Verbindung wird verloren

[mmh555]

Hallo zusammen,

folgendes Setup:
Router A hängt am Internet,
Router B per LAN an Router A,
DS per LAN an Router B.

Die Router sind Fritzboxen.
Quickconnect ist eingerichtet. Ziel ist eine VPN-Verbindung über die Diskstation über OpenVPN.

Das funktioniert auch alles super. Nur wenn ich Router B neustartet, verliert die DS ihre Verbindung. Nach einigen Minuten kommt dann die Mail, dass die Verbindung verloren gegangen ist.

Um es zu beheben, kann ich entweder die DS neustartet, den Router B nochmal neustarten. Auch ein kurzes Ausstöpseln des LAN-Kabels aus der DS funktioniert - nach wiedereinstöpseln findet wieder eine Anmeldung bei Quickconnect statt.
Wenn es zu dem Fehler kommt, kann ich auch aus dem lokalen Netzwerk nicht mehr auf die Netzlaufwerke zugreifen, die auf der DS liegen.

Hat jemand einen Ansatz, wie ich eine Fehlerbeseitigung angehen kann? Hab irgendwie keine Idee..

Vielen Dank schonmal!

 

[Thorfinn]

Du betreibst einen Router hinter einem Router und du betreibst einen VPN Server dessen Klienten sich durch die Firewalls 2er Router durchboren müssen. KISS ist das nicht.
(KISS - keep it simple and stupid)

Es ist verständlich, daß das ganze zudammenbricht wenn Router B ausfällt. Bei Neustart musst du u.U. durch irgendwelche release Zeiten von Adressen etc pp.

Mein Tipp: Andere, simplere Netzwerkarchitektur. Wenigere Geräte. VPN Server, stellt man gleich hinter die Firewall, also das Gerät das auch Routing macht. Weitere Tipps nur wenn wir dein Ziel kennen. Statt VPN im Lan nutzt man normal vLan, wenn man Sachen trennen will.

 

[maxblank]

Welche FRITZ!Boxen? VPN gehört für mich auf Router bzw. Firewall, keinesfalls auf das NAS.

 

[Stationary]

Auch ein kurzes Ausstöpseln des LAN-Kabels aus der DS funktioniert - nach wiedereinstöpseln findet wieder eine Anmeldung bei Quickconnect statt.

Bekommt die DS automatisch eine IP in der Fritzbox zugewiesen? Ist die immer dieselbe oder wechselt die?
Bei so einem Konstrukt würde ich persönlich nicht über Quickconnect gehen, sondern es mit Tailscale versuchen.

Andererseits stimme ich @maxblank zu (so mache ich das auch, wo es eben geht): der VPN-Server gehört auf den Router, dann Zugriff auf die DS mit der internen IP der DS. Tailscale nutze ich nur bei meinem Schwager, der sitzt in Italien mit Glasfaser und bekommt keine öffentliche IPv4, da hilft dann Tailscale weiter.

Was ist denn überhaupt der Grund für Fritzbox B hinter Fritzbox A? Ein paar mehr Informationen für den Grund des derzeitigen Aufbaus wären hilfreich.

 

[sky63]

Also wenn schon zwei Router mit integrierten FWs verwendet werden dann gehört der VPN Endpunkt (der nicht auf dem NAS liegt) dazwischen und zwischen die FWs keine weiteren internen Dienste. Siehe auch

https://www.bsi.bund.de/SharedDocs/..._leitlinie_pdf.pdf?__blob=publicationFile&v=1

Seite 10.

Fragt sich ob man das für ein Heimnetzwerk soweit treiben will. Wenn nicht bleibt die Frage von Stationary warum man 2 Router hintereinander betreibt.

gruss,
sky

Edit sagt: Das ganze ergibt natürlich nur dann Sinn wenn man auf das Regelwerk der FWs Einfluss hat.

 

[maxblank]

Die bauen da beim BSI eine DMZ auf und das beim VPN-Zugang. Erschließt sich mir so jetzt nicht und ist u.a. mein täglich Brot.
Transfernetz usw. realisiert man heute eigentlich über VLANs und entsprechende ACLs.

Bin da jetzt in dem PDF auch nur drüber gepflogen. Was klar ist, dass man mit 2 FW oder auch Routern eine DMZ bauen kann.

 

[sky63]

Ich mache das auch nicht zum ersten Mal und bei uns sind die VPN-Endpunkte oder die Security-Server jedenfalls in DMZs. Das zusätzlich VLANs und ACLs genutzt werden ist da ja kein Widerspruch. Aber ich denke das geht in diesem Fred zu weit.

gruss,
sky

 

[maxblank]

Jo, brauchen wir hier nicht vertiefen.

 

[mmh555]

Hallo zusammen und herzlichen Dank für die Antworten!

Hintergrund des Aufbaus ist, dass wir ein Mehrgenerationenhaushalt sind.
Bei meinen Eltern steht der Router 1, den sie als DECT-Basis nutzen, mit diesem ist dann Router 2 verbunden, an dem dann z.B. die DS, ein Netzwerkdrucker hängen - die 2. Fritzbox ist auch eine eigene DECT-Basis. Keine Ahnung, ob man das besser lösen kann. Grundsätzlich läuft eigentlich alles sehr stabil, außer eben dem beschriebenen Problem.
Grundsätzlich könnte ich die DS schon bei meiner Mutter aufstellen - hätte sie aber schon ganz gerne bei mir im Büro, wenn das sinnvoll zu bewerkstelligen ist.

Router1 ist eine 7590AX und Router2 eine 7530AX.
Die DS hat beim Router1 eine feste IP.

Die Fritzboxen haben ja auch eine VPN-Funktion (nur leider keine OpenVPN Unterstützung wie es scheint, aber damit könnte ich leben). Dass diese Umstellung sinnvoll ist, glaube ich euch natürlich. Werde ich die Tage auch mal umstellen (das meintest ihr, oder?). Aber ich glaube nicht, dass das das Problem löst. Denn auch unabhängig vom VPN, wenn ich physisch im gleichen Netzwerk bin, kann ich ja nicht mehr auf die DS zugreifen. IP-Adresse im Browser läuft ins Leere und auch die Netzlaufwerke im Windows-Explorer kann ich nicht mehr ansprechen. Anpingen der DS geht natürlich auch nicht.

Euch nochmal lieben Dank für die Resonanz!