L

lampy

Update: habe die Support Hotline angerufen am Dienstag und der Lvl1-Supporter hat mich auf die Idee gebracht die eingebauten VPN-Protokolle anzuschauen, ob diese vielleicht das IPSEC/L2TP-Protokoll blockieren.

Und tatsächlich scheint “Road Warrior” von OPNSense auch auf IPSEC zu basieren und die gleichen Ports (500/1701/4500 UDP) zu beanspruchen, unabhängig davon ob der Dienst ein- oder ausgeschaltet ist. Wir haben hier also die Ursache des Problems gefunden und der Grund weshalb die Ports bei den obigen Test als “filtered” vermerkt wurden.

Nun gut, wir könnten evtl. damit leben, das eingebaute Road Warrior zu benutzen, die Sicherheitsrisiken und Mehraufwand in Kauf zu nehmen (keine Logs, kein zentrales user management, keine Einsicht in wie die manuell eingegebenen user accounts abgespeichert werden), aber natürlich scheint Road Warrior seit längerem nicht mehr mit aktuellen Betriebssystem kompatibel zu sein. Selbst getestet und berichtet von Sunrise und OPNSense Usern.

Damit ist von seiten User alles getan, es gibt keine Lösungsmöglichkeiten zurzeit. Einzige Lösung die wir momentan sehen ist Sunrise hinter uns zu lassen und zu switchen. Der Sunrise Support hat mir versprochen, die Sache zu eskalieren und mich gleichentags oder spätestens am Tag darauf rückzurufen, das ist jetzt aber auch schon ein paar Tage her… vielleicht kannst du da etwas Druck machen bei den Kollegen und die Anliegen von den Usern bzgl. VPN gesammelt weiterleiten @Daniele_Sunrise ?

Daniele_Sunrise Gerade geht das nicht wegen dem Minecraft Workshop

Ich sehe aber wo das Problem liegen könnte… ganz unten scheinen die erlaubten IPs definiert zu sein. Könntest du meine private da hinzufügen? Ich sende sie dir per PN. Wenn das nicht funktioniert fahre ich heute Abend vorbei vor Ort und starte das Modem neu bzw. setze es einfach mal zurück.

Daniele_Sunrise Ja gerne, falls das geht, könntest du den Schieber wieder auf “An” machen? Ich glaube das ist das einzige was ich geändert habe kurz vor dem Aussperren. Hier aus dem Screenshot von dir weiter oben:

Daniele_Sunrise Sie scheint aktiv zu sein, also die Seite wird angezeigt, jedoch funktioniert das übliche Passwort nicht mehr seit ich die Fernwartung deaktiviert habe… kannst du dich mit deinem Superuser account normal einloggen?

Daniele_Sunrise Super, das werden wir machen. Danke für die vielen Lösungsversuche hier von dir und @pato

Jetzt habe ich doch noch eine Frage an die Community und zwar habe ich testeshalber das Remote Management ausgeschaltet. Ich dachte, damit sei nur der Zugriff von ausserhalb gemeint und nicht innerhalb vom LAN. Nun habe ich mich dummerweise ausgesperrt. Gibt es dafür nun andere Lösung als den Router zurückzusetzen? Über SSH oder Telnet z.B.

Daniele_Sunrise Stimmt, habe erst jetzt den Expertenmodus entdeckt! Ich dachte immer, weil es im Titel gross steht, dass es bereits aktiviert ist. Der Fernzugriff ist jetzt ausgeschaltet, damit es keine Portkonflikte mehr gibt mit HTTPS.

Bzgl. Lösungsvorschläge bin ich sehr dankbar für deine Versuche bisher! Wir werden nun wahrscheinlich kommende Woche einen anderen Router ausprobieren. Weisst du, wo ich die Einstellung finde den Sunrise Router in den Bridge Modus zu schalten? Oder wie machen das die User, die einen eigenen Router verwenden? Weil ohne die Umschaltung in den Bridge Modus werden die beiden UDP Ports ziemlich sicher immer noch gefiltert.

Alternativ, wäre es aus deiner Sicht einen Versuch wert das Modem von eurer Seite mal ganz auszutauschen? Ich glaube das was wir haben ist nicht das letzte Fiber Modell, aber das kannst du besser beurteilen.

Update: werde nun wieder zum DSM weitergeleitet. In den Logs ist nichts neues aufgetaucht, deine Verbindung vom Handy aus ist nicht vermerkt @Daniele_Sunrise

Daniele_Sunrise

Merci für die Tests. Ich nicht nachschauen bzw. mich mit dem DSM verbinden, da dieser auch über Port 443 (https) lief bis gerade. Kannst du den Fernzugriff vielleicht auf einen anderen Port setzen und 443 wieder auf die Synology weiterleiten?

Update: habe nun die Ports alle manuell weitergeleitet. Testesweise habe ich dasselbe auch für PPTP gemacht, wo alles ohne Probleme funktioniert. Der Verbindungsversuch über IPSEC taucht nicht in den Logs auf, die Pakete kommen nicht zur Diskstation durch.

Kann es sein, dass der Router einen der UDP Ports selbst benötigt für den Fernzugriff von Sunrise aus bzw. über welchen Port greifst du aufs Modem zu @Daniele_Sunrise ?

Daniele_Sunrise

Danke für die ausführlichen Anleitungen!

Die Ports habe ich wieder gelöscht, da es keinen Unterschied machte. Was ich jetzt noch versuche ist alle Ports nochmals manuell weiterzuleiten und die DMZ auszuschalten.

Die Firewall ist richtig konfiguriert, ausschalten machte auch keinen Unterschied. Und die Verbindungsversuche tauchten bisher nie in den Logs auf über IPSEC, nur die über PPTP. Fazit ist, dass der Router aus irgendeinem Grund einen der 3 UDP-Ports nicht weiterleiten möchte. Was ich dazu noch gefunden haben in der KB von Synology:

• L2TP or IPSec VPN service is built-in on some routers, so the port 1701, 500 or 4500 might be occupied. To ensure VPN Server works properly, you might need to disable the built-in L2TP or IPSec VPN service through the router’s management interface to have the L2TP/IPSec of VPN Server work. It is recommended using a router that supports VPN pass-through connections.

@pato Danke auch für diese Tipps! Da ich mit demselben Client problemlos auf andere Synology VPNs zugreifen kann, scheint das Problem nicht lokal zu sein bei mir zu Hause. Nach Recherche habe ich herausgefunden, dass diese Einstellung serverseitig schon aktiviert ist und vom User seit einigen DSM Versionen nicht mehr verändert werden kann im GUI.

Daniele_Sunrise Danke! Wurde gemacht, das Modem ist seit heute Morgen mehrmals neugestartet.

Leider genau dieselbe Situation wie vorher. IPSec geht nicht, die anderen Protokolle wie PPTP usw. schon. Im LAN funktioniert es problemlos. Ich vermute es liegt am Router. Syno schreibt in ihrer KB, dass es da verschiedene Protokolle wie L2TP Pass-through und ALG gibt, die von Routern unterstützt werden:

Ich finde die Optionen nicht im Router und vermute es ist eine Limitation des Modells. Wir überlgen uns nun die Sunrise Box einfach in den Bridge Mode zu schalten und einen modernen Router nachzuschalten.

Daniele_Sunrise Top! Vielen Dank.

Nun sehe ich eine Anmeldemaske von Sunrise, wenn ich unsere Domain eingebe (statt das DSM Web Interface). Sie sieht aus wie diese vom Router, aber das Router-Passwort funktioniert nicht. Ist das normal?

Daniele_Sunrise

Synology hat diese Liste der nativ unterstützen Routern schon seit Jahren nicht mehr aktualisiert. Sie bieten nun die Einrichtung per UPnP an, da dies mit allen Routern kompatibel sein sollte. Evtl. verwendet der Sunrise Router da noch einen alten Standard.

Jedenfalls ist das Thema UPnP gerade zweitrangig und ein DMZ in Kombination mit Firewall ist auch ganz praktisch zum neue Dienste austesten

Super, dann melde ich mich nochmals mit den Angaben per PN.

Übrigens, da ich eigentlich ungerne ein DMZ auf lange Zeit betreiben möchte, gibt es bzgl. UPnP bekannte Kompatibilitätsprobleme mit diesem Router und Synology? So sieht das bei uns aus:

pato

Danke für die Tipps! Ja, ich habe tatsächlich auch schon mal versucht die Ports manuell freizugeben ohne Erfolg. So sieht es dann aus:

Leider habe ich selbst keinen Zugriff auf das MySunrise-Konto. Den Anschluss hat ein Vereinsmitglied eröffnet und ich befürchte, dass es den Zugriff auch nicht mehr hat. Kann ein technischer Mitarbeiter @Sunrise_Team diese Einstellung ändern, wenn ich die IP-Adresse mitteile per PN?

Hallo Community,

hat jemand von euch es geschafft mit der “Sunrise Internet Box Fiber” eine VPN-Verbindung herzustellen über IPSEC/L2TP zu eurer Synology? Wir betreiben neu eine Synology NAS im Vereinslokal mit Sunrise Glasfaser. Ich habe schon mehrmals verschiedene Diskstations in verschiedenen Haushalten und über verschiedene Internetprovider aufgesetzt und jetzt stosse ich das erste Mal an Grenzen.

In den Routereinstellungen habe ich die DS in eine DMZ gesetzt, da ich es nicht geschafft habe UPnP zum laufen zu bringen. Natürlich läuft auf dem System eine strikte Firewall. Diese habe ich testesweise auch mal ausgeschaltet fürs Troubleshooting. Als Clients habe ich iOS und MacOS versucht, mit beiden kann ich mich zu den anderen Diskstations z.B. zu Hause oder in die Firma verbinden. Auch andere Dienste auf verschiedensten Ports laufen auf dem Vereins-NAS ohne Probleme. Wir scheinen auch ohne nachzufragen bereits eine IPv4 erhalten zu haben. DDNS und externer Zugriff ist kein Problem über unsere eigene Domain. Zeitweise habe ich auch die IP-Adresse direkt versucht. Es kommt nicht mal zu einer Authentifizierung, der Verbindungsversuch taucht in den Logs nicht auf.

Kann es sein, dass die Sunrise Internet Box Fiber diesen Dienst aus irgendeinem Grund nicht unterstützt bzw. die UDP-Ports nicht weiterleitet im DMZ? Das Modell scheint älter zu sein, ich finde es nicht mehr auf der Sunrise Webseite. Das User Interface sieht auch relativ antik aus. Es ist dieses Modell.