Kein Verbindungsaufbau L2TP

Es gibt 5 Antworten in diesem Thema, welches 313 mal aufgerufen wurde. Der letzte Beitrag () ist von turti83.

    Hallo zusammen,



    ich bekomme keine L2TP VPN Verbindung zu meiner Synology NAS aufgebaut.


    Aktuell nutze ich die "alte" VPN-Variante IpSec auf meiner FritzBox, welche funktioniert.



    Hier erstmal der Netzwerkaufbau:



    WAN --> EdgeRouter --> Richtfunk --> FritzBox --> Synology NAS



    Leider ist bei uns im ländlichen Bereich der Internetausbau noch bedürftig, weswegen ich seit 2017 die Nachbarschaft mit eigener Infrastruktur zum Internet verhelfe.


    Dazu haben wir bei einem Nachbarn für viel Geld eine LWL-Leitung hinbauen lassen und verteilen von hieraus das "Internet" auf 13 Haushalte. Dazu setzen wir hauptsächlich Richtfunktechnik ein - dies funktioniert soweit sehr gut.



    Wir haben 6 öffentliche IP-Adressen, wovon ich eine für mich (meine FB) nutze. Sämtliche WAN-IN Pakete meiner öffentlichen IP werden auf meine FB geroutet - selbstverständlich auch in die andere Richtung. Im Edge Router habe ich für jeden Haushalt ein VLAN mit einem eigenen Netzwerk eingerichtet, sodass sämtlicher Datenverkehr zwischen Edge Router und Fritzbox getunnelt übertragen werden.



    Zur Zeit nutze ich noch die "alte" VPN Variante IpSec auf der FritzBox um mich von außen in das Heimnetzwerk verbinden zu können. Hierzu habe ich in dem EdgeRouter entsprechend UDP-Port 500 und 4500 in der Firewall freigegeben. Dieser Verbindungsaufbau funktioniert einwandfrei.



    Nun möchte ich diese Variante durch L2TP ersetzen. Hierzu habe ich auf meiner Synology NAS den VPN-Server entsprechend eingerichtet. In der Firewall des EdgeRouters habe ich UDP-Port 1701 freigegeben. In der FritzBox habe ich die alte VPN-Verbindung gelöscht und die Ports 500, 4500 und 1701 auf die NAS weitergeleitet. Auf der NAS sind die Ports in der Firewall auch freigegeben.



    Ich habe die VPN-Verbindung auf meinem iPhone eingerichtet und kann mich mit der NAS verbinden, wenn ich im Heimnetzwerk bin. Da die FritzBox kein Loopback Ihrer öffentlichen IP auflösen kann (weil sich die "öffentliche IP" der FB zu der tatsächlichen öffentlichen IP am EdgeRouter unterscheitet) wird also die VPN-Verbindung vom iPhone (das im Heimnetzwerk ist) wie folgt aufgebaut: iPhone -> FB -> EdgeRouter -> FB -> NAS. Im EdgeRouter ist ein Loopback eingerichtet, jedoch greift hier keine Firewall ein. Wie gesagt: bis hierhin ist alles OK.



    Sobald ich das iPhone über LTE mit dem Server verbinden möchte, schlägt die Verbindung fehl. Ich vermute ein Problem bei dem EdgeRouter und komme nicht weiter. Selbst wenn ich kurzeitig die Firewall am EdgeRouter deaktiviere, komme ich nicht weiter. VPN ist auf diesem nicht aktiviert.


    Hat jemand einen Tipp, was ich übersehen haben kann?



    Eingesetzte Hardware:


    -EdgeRouter X SFP


    -FritzBox 7490


    -Synology 720+

    Du brauchst noch den TCP Port 1701 und das Routing von der Fritte zur Syno, womöglich auch vom Edge Router zur Fritte.

    Nachteil: wenn jemand anderes in eurer Konstellation l2tp nutzt muss er andere Ports nehmen.

    Auch wichtig da ipsec die selben UDP parts nutzt und womöglich in deiner Fritte IPSec noch aktiviert ist und User zugewiesen sind, wird die Fritte sämtliche Anfragen auf die Ports für ihr VPN in Anspruch nehmen und die Anfragen abfischen.

    Warum nimmst du nicht die Wireguard lösung von der Fritte? Grundsätzlich einfacher zu konfigurieren und bringt mehr Speed.

    Gefällt mir 1

    L2TP zeigt sich in Verbindung mit NAT gerne mal zickig, aber die guten Hinweise von BlackSpy kannst und solltest Du natürlich ausprobieren.

    Prinzipiell würde ich aber auch zu Wireguard raten, unter anderen deshalb, weil Du dies dann wieder "früher", also schon in der Fritzbox, terminieren kannst.

    Vielen Dank erstmal für eure Rückmeldungen.

    Guter Hinweis, dass auch der TCP 1701 benötigt wird. Die Weiterleitungen sind bereits eingerichtet, jedoch nur als UDP.

    VPN in der FB habe ich abgestellt, indem ich allen Usern das Recht entzogen habe. Man kann es an dem Status der Weiterleitungen erkennen, ob diese durchgereicht werden. Diese scheint auch prinzipiell zu funktionieren, sonst würde ich Keine Verbindung aus dem Heimnetz aufbauen können.


    Die Variante WireGuard hatte ich auch schon auf dem Schirm, jedoch auch hier kein Erfolg. Auf dem iPhone wurde die Verbindung als aktiv dargestellt, meine Heimnetzgeräte konnte ich jedoch nicht erreichen.

    Ich denke mein Fehler war, dass ich den Port 1701 als UDP statt TCP freigegeben habe...
    WireGuard funktioniert jetzt :smiling_face:

    Gerne würde ich jedoch auch die Variante mit L2TP ans Laufen bringen, da ich mich gerne spontan von meiner Arbeit auf mein Heimnetz einwählen möchte und hier nur den integrierten Windows Client nutzen darf. Ich schaue heute Abend, ob ich mit dem korrekten Einstellungen (TCP) nun weiter komme.

    Vielen Dank nochmal für eure schnelle Hilfe.

    Tatsächlich habe ich einen anderen Weg mit WireGuard gefunden, der ohne weitere Installation auskommt, sodass ich mich von der Arbeit aus mit dem Heimnetz verbinden kann.
    Den Versuch mit L2TP habe ich nicht mehr gestartet.

  • turti83

    Hat das Label von offen auf erledigt geändert.