Probleme nach Änderung der IP-Adresse

Status
Für weitere Antworten geschlossen.

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Hallo zusammen,

Im Prinzip läuft meine DS seit mehreren Jahren absolut problemlos mit DSM 5.0-4493 Update 3.

Nach einem Umzug und Anschaffung diverser neuer Netzwerktechnik wollte ich gern alles ein wenig aufräumen und die IP-Adressen im Netzwerk neu ordnen.
Bis zu diesem Zeitpunkt funktionierte auch die DS komplett wie immer.
Konkret: von außen über das Internet nicht erreichbar, per VPN aber voller Zugriff auf alle Dienste und per SSH. Bis dahin war die IP 192.168.243.5 (manuell vergeben).

Nun sollte die DS die IP 192.168.243.20 bekommen. Das verlief auf den ersten Blick auch problemlos, über einen Rechner im lokalen Netzwerk waren immernoch alle Dienste und auch SSH verfügbar.

Allerdings stellte ich dann bald fest, dass die DS über eine VPN-Verbindung nicht erreichbar war. Das Aufrufen der DSM-Weboberfläche endete in einem Timeout, genau wie SSH und Ping. Alle anderen Geräte im Netzwerk waren problemlos erreichbar. Neustart der DS, Switch und Router schafften keine Abhilfe.

Selbst mein sonst funktionierendes Backup ging nicht: per SSH auf dem Router einloggen und mit dessen SSH-Client zur DS verbinden. Auch hier antwortete die DS nicht.

Probehalber habe ich die IP wieder zu ursprünglichen zurück gestellt - 192.168.243.5 - alle Dienste nebst SSH waren sofort per VPN erreichbar.

Kennt jemand dieses Phänomen oder kann mir einen Tipp geben, wo ich mit der Fehlersuche am besten anfangen kann?
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Das Phänomen sieht so aus als ob du nicht wirklich eine andere IP vergeben hast, sondern die DS nach wie vor auf der 5 hängen geblieben ist.
Bei Fritzboxen beispielsweise passiert das gern, wenn man vor dem Ändern der IP-Adresse noch Portfreigaben und -weiterleitungen für das Gerät aktiv sind.
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Der Gedanke kam mir auch schon, aber DSM hat mir, genau wie der Router, die 20 angezeigt - auch nach einem Neustart.
Was ich vergessen hatte zu erwähnen war, dass vom Router aus zwar SSH nicht ging, Ping jedoch schon.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
auch darauf achten, daß die Fritzbox die .20 nicht im DHCP Bereich hat, sonst gibt es doppelte IPs im Netz.

Gruß Götz
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Danke für den Hinweis.
Ich nutze keine Fritzbox sondern ein Routerboard von Mikrotik.
Dass der DHCP-Server Adressen in diesem Bereich vergibt habe ich schon ausgeschlossen.
 

Theslowman

Benutzer
Mitglied seit
24. Sep 2012
Beiträge
372
Punkte für Reaktionen
2
Punkte
18
Konrolliere mal die Fritzbox genau, Freigaben und offene Ports könnten hier falsch sein oder vergessen worden umzustellen.
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Konrolliere mal die Fritzbox genau, Freigaben und offene Ports könnten hier falsch sein oder vergessen worden umzustellen.

???
Weder nutze ich eine Fritzbox noch Portfreigaben. Die DS ist ausschließlich im lokalen Netzwerk und VPN erreichbar.
 

Theslowman

Benutzer
Mitglied seit
24. Sep 2012
Beiträge
372
Punkte für Reaktionen
2
Punkte
18
Du schreibst, die Nas ist von außen nicht zu erreichen, aber per VPN.....Definiere doch bitte mal dein Verständnis zum Thema VPN bei dir und wie du da die Verbindung aufbaust....
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Ok, vielleicht habe ich mich nicht ganz eindeutig ausgedrückt.
Es gibt im Router keinerlei Port-Weiterleitungen, sodass der die DS von außerhalb des LAN nicht zu erreichen ist.
VPN läuft direkt über den im Router integrierten VPN-Server.
 

Theslowman

Benutzer
Mitglied seit
24. Sep 2012
Beiträge
372
Punkte für Reaktionen
2
Punkte
18
Danke, dann ist es so wie vermutet mit deinem VPN.

Aufgrund deines Postes hier...

Probehalber habe ich die IP wieder zu ursprünglichen zurück gestellt - 192.168.243.5 - alle Dienste nebst SSH waren sofort per VPN erreichbar.

Musst du noch was mit umstellen in deinem Router/VPN . Ich schätze mal das im VPN nicht alle internen IP's + Services erlaubt sind, oder ??
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Grundsätzlich gibt es erstmal keine Einschränkungen über VPN, weder auf der DS, noch im Router (wissentlich) konfiguriert.
Der VPN-Server vergibt außerdem IP-Adressen im gleichen Subnet des restlichen Netzwerks, sodass eventuelle Komplikationen, die sich aus einer zu engen Subnetmaske ergeben könnten, nicht vorhanden sein sollten.
Da mit der alten IP alles perfekt funktioniert und nach dem Wechsel nicht mehr, vermute ich das Problem eigentlich eher bei der DS.

Ein Reboot des Routers löscht übrigens alle Caches des Routers, und den hatte ich ja durchgeführt.
 

Theslowman

Benutzer
Mitglied seit
24. Sep 2012
Beiträge
372
Punkte für Reaktionen
2
Punkte
18
Da mit der alten IP alles perfekt funktioniert und nach dem Wechsel nicht mehr, vermute ich das Problem eigentlich eher bei der DS.

Falsch gedacht.

Du hast selbst wiederholt geschrieben, das nach dem Wechsel auf .20 nichts mehr geht UND nachdem du wieder auf die .5 zurückgewechselt bist alles ok ist! Das sagt klar im Ausschlussverfahren, das das Problem im Router/VPN Server zu suchen ist........In der DS hast du nicht etwa die Firewall aktiv ???

Ich würde wirklich darauf tippen, das die interne .20 vom Router/VPN Server nicht erlaubt ist zu erreichen (FW off in der DS) , nicht ohne Änderung zumindest! Ob du das mal wissentlich oder nicht gemacht hast..........
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Die Firewall der DS hatte ich auch erst im Verdacht. Obwohl ich da nichts passendes erkennen konnte habe ich sie vollständig deaktiviert. Das Ergebnis hat sich dabei jedoch nicht geändert.

Der Router ist komplett neu und von Grundauf neu konfiguriert. Altlasten sind da nicht vorhanden. Nachdem die Firewall der DS nicht die Ursache sein konnte kam mir der Verdacht, irgendwas an der Router-Firewall (iptables) falsch eingestellt zu haben. Doch selbst das deaktivieren sämtlicher Regeln hat die Situation nicht verändert. Ohne Drop lässt sie alles durch. Also ist mehr als alle Regeln zu deaktivieren ja eigentlich nicht möglich.

Ich halte es nicht für ausgeschlossen, dass es vielleicht doch am Router liegt, vor allem in Anbetracht dessen, dass die Konfiguration für unerfahrene nicht ganz ohne ist, aber so richtig vorstellen kann ich es mir nicht.
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Ich hänge mal noch die Konfiguration der Router-Firewall an, vielleicht kannst du ja etwas erkennen.

[admin@nw-router1] /ip firewall> export
# dec/04/2017 22:41:09 by RouterOS 6.40.1
# software id = Y4D4-VXI8
#
# model = 2011UAS
# serial number = 4271029A9C3A
/ip firewall address-list
add address=0.0.0.0/8 list=NotPublic
add address=10.0.0.0/8 list=NotPublic
add address=100.64.0.0/10 list=NotPublic
add address=127.0.0.0/8 list=NotPublic
add address=169.254.0.0/16 list=NotPublic
add address=172.16.0.0/12 list=NotPublic
add address=192.0.0.0/24 list=NotPublic
add address=192.0.2.0/24 list=NotPublic
add address=192.168.0.0/16 list=NotPublic
add address=192.88.99.0/24 list=NotPublic
add address=198.18.0.0/15 list=NotPublic
add address=198.51.100.0/24 list=NotPublic
add address=203.0.113.0/24 list=NotPublic
add address=224.0.0.0/4 list=NotPublic
add address=240.0.0.0/4 list=NotPublic
/ip firewall filter
add action=drop chain=forward comment=\
"Block access to internet for <SAMPLE-IP>" \
disabled=yes out-interface=pppoe-out1 \
src-address=192.168.245.60
add action=accept chain=input comment=l2tp-vpn \
connection-state=new dst-port=500,1701,4500 \
in-interface=pppoe-out1 protocol=udp
add action=accept chain=input in-interface=\
pppoe-out1 protocol=ipsec-esp
add action=drop chain=input comment=\
"Offene Ports am Router sichern" dst-port=\
21,22,23,53,80,123,443,2000,8291,8728,8729 \
in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input dst-port=\
21,22,23,53,80,443,2000,8291,8728,8729 \
in-interface=pppoe-out1 protocol=udp
add action=accept chain=input comment="Accept esta\
blished and related packets & all connections \
from local network" connection-state=\
established,related
add action=accept chain=input in-interface=\
bridge1
add action=drop chain=input comment="Drop invalid \
packets & all packets which are not destined t\
o routes IP address & all packets which does n\
ot have unicast source IP address & all packet\
s from public internet which should not exist \
in public network" connection-state=invalid
add action=drop chain=input dst-address-type=\
!local
add action=drop chain=input src-address-type=\
!unicast
add action=drop chain=input in-interface=\
pppoe-out1 src-address-list=NotPublic
add action=accept chain=forward comment=\
"Accept established and related packets" \
connection-state=established,related
add action=drop chain=forward comment="Drop invali\
d packets & new connections from internet whic\
h are not dst-natted & all packets from public\
\_internet which should not exist in public ne\
twork & all packets from local network to inte\
rnet which should not exist in public network \
& all packets in local network which does not \
have local network address" connection-state=\
invalid
add action=drop chain=forward \
connection-nat-state=!dstnat \
connection-state=new in-interface=pppoe-out1
add action=drop chain=forward in-interface=\
pppoe-out1 src-address-list=NotPublic
add action=drop chain=forward dst-address-list=\
NotPublic in-interface=pppoe-out1
add action=drop chain=forward in-interface=\
bridge1 src-address=!192.168.243.0/24
add action=add-src-to-address-list address-list=\
"port scanners" address-list-timeout=2w \
chain=input comment="Drop port scanners (https\
://wiki.mikrotik.com/wiki/Drop_port_scanners)" \ protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=\
"port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=\
"port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=\
"port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=\
"port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=\
fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=\
"port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=\
fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=\
"port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input src-address-list=\
"port scanners"
add action=drop chain=input comment="drop ftp brut\
e forcers (https://wiki.mikrotik.com/wiki/Brut\
eforce_login_prevention)" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content=\
"530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=\
ftp_blacklist address-list-timeout=3h chain=\
output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brut\
e forcers (https://wiki.mikrotik.com/wiki/Brut\
eforce_login_prevention)" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=\
ssh_blacklist address-list-timeout=1w3d \
chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=\
ssh_stage3 address-list-timeout=1m chain=\
input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=\
ssh_stage2 address-list-timeout=1m chain=\
input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=\
ssh_stage1 address-list-timeout=1m chain=\
input connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=forward comment="drop ssh br\
ute downstream (https://wiki.mikrotik.com/wiki\
/Bruteforce_login_prevention)" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
/ip firewall nat
add action=masquerade chain=srcnat comment=\
Standard-Traffic out-interface=pppoe-out1
[admin@nw-router1] /ip firewall>
 

Theslowman

Benutzer
Mitglied seit
24. Sep 2012
Beiträge
372
Punkte für Reaktionen
2
Punkte
18
Müsste ich passen. Probier mal bei denen im Forum nachzufragen ....
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Ich hab mir das nochmal genau angeschaut. Da ist nichts, das die 20 schlechter stellen würde, als die 5.
Aber mir ist noch etwas eingefallen: mit der IP 20 ist es der DS nicht möglich, die Zeit mit einem NTP-Server im Internet zu synchronisieren, oder die monatlichen Statusmails zu versenden. Ein Raspberry Pi mit der gleichen Adresse hat keinerlei Probleme.

So langsam befürchte ich aber, dass ich um eine Neuinstallation nicht herum komme.
Naja, dann kann ich wenigstens auch gleich mal updaten. DSM 6 ist ja nun auch schon nicht mehr ganz jung.
 

cp389

Benutzer
Mitglied seit
07. Jan 2014
Beiträge
532
Punkte für Reaktionen
5
Punkte
44
Nachdem ich zuletzt die IP-Adresse wieder zurück gestellt hatte, habe ich nun nochmal einen neuen Versuch gestartet.
Anfänglich exakt das gleiche Verhalten. Dann nach ewigem Herumprobieren einfach einen Neustart des Routers durchgeführt - jetzt läuft alles.
Danke für Eure Unterstützung.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.995
Punkte für Reaktionen
1.203
Punkte
288
ich hatte mal ein ähnliches unlogisches Problem. Hatte dort keinen Router, war ein lokales, fest IP Netz. Beim Umstellen ging dann diverses nicht.
Erst als ich den im Netz befindlichen Switch für mindestens 30Min stromlos gemacht habe, ging die neue Konfig.
Der Switch wollte einfach nicht schneller seine Tabellen löschen.
Es war das normale blau Ding...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat