Portweiterleitung scheint nicht richtig zu funktionieren

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

hilikuss

Neuer User
Mitglied seit
25 Sep 2012
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
hallo zusammen,

Ich habe eine 7490 mit aktueller Labor (mit der 6.93 war das Problem aber auch schon). Anschluss ist von Telekom 100/40

Ich versuche den VPN Server auf einer synology zum laufen zu bekommen, komme aber von außen nicht rein.
Die udp Ports sind entsprechend offen (Screenshot), ich kriege aber keine Verbindung zustande. Ich habe bereits alle Port Regeln gelöscht, neu eingerichtet und mal die Ports gecheckt mit https://www.yougetsignal.com/tools/open-ports/ da sind sie zu.
Der Datenzugriff von außen funktioniert aber problemlos mittels der synology App, nur VPN macht zicken.

Ich bin einigermaßen ratlos.

Edit: Gelöst!
 

Anhänge

  • 98A989B6-9338-4F1D-86D6-D83EB6ACC7F3.jpeg
    98A989B6-9338-4F1D-86D6-D83EB6ACC7F3.jpeg
    447.2 KB · Aufrufe: 39
Zuletzt bearbeitet:
Schau mal lieber in die Seite "Diagnose -> Sicherheit" ... da sollten die Ports auch offen sein.

500 (IPSec/IKE) macht für IPv4 ohnehin keinen richtigen Sinn, weil zum Passieren der FRITZ!Box in jedem Falle "NAT-T" bei IPSec gebraucht wird (die FRITZ!Box macht da ja schon selbst das NAT, damit stellt sich diese Frage für den weiteren Transportweg auch nicht mehr) und das arbeitet auf Port 4500.
 
Unnötiges Vollzitat entfernt - HabNeFritzbox

Die Ports sind offen. Ich habe die drei Ports geöffnet, weil der VPN Server der Synology die vorgegeben hat. Dass ein Port zu viel offen ist, sollte ja aber kein problem sein, oder?
 
Zuletzt bearbeitet von einem Moderator:
Ist in deiner DS die Firewall aktiv?

Dort sonst ggf. Anwendungen noch Freigeben.
 
Danke für die Rückmeldung. Firewall in der DS habe ich gerade gecheckt, ist aus. Die Ports habe ich mal in dem Menü "Routerkonfiguration" der DS eingetragen. Wobei ich denke, dass ich darüber den eigentlichen Router, also die Fritzbox einstelle. Geholfen hat es leider nichts.
Der Synology Support Onkel meinte noch, dass manche ISP das auch blockieren. Wobei ich mir das weniger vorstellen kann. Wenn die Telekom das blocken würde, wäre das ja bekannt.
Ich denke schon, dass das Problem eher bei der Fritzbox zu suchen ist, ich weiß nur nicht, was ich da noch überprüfen soll.....
 
Dann bleibt Dir ja noch der Paketmitschnitt auf der FRITZ!Box ... ein außen ankommendes Paket für das NAS sollte sich auch auf dem LAN-Interface wiederfinden. Ist das der Fall, kann die FRITZ!Box ja kaum etwas dafür ... was dann dem Thread-Titel widersprechen würde.

Erst wenn das dann - sofern der Port tatsächlich offen ist in der "Sicherheit"-Seite, auch "wider Erwarten" - nicht so sein sollte, macht die Suche an der FRITZ!Box Sinn ... dieser Fall ist bei tatsächlich aktivem PCP-Eintrag aber eher unwahrscheinlich und die beste Stelle zum "Vergewissern" über PCP-Einträge (automatische oder aus manuellen Portfreigaben generierte) ist und bleibt die Security-Seite oder man entnimmt die PCP-Informationen der Support-Datei (sofern man keinen Shell-Zugriff hat).

Der "Beweis", daß man mit irgendeiner App auf das NAS kommt, ist vielleicht gar keiner bzw. verleitet ggf. zu falschen Annahmen - denn wenn es sich dabei um solche Geschichten wie "QuickConnect" handeln sollte, bauen diese ja gerade ausgehende Verbindungen "in die Cloud" auf (damit der Nutzer nicht mit Portfreigaben konfrontiert wird) und auf denen kann man dann natürlich auch eingehend auf das NAS zugreifen. Da rächt es sich jetzt aber auch, daß Dein Screenshot eben nicht zeigt, was da tatsächlich freigegeben ist - auch wenn es der Anzeige nach 5 weitere, automatische Weiterleitungen geben soll.

Irgendwie wird man halt nicht so richtig schlau, ob das nun manuell eingerichtete Freigaben sind (Du schreibst ja auch noch nur von "udp", aber L2TP/IPSec wäre auch TCP-Port 1701) oder nicht und was dann die angezeigten fünf automatischen Freigaben sein sollen, während noch sechs weitere (bzw. 3, die aber für IPv4 und IPv6 gelten sollen) manuell eingerichtet zu sein scheinen. Aber #5 hört sich jetzt wieder so an, als würdest Du bisher die Freigaben ausschließlich über das NAS steuern - bzw. so ("habe ich mal ... eingetragen"), als würdest Du verschiedene Lösungen durchprobieren, weil es bei einer nicht geklappt hat.

Vielleicht solltest Du - wenn so gar kein Port offen ist bei einem externen Zugriffsversuch - erst einmal die davorliegenden Schritte noch einmal überprüfen, angefangen bei der (mal von mir unterstellten) DynDNS-Adresse und deren Aktualität. Dazu brauchst Du ja nur den HTTPS-Zugriff auf die Box von außen erlauben und wenn Du dann tatsächlich aus dem Internet (meinetwegen mit dem Smartphone übers Mobilfunk-Netz) auf das GUI zugreifen kannst, dann hast Du zwei Fragen (stimmt der DynDNS-Name und stimmt die Adresse dahinter) schon mal abgehakt. Wenn Du das alles schon getan hast, gehört es in die Beschreibung - weil andere dann ebenfalls wissen, daß es daran schon mal nicht liegen kann und nicht auf "falsche" Ideen kommen.

Ansonsten würde ich die 7490 für dieses Problem auch auf die letzte Release-Version bringen ... soweit ich weiß, sind da keine generellen Probleme mit Portfreigaben bekannt (die würdest Du hier dann seit ~1 Jahr finden). Dann "einen Plan" machen, ob man nun mit automatischen oder manuellen Freigaben arbeiten will (und da meine ich die Freigaben auf der Box und wo bzw. wie man die aus deren Sicht einrichtet) und das dann für einen einzelnen Dienst entsprechend einstellen und zwar für einen, bei dem die Konfiguration auf dem NAS ausreicht (meinetwegen ein HTTP-Server dort) und den man dann mit einem Standardprogramm auf der Internetseite ansprechen kann - damit vermeidet man die Notwendigkeit, schon hier eine "komplizierte" Konfiguration auf beiden Seiten verwenden zu müssen. Da kann man dann auch lokal zugreifen und erst mal prüfen, daß der Dienst erreichbar ist, bevor man ihn von "jenseits des Routers" ansprechen will.

Zusammengefaßt würde ich hier tatsächlich jeden einzelnen Schritt gesondert prüfen (vom DynDNS über den freigeschalteten Port auf dem Router bis zur Portfreigabe ins LAN und der Erreichbarkeit des Dienstes auf dem NAS), bevor ich ein eher komplexes Szenario in Angriff nehme, bei dem dann zwar "geht nicht" konstatiert werden kann, aber die Idee fehlt, warum das so ist. Und vor allem würde ich dann bei einem Weg bleiben und dort so lange nach dem Fehler suchen, bis ich ihn eingegrenzt habe - wenn er dann tatsächlich in der FRITZ!Box-Firmware liegt und nicht selbst beseitigt werden kann, kann man immer noch einen alternativen Weg beschreiten und sich etwas anderes überlegen.

Schon die Feststellung, daß ein Internet-Service keinen freien Port findet (abgesehen davon, daß man das eben auch anders testen kann und ansonsten erst mal den Service an einer Stelle, wo man weiß, daß Ports definitiv offen sind, auf seine Zuverlässigkeit testen müßte), ist eher komisch (zumindest für die Release-Version). Es gab davor mal Probleme (war iirc die 06.83 - steht aber auch alles hier irgendwo im IPPF), wenn man einen "exposed host" freigeben wollte ... der wurde dann tatsächlich nicht richtig eingerichtet. Aber für einzelne Portfreigaben ist da m.W. nichts bekannt, weder per PCP (kaskadierte FRITZ!Boxen nutzen das dann ja auch, wenn man ihnen selbständige Freigaben erlaubt) noch mit manueller Einrichtung. Selbst das (ehemalige?) Problem, daß Portfreigaben nach längerer Zeit nicht mehr erreichbar sind (in erster Linie nach einem neuen Verbinden auf der WAN-Seite, so wie diese Meldungen sich lasen), sollte hier ja noch keine Rolle spielen können ... wenn es direkt beim Test schon nicht klappen will.
 
Zuletzt bearbeitet:
In der DS nutzt man keine Routerkonfiguration, klappt eh nur wenn man automatische Portfreigabe aktiviert in der FB.

Sind die Ports auch entsprechend in UDP freigegeben statt TCP?

Wurde VPN auch wirklich ausprobiert, oder nur auf eine einzige Webseite verlassen?
 
HabNeFritzbox schrieb:
Sind die Ports auch entsprechend in UDP freigegeben statt TCP?
Zum Vergrößern anklicken....
Zumindest bei 1701 ist das besser "und" anstelle von "statt" ... es gibt auch Implementierungen (z.B. Juniper), die dabei TCP verwenden (oben habe ich mal ein "auch" ergänzt, was da bei mir ebenfalls fehlte und damit den Satz mißverständlich machte).

Wobei man sich ohnehin entscheiden sollte, was man für das VPN verwenden will (solange das nicht wirklich ein "Knoten" sein soll, bei dem sich unterschiedliche Clients auch mit unterschiedlichen VPN-Implementierungen einwählen können) und dann tatsächlich (schon aus Sicherheitsgründen) nur das freigeben, was man für das eigene VPN auch braucht.
 
Was man auf dem Bild noch sieht, sind 5 selbständige Freigaben, weg damit, richtet man selbst ein in der FB.

Für die Standard Ports wäre je nach VPN Typ die Freigaben so:
openVPN UDP 1194
PPTP TCP 1723
L2TP/IPSec UDP 1701
L2TP/IPSec UDP 500
L2TP/IPSec UDP 4500

Im "VPN Server" auch schauen in den Einstellungen, ob dort richtige Netzwerk-Interface ausgewählt ist. Dort kann es zu Abweichung kommen, wenn man virtuellen Switch verwendet, oder Ports bündelt.
 
Zuletzt bearbeitet von einem Moderator:
Hmm, hat sich bei mir wohl ein Fehler eingeschlichen bei manuellen Neueinrichtung der FB.

Hast Recht Peter, steht auch bei der Port Konfig so in /var/packages/VPNCenter/etc/synovpn_port
Code: 
[vpn_server_pptp]
title="VPN Server (PPTP)"
desc="VPN Server"
port_forward="yes"
dst.ports="1723/tcp"

[vpn_server_openvpn]
title="VPN Server (OpenVPN)"
desc="VPN Server"
port_forward="yes"
dst.ports="1194/udp"

[vpn_server_l2tp]
title="VPN Server (L2TP/IPsec)"
desc="VPN Server"
port_forward="yes"
dst.ports="1701/udp"

[vpn_server_ipsec]
title="VPN Server (L2TP/IPsec)"
desc="VPN Server"
port_forward="yes"
dst.ports="500,4500/udp"

Nutze eher openVPN unterwegs, da ich mich so über IPv6 verbinden kann, und so auch ein IPv6 Präfix von der DS bekomme (DualStack).
 
Zuletzt bearbeitet von einem Moderator:
hilikuss schrieb:
Ich versuche den VPN Server auf einer synology zum laufen zu bekommen
Zum Vergrößern anklicken....
Um welche VPN-Applikation geht es eigentlich, die aus Synology laufen soll ?
für UDP-Ports 500/4500 ist eigentlich IPsec-IKE1 prädisteniert; gibt es da openSWAN/StrongSWAN ?
 
VPN Center was als VPN Server dargestellt wird, direkt von Synology. ;)
 
Hui, so viel zu lesen und so wenig verstehe ich ^^

Um mal die Rückfragen einzeln abzuklappern:
Der Screenshot stammt aus „Diagnose - Sicherheit“ oder meintest du was anderes, Peter?
Diese synology.me Geschichte löst einfach auf meine externe IPv4 auf, aber auch wenn ich diese direkt eintrage, bekomme ich den gleichen Fehler.
Ich habe in der Fritzbox für die synology sowohl automatische Portfreigaben eingerichtet als auch die drei Ports 1701, 500, 4500 auf udp und sowohl ipv4 wie auch ipv6 für die synology eingetragen. Das stammt aus der Anleitung von synology für die IPSec VPN Server.
Der VPN Server ist der synology eigene auf dem Paketzentrum.
Im Zuge der Fehlerbehebung habe ich extra nur einen der LAN Ports verbunden.

Als nächstes werde ich mal noch die gleichen Ports auf für tcp öffnen und schauen.

Peter (oder jemand, der mir das erklären kann), was genau meinst du mit dem http Server aufsetzen und womit wie was genau testen? Ich brauche da etwas mehr Futter :)

Danke euch auf jeden Fall

Edit: GELÖST!

Halleluja! Das Problem ist so einfach gelöst: Die VPN Plus App funktioniert nur in Zusammenhang mit den Synology Routern, nicht NAS. Auf die Idee hätte der Synology Support auch mal kommen können....
Habe den VPN Server als L2TP nun in iOS eingetragen mit der synology.me Adresse und zack gings. Auch die Ports waren es nicht usw. Vielen Dank euch trotzdem
 
Zuletzt bearbeitet:
hilikuss schrieb:
Der Screenshot stammt aus „Diagnose - Sicherheit“
Zum Vergrößern anklicken....
Keine Ahnung, über welchen Screenshot Du hier schreibst ... der in #1 (und einen anderen sehe ich hier nirgends) zeigt jedenfalls "Internet -> Freigaben -> Portfreigaben" und nicht die Seite "Diagnose -> Sicherheit".

Ansonsten habe ich ja als ersten Schritt den Zugriff auf das GUI der FRITZ!Box von extern empfohlen (wie der eingerichtet wird, steht in deren Online-Hilfe oder in der AVM-KB, wenn man im Manual nichts findet) ... nach dem, was in #14 steht, weißt Du ja noch nicht einmal 100% (zumindest nicht mit den Begründungen, die in #14 stehen - wenn es da weitere Indizien gibt, stehen die wieder nicht in der Beschreibung), daß die von Dir verwendete IPv4-Adresse überhaupt die richtige ist und wir hier wissen immer noch nicht, wo Du die "direkt eingetragen" hast.

Wenn dieser Punkt dann geklärt ist (fünfter Absatz in #8), dann kann man weiter überlegen ... im Moment tendiere ich zu der Annahme, daß da einfach auf die falsche Adresse zugegriffen werden soll - Gegenteiliges (also eine Beschreibung, welcher Test durchgeführt wurde, um das auszuschließen) kann ich jedenfalls nicht entdecken.
 
@hilikuss Richtig, die App ist nur für den Router, da funktioniert ganze anders über einen Unweg bei Synology selbst.

Direkt in iOS eintragen ist korrekte Weg für direkte Verbindung zum NAS.
 
@HabNeFritzbox Muss man auch erst mal drauf kommen ;)
@PeterPawn Da ist tatsächlich der falsche Screenshot drunter gerutscht. Nun ja, die Ports sind offen und das Problem war viel banaler: Inkompatible App von Synology. Und tatsächlich ist die Synology.me Geschichte nur ein DDNS, der löst ganz langweilig auf meine externe IP auf.
 
App Beschreibung lesen wäre schon ein Anfang. ;):p
**Sie müssen einen Synology Router besitzen, um diese App auszuführen, und das aktuellste VPN Plus Server-Paket installiert haben, um alle Funktionen zu erhalten**

VPN Plus ermöglicht den einfachen Zugang zum Internet und zu lokalen Netzwerkressourcen über den Synology SSL VPN-Dienst des Synology Routers. Diese mobile Anwendung bietet Ihnen die schnellen Verbindungsgeschwindigkeiten, verbesserte Sicherheit und bessere Kapazität zum Passieren der Firewalls.
Zum Vergrößern anklicken....
https://itunes.apple.com/de/app/synology-vpn-plus/id1141357842?mt=8

Trage am besten noch eine Route in der FB ein für das VPN.
http://fritz.box/?lp=netSet dort auf IPv4 Routen, neue Route anlegen
IPv4-Netzwerk 10.2.0.0 (wenn IP nicht angepasst hast im VPN Server)
Subnetzmaske 255.255.255.0
Gateway 192.168.0.34
 
Zuletzt bearbeitet von einem Moderator:
Und was machte die Route genau?
 
Damit stellst du sicher dass alle Anfragen vom VPN Netz der DS ins Heimnetz auch zurückfinden und nicht von der FB ins Internet geroutet wird.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 812 (Mitglieder: 27, Gäste: 785)

Neueste Beiträge

Statistik des Forums

Themen
244,878
Beiträge
2,219,994
Mitglieder
371,598
Neuestes Mitglied
Nitsch
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück