VPN Verbindung unter macOS mit Problemen

[Draco]

Hallo zusammen,

ich benötige dringend Hilfe von Euch.

Situation:
Habe vor wenigen Tagen zuhause auf einer Synology Diskstation einen VPN-Server erstellt um zukünftig alle Verbindungen nach Zuhause darüber laufen zu lassen. Generalproben waren allesamt erfolgreich - bis auf mein MacBook, was ich bis dato noch nicht extern unterwegs dabei hatte.

Jetzt sitze ich in Bayern 400 km entfernt und bin nicht in der Lage mit meinem MacBook trotz verbundener VPN-Verbindung eine Kommunikation zu meinen dortigen Geräten aufzubauen.
Einen ersten Fehler hatte ich bereits gefunden, da sowohl zuhause wie auch hier die gleichen IP-Adressbereiche (192.168.178.XXX) genutzt werden. Habe hier kurzerhand am Router selbiges verändert. Nun kann mein iPhone zumindest auf die Geräte zuhause zugreifen, denn im Safari vom iPhone erhalte ich wie gewünscht Zugriff auf die Weboberflächen lokal zuhause stehender Endgeräte.

Leider klappt dies noch nicht am Mac und ich habe keine Ahnung woran es liegen könnte
- lokale IP-Adresse vom MacBook unterscheidet sich - check
- Neustart gemacht - check
- VPN-Verbindung MacBook läuft - check

Was mache ich am MacBook falsch?

 

[Wuchtbrumme]

Du machst es einem nicht leicht. Kannst Du mal ein Netzwerkdiagramm (muss nicht umfangreich sein, 2 Geräte pro Seite reichen inkl. Router, wichtig sind die IPs) nachreichen? Portforwardings sind eingerichtet? Du schreibst, am iPhone würde es funktionieren - was hast Du da gemacht? Was für einen VPN-Typ hast Du verwendet? Verbindet das Macbook? Wie sieht dann die Routingtabelle (Terminal: netstat -rn) aus?

 

[Draco]

Sorry, an meiner schmalen Informationsbreite lässt sich erahnen, dass ich mich hierbei als Laie bezeichnen würde. Mit der Bitte um Ertägnis

Die Einstellungen zuhause am VPN-Server (L2TP/IPsec) & am Router erachte ich als richtig. Denn gestern in der Firma am Windows PC mit eingerichtetem VPN-Zugang funktionierte alles bestens. Ja, die Ports für den VPN-Server sind am Router entsprechend weitergeleitet und die entsprechenden Zugangsaccounts sind eingerichtet.

Funktionierende Konfig am iPhone:
Typ: L2TP
Server: dyndns-Adresse
Account: meinBenutzername
RSA-SecureID: Off
Passwort: meinBenutzerkontenPW
Shared Secret: VPN-Server Masterkennwort
Gesamten Verkehr senden: ON

Das iPhone befindet sich derzeit im bayrischen WLAN, wenn ich jetzt den VPN aktiviere, verbindet es sich und ich kann mit dem Safaribrowser problemlos auf 192.168.178.83 zugreifen (das ist zuhause ein Endgerät). Alles so wie es soll.

Konfig am MacBook:
Einstellungen --> VPN --> hinzufügen
Typ: L2TP über IPsec
Serveradresse: dyndns-Adresse
Benutzername: meinBenutzername
Authentifizierungseinstellungen:
Benutzer-Auth: mit Passwort: meinBenutzername
Rechner-Auth: Shared-Key: VPN-Server Masterkennwort

Verbinden --> Verbindung wird hergestellt --> Verbunden
IP-Adresse: 10.2.0.1 (das ist der am VPN-Server konfigurierte IP Adressbereich)

Das MacBook befindet sich im identischen WLAN wie das iPhone. Jetzt müsste das MacBook erfolgreich mit meinem VPN-Server verbunden sein, wie alles darauf hindeutet. Oben in der macOS Statusleiste sehe ich die laufende Zeit, seit die VPN-Verbindung erfolgte.
Nur bin ich im Gegensatz zum iPhone nicht im Stande, im Browser die besagte lokale IP-Adresse aufzurufen.

 

[Wuchtbrumme]

ok, ok, deswegen fragt man ja und wenn man dann die benötigten Infos nachreicht, ist ja ok

Als erstes fällt mir auf, dass Du als Benutzer-Auth: mit Passwort nicht meinBenutzerkontenpasswort wie im iPhone eingetragen hast. Ich nehme an, dass das nur ein Fehler in der Zusammenstellung ist, weil sich das Gerät sonst nicht verbinden würde.

Es fehlt die Routingtabelle im verbundenen Zustand. Bitte dazu das Terminal aufmachen und netstat -rn eingeben und mit Return bestätigen. Anschließend Copy&Paste. Danke.

 

[Draco]

Routing tables

Internet:
Destination        Gateway            Flags        Netif Expire
default            192.168.1.1        UGSc           en0       
default            link#17            UCSI          ppp0       
10                 ppp0               USc           ppp0       
10.2.0.0           10.2.0.1           UH            ppp0       
93.244.244.109     192.168.1.1        UGHS           en0       
127                127.0.0.1          UCS            lo0       
127.0.0.1          127.0.0.1          UH             lo0       
169.254            link#6             UCS            en0      !
192.168.1          link#6             UCS            en0      !
192.168.1.1/32     link#6             UCS            en0      !
192.168.1.1        5c:49:79:55:b4:d4  UHLWIir        en0   1144
192.168.1.21/32    link#6             UCS            en0      !
192.168.1.22       8c:86:1e:c5:e8:2b  UHLWIi         en0   1154
192.168.1.26       e8:36:17:84:df:7   UHLWI          en0    532
192.168.1.28       90:8c:43:84:65:e7  UHLWI          en0      !
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI         en0      !
192.168.178.1      link#17            UHWIi         ppp0       
224.0.0/4          link#6             UmCS           en0      !
224.0.0/4          link#17            UmCSI         ppp0       
224.0.0.251        1:0:5e:0:0:fb      UHmLWI         en0       
239.255.255.250    1:0:5e:7f:ff:fa    UHmLWI         en0       
255.255.255.255/32 link#6             UCS            en0      !
255.255.255.255/32 link#17            UCSI          ppp0       

Internet6:
Destination                             Gateway                         Flags         Netif Expire
default                                 fe80::%utun0                    UGcI          utun0       
default                                 fe80::%utun1                    UGcI          utun1       
default                                 fe80::%utun2                    UGcI          utun2       
default                                 fe80::%utun3                    UGcI          utun3       
default                                 fe80::%utun4                    UGcI          utun4       
default                                 fe80::%utun5                    UGcI          utun5       
::1                                     ::1                             UHL             lo0       
fe80::%lo0/64                           fe80::1%lo0                     UcI             lo0       
fe80::1%lo0                             link#1                          UHLI            lo0       
fe80::%en6/64                           link#4                          UCI             en6       
fe80::aede:48ff:fe00:1122%en6           ac:de:48:0:11:22                UHLI            lo0       
fe80::aede:48ff:fe33:4455%en6           ac:de:48:33:44:55               UHLWIi          en6       
fe80::%awdl0/64                         link#8                          UCI           awdl0       
fe80::eca3:97ff:fe0e:e973%awdl0         ee:a3:97:e:e9:73                UHLI            lo0       
fe80::%llw0/64                          link#9                          UCI            llw0       
fe80::eca3:97ff:fe0e:e973%llw0          ee:a3:97:e:e9:73                UHLI            lo0       
fe80::%utun0/64                         fe80::bfa0:9b68:1299:b6fb%utun0 UcI           utun0       
fe80::bfa0:9b68:1299:b6fb%utun0         link#15                         UHLI            lo0       
fe80::%utun1/64                         fe80::cbae:47b8:da0b:b3f6%utun1 UcI           utun1       
fe80::cbae:47b8:da0b:b3f6%utun1         link#16                         UHLI            lo0       
fe80::%ppp0/64                          link#17                         UCI            ppp0       
fe80::8ae9:feff:fe74:9a2a%ppp0          link#17                         UHLI            lo0       
fe80::%utun2/64                         fe80::d90:5110:f44e:28cc%utun2  UcI           utun2       
fe80::d90:5110:f44e:28cc%utun2          link#18                         UHLI            lo0       
fe80::%utun3/64                         fe80::fe3f:4467:5156:26db%utun3 UcI           utun3       
fe80::fe3f:4467:5156:26db%utun3         link#19                         UHLI            lo0       
fe80::%utun4/64                         fe80::7afe:810e:bf33:c89a%utun4 UcI           utun4       
fe80::7afe:810e:bf33:c89a%utun4         link#20                         UHLI            lo0       
fe80::%utun5/64                         fe80::c173:c19b:89a6:e09a%utun5 UcI           utun5       
fe80::c173:c19b:89a6:e09a%utun5         link#21                         UHLI            lo0       
ff01::%lo0/32                           ::1                             UmCI            lo0       
ff01::%en6/32                           link#4                          UmCI            en6       
ff01::%awdl0/32                         link#8                          UmCI          awdl0       
ff01::%llw0/32                          link#9                          UmCI           llw0       
ff01::%utun0/32                         fe80::bfa0:9b68:1299:b6fb%utun0 UmCI          utun0       
ff01::%utun1/32                         fe80::cbae:47b8:da0b:b3f6%utun1 UmCI          utun1       
ff01::%ppp0/32                          link#17                         UmCI           ppp0       
ff01::%utun2/32                         fe80::d90:5110:f44e:28cc%utun2  UmCI          utun2       
ff01::%utun3/32                         fe80::fe3f:4467:5156:26db%utun3 UmCI          utun3       
ff01::%utun4/32                         fe80::7afe:810e:bf33:c89a%utun4 UmCI          utun4       
ff01::%utun5/32                         fe80::c173:c19b:89a6:e09a%utun5 UmCI          utun5       
ff02::%lo0/32                           ::1                             UmCI            lo0       
ff02::%en6/32                           link#4                          UmCI            en6       
ff02::%awdl0/32                         link#8                          UmCI          awdl0       
ff02::%llw0/32                          link#9                          UmCI           llw0       
ff02::%utun0/32                         fe80::bfa0:9b68:1299:b6fb%utun0 UmCI          utun0       
ff02::%utun1/32                         fe80::cbae:47b8:da0b:b3f6%utun1 UmCI          utun1       
ff02::%ppp0/32                          link#17                         UmCI           ppp0       
ff02::%utun2/32                         fe80::d90:5110:f44e:28cc%utun2  UmCI          utun2       
ff02::%utun3/32                         fe80::fe3f:4467:5156:26db%utun3 UmCI          utun3       
ff02::%utun4/32                         fe80::7afe:810e:bf33:c89a%utun4 UmCI          utun4       
ff02::%utun5/32                         fe80::c173:c19b:89a6:e09a%utun5 UmCI          utun5

 

[Wuchtbrumme]

Hast Du in den Einstellungen der VPN-Verbindung am Mac irgendwas manuell eingegeben (ich denke da vor allem an die TCP/IP-Einstellungen)? Dann nimm das bitte raus; der VPN-Server sollte via DHCP die notwendigen Daten verteilen.
Du versuchst wirklich, mittels IP zu verbinden und nicht etwa mittels Namensauflösung? Das könnte nämlich nur dann klappen, wenn Du auch den DNS-Server am Zielort verwenden würdest (und auch bedenkst, dass es auch Multicast-DNS gibt, der per default überhaupt nicht über Routergrenzen hinweg benutzbar ist).

Die Routing-Tabelle sieht soweit ok aus. 192.168.178/24 ist scheinbar Dein Heimatstandort *zu dem* Du verbinden möchtest. 192.168.1/24 ist offenbar, *von wo* Du verbinden möchtest. Und 10.2.0.1/32 ist scheinbar die IP des PPP-Adapters am Mac, der ihm vom VPN-Server zugewiesen wurde.

 

[PeterRS]

Du mußt noch einen Haken setzen...

Gehe in die Systemsteuerung zu Netzwerk und wähle dort die VPN Verbindung aus. Darin Weitere Optionen auswählen und dort unter Verbindungsoptionen den Haken setzen bei "Gesamten Verkehr über die VPN-Verbindung senden".

VPN Verbindung neu aufbauen. Dann sollte es funktionieren!

 

[Wuchtbrumme]

sehr guter Hinweis, habe ich glatt vergessen

 

[Draco]

Du mußt noch einen Haken setzen...

Gehe in die Systemsteuerung zu Netzwerk und wähle dort die VPN Verbindung aus. Darin Weitere Optionen auswählen und dort unter Verbindungsoptionen den Haken setzen bei "Gesamten Verkehr über die VPN-Verbindung senden".

VPN Verbindung neu aufbauen. Dann sollte es funktionieren!

jawoll das war es. Jetzt, mit gesetztem Haken, läuft alles, vielen Dank!
Nachfrage:
Mit dieser aktivierten Option bedeutet es dann auch, dass der gesamte Traffic des MacBooks bei aktivierter VPN-Verbindung über selbige läuft, oder? Sprich z.B. ein Download läuft dann auch über die VPN Verbindung?

 

[PeterRS]

Mit dieser aktivierten Option bedeutet es dann auch, dass der gesamte Traffic des MacBooks bei aktivierter VPN-Verbindung über selbige läuft, oder? Sprich z.B. ein Download läuft dann auch über die VPN Verbindung?

Ja! Der gesamte Traffic läuft dann über Deinen VPN Server! Nach aussen hin hast Du dann auch nur noch die IP Adresse Deines Heimat Anschlusses!

 

[ottomane]

Das geht am Thema vorbei, aber ich kann es nicht für mich behalten: Falls es andere Geräte (FritzBox z.B.) bei dir gibt, die den VPN-Server bereitstellen könnten, wäre es gut, die zu nutzen. Grund: Wenn die Syno den VPN-Server stellt, wird sie auf einem Port dem Internet exponiert - ausgerechnet vermutlich das Gerät, das den besten Schutz verdient. Außerdem wäre ein Angreifer sofort auf dem interessantesten Gerät gelandet...

Sorry für OT. Ich bin in dieser Hinsicht begründbar paranoid.

 

[PeterRS]

wird sie auf einem Port dem Internet exponiert

Das trifft dann aber auf jeden VPN Server zu!
Den VPN Shared Key soll ersteimal einer knacken... Egal ob den der Fritzbox oder den der Synology!

Danach kommen dann noch die Benutzer Kennworte!

Sollten natürlich alle selbstredend safe sein!

 

[ottomane]

Das trifft dann aber auf jeden VPN Server zu!
Den VPN Shared Key soll ersteimal einer knacken... Egal ob den der Fritzbox oder den der Synology!

Klar, das gilt für jeden Server. Aber die Fritzbox z.B. ist ohnehin exposed. Oder ein ordentlich eingerichteter RasPI, der nichts anderes macht als das VPN, wäre auch immer noch besser. Im Falle der Syno ist man gleich auf dem Gerät und falls es eine Softwarelücke gibt, kann man evtl. ohne das VPN zu knacken an Daten oder Dienste.

Das sind alles theoretische Konstrukte, das ist klar. Aber wenn man es anders machen kann, würde ich das tun.

 

[Draco]

Der Einwand ist nachvollziehbar. Leider derzeit keinerlei alternative Optionen verfügbar. Ich bin noch immer auf diesen doofen Speedport Hybrid angewiesen, der quasi gar nichts kann. Eventuell könnte ich tatsächlich einen Raspberry dafür erwerben, wobei da auch keine Konfigurationsfehler gemacht sein dürfen - was im Falle von Synology als großer Konzern vermutlich sicherer ist, als meine eigenen Laien-Fehler am Raspi.

 

[ottomane]

Das stimmt natürlich. Ich wollte jetzt auch keine Angst verbreiten. Mit Synologys Lösung macht man sicher keinen Fehler.