Portfreigabe zickt rum

[Elektrobert]

Hallo zusammen,

habe gestern erstmals versucht, das VPN auf meiner Synology DS einzurichten.

VPN Server installiert und L2TP/IPSec standardmäßig konfiguriert
Da keine Firewall an der Diskstation eingerichtet ist, sofort weiter zu meiner FritzBox 7590 (Firmware 8.0 nagelneu seit vorgestern!)
Jetzt auf der FritzBox in die Systemsteuerung - Internet - Freigabe - Portfreigaben

Die erste Freigabe auf Port 1701 mit UDP wie erwartet - LED leuchtet grün
Die zweite und dritte Freigabe auf den Ports 4500 und 500 lassen sich nicht einfach setzen. Sie bekommen zwar eine grüne LED, es erscheint aber ein Hinweis "Für diese Freigabe wurden andere Ports extern vergeben als von ihnen gewünscht."
Aus meiner Sicht werden von der FritzBox willkürlich Ports jenseits von 57000 vergeben. Auch Aktualisieren bringt keine Abhilfe.

Ein Versuch nach sauberer VPN-Konfiguration innerhalb der Windows11-Einstellungen eine Verbindung herzustellen endet nach offensichtlichem Timeout mit der Meldung "Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.

Bevor ich da jetzt in Windows rumbohre, würde ich gerne das Problem mit den seltsamen Portfreigaben lösen wollen, damit das als Ursache ausgeschlossen werden kann.

Hat jemand Erfahrung mit sowas?

 

[Stationary]

Ist zwar keine direkte Lösung für Dein Problem, aber der VPN-Server wäre besser auf der Fritzbox aufgehoben. Dann mit Wireguard, das läuft damit auch etwas schneller.
Wenn Du meinst, daß die Fritzbox willkürlich Ports vergibt, dann sieh doch in der FB mal nach, welche Ports wie verwendet werden (unter Diagnose>Sicherheit).
Port 4500 wirst Du nicht setzen können, weil die FB den reserviert für das eigene IPSec IKEv2 (ist ein anderes Protokoll als L2TP/IPSec). Port 500 ist auch bereits für IKE belegt.

 

[Elektrobert]

Hab halt in einem Video gesehen, wie das jemand mit seiner Fritzbox eingerichtet hat. Und der konnte komischerweise alle Ports korrekt belegen.

Ich habe erst mal nicht vor, die Synology-Welt zu verlassen. Halte das für sehr zuverlässig, wenn es sauber eingerichtet ist. Habe dort auch direkte Zugriffe für externe Dritte auf Daten meiner Netzplatte am Laufen. Das ist nach etwas Konfiguration jetzt schön stabil.

Wireguard kenne ich als Begriff zur Protokoll-Analyse. Das ist so gar nicht mein Thema, ich wünsche mir eine Click and Run-Einrichtung für was Fertiges. Wenn ich auf die Protokolle, von denen ich nur oberflächliche Ahnung habe, draufschauen muss, dann ja.

Diagnose-Sicherheit schau ich mal an und denke mal nach.

Danke für deine schnelle Antwort.

UPDATE:
Wenn ich das in Diagnose-Sicherheit richtig beurteile, ist diese Reservierung für VPN zur Fritzbox. Das will ich nicht - ich will direkt durch zur Synology. Dort ist auch ein DDNS-Host gut erreichbar, sonst würden ja auch meine externen Zugriffe nicht laufen. Also könnte ich ja der Fritzbox diese beiden Ports wegnehmen und für mich (also für die Synology) nutzen.

 

[Stationary]

Wireguard kenne ich als Begriff zur Protokoll-Analyse.

Das ist Wireshark. Wieder was anderes.

 

[Stationary]

Und der konnte komischerweise alle Ports korrekt belegen.

Dann sind in Deiner Fritzbox vielleicht früher mal IPSec IKEv2 VPN-Verbindungen angelegt worden?

 

[Elektrobert]

Nicht bewusst. Habe zwar mal eine Einrichtung für den Zugriff vom Mobilgerät auf die Fritzbox gemacht und vielleicht ist das in dem Zusammenhang entstanden. Die nutze ich aber nicht; ich konfiguriere und checke aktuell mein Zeug nur am Heimrechner.

Hm, das mit Wireshark habe ich tatsächlich verwechselt. Wireguard muss ich mal checken. Das ändert aber nichts daran, dass ich direkt zur Synology durch muss.

 

[Stationary]

Siehe hier, letzter Satz: https://avm.de/service/wissensdaten...eren-Herstellers-im-FRITZ-Heimnetz-einsetzen/

Du mußt die Verbindung für das Mobilgerät löschen, wenn Du die Ports haben willst. Oder die DS umkonfigurieren.

 

[Stationary]

Nicht bewusst. Habe zwar mal eine Einrichtung für den Zugriff vom Mobilgerät auf die Fritzbox gemacht

Der ist gut

 

[Elektrobert]

OK. Guter Hinweis, danke. Wer lesen kann, ist wie immer klar im Vorteil...

Wireguard ist eine VPN-Verbindung zu meinem Heimrechner. Über den könnte ich dann auf die Synology. Aber...der Heimrechner läuft nicht durch. Die Synology schon...

 

[Stationary]

Wireguard ist eine VPN-Verbindung zu meinem Heimrechner.

Der Wireguard-Server läuft auf der Fritzbox. Die läuft immer und damit kommst Du ins gesamte Heimnetz, einschließlich DS und Drucker.

 

[Elektrobert]

Das ist dann eine gute Gelegenheit für mich, meine Wissenslücken zu schließen. Ich probiers aus.

Danke für deine Geduld mit mir Unwissenden.

 

[Stationary]

Kein Problem, immer gerne.

 

[Stationary]

Ich vermute mal, die DS läßt sich nicht umkonfigurieren, zumindest steht im Synology Knowledge Center nichts dazu. Dafür steht dort: VPN auf dem Router abschalten. Also würde ich fürs erste vorschlagen: das Mobilgerät-VPN aus der Fritzbox löschen, damit keine IPSec-Verbindungen mehr registriert sind und die Ports freigegeben werden. Portweiterleitung zur DS einrichten, das Mobilgerät dann per Wireguard mit der 7590 verknüpfen.
Eventuell dann in Ruhe prüfen, ob man alles über Wireguard laufen läßt; da läßt sich auch für jeden Zugang einschränken, welche Geräte im Heimnetz erreicht werden dürfen.

 

[Elektrobert]

Klingt gut. Werde ich weiterverfolgen. Jetzt muss erst mal wieder Geld verdient werden...

 

[framp]

habe gestern erstmals versucht, das VPN auf meiner Synology DS einzurichten.

Wie schon von @Stationary vorgeschlagen wurde: Nutze Deine Fritte um HomeAccess zu enablen. Entweder ueber VPN oder - nach meiner Erfahrung besser - Wireguard. Eine Syno ist fuer mich ein LAN Server und der sollte keine Networkingaufgaben haben.