VPN einrichten mit QNAP NAS und Telekom Digibox Smart

[era]

Hi,

wir müssen in der Firma home office machen und ich möchte ein VPN einrichten.
Daheim mit meinem NAS habe ich es hinbekommen, ich konnt in der Firma verbinden und drauf zugreifen.

Leider haben wir in der Firma keine Fritzbox, sondern eine "Digitalisierungsbox Smart".

Im QNAP NAS habe ich eine DDNS xxplatzhalterxx.myqnapcloud.com angelegt. Diese ist aber extern nicht aufrufbar!!!

Ich habe dann versucht die Ports für VPN freizugeben. Daheim funzt das prima automatisch dank uPnP, hier an der Arbeit muss ich die Ports manuell freigeben, der Router wird nicht als uPnP Router in der QNAP myQNAPcloud App erkannt.

Also ich muss diese Ports freigeben:

UDP 500, 4500, 1701 für L2TP mit PSK
UDP 443 für QBelt (= QNAP App für Win/Mac, als Alternative zu L2TP)

Das habe ich in der Digibox unter /Internet & Netzwerk/Netzwerk/NAT/NAT-Konfiguration gemacht.

Aber leider gibt es egal ob über die QNAP APP "QBelt" oder über eine VPN Verbindung über L2TP/PSK immer eine Fehlermeldung "nicht erreichbar".

Im QNAP Nas habe ich natürlich einen User angelegt, der die Privilegien für QBelt und L2TP besitzt. Der PSK habe ich mir über eine Website generiert.


Hilfe
Freue mich über Ideen!!!!


Viele Grüße
era

 

[Nilson]

Bis du bei deinen Versuchen im Firmennetzwerk? Viele (Consumer) Router lassen es nicht zu von "innen" die externe IP zu erreichen. Versuch also mal von extern (z.B. über ein WLAN-Hostspot übers Smartphone) die Verbindung aufzubauen.

 

[Benzen]

Anderer Vorschlag:
Den VPN der Digitalisierungsbox nutzen.
Entsprechende IPSec Clients gibts von bintec elmeg und NCP, beide jeweils 30 Tage als Testversion nutzbar.

 

[era]

Bis du bei deinen Versuchen im Firmennetzwerk? Viele (Consumer) Router lassen es nicht zu von "innen" die externe IP zu erreichen. Versuch also mal von extern (z.B. über ein WLAN-Hostspot übers Smartphone) die Verbindung aufzubauen.

ja, ich bin gerade in der Firma. Komme aber auch mit dem Handy (WLAN aus) nicht über L2TP ins VPN. Das ging auch mit meinem VPN daheim.

Anderer Vorschlag:
Den VPN der Digitalisierungsbox nutzen.
Entsprechende IPSec Clients gibts von bintec elmeg und NCP, beide jeweils 30 Tage als Testversion nutzbar.

30 Tage könnten nicht ausreichen und es muss auch auf Mac funktionieren.




habe ich unter NAT alles richtig gemacht? IPs?
Muss ich nichts bei Portweiterleitung einstellen?

 

[Madman1209]

Hi,

sei mir nicht böse, aber sollte das in einem Firmennetzwerk nicht lieber jemand machen, der Ahnung von sowas hat?

VG,
Mad

 

[era]

Hi,

sei mir nicht böse, aber sollte das in einem Firmennetzwerk nicht lieber jemand machen, der Ahnung von sowas hat?

VG,
Mad

1. Kleine Firma
2. Sollte es nicht so gehen? daheim hab ich es auch hinbekommen.

 

[Madman1209]

Hi,

auch eine kleine Firma kann einen IT-Dienstleister bezahlen, der eine saubere und professionelle Lösung für sowas umsetzt. Das es so gehen kann streitet keiner ab. Aber wer haftet denn, wenn etwas doch nicht passt und etwas übersehen wurde? Du?

daheim hab ich es auch hinbekommen

und jetzt? Das eine hat doch mit dem anderen nichts zu tun!

VG,
Mad

 

[era]

und jetzt? Das eine hat doch mit dem anderen nichts zu tun!
VG,
Mad

das Problem heißt "Digitalisierungsbox Smart"

 

[Madman1209]

Hi,

nein, das Problem heißt "wir versuchen im gewerblichen, professionellen Umfeld Heimanwender-Geräte zu verwenden und scheuen das Geld, das eine vernünftige Lösung kostet"

VG,
Mad

 

[Benzen]

Portweiterleitungen bleiben zu, das ist ja der Sinn eines VPNs, dass diese vermieden werden können.

Ich habe bei einer kleinen 3-Mann-Firma das ganze auch über den VPN der Digitalisierungsbox (Premium) laufen.
Wenn man beide Programme hintereinander aktiviert, kann man den Testzeitraum auf 60 Tage ausdehnen. Danach kostet eine Lizenz ~90 Euro.
Die Config-Datei ist die selbe.
Mac Unterstützung bietet aber nur der NCP Client...

@Madman1209: Du bist bestimmt auch jemand, der bei Nachfragen zu RAIDs nur schreibt, dass es kein Backup ersetzt und dann wieder geht, ohne produktiv was zur Sache beizutragen, oder? Die Digitalisierungsboxen der Telekom sind keineswegs einfache Heimanwender-Hardware.

 

[Madman1209]

Hi,

nein, ich bin jemand, der solche Fiaskos in der Regel dann wieder gerade biegen darf und damit leider schon einige Erfahrung hat sammeln dürfen.

Die Digitalisierungsboxen der Telekom sind keineswegs einfache Heimanwender-Hardware

lustig... sondern? Natürlich ist das Heimanwender-Hardware. Du glaubst doch nicht, dass dir ein halbwegs seriöser IT-Dienstleister so ein Ding hinstellen würde oder doch?

Du brauchst dir nur das Handbuch ansehen:

Tiefergehende Kenntnisse über Telefonanlagen und Router sind dabei nicht erforderlich

wenn das Profi-Hardware und -Firmware sein soll heutzutage dann gute Nacht...dann wären sämtliche echten Profis völlig überflüssig!

VG,
Mad

 

[bender_]

Du glaubst doch nicht, dass dir ein halbwegs seriöser IT-Dienstleister so ein Ding hinstellen würde oder doch?

Ehrliche Frage:
Was kann das "Ding" denn nicht, was die meisten 1-3 Mann-Firmen so an Anforderungen haben?
Ich dachte immer, die sind genau für solche Szenarien gedacht und werden deshalb zu Telekom Geschäftskundentarifen angeboten?

 

[Madman1209]

Hi,

ehrliche Antwort: versuch als - selbst kleiner - Betrieb mit einem großen Unternehmen zusammenzuarbeiten und komm denen dann mit "FritzBox" oder "Digitalisierungsbox" und du fällst schon komplett durch.

Site-to-Site VPN? Vernünftige ACL? Firewall-Settings, die über die Basics hinausgehen? Genügend Power für mehrere VPN Sessions zeitgleich?

Mehr als einen Internetzugang und ggf. DECT bereitstellen können diese Dinger nicht. Wenn hier also mit VPN Zugängen gearbeitet werden soll und das möglicherweise auch noch halbwegs performant sollte das
a)ein Fachmann einrichten und nicht jemand, der das "mal zuhause auch gemacht hat"
b)halbwegs vernünftige Hardware zum Einsatz kommen

Kann jeder machen wie er will, ist lediglich ein Erfahrungswert und eine Warnung, dass im gewerblichen, professionellen Umfeld nicht einfach mit "Hausfrauen"-Wissen hantiert werden sollte, weil du da schneller ein - richtig teures - Problem hast als du "aber daheim hats geklappt" sagen kannst.

VG,
Mad

 

[era]

Ich bin auch nicht erfreut über die vorgegebene Hardware, aber so ist es nunmal. Und jetzt soll es halt kurzfristig funktionieren, deswegen daheim getestet.

Hier ein kleines Update: die DDNS xxplatzhalterxx.myqnapcloud.com ist extern im Browser aufrufbar. Aber leider klappt es nicht mit dem VPN-Zugang.

 

[bender_]

Kann jeder machen wie er will, ist lediglich ein Erfahrungswert und eine Warnung, dass im gewerblichen, professionellen Umfeld nicht einfach mit "Hausfrauen"-Wissen hantiert werden sollte, weil du da schneller ein - richtig teures - Problem hast als du "aber daheim hats geklappt" sagen kannst.

Da stimme ich zu.
Ich finde die Möglichkeiten der Digi Box Smart für viele Kleinbetriebe, die ich mir so vorstellen kann, eigentlich nicht verkehrt und würde sie nicht in einen Satz zusammen mit "Fritzbox" packen.
VPN und Firewall Seite 209-244: https://www.telekom.de/hilfe/downlo...ng-digitalisierungsbox-smart-mediagateway.pdf
Klar ist das für größere Firmen immer noch rudimentär, für Kleinbetriebe meiner Ansicht nach aber alles brauchbar. Vorausgesetzt es wird korrekt konfiguriert.