzw. über welchen Port greifst du aufs Modem zu @Daniele_Sunrise ?

Daniele_Sunrise

lampy Ich habe nochmals alles geprüft und es ist alles korrekt eingestellt. Wenn ich einen externen UDP Port checker nutze, wird mir Port 500 als OPEN angezeigt, 1701 und 4500 sind als filtered vermerkt.

Ich habe mich auch einmal mit meinem Handy via IP Sec verbunden auf dein Modem - es geht aber nicht. Vielleicht siehst du was im Protokoll?

Wir haben Zugriff auf die Modems via Port 443 HTTPS:

Liebe Grüsse
Daniele

lampy

Daniele_Sunrise

Merci für die Tests. Ich nicht nachschauen bzw. mich mit dem DSM verbinden, da dieser auch über Port 443 (https) lief bis gerade. Kannst du den Fernzugriff vielleicht auf einen anderen Port setzen und 443 wieder auf die Synology weiterleiten?

Daniele_Sunrise

lampy Du solltest den Port anpassen können. Der Screenshot ist von deinem Modem. Kannst du dies einmal testen? Zudem werde ich mich nicht mehr auf dein Modem verbinden, da mir die Lösungen ausgegangen sind.

Liebe Grüsse
Daniele

lampy

Update: werde nun wieder zum DSM weitergeleitet. In den Logs ist nichts neues aufgetaucht, deine Verbindung vom Handy aus ist nicht vermerkt @Daniele_Sunrise

Nächste Seite »