VPN L2TP funktioniert nicht

    Hallo,


    ich habe zwei TS-212 (FW 4.3.3), an einer möchte ich gern mit QVPN-Service (1.0.17342) einen VPN-Server betreiben um ein Notebook (Win10), ein Smartphone (iOS) und die zweite TS-212 anzubinden.

    Leider schlagen alle Verbindungsversuche fehl, weder mit einem Windows10 Client noch mit dem Smartphone kann ich eine Verbindung herstellen.


    Die TS-212 wird hinter einer Fritzbox 7490 betrieben, hier ist kein VPN-Service aktiv, verfüge über eine dynamische IPv4. Die Portweiterleitungen sehen für mich in Ordnung aus, Testweise eine TCP-Weiterleitung erstellt, welche auch funktioniert, ich konnte mich über die externe IP auf der TS-212 im Browser anmelden. Filter sind in der FB für das NAS auf unbeschränkt gesetzt.

    1.PNG


    2.PNG


    3.PNG


    4.PNG


    Hab gerade keine Idee wie ich die UDP-Ports testen kann, könnte zu Testzwecken einen Dienst am gleichen Standort aufsetzen, finde aber auf die Schnelle nur OpenVPN-Lösungen, welche wieder andere Ports verwenden. Möchte gern L2TP verwenden, da es scheinbar mit Boardmitteln nutzbar wäre (siehe o. g. Geräte) und im Gegensatz zu PPTP sicher erscheint.


    Habt ihr eine Idee wie ich dem Fehler auf die Schliche kommen kann, oder einen Alternativvorschlag? Zur Fehlersuche stehen verschiedene Clients vor Ort bereit (Ubuntu 20, Ubuntu Server 18, Win 10, Win 7).


    Gruß

    reinz


    Edit:

    Mit Alternativvorschlag meine ich eine Lösung mit der QNAP und keine Verweise auf AVM Produkte, dann hätte ich mich an ein Forum für Fritzboxen gewandt.

    3 Mal editiert, zuletzt von reinz ()

    Der Alternativvorschlag wäre VPN auf der Fritz zu aktivieren. Geht mit Android Clients ohne Probleme, für Win nimmt man am besten den etwas betagen Shrewsoft Client, aber auch das geht eigentlich problemlos. Hatte ich gut zwei Jahre in Betrieb, bevor ich meine Hardware modernisiert habe.


    Gruss

    Hallo,


    wie beschrieben verfüge ich über iOS und kein Android?! Möchte auf den Clients keine zusätzliche Software einsetzen. (Habe auch schlechte Erfahrungen mit FRITZ!Fernzugang gemacht.)


    Würde gern erst einmal versuchen zu verstehen, was im aktuellen Setup falsch läuft und weshalb die QNAP nicht erreichbar ist. Der Dienst scheint ja zu laufen.


    Gruß

    reinz

    iOS geht meines Wissens auch mit Bordmitteln und von Fernzugang habe ich nichts gesagt, da habe ich auch keine guten Erfahungen gemacht.

    Bei openVPN auf dem NAS bin ich raus, habe ich mich nie damit befasst.


    Gruss

    Soweit mir bekannt kann iOS kein OpenVPN, nur L2TP, IPsec und IKEv2. Mir gehts auch nicht um OpenVPN auf dem NAS sondern um eine L2TP/IPsec-Verbindung.


    Hat jemand hier mit Erfahrung mit QVPN-Service?

    Nein aber du kannst das Fritz VPN direkt im Apple iOS hinterlegen und mit dem Schieber verbinden.


    Würde dann aber zu einer 7590 raten, die ist halt nicht mit 10 Jahre alter Hardware bestückt und kann AES in Hardware.


    So eine hat mein Schwiegervater jetzt und da sichern wir gerade sein NAS auf meins, mit vollem Upload und kaum last auf den Routern weil es in Hardware läuft.

    Wollte mich aber von den AVM-Anwendungen lösen und mein Problem mit mit der QNAP beheben.


    Ich hatte bereits VPN mit iOS und Fritzbox und mit L2TP könnte ich das genauso wieder haben wenn die QNAP mitmachen würde.

    Zu den Fritz Anwendungen haben wir ja schon was gesagt.


    Mir hupe was du machst, ich habe eine Netgate hier stehen die läuft mit schnuckeligem IPSec IKEv2 und damit kann ich den iOS Client und den Win 10 integrierten Client verwenden.


    Da bin ich bei iOS mit 2 mal tippen im VPN und bei Win 10 mit 3 klicks.


    Ansonsten kann deine kleine ja schon mal ein wenig Verschlüsselung über die Hardware, aber ob bei deinem ARMv5 da viel geht???


    Ansonsten musst du IPSec in der Fritz total tot machen, denn sonst reicht die Port 500 nicht weiter an dein NAS und dann bleibst du da halt stecken.

    Was soll n das? Mir Hupe was du meinst?! Ich frage nach einem Prob mit QNAP und bekomme dein Setup und keinen Sinnvollen Lösungsansatz von dir. Hab kein anderes Ziel wie von dir mit Boardmitteln auf den Clients.


    Ich habe im ersten Beitrag beschrieben, dass alle VPN Geschichten auf der FB abgeschaltet sind, wie in meinen Screenshots zu sehen werden die Ports von der FB korrekt extern weitergeleitet.


    Bitte meinen gesamten ersten Post lesen und dann antworten, ka was das für eine Hilfestellung sein soll, da kann ich gern drauf verzichten.

    Dann schaue doch einfach mit Wireshark nach ob die das auch wirklich sauber weiter leitet, da würde ich dann ansetzen und wenn das geht, ja dann hast das schon mal am NAS und kannst hier im Paket nach suchen wo es steckt.


    Und bei AVM heißt abgeschaltet nicht unbedingt was.


    Du musst halt Port 500 sauber durch bekommen.

    Also was sagt der Mitschnitt?

    Wenn auf der FB noch etwas an wäre, würde er Port 500 nicht wie oben zu sehen an die externe IPv4 weiterleiten.


    Wireshark von wo aus? Vom Client? Filter auf was setzen? Bzw. wie Protokoll anpassen damit im Mitschnitt nicht die öffentliche v4 auftaucht um es hier zu posten?


    Was soll schonmal am NAS bedeuten?


    Mir klar, dass ich den Port durchbekommen muss, genau das steckt ja in meiner Fragestellung, wie kann ich das testen? Da bekommt man dann mal einen Begriff hingeworfen....

    Hast du ein Managed Switch?

    Hast du ein Wiretap?


    Wenn nicht, kannst du nur statt dem NAS deinen Rechner mit der IP ins Netz hängen und schauen ob Anfragen hier auf Port 500 rein kommen.


    In dem Mitschnitt wird dann ggf. die IP vom WAN drin stehen, ja.

    Musst ja nicht hier rein hauen, aber mit ein wenig Übung kannst du das interpretieren ob der ankommt oder nicht.

    Das sieht man ganz gut.


    Musst ja nicht gleich alle Handshakes und Details eines Protokolls im Detail und Paket für Paket auseinander nehme.


    Bei einem Manged Switch kannst du einen Span Port einrichten und bekommst dann alles auf dem dem Port vom NAS rein und raus geht als Kopie.

    So kann man sehr effektiv Fehler suchen, ohne das man am Netzwerk etwas ändern muss und auch im Detail das ganze auseinander nehmen, da steckt oft der Teufel seht tief im Detail.


    Wenn das schon mal passt, was ich hoffe, denn sonst hast du keine Chance das hin zu bekommen, da AVM für das Ticket sicherlich lange brauchen wird.


    Kommt der Port an, kann es nur am Paket liegen, was auf deiner Kiste nicht richtig funktioniert.

    Da müsste man dann im Detail noch mal, vermutlich per ssh, durch das NAS kriechen um hier die genau Ursache zu finden.


    Dienstbindung oder sowas hast du nicht an, bzw. gibt es bei 4.3 noch nicht oder?

    Ja am Standort des VPN-Servers gibt es einen managend Switch (TP-Link TL-SG3424).

    Wiretap im Sinne von?

    Kann meinen PC nicht dort anschließen, da ich ca. 400 km entfernt sitze.


    Habe gehofft mit Wireshark vom Client aus sehen zu können, wie weit er kommt.


    Ich guck mal was der Switch hergibt.


    Per SSH aufs NAS, sowas in der Art hab ich mir vorgestellt, da die anderen Weiterleitungen funktionieren und das Setup der FB soweit ich es mit anderen Fragestellern in diesen und anderen Foren vergleichen konnte richtig aussieht.

    Wiretap ist halt eine Hardware die dir alles auf einen dritten Port dupliziert, also wirklich alles.

    Ein Switch filtert ggf. schon mal was raus, wegen Hardware Offlading, das Tap nicht.


    Ist halt für low Layer Fehlersuche das beste.


    Remotespan oder so etwas hat die Kiste nicht?


    Ok 400km sind ein wenig hinderlich für die vor Ort Fehlersuche.

    Ja leider, habe aber Zugriff auf einen Client vor Ort und noch n Server für Virtualisierung. Hatte überlegt ob ich die Ports noch an einen Client weiterleite und prüfe ob das ankommt, aber UDP gibt ja keine Rückmeldungen wie TCP das kann, wenn ich das richtig verstanden habe.


    Finde sm Switch leider nichts passendes, kein Remotspan, kein Mirroring. Vllt geht per SSH da noch was, muss ich mich morgen mal bei dem Ding einlesen. Hab nur bissl Erfahrungen mit Cisco-Switches.

    Bei letzten würde das funktionieren, leider hast so ne Kiste nicht vor Ort, schade.


    Drücke die Daumen.

    Hallo,


    geht leider nicht. Muss per SSH vom "User EXEC Mode" in den "Privileged EXEC Mode" wechseln und das geht nur mit vorher per Console-Kabel gesetzten Kennwort.

    Nope.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von reinz

    Leider schlagen alle Verbindungsversuche fehl, weder mit einem Windows10 Client noch mit dem Smartphone kann ich eine Verbindung herstellen.

    BTW: Man könnt einfach schreiben um welchen Key es sich handelt oder auf einen der unzähligen Blogeinträge dazu verlinken, anstatt hier Dateien zu versenden welche nicht registrierte User nicht anwenden können. Bzw. dann diese gleich als Reg.-File anbieten (was hoffentlich hier im Forum aus nachvollziehbaren Gründen nicht zulässig ist).


    Hier der Link für Interessierte, ist aber nicht mein Problem:
    https://frank-hilft.de/knowled…anpassung-bei-windows-10/

    Einmal editiert, zuletzt von reinz ()

    Gefällt mir 1

    Stimmt, mein Fehler. Mit einem Link hätte es es auch getan und wäre besser gewesen anstatt REG-Files einzustellen. Sorry. Habe es entsprechend geändert.