Das leidige DS-Lite Thema. VPN über Router klappt nicht. Wie löse ich das am besten?

[muko]

Hallo,
ich habe folgendes Problem. Mein Vater und ich haben jeweils eine DS218+. Zusätzlich steht bei ihm eine DS213j auf die ich mit Hyper Backup sichern möchte und bei mir steht eine DS115j, auf welche er sichern will.
Nachdem DynDNS nicht klappte, habe ich mich auf Fehlersuche begeben und habe herausgefunden, dass mein Vater an einem DS Lite Anschluss hängt. Ich habe IPV4. Wir haben jeweils eine Fritzbox. Daher war der erste Ansatz die Fritzboxen via dem integrierten VPN Service zu verbinden. Das klappte auch soweit. Undzwar genau 3 Stunden lang. Seitdem hatten wir ein mal wieder eine Verbindung.
Total instabil das ganze. Was wäre für uns die beste Lösung. Ich könnte auf einer Synology nen VPN Server laufen lassen. Da sich aber mehrere Geräte aus dem jeweiligen Netzen finden müssen, würde das ja nicht unbedingt reichen oder? Stehe da etwas auf dem Schlauch. Hat jemand ne Lösung dafür?
Grüße

 

[the other]

Moinsen,
relativ einfach sollte es mit Angeboten wie etwa feste-ip.net gehen:
https://www.heise.de/newsticker/mel...rver-hinter-DS-Lite-Anschluessen-2289937.html
Kostet aber...

 

[NSFH]

Mietet euch zusammen einen C2 Cloudspeicher!

 

[muko]

Moinsen,
relativ einfach sollte es mit Angeboten wie etwa feste-ip.net gehen:
https://www.heise.de/newsticker/mel...rver-hinter-DS-Lite-Anschluessen-2289937.html
Kostet aber...

Jo, das wäre ne Option. Ich hätte aber schon ganz gerne VPN.

Mietet euch zusammen einen C2 Cloudspeicher!

Bei den benötigten 12 TB sind das gute 800 Euro pro Jahr. Ich glaube, da versuche ich es erstmal anders.

 

[blurrrr]

Daher war der erste Ansatz die Fritzboxen via dem integrierten VPN Service zu verbinden. Das klappte auch soweit. Undzwar genau 3 Stunden lang. Seitdem hatten wir ein mal wieder eine Verbindung.

Geht darum, dass Du die Richtung des Aufbaus bestimmen kannst. Dad zu Dir funktioniert sicherlich, andersrum (wie schon gemerkt) dann eher nicht so. Einfacher - ohne groß in die Thematik einzusteigen - wäre sicherlich, wenn man das Problem einfach auslagert (s. @NSFH). Wenn Du allerdings einen vollwertigen IPv4-Anschluss hast (und somit vermutlich ein Gewerbe)... spendier Deinem Dad einfach einen Businessanschluss und dann kannste auch machen was Du lustig bist ?

 

[Jagnix]

Nur mal so hingeworfen ... MyFritzNet. Sollte eigentlich klappen oder ?

 

[Ramihyn]

Jo, das wäre ne Option. Ich hätte aber schon ganz gerne VPN.

Mit feste-ip.net kannst du das - vorausgesetzt du nutzt ein TCP-basiertes VPN wie OpenVPN. UDP-basiert klappt das mit feste-ip.net nicht.

Eine andere Alternative wäre, wenn du deinen eigenen Internetzugang auf DualStack aufrüstest, dann könnte die Verbindung zwischen beiden Standorten natürlich mit nativem IPv6 vonstatten gehen.

 

[muko]

Geht darum, dass Du die Richtung des Aufbaus bestimmen kannst. Dad zu Dir funktioniert sicherlich, andersrum (wie schon gemerkt) dann eher nicht so. Einfacher - ohne groß in die Thematik einzusteigen - wäre sicherlich, wenn man das Problem einfach auslagert (s. @NSFH). Wenn Du allerdings einen vollwertigen IPv4-Anschluss hast (und somit vermutlich ein Gewerbe)... spendier Deinem Dad einfach einen Businessanschluss und dann kannste auch machen was Du lustig bist ?

Ich habe keine feste IPv4. Ist ein ganz normaler "alter" Vodafone VDSL Anschluss ohne DS (Lite)

Nur mal so hingeworfen ... MyFritzNet. Sollte eigentlich klappen oder ?

Leider nicht.

Mit feste-ip.net kannst du das - vorausgesetzt du nutzt ein TCP-basiertes VPN wie OpenVPN. UDP-basiert klappt das mit feste-ip.net nicht.

Eine andere Alternative wäre, wenn du deinen eigenen Internetzugang auf DualStack aufrüstest, dann könnte die Verbindung zwischen beiden Standorten natürlich mit nativem IPv6 vonstatten gehen.

Ich habe das jetzt zumindest mal in die eine Richtung so gelöst:

Meine DS218+ am IPv4 ist ein OpenVPN Server. Die DS213j bei meinem Vater ist Client.
Das klappt soweit schonmal gut für mein Backup
Was nur noch etwas seltsam ist, ist, dass ich Auf der Clientseite die Option " Standartgateway der Gegenseite nutzen" einstellen musste. Das bedeutet, dass die DS213j über meinen Anschluss ins Internet geht, also, dass einfach alles bei mir drüber läuft? Ist soweit nicht schlimm. Sie macht ja nur mein Backup und hat keine weiteren Aufgaben. Möchte nur verstehen warum. Hat das was mit fehlenden Routingtabellen zu tun? Das einzige, was ich gemacht habe ist, den Port fürs VPN in meiner Fritzbox freizugeben.

Edit: Und TCP statt UDP musste ich wählen.

 

[blurrrr]

Das mit dem GW ist eigentlich Blödsinn, ausser natürlich, Du hast auf "beiden" Seiten das gleiche Netz, sieht dann ungefähr so aus:


<NAS---<178.0/24>---<Fritzbox>------------------------------<CGN>---<Fritzbox>---<178.0/24>---<NAS>

Weil Du von Dir aus vor das CGN bei Deinem Dad klatscht, funktioniert es nicht, andersrum funktioniert der Aufbau schon.

Möchte nur verstehen warum. Hat das was mit fehlenden Routingtabellen zu tun?

Najo, das Gerät braucht halt Informationen, wie es zum entsprechenden Zielnetz kommt. Hat es die nicht, wird es die Informationen immer an sein Standard-Gateway schicken (hat diese die Informationen ebenfalls nicht, geht es weiter zum nächsten Standardgateway). Kurzum: Wählste Dich ins VPN ein, "muss" eine Route mit dem Zielnetz vorhanden sein, welche über den virtuellen VPN-Adapter des VPN-Clients erreichbar ist.

In Deinem Fall könnte aber mitunter noch folgendes der Fall sein: a) der LAN-Zugriff wurde nicht erlaubt. Hier wäre es so, dass Du nur das Transfer-Netz als Route übergeben bekommst (10.x.x.x), wobei die Syno - meine ich - immer "kleine" Netze für die Clients baut. Sieht dann ungefähr so aus:

0 - Netz-ID
1 - Syno
2 - VPN-Client 1
3 - Broadcast

4 - Netz-ID
5 - Syno
6 - VPN-Client 2
7- Broadcast

Ich mein, das war irgendwie so in die Richtung. Damit wäre das jetzt bei Dir (wenn ich grade nicht VÖLLIG daneben greif - ist ja auch nicht ausgeschlossen ?) routingtechnisch wie folgt:

Die Client-Syno wählt sich via VPN ein und kriegt z.B. die 10.242.1.2/30, die andere Syno steht da jetzt mit der 10.242.1.1/30 (das wäre das Netz "10.242.1.0/30"). Wie man jetzt schon merkt, ist von irendwelchen LAN-Netzen (á la 192.168.x.x) hier garnicht die Rede. Heisst kurzum: "Clients den LAN-Zugriff erlauben". Dann sollte auch eine entsprechende Route für das LAN-Netz an den Client gepusht werden.

Ich würde erstmal vorschlagen: Beweg Dich mal auf die "Client"-Syno via SSH (z.B. wie putty, o.ä.). Meldest Dich dort mit den administrativen Credentials an und lässt einfach mal ein "route" auf der Shell los. Da bekommst Du dann die Routingtabelle angezeigt und zumindestens 1 Netz "muss" bei aktivierem VPN auftauchen (das Transfer-Netz). Wenn alles "gut" läuft, wird auch das Remote-LAN noch angezeigt. Wenn nicht - korrekt gedacht- fehlt diese Route. Dann klappt es nur, wenn quasi "alles" unbekannte ans Standardgateway geschickt wird und das Standardgateway dann nicht Dein Router ist, sondern der Remote-Router.

Ganz tückisch sind halt 2 gleiche Netze auf beiden Seiten (178+178), da das quasi schon (fast) nix mehr mit 0815-Routing zu tun hat (Kenn ich das Netz? ja -> direkt verschicken; nein -> Standardgateway), sondern sich im Bereich der Metriken bewegt (2x das gleiche Ziel, welche Strecke wird bei welcher Gewichtung genommen?). Sowas wäre prinzipiell zu vermeiden. Sollte es also zu dem Umstand gekommen sein, dass auf beiden Seiten das gleiche Netz vorhanden ist: Stell eins um (wo weniger Geräte sind), oder wenn Du Zeit hast... direkt beide ??

 

[muko]

Wow, super vielen Dank für die ausführliche Antwort. So langsam lerne ich immer mehr dazu. Du hast Recht. Den Lan-Zugriff habe ich nicht erlaubt, weil ich dachte, es reicht ja, wenn die beiden Synos miteinander Verbunden sind. Das Lan haben wir schon geändert, da wir zuvor ja bei den Fritzboxen auch schon die Lans nicht identisch haben durften. Ich habe 192.168.100.xx und mein Dad noch die 192.168.178.x.

Bei Hyperbackup habe ich jetzt als Ziel die 10.8.0.6 als Ziel. Die versucht wahrscheinlich auf meine 192.168.100.24 zu antworten und das wird von Standard Gateway auf der Gegenseite nicht gefunden?

Ich probiere morgen deine Vorschläge nochmal aus. Jetzt lasse ich das Backup erstmal durchlaufen. In den Tagen, die es nicht lief, hat sich einiges angesammelt.

 

[blurrrr]

Genau, wenn Du den LAN-Zugriff nicht zulässt (was eigentlich erstmal nur heisst, dass die Route für das Netz nicht mitgegeben wird), fehlen da die entsprechenden Infos. Du könntest aber hingehen (vermutlich) und das ganze trotzdem aktivieren, im Gegenzug aber per Firewall-Regel beim NAS mit VPN-Server sagen:

1) NAS 1 darf zu NAS 2 via z.B. rsync (je nachdem, was für ein Protokoll das Backup nutzt)
2) Alles andere zwischen den Netzwerken ist verboten

Alternativ machste das Backup eben auf die Transfer-Netz-IP (10.8.0.x). Problem hier ist allerdings, dass sich sowas auch mal ändern kann, somit haste da wieder eine Baustelle offen. Ich persönlich würde einfach die "richtige" Route mitpushen und dann halt über die Firewall-Regeln am NAS regeln, was wer wieso weshalb und warum.

das wird von Standard Gateway auf der Gegenseite nicht gefunden?

Ist das eine Frage, oder eine Feststellung?