Diskstation hinter Vpn-Router

[mkowi]

Hi,

in meinem Heimnetzwerk befindet sich eine Diskstation im selben IP Bereich wie die Fritzbox.

Zudem habe ich noch einen Rechner hinter einem VPN Router.

Die Diskstation ist aus dem ganzen Netzwerk aus Ping bar.
Der Rechner hinter dem VPN Router kann die Diskstation nicht anpingen. Alle anderen Teilnehmer im nicht VPN Netz aber schon.

Wäre nett wenn jemand ne Idee hätte.

Danke und Grüße

 

[blurrrr]

Wer soll denn da bitte durchblicken.. schön, dass Du Deine Netzwerktopologie kennst, aber Ratespielchen find ich blöd. Wäre also sinniger mal die Topologie zu skizzieren

 

[mkowi]

Hi,

sorry , dachte das sein nicht so wichtig und recht einfach.... aber OK



Es geht um den PC unten links.
Und es dreht sich um eine DS216+

Grüße

 

[NSFH]

was für ein Konstrukt!
Der sinnvolle Aufbau ist anders:
ISP >> Modem > VPN-Router/Firewall > Switch > FritzBox und PCs/Syno
Die Fritzbox taugt als Modem nicht, ist damn gerade bei VPN ein Flaschenhals, mehr noch als die VPN Funktion der Fritzbox selbst. Zudem käme es dann noch u.U. zum doppelten NAT.
Die Fritz hinter dem Router läuft als WLAN AP und für VOIP absolut problemlos, wird dann nur über den LAN Port1 angesprochen.

 

[blurrrr]

Schliess den VPN-Router mal testweise direkt an den Switch und nicht an die Fritzbox an, wäre schon mal eine Fehlerquelle weniger was Dein Problem angeht (wobei ich nicht davon ausgehe, dass es daran liegt). Ansonsten - da ja soweit alles andere geht - jeweils die Firewalls von DS und VPN-Router checken. Eigentlich sogar bevorzugterweise zuerst mal an der DS schauen, denn es gibt einige mögliche ICMP-Antworten, aber wenn so "garnichts" zurück kommt, sieht das schon schwer nach verworfenen (drop) Paketen aus (daher auch die Firewalls der DS und des VPN-Routers checken, ggf. direkt ins Log schauen, sofern möglich)

EDIT: Vielleicht ist der VPN-Router auf der DS auch auf der Liste der gesperrten IPs (fail2ban) gelandet, würde ich zur Sicherheit auch mal überprüfen.

 

[mkowi]

Hi,

erstmal danke für eure Antworten.

was für ein Konstrukt!
Der sinnvolle Aufbau ist anders:
ISP >> Modem > VPN-Router/Firewall > Switch > FritzBox und PCs/Syno
Die Fritzbox taugt als Modem nicht, ist damn gerade bei VPN ein Flaschenhals, mehr noch als die VPN Funktion der Fritzbox selbst. Zudem käme es dann noch u.U. zum doppelten NAT.
Die Fritz hinter dem Router läuft als WLAN AP und für VOIP absolut problemlos, wird dann nur über den LAN Port1 angesprochen.

Sinnvoll hmm... aber wie sieht denn sonst ein Netzwerk aus was man zuhause hat. Denke mal ich hab nur diese Möglichkeit.

Schliess den VPN-Router mal testweise direkt an den Switch und nicht an die Fritzbox an, wäre schon mal eine Fehlerquelle weniger was Dein Problem angeht (wobei ich nicht davon ausgehe, dass es daran liegt). Ansonsten - da ja soweit alles andere geht - jeweils die Firewalls von DS und VPN-Router checken. Eigentlich sogar bevorzugterweise zuerst mal an der DS schauen, denn es gibt einige mögliche ICMP-Antworten, aber wenn so "garnichts" zurück kommt, sieht das schon schwer nach verworfenen (drop) Paketen aus (daher auch die Firewalls der DS und des VPN-Routers checken, ggf. direkt ins Log schauen, sofern möglich)

EDIT: Vielleicht ist der VPN-Router auf der DS auch auf der Liste der gesperrten IPs (fail2ban) gelandet, würde ich zur Sicherheit auch mal überprüfen.

Ich denke auch das hier was geblockt wird .... hab schon das Menü der Firewall auf der DS nachgeschaut aber nicht das richtige gefunden und auch das Subnetz als vertraueswürdig eingetragen.

Naja ich schau mal weiter.
Sollte noch jemandem was einfallen .... Nur Mut

 

[blurrrr]

Dann guck - wie schon beschrieben - ins Firewall-Log des VPN-Routers, ob der ggf. die ICMP-Pakete von der Syno wegschmeisst.

 

[mkowi]

So...

das Zauberwort heißt statische Route.

Hatte ich zwar in der Fritzbox schon gemacht aber die DS hat da wohl Sonderwünsche.

Grüße und ein schönes Wochenende noch.

 

[blurrrr]

Hätteste ruhig mal sagen können, dass der VPN-Router kein NAT aktiv hat... hier in diesem Forum wäre das wohl bei 99,9% aller Leute so gewesen...

 

[mkowi]

wusste schon immer das ich was besonderes bin

 

[NSFH]

dein Konstrukt macht für mich keinen Sinn. Wie es aussehen sollte habe ich oben geschrieben. Da brauchst du auch keine Extra Routen.

 

[servilianus]

Habe es auch mit einem VPN-Router (Draytec Vigor) simpel realisiert, ohne statische Routen etc.

FB 7490, LAN1-Anschluss: Netzwerkkabel - in den WAN-Port Router. Dem Router eine statische IP-Adresse vergeben, Router macht DHCP, Fritzbox macht kein DHCP. Statische IP des Routers taucht in der FB auf. Router in der Fritzbox als Exposed Host eingerichtet. Am Vigor-Router hängen alle Netzwerkgeräte/ Switches. VPN (Lan-Lan) zu vier verschiedenen anderen Fritzboxen im Vigor eingerichtet. Klappt alles, stabile VPNs zu allen Netzwerken, jedes Gerät anpingbar.

Sprich: Mit der FB habe ich nichts mehr zu schaffen, fast wie ein reines Modem. Alles wird über den Vigor-Router abgewickelt. In der Syno bei der Firewall für den Zugriff via VPN natürlich die IP-Bereiche der entsprechenden VPN-Netzwerke freigeben.

 

[NSFH]

noch besser wäre es, wenn du die Fritz hinter den Vigor hängen würdest, dann macht sie nur WLAN und VOIP.
Die Fritz ist als Modem nur suboptimal nutzbar.
Statt dessen habe ich einen Vigor130 als VDSL Modem benutzt.

 

[servilianus]

Ok, dann setze ich noch eins drauf. Komplett auf die FB verzichten. Vigor 130 als Modem, Draytec als Router. Aber: Der wirkliche Vorteil der FB ist: a) dass die Konfiguration als „Modem“ simpel ist (Vigor 130 einzurichten ist nicht ganz trivial) - vor allem aber: Die FB gibt eine sehr gute DECT-Telefonzentrale ab. Deswegen bin ich vom Vigor 130 abgekommen und belasse die FB als Gateway. Problem bei einer FB hinter dem Router als Telefonzentrake ist zB,. dass der Betrieb für Fax problematisch ist - was ich aber leider (noch) benötige. Also ich empfand die Konfiguration: ISP - FB -Exposed Host Router - LAN - WAN-VPNRouter - Netzwerk am einfachsten.

 

[blurrrr]

Wenn es VoIP/Fax-technisch nicht funktioniert, sorry, aber dann machste irgendwas falsch, läuft bei mir alles völlig problemlos (mit Fritzbox als Client inkl. VoIP und Fax!)...

 

[servilianus]

Nö, VOIP ging, Fax machte probleme, Idomix hatte es im Video beschrieben ebenfalls als Problem. Wie auch immer, muss jeder selbst entscheiden, ich hatte die Kombi FB - Vigor als Exposed Host - Wan an Vigor -
am einfachsten / mit dem geringsten Konfigurationsaufwand anstatt jetzt noch mit Vigor 130 ein Extra Modem zu kaufen. Hauptsache, es läuft (bei mir) alles stabil und problemlos mit den VPNs ins Netzwerk .

 

[blurrrr]

Jop, wenn der Prophet die Weisheit mit Löffeln gefressen hat, halt Dich einfach an den... und krieg es auch nicht hin (wie er)... Ich bin mal raus hier

 

[NSFH]

Das Vigor130 Modem braucht man nicht zu konfigurieren, zumindest nicht für VDSL! Es läuft out of the box, also auspacken, anschliessen, fertig. Die eigentliche Konfiguration für den VDSL Zugang und Firewall machst du im Router, nicht im Modem!
Die Problemlösung von Idomix hinsichtlich FAX funktioniert wirklich. Da gibt es keine Probleme mit der 7490 und auch nicht 7590!
In der Firewall ist Port Forwarding und IN-/outgoing ports dann auf die IP des LAN Port1 der FB begrenzt. Die anderen LAN Ports der FB sind somit für das LAN nicht mehr nutzbar nur noch für VOIP kabelgebundene Telefone (wenn man WLAN via Fritz nicht mehr nutzen möchte). Die Fritz ist damit eine reine Telefonanlage.
Damit ist das LAN auch immer vollkommen unabhängig vom ISP. Es muss nur ggf. das Modem am Übergabepunkt getauscht werden.