VPN Client ansprechen ermöglichen

Avenger84

Lt. Commander
Registriert
Feb. 2008
Beiträge
1.558
Hallo, ich würde gern einen VPN Clienten ansprechen, kriege es aber nicht hin.
Erst mal eine Beschreibung des Netzwerks:

Netzwerk A:
FritzBox 7590, LAN IP Bereich 192.168.75.x
Synology DS1 (NAS) dient als VPN Server per IPSec
Funktioniert einwandfrei, 3 Ports in Fritzbox sind zur DS weitergeleitet

Netzwerk B:
FritzBox, LAN IP Bereich 192.168.178.x
Synology DS2 soll sich als VPN Client ins Netzwerk A einloggen und muss ansprechbar sein

In der DS1 muss ich das Hyperbackup einrichten, als Ziel die DS2.
Die DS2 bekommt eine dyn. VPN IP 192.168.244.1

Heute habe ich probiert einen eingewählten PC (im Netzwerk B) mit Netzwerkfreigabe zu erreichen von einem PC in Netzwerk A.

Nachdem ich eine IP4 Route in die FritzBox 7590 eingetragen habe, geht es bis zur DS1 aber nicht weiter (tracert Befehl).

Die DS2 habe ich noch nicht gekauft, wollte erst im Vorfeld klären ob das überhaupt funktioniert.

Der Sinn ist ein räumlich getrenntes Backup zu haben.
 
Die VPN Verbindung wird zwischen den Fritzboxen hergestellt, nicht zwischen den NAS.
Die NAS braucht kein VPN zu können, sie spricht die Ziel IP direkt an.

Wenn du die VPN Verbindung zwischen beiden NAS aufbauen willst, musst du Port 500 (UDP) und 4500 (UDP) im Netzwerk des VPN-Servers weiterleiten (und außerdem das ESP Protokoll für die Kapslung).
 
  • Gefällt mir
Reaktionen: snaxilian
VPN per Fritzbox scheidet generell aus da vieeeel zu lahm.

ESP Protokoll für Kapslung sagt mir gerade nichts :confused_alt: (außer dass ich bei den Win Clienten in der Registrierung einen Wert dazuschreiben musste, damit sie die Verbindung überhaupt aufbauen)

Die Synology DS1 soll definitiv VPN Server bleiben, die schafft fast volle 100 MBit/s der DSL Leitung bzw. 40 MBit/s Upload.

Wie kriege ich es denn hin, dass beliebige VPN Clienten ansprechbar sind war meine eigentliche Frage ?
 
In den Fritzboxen die Ports UDP 500, 4500 und ESP (IP Protokoll 50) auf die Adresse des NAS weiterleiten.
In den Fritzboxen DynDNS einrichten. Das ganze Funktioniert nur mit IP V4, das heißt es geht nicht mit Kabelanschlüssen. Dann sollte eine VPN Verbindung NAS - NAS oder VPN Client - NAS einwandfrei Funktionieren.
Unter Windows empfehle ich als VPN Client Shrew Soft VPN Client for Windows
 
Als ob Kabelanschlüsse kein IPv4 könnten...
 
Bob.Dig schrieb:
Als ob Kabelanschlüsse kein IPv4 könnten...
Kabelanschlüsse sind "meistens" DS Lite Anschlüsse, wo man keine "eigene" externe IPv4(mehrere Kunden teilen sich eine externe IPv4) Adresse bekommt und somit kein Portforwarding bei IPv4 möglich ist.
 
Simanova schrieb:
Wenn du die VPN Verbindung zwischen beiden NAS aufbauen willst, musst du Port 500 (UDP) und 4500 (UDP) im Netzwerk des VPN-Servers weiterleiten (und außerdem das ESP Protokoll für die Kapslung).

Wenn man ESP weiterleitet, kann man sich 4500 sparen.
 
Zum Verständnis für mich:

FritzBox A hat bisher folgende Weiterleitungen (siehe 1.jpg).

Damit der VPN Client bidirektional kommunizieren kann muss noch zusätzlich ESP (IP Protokoll 50) eingetragen werden ?

An FritzBox B müssen ebenfalls die gleichen Weiterleitungen eingetragen werden für jeden VPN Clienten ? Z.B. PC1, Laptop, NAS ?

Raspberry kommt hierbei nicht zum Einsatz @ Crumar.

Für Windows verwende ich den Windows eigenen VPN Clienten, deshalb habe ich mich auch für IPSec entschieden und nicht für OpenVPN.
 

Anhänge

  • 1.JPG
    1.JPG
    21,6 KB · Aufrufe: 171
das ESP zusätzlich hat nichts gebracht.

Einen Win Computer kann ich nicht anpingen.

Mein Handy, was als Client vom Handy Netz aus sich einwählt, kann ich anpingen.
 
Das VPN Netzwerk läuft unter "Gast/Öffentliches Netzwerk", entsprechend ist der Netzwerkverkehr blockiert.

Weiß Jemand wie man die VPN Verbindung als "Privates Netzwerk" umstellen kann ??

--

Wenn ich die Win Firewall ausschalte, kann ich einwandfrei vom VPN Netz auf den Clienten zugreifen.
Die ESP Freigabe in der Fritzbox braucht es dazu nicht.

Dann wird die 2. DS wohl einwandfrei ansprechbar sein, denn die interne Firewall ist ausgeschaltet.
 
Zuletzt bearbeitet:
gaym0r schrieb:
Wenn man ESP weiterleitet, kann man sich 4500 sparen.

Wenn zwischen den Endpunkten des VPN-Tunnels NAT gemacht wird,
dann muss das ESP-Protokoll, das nicht NAT-fähig ist, in UDP-Pakete verpackt werden.

Es wird dabei der UDP-Port 4500 für die NAT-Traversal-Funktion (NAT-T) eingesetzt.

"Wenn man ESP weiterleitet, kann man sich 4500 sparen.", stimmt so nicht.

Infos zu IPSec:

https://administrator.de/wissen/ips...ötigte-ports-begriffserläuterungen-73117.html
Ergänzung ()

Avenger84 schrieb:
Das VPN Netzwerk läuft unter "Gast/Öffentliches Netzwerk", entsprechend ist der Netzwerkverkehr blockiert.

Weiß Jemand wie man die VPN Verbindung als "Privates Netzwerk" umstellen kann ??

Nutzt du "Windows 10" als Betriebssystem?

Für "Windows 10"kannst du das hier nachlesen:
https://www.fischer-engstingen.de/faq/windows-10-netzwerk-von-oeffentlich-auf-privat-aendern/

Bei Windows 7 zum Beispiel kannst du das einfach in der "Systemsteuerung" im "Netzwerk-und Freigabecenter" machen.
 
  • Gefällt mir
Reaktionen: Avenger84
Ja klar nutze ich Win10 :D
Datax schrieb:
Wenn zwischen den Endpunkten des VPN-Tunnels NAT gemacht wird,
dann muss das ESP-Protokoll, das nicht NAT-fähig ist, in UDP-Pakete verpackt werden.

Es wird dabei der UDP-Port 4500 für die NAT-Traversal-Funktion (NAT-T) eingesetzt.
d.h. ESP Freigabe braucht´s nicht. Klar wird NAT zwischen den Punkten eingesetzt, wie auch sonst ?

---

Per Registry oder Powershell habe ich es noch nicht probiert... ist ja im Prinzip auch richtig so von Windows dass es eingehende Verbindungen ablehnt, ist ja normalerweise per VPN auch nicht gewünscht.
 
Avenger84 schrieb:
Wenn ich die Win Firewall ausschalte, kann ich einwandfrei vom VPN Netz auf den Clienten zugreifen.
Das wird daran liegen, dass die eingehende Verbindung von einer "fremden" IP-Adresse stammt. Die Windows-Firewall blockt standardmäßig sämtliche eingehenden Verbindungen, die nicht aus dem eigenen lokalen Subnetz kommen.

Öffne die erweiterten Firewalleinstellungen, geh auf die eingehenden Regeln, suche dort die Regel für den jeweiligen Dienst, Doppelklick. Unter dem Reiter "Bereich" oder "Scope" kannst du nun definieren, dass die Quell-IP "beliebig" sein darf oder eben nur jene, die in der Liste eingetragen sind. Dort trägst du dann das gegenüberliegende Subnetz ein und die Firewall sollte nun auch im eingeschalteten Zustand die Verbindung erlauben. Je nach Dienst, den du freischalten willst, musst du womöglich mehrere Regeln anpassen.
 
  • Gefällt mir
Reaktionen: Avenger84
Datax schrieb:
Wenn zwischen den Endpunkten des VPN-Tunnels NAT gemacht wird,
dann muss das ESP-Protokoll, das nicht NAT-fähig ist, in UDP-Pakete verpackt werden.

Es wird dabei der UDP-Port 4500 für die NAT-Traversal-Funktion (NAT-T) eingesetzt.

"Wenn man ESP weiterleitet, kann man sich 4500 sparen.", stimmt so nicht.

Infos zu IPSec:

ESP weiterleiten = IPsec Passthrough (veraltet)
dann braucht man kein NAT-T.

Nutzt man NAT-T, dann braucht man kein IPsec Passthrough.

Du brauchst hier keine Lehrstunde über IPsec halten, ändert nichts an den Tatsachen.

Entweder
UDP/500 + ESP
Oder
UDP/500 + UDP/4500

Edit: Steht sogar so in deinem Link sehe ich gerade :rolleyes:
 
@ Experten, was genau steckt eigentlich hier hinter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
einen neuen DWORD32 Eintrag erstellen:
"AssumeUDPEncapsulationContextOnSendRule" = 2
das verpacken:
Datax schrieb:
Wenn zwischen den Endpunkten des VPN-Tunnels NAT gemacht wird,
dann muss das ESP-Protokoll, das nicht NAT-fähig ist, in UDP-Pakete verpackt werden.
was Windows scheinbar ab Werk nicht macht ?
Ergänzung ()

Raijin schrieb:
Das wird daran liegen, dass die eingehende Verbindung von einer "fremden" IP-Adresse stammt. Die Windows-Firewall blockt standardmäßig sämtliche eingehenden Verbindungen, die nicht aus dem eigenen lokalen Subnetz kommen.
...
ich habe per Powershell das VPN von public auf private geändert und nun geht es auch (ohne Firewall Einstellungen).
 
Zuletzt bearbeitet:
Zurück
Oben