Rätsel um VPN-Einrichtung

    Hallo zusammen,


    ich schreibe euch, weil ich gerade mit einem Latein am Ende bin, und hoffe, ihr könnt mir helfen.


    Ich will auf meinem QNAP einen L2TP/IPSec-VPN-Server einrichten und habe dabei folgende Schritte durchgeführt:


    1. QVPN installiert und den L2TP/IPSec-Server aktiviert.

    2. Portweiterleitung für 500, 1701, 4500 auf der FRITZ!Box eingerichtet.

    3. VPN-Verbindung mit einem Android-Smartphone jeweils übers Internet und im LAN getestet.


    Das Ergebnis ist, dass die VPN-Verbindung im LAN aber nicht übers Internet aufgebaut werden kann. Das sieht für mich nach einem klassischen Problem mit der Portweiterleitung zu sein und deshalb habe ich dies wie folgt untersucht:


    1. Mit dem Port-Scanner von Heise überprüft, ob die Ports offen sind. Ergebnis: Ports geschlossen.

    2. Über PowerShell ("tnc server -port 500", ...) auf einem PC im LAN und mit der Android-App "Net Scan" auch im LAN überprüft, ob die Ports offen sind. Ergebnis: Ports geschlossen.


    Nun meine Fragen:


    1. Was übersehe ich?

    2. Wenn ich nichts übersehe, wie kann die Verbindung im LAN überhaupt aufgebaut werden, wenn diese Ports laut der obigen Tools geschlossen sind?


    Über eure Hilfe würde ich mich sehr freuen!


    Viele Grüße

    Alex


    Hardware:

    QNAP TS-219P II

    QTS 4.3.3.1098 (aktuelle Version)

    QVPN Service 1.0.17342 (aktuelle Version)

    FRITZ!Box 7412 (in aktueller Version)

    Wenn Du eine FritzBox hast, warum dann die VPN Einrichtung auf dem NAS?

    Die FB ist mit VPN zwar langsam, aber wesentlich besser als "Einstiegspunkt" als das NAS.


    Gruss

    Danke für den Vorschlag, das könnte durchaus eine Lösung sein. Ich will aber das Protokoll L2TP/IPSec verwenden und m.E. unterstützt die FRITZ!Box nur IPSec (mit Xauth).

    Was hast du denn weiter geleitet?

    TCP oder UDP, das musst du ggf. noch mal prüfen meine openVPN will UDP.

    Das Rätsel ist gelöst. Das Problem hängt mit der FRITZ!Box und nicht mit dem QNAP zusammen. Unten folgt der Vollständigkeit halber die Beschreibung des Problems.


    Danke für eure Hilfe!


    ---


    Der Nachdem ich aus Verzweiflung die VPN-Verbindung doch über die FRITZ!Box einrichten wollte, bin ich auf folgendes Problem gestoßen:


    Mein Internet-Anbieter stellt eine IPv4-Verbindung über einen DS-Lite-Tunnel bereit und damit kommt FRITZ!Box nicht zurecht. Hier der entsprechende Auszug aus der Dokumentation:


    Zitat

    "Die FRITZ!Box verfügt über keine öffentliche IPv4-Adresse, wenn die Meldung "FRITZ!Box verwendet einen DS-Lite-Tunnel" angezeigt wird. In diesem Fall ist die FRITZ!Box nicht über IPv4 aus dem Internet erreichbar. (...) An einem DS-Lite-Internetzugang verpackt die FRITZ!Box alle Daten von IPv4-Anwendungen in IPv6-Pakete und sendet diese über die IPv6-Verbindung zum Internetanbieter (IPv4-in-IPv6-Tunnel). (...) Solche IPv6-Verbindungen können jedoch nur hergestellt werden, wenn beide Teilnehmer über eine IPv6-Internetanbindung verfügen.".

    Das hat nix mit der Fritz zu tun sondern mit CGN.


    Da es technisch einem PAT entspricht, hinter dem sich x Anschlüsse verstecken, kann man von außen niemanden explizit dahinter erreichen.

    Dazu ist ein 1to2 NAT notwendig, oder ein Port to Port NAT des Providers.

    Wenn das das jedoch nicht umsetzt, weil kein Bock, keine Zeit, keine was auch immer, hast du einfach pech.


    Ich habe daher die große Leitung gebucht und damit konnte ich einen Dualstack schalten lassen.

    So konnte ich eine IPv4 erhalten und damit konnte ich mein Firewall über Dyndns erreichbar machen.


    Ohne so was, hilft nur ein Relay, so dass du von intern dort hin eine Verbindung aufbaust und über die Session ID ist der Rückweg vom Relay her möglich.

    Das Problem ist, das viele gar nicht wissen welche Art Anschluß sie haben.

    Oder zumindest nicht wissen, was der jeweilige Anschluß bedeutet.


    :(


    Gruss