GELÖST: VPN mit fester IP-Adresse

    Hallo,


    von meinem Anbieter habe ich eine feste IP-Adresse zugewiesen bekommen. Nun möchte ich gerne eine VPN-Verbindung zu meinem "Heim-Netz" aufbauen. Ziel ist es, dass ich aus der Ferne die VPN-Verbindung aufbaue und somit auf die zugewiesenen Laufwerke (QNAP) zugreifen kann. Mit der QNAP-Cloud möchte ich nicht mehr arbeiten, ist auf Dauer doch zu umständlich ;)


    Die Portweiterleitungen auf meiner FritzBox 7360 sind soweit eingerichtet:




    Wenn ich die IP-Adresse im Browser eingebe, komme ich auf meine FrtizBox.


    Soweit eigentlich alles gut. Unter Win10 habe ich dann mit Bordmitteln eine VPN-Verbindung eingerichtet. Hier erhalte ich aber folgende Fehlermeldung:




    Kann einstellen und probieren, was ich will......ich bekomme es nicht hin.


    Kann mir hier evtl. noch jemand einen Tipp geben?


    Viele Grüße


    Frank

    Guten Morgen Frank,


    ich bin kein mega Spezi, bei mir läuft ein L2TP/IPSec-VPN direkt über die Firewall, damit ich mich ins Heimnetz einwählen kann, auch wenn der Server vielleicht mal streikt, rebootet oder sonst was. Hast du den VPN-Server auf der NAS laufen oder direkt auf der AVM Fritzbox? Was für ein VPN nutzt du?


    M.w. bietet AVM auch einen eigenen Einrichtungsassistent auf der FB an und eine darauf abgestimmte Einwahlsoftware.


    Auf der QNAP NAS müsstest du die Firewallregeln checken, natürlich die Konfiguration und die richtigen Ports über die FB an diese weiterleiten, das sollten eigentlich diese hier (für L2TP) sein:


    Protocol (17) UDP: 500, 1701, 4500



    PS: Du hast ganz schön viele Ports nach außen geöffnet. Ich würde mal prüfen ob die alle so notwendig sind... :handbuch:



    Gruß
    Mike

    Hallo,


    vielen Dank für Deine Antwort. Also, ich habe auf der FritzBox VPN aktiviert und hier auch einen FritzBox/VPN-Benutzer hinterlegt. Bei Windows10 kann ich unter den VPN-Einstellungen (erweiterte Einstellungen) die Art der Einwahl angeben. Bei mir steht es auf automatisch. Habe aber auch mal explizit L2TP/IPsec eingestellt.....ohne Erfolg.


    Die vielen Ports sind offen, da ich hier Voreinstellungen von der QNAP-Seite benutzt habe. Muss später mal gucken, was ich überhaupt noch benötige.


    Nebenbei:
    gebe ich meine feste IP-Adresse mit Port 8082 ein, gelange ich auch auf das WebInterface meiner QNAP.


    Wie gesagt, Ziel ist es, dass ich eine VPN-Verbindung aufbaue, mir meine verschiedenen Laufwerke mappe und von unterwegs aus arbeiten kann. Das wäre eine enorme Arbeitserleichterung für mich


    Darf ich fragen, wie Du es umgesetzt hast? Vielleicht wäre das ja ein Lösungsansatz....


    Viele Grüße


    Frank

    Wie gesagt, ich habe auf meiner Firewall, die gleichzeitig VPN-Server ist das L2TP/IPSec konfiguriert. Bei mir sind auch nur die 3 Ports offen, jegliche Kommunikation wickle ich innerhalb des VPN dann ab. Ich wähle mich auch über eine feste IP (die die FW hat) und mittels Windows 10 Client ein.


    Ich weiß nicht wie speziell die Fritzbox ist, aber lt. AVM gibt es ja einen Einrichtungsassistenten und eine eigene Clientsoftware. Vielleicht schaust du mal bei AVM nach, die haben das ja rel. gut beschrieben, wie die Einrichtung / Installation vor zunehmen ist.


    http://avm.de/service/vpn/uebersicht/

    Hallo,


    habe es soeben hingekommen. Du hast mir das richtige Stichwort geliefert. DANKE!!!!


    Also, bisher bin ich davon ausgegangen, dass die AVM-Tools unter Windwos 10 nicht laufen. Ist auch so. Das Programm "AVM Ferzugang einrichten" funktioniert jedoch. Dann noch etwas "Onkel Google" gefragt und auf folgende Anleitung gestossen:


    http://lieske-elektronik.de/kn…windows-10-vpn-fritzbox-1


    Treffer! Setze jetzt auch ShreSoft ein. Tunnelaufbau kein Problem. Mapping der Laufwerke kein Problem. Ich, überglücklich :)


    Also, DANKE nochmal für Deine Hilfestellung!


    Vielleicht hilft die Anleitung ja auch noch jemand anderem, würde mich freuen.


    Viele Grüße


    Frank

    und schau dir bitte wirklich nochmal die Portweiterleitungen an. ;) Vor allem, wenn du jetzt eh über VPN arbeitest, brauchst du die ja nicht mehr, es sei denn, du willst einige Dienste auch der Öffentlichkeit freigeben. Aber dann halt auch nach Möglichkeit nur die Benötigten weiterleiten.


    Und wo ich es grad sehe: änder doch lieber die Portnummern direkt im NAS, anstelle sie hier in der Weiterleitung von einem auf den anderen zu mappen (z.B. die 8082 auf die 443, den kannst du direkt unter Systemsteuerung->Anwendungen->Webserver einstellen). Sonst musst du dir für den Zugriff intern immer andere Nummern merken als für den Zugriff von Extern. Und es führt teilweise sogar noch dazu, dass einige Anwendungen von außen dann nicht mehr richtig funktionieren, weil sie bei dem Klick auf einen Link als Linkadresse versuchen xxx.xxx.xxx.xxx:443 (bzw. halt https://xxx.xxx.xxx.xxx) aufzurufen, was logischerweise von extern dann nicht funktioniert.

    Mit ShreSoft habe ich leider sehr schlechte Erfahrung gemacht.
    Ja, das baut den Tunnel recht flott auf, ABER, dummerweise auch irgendwann mal wieder ab, ohne das es angezeigt wird.
    Heißt, die Verbindung via VPN ist weg, in der Anzeige steht aber immer noch, das der Tunnel aufgebaut wäre.
    Und leider hilft da viel zu oft nur ein Neustart des Rechners.


    Mir wäre eine Lösung, wie ich den eingebauten VPN Server im QNAP nutzen kann, viel lieber. Leider habe ich es bisher auch noch nicht geschafft, da eine Verbindung hin zu bekommen. Authorisierungfehler kommt ständig, obwohl der Benutzer definitiv die Rechte für alle 3 VPN Protokolle bekommen hat.

    Zitat

    Und wo ich es grad sehe: änder doch lieber die Portnummern direkt im NAS, anstelle sie hier in der Weiterleitung von einem auf den anderen zu mappen (z.B. die 8082 auf die 443, den kannst du direkt unter Systemsteuerung->Anwendungen->Webserver einstellen). Sonst musst du dir für den Zugriff intern immer andere Nummern merken als für den Zugriff von Extern.


    Nein, das würde ich eben nicht empfehlen. Das abändern von Portnummern ist schon sinnvoll, da man bei nicht Standardports nicht weiß, welcher Dienst sich dahinter befindet und somit die Sicherheit (wenn auch nur in einem sehr eingeschränkten Bereich) erhöht.
    Die Standard "Hacker" Bots die so im Internet kursieren versuchen beispielsweise immer auf Port 22 mit Nutzernamen/Passwortkombinationen einzubrechen, weil sie davon ausgehen, das dort der SSH Deamon lauscht. Wenn der Port aber von 12345 -> 22 gemappt ist, weiß das Tool nicht ob sich nun ein SSH Daemon oder entwas anderes dahinter befindet.


    Bei menschlichen Angreifern hat das weniger Sinn, da die soche Sachen schon erkennen und beheben können aber zumindest für Bots kann das schon sinnvoll sein.

    Ich sag ja auch nicht, dass er die Ports auf den Standards lassen soll, er soll sie nur nicht im Router ummappen.
    Er soll sie einfach direkt im NAS z.B. von 22 auf 12312 ändern. Dann erzeugt das Nas bei Links wenigstens die richtige URL.
    Beispiel:
    Die Weboberfläche der Virtualisationstation im Router auf die auf die 12312 geändert. Wenn man nun in der Weboberfläche des NAS auf die Virtualisationstation klickt, versucht das NAS die Standard-url mit dem Port 8088 bzw. 8089 (SSL) zu öffnen, die jedoch von außen nicht erreichbar ist. Man erhält also nur ein:"Connection Refused". wenn man nun den Port direkt im NAS auf die 12312 ändert, dann hat der Link in der NAS Oberfläche gleich die richtige Portnummer und das Fenster wird richtig aufgerufen.