VPN läuft aber ich komm nicht auf die DS

[micha-l]

Hallo,
ich hab seit einiger Zeit ein VPN server auf der DS212 laufen (OpenVPN und PPTP) ich kann auch jeden Computer und Drucker von außen über das VPN erreichen. Ich komm sogar auf die FritzBox 7390 über das VPN mit der lokalen IP.

ABER wiso zum Teufel komme ich nicht auf die DS weder aufs DSM noch irgend ein Laufwerk. Über die DS Apps File z.b. Port 7001 kann ich auch die Lsufwerke öffnen möchte aber nur über den VPN darauf zugreifen um alle anderen Ports zu schließen.

HILFE und ja ich hab schon ettliche Foren durchsucht die letzten Wochen und brobiert jedoch bin ich wohl zu d**f dafür.

 

[Ulfhednir]

Ich vermute du verwendest eine falsche IP-Adresse um auf dein NAS zuzugreifen.
Im VPN-Server kannst bzw. musst du einen anderen IP-Adressbereich festlegen.

Ansonsten kannst du natürlich auch die FritzBox für den VPN verwenden.

 

[micha-l]

Ich vermute du verwendest eine falsche IP-Adresse um auf dein NAS zuzugreifen.
Im VPN-Server kannst bzw. musst du einen anderen IP-Adressbereich festlegen.

Ansonsten kannst du natürlich auch die FritzBox für den VPN verwenden.

Hallo, danke für den Tipp und sorry hatte es vergessen zu schreiben Home Netz hat die 192.168.123.xxx Open Vpn verwendet 192.168.122.xxx und das PPTP 192.168.121.xxx alo müsste eigentlich passen.

Und nein zur FRITZbox möchte es mit der DS hin bekommen.

 

[micha-l]

Hallo,
ist zwar schon eine weile her leider besteht das Problem noch immer!? Hat villeicht jemand eine Idee?
Noch mal alles was möglich ist und was nicht:
Bei aktiver VPN verbindung zwidchen PC und Synology
- VPN über openVPN - FUNKTIONIERT
- VPN über PPoP - FUNKTIONIERT

bei aktiver VPN verbindung:
- vom Remote PC zu anderen PC im eimischen Netzwerk - funktuoniert
- vom Remot PC zu DS- Funktioniert nichts... keine Netzlaufwerke, kein zugang zu DSM, keine verbindung zum owncloude Server (der auf der DS installiert ist)
- DSphoto,DSfile, DScloud ebenfalls keine verbindung über VPN

Bin gespannt was ihr dazu sagt oder ob ich nach Weihnachten doch die DS neu installieren mus.

 

[blurrrr]

Also ich würde ja einfach das VPN der Fritz!Box nutzen... hat auch den Vorteil, dass wenn das NAS mal den Geist aufgibt, dass man sich trotzdem einwählen kann. So wäre das NAS der SPOF (Single Point of Failure). Es sollte übrigens auf den Einsatz von PPTP-VPN schon seit einiger Zeit gänzlichst verzichtet werden, da es schon vor einiger Zeit als unsicher deklariert wurde(!). Daher die Tendenz eher zu L2TP/IPsec greifen. Das Fritz!Box-VPN läuft übrigens auch via IPsec. Wenn man dann noch "den gesamten Traffic" durch das VPN schickt, kann man auch "ganz normal" weiterarbeiten (als wäre man vor Ort).

EDIT: Firewall-Regeln mal überprüft? "ping" auf die DS möglich ("ping <NAS-IP>)? Wie sieht die Ausgabe von "tracert <NAS-IP>" aus dem VPN aus?

 

[micha-l]

Hallo blurrr,
ja prinzipiell hat es auch mit der FrizBox gut funktioniert da ich aber gerne meine Benutzer verwalten möchte finde ich es eine tolle Sache es wieder über die DS zu machen. Es hatte auch schon eine ganze zeit gespielt und super funktioniert jetzt leider nicht mehr obwohl ich nur die IP der FritzBox dummerweise geändert hat.

jedenfalls bekomme ich aus dem VPN weder über Ping noch Tracert einen kontakt zur DS aber kann den anderen Computer im Netzwerk erreichen und darauf arbeiten.

hier mal die config der openVPN (das mit openVPN zu machen wäre mir am liebsten da muss ich nur einen port für PCs und Android händys freigeben!) PPoP war nur zum test eingerichtet und auch schon wieder gesperrt !)

dev tun
tls-client

remote SERVERADRESS.de 1194

#float
redirect-gateway

#dhcp-option DNS DNS_IP_ADDRESS
#dcp-option DNS 192.168.123.254

pull
proto udp
script-security 2
ca ca.crt
comp-lzo
reneg-sec 3
tun-mtu 1500
auth-user-pass

 

[blurrrr]

Nur mal so ins blaue geraten.... ggf. Firewallproblem? Es macht durchaus Sinn, dass Du keinen Zugriff auf die "externe" Seite eines Gerätes bekommst, was sowieso schon mit einer Seite in "Deinem" Netz hängt. Mit "Deinem Netz" meine ich nun das VPN-Transfer-Netz (122 bei Dir). Die Frage die sich schlussendlich stellt: Du hast eine IP aus dem 122er Netz... kannst das NAS via seiner 122er IP ansprechen... warum solllte man erst in das andere Netz und dort die Anfrage absetzen, wo man doch quasi schon direkt vor der Tür steht? Ist bei vielen Routern übrigens das gleiche, von innen raus und direkt wieder rein (Bsp: DynDNS-Adresse) mögen viele nicht und schmeissen die Pakete direkt weg. Ist kein Bug, sondern ein Feature...

Versuch es zunächst einmal über die Transfernetz-IP des NAS (122.x), falls die Firewall aktiviert ist, bitte temporär ausschalten und dann nochmal testen.

 

[micha-l]

DAAAAANKE blurrrr,

fürs erste seit über einem jahr suche ich nach einer lösung auch von unterwegs mein Kalender / Kontakte zu sync.... es funktioniert erst mal mit der im "122" Netz - wiso ich da nicht selbt drauf gekommen bin!!!???

Die Firewall bringt auch keine feränderung ob ein oder aus geschalten!

Nun gut um aber auf dem Handy (Android) beim Syncronisieren nicht zwischen zwei IP swishen zu müssen (was glaube ich in Owncloud Kalender und Kontakte (CardDAV / CalDAV) nicht mal möglich ist wenn ich nicht zwei kalender vom gleichen anlegen möchte.
Wie bekomme ich es hin die DS vom Lokalen (192.168.123.x) und vom Remote (192.168.122.x) mit der gleichen IP oder wegen mir auch Mamen zu erreichen? dann komme ich um den DNS-server wohl nicht mehr rum?
hast einen Tip wie ich diesen einrichte? bzw ich hab hier schon was im Netz gefunden und konfiguriert tut aber nicht:





im Übrigen möchte ich auch das der gesamte Netzwerkverker vom Handy und vor allem vom PC über das VPN geleidet wird da ich mich oft in diversen Hotelnetzen aufhelte und meine Bankgeschäfte z.B. lieber über meinen Haus anschluss mache!

Danke dir schon mal für den ersten Ratschlag hat mich jetzt schon mal um Welten weiter gebracht!

vor lauter euforie vergessen...
Jetzt komme ich immerhin über den Broser ins Internet... hab nicht's verändert nur ein mal die DSseite über die "122" aufgerufen, mein Mail Programm bekommt aber immer noch keine Verbindung über das VPN nur dierekt!

 

[heavy]

Ist der DNS server in deinem Nas oder in deinem Router aktiv? Und warum überhaupt bist du bei der Regtp oder sonst wo gelistet?

 

[blurrrr]

Naja, jetzt kommen aber noch Welten auf Dich zu

"VPN Server / OpenVPN / "Clients den Server-LAN-Zugriff erlauben" <- Haken drin? (IPv6-Servermodus bitte erstmal ausmachen, falls aktiviert sein sollte)

Was die Welten angeht...Zum einen wäre da die DNS-Konfiguration (willst Du wirklich immer sofort Google fragen, oder nicht vielleicht lieber erstmal Deinen Router?), zum anderen das Thema Routing:

Thema Routing: die "default"-Route der Routingtabelle muss überschrieben werden ( s. https://de.wikipedia.org/wiki/Routingtabelle ), damit alle Pakete entsprechend in den VPN-Tunnel geschickt werden. Ansonsten wird es mit dem VPN via Namen auch nicht funktionieren, wenn der Client z.B. Google fragt und die wissen (hoffentlich) nicht, was in Deinem LAN so Sache ist.

Sofern es im VPN genauso schön sein soll wie Zuhause, muss man die Config etwas zupassen:

push "dhcp-option DNS 8.8.8.8"
-> bitte statt Google (8.8.8.8) Dein NAS angeben - damit wird dem Client bei VPN-Einwahl mitgeteilt, welchen DNS-Server er nutzen soll (Dein DNS-Dienst auf der Synology wird dann auf die DNS-Anfrage nach der "externen .de-Domain" mit Deiner "internen IP" antworten, so wie Du es konfiguriert hast)

Laut der obigen geposteten Config, sieht es aber so aus, als würde Dein Traffic schon komplett durch den Tunnel geschickt (s. Eintrag "redirect-gateway").

Falls das nicht funktioniert: verfolge den Weg der Pakete in der Eingabeaufforderung unter Windows mittels dem Befehl "tracert <interne Router-IP>", mit einem Mac/Linux via "traceroute <interne Router-IP> (logischerweise das ganze natürlich mit aktiviertem VPN und Du solltest "nicht" Zuhause sein (oder im Gast-WLAN ;-)). Da solltest Du entsprechend sehen können, wo genau die Pakete langwandern. Gehen Sie direkt zum Router funktioniert es nicht, wandern Sie über das VPN-Transfer-Netz in Dein LAN funktioniert es.

Ansonsten das "redirect-gateway" in der Config mal durch folgendes ersetzen:
redirect-gateway def1 bypass-dhcp

<Jetzt wünsch ich mir eine Zeichenbrett-Funktion für das Forum... >

EDIT: Wenn Du ins VPN eingewählt bist, kannst Du über die EIngabeaufforderung auch testen, welcher DNS-Server gefragt wird via: "nslookup deinedomain.de". Bei den darauf folgenden Zeilen steht dann auch der Server dabei.

 

[blurrrr]

Ist der DNS server in deinem Nas oder in deinem Router aktiv?

Spielt doch soweit keine Rolle, auf dem NAS scheint der DNS-Dienst ja definitiv aktiv zu sein, auf dem Router vermutlich auch (lässt sich oft garnicht abschalten bei SOHO-Geräten). Nur ist der DNS-Server des SOHO-Routers i.d.R. nicht in der Lage entsprechende Einträge zu verwalten. Die Idee ist garnicht so dumm (besser als im öffentlichen DNS irgendwelche 192.168er-IPs einzutragen... alles schon gesehen... ). Somit ist jedenfalls sicher gestellt, dass von aussen die externe IP geliefert wird und von innen eben die interne.

 

[heavy]

Naja ich bin der Meinung dass der DNS server auf der Syno eigentlich nichts zu suchen hat, vor allem da die DS in einigen Fällen gar nicht in der Lage ist auf sich selber zu zeigen (vor allem der Mailserver) und so die Ips gar nicht auflöst. Auch ist die Absolute Richtige Config gar nicht so einfach (auch ich habe da noch nicht alle Einstellungen gefunden). Von daher rate ich immer von der nutzung des DNS servers auf der DS ab. Der einzige Fall der hier im Forum immer wieder Diskutiert wird ist wenn der Router kein Nat-Loopback unterstütz dann reicht aber auch die Forward Zone.

Edit: @micha-l schon mal probiert auf den VPN auf das 10.er Netz also 10.x.x.x. einzustellen, so ist es eigentlich von der Syno vorgeschlagen eventuell reicht die ändernungnur an der dritten Stelle nicht aus.

 

[blurrrr]

...vor allem da die DS in einigen Fällen gar nicht in der Lage ist auf sich selber zu zeigen....

Und deswegen ist gleich alles "schlecht"? Ich nutze ebenfalls den DNS der Syno und zwar zur AD-Replikation und willste ma wat wissen? Klappt 1a
Ebenso ist es ein gangbarer Weg, wenn man eben externe Domains intern auflösen will (z.B. für lokale Arbeiten, so wie der TO).

Sicherlich kann man hier wieder die dicke Keule schwingen und es nur aus einer Perspektive sehen: "Ist doch alles Müll", aber sorry, dann ist der Mailserver auch Müll und alles andere auch, bis auf die Sachen die sowieso kaum Konfiguration erfordern. Wenn wir mal von den dickeren Synokisten absehen, ist es eben "einfaches Zeugs für Zuhause"...

 

[micha-l]

Hallo heavy.

Ist der DNS server in deinem Nas oder in deinem Router aktiv?

es handelt sich um das NAS (eine DS 212)

Und warum überhaupt bist du bei der Regtp oder sonst wo gelistet?

was meinst du mit "Regtp"?
meinst du das DynDNS? das geht über eine Sub-Domain von Stato das von meine Hauptdomäne.

 

[blurrrr]

Er meint die Bundesnetzagentur... (vgl. https://de.wikipedia.org/wiki/Bundesnetzagentur -> RegTP -> „Regulierungsbehörde für Telekommunikation und Post“)

 

[micha-l]

Hallo blurrr,
nun meine ergebisse, hab arbeiten müssen und hab erst heute abend testen können.

"VPN Server / OpenVPN / "Clients den Server-LAN-Zugriff erlauben" <- Haken drin? (IPv6-Servermodus bitte erstmal ausmachen, falls aktiviert sein sollte)

war bereits so eingestellt ohne IPv6!

Sofern es im VPN genauso schön sein soll wie Zuhause, muss man die Config etwas zupassen:

Ja das währe wünschenswert, möchte eben den Kalender sync und auch ohne bedenken meine Bankgeschäfte über verschieden Hotell-anschlüsse über das VPN machen!

push "dhcp-option DNS 8.8.8.8"
-> bitte statt Google (8.8.8.8) Dein NAS angeben - damit wird dem Client bei VPN-Einwahl mitgeteilt, welchen DNS-Server er nutzen soll (Dein DNS-Dienst auf der Synology wird dann auf die DNS-Anfrage nach der "externen .de-Domain" mit Deiner "internen IP" antworten, so wie Du es konfiguriert hast)

Ok hab ich geändert zeigt jetzt auf die interne VPN IP 192.168.122.1

Falls das nicht funktioniert: verfolge den Weg der Pakete in der Eingabeaufforderung unter Windows mittels dem Befehl "tracert <interne Router-IP>", mit einem Mac/Linux via "traceroute <interne Router-IP> (logischerweise das ganze natürlich mit aktiviertem VPN und Du solltest "nicht" Zuhause sein (oder im Gast-WLAN ;-)). Da solltest Du entsprechend sehen können, wo genau die Pakete langwandern. Gehen Sie direkt zum Router funktioniert es nicht, wandern Sie über das VPN-Transfer-Netz in Dein LAN funktioniert es.

Ja die anfrage geht über das VPN 129.168.122.1 (die DS VPN IP) und 192.168.123.254 (der Router-FritzBox)

EDIT: Wenn Du ins VPN eingewählt bist, kannst Du über die EIngabeaufforderung auch testen, welcher DNS-Server gefragt wird via: "nslookup deinedomain.de". Bei den darauf folgenden Zeilen steht dann auch der Server dabei.

was sagt das aus... nicht auflösen können? sieht bei jeder x beliebigen Domain so aus!

Uns noch etwas was ich komisch finde und nicht weis wo es her kommt:


hier ist unter Gateway und DHCP die 192.168.122.5 eingetragen ??? woher kommt die der VPN-Server hat die 1




Hoffe das wird nicht zu fiel durcheinander aber ich muss gestehen das ich auch so langsam den Überblick verliere an welcher Baustelle was passier nun weis ich was du mit den Welten gemeint hast.

 

[micha-l]

Edit: @micha-l schon mal probiert auf den VPN auf das 10.er Netz also 10.x.x.x. einzustellen, so ist es eigentlich von der Syno vorgeschlagen eventuell reicht die ändernungnur an der dritten Stelle nicht aus.

Nein davon hab ich noch nichts gelesen möchte so eine Änderung aber erst probieren wenn ich ende nächster Woche wieder zu Hause bin, es währe fatal wenn ich gar nicht mehr von unterwegs auf die DS kommen würde.

schon mal Danke für den Tipp ich werde mich dazu melden.

 

[micha-l]

Er meint die Bundesnetzagentur... (vgl. https://de.wikipedia.org/wiki/Bundesnetzagentur -> RegTP -> „Regulierungsbehörde für Telekommunikation und Post“)

OK was hat das zu bedeuten das ich dort gelistet bin? ist mir nicht bewusst! woran sieht man das?

 

[blurrrr]

Vielleicht mal kurz zum Verständnis - IP = Internet Protokoll (https://de.wikipedia.org/wiki/Internet_Protocol - nur mal kurz den Anfang überfliegen ....daher auch die "IP"-Adresse).
Damit IP-Gedöns dann für uns noch einfacher wird gibt es DNS und so funktioniert's: https://www-cgi.hrz.tu-darmstadt.de/wiki/www/doku.php?id=dns-server

Da bei Dir die DNS-Option anscheinend nicht mitgegeben wurde, (denn "gefragt" wurde dieser hier: ns1.eidsiva.net/82.147.40.2) machen wir nun folgendes:
Genau den den gleichen Befehl wie vorher bei "nslookup", aber dieses mal hängen wir noch etwas an: "nslookup <DeineDomain>.de <DeineNAS-IP>".

Ruhig direkt 2x testen und zwar wie folgt:

1) "nslookup <DeineDomain> <NAS-IP/VPN-seitig (.122.1?)>"
2) "nslookup <DeineDomain> <NAS-IP/LAN-seitig (.123.x?)>"

Hintendran haben wir nun den DNS-Server angegeben, welcher gefragt werden soll. Das Routing scheint ja soweit zu stimmen, dann müsste das nun auch funktionieren.
Die Sache mit dem 10er-Netz sollte übrigens keine Rolle spielen, es sollte grundsätzlich alles an privaten (10/172/196@IPv4) Netzen möglich sein.

 

[micha-l]

Hi blurrr,
ich bin dir jetzt schon sehr dankbar da ich hier schon oft mich vergebens versucht habe und jetzt das gefühl hab bald den durchbruch zu erleben und dieses Thema endlich mit gelöst zu beenden

Nun aber mal zum Thema zurück. Danke auch für den Hinweis mit den Privaten Netzten dann kann ich mir die mühe wohl erst mal sparen!

nun nslookup <meiner-Domain>.de 192.168.123.254 -> das ist direkt der Router (FritzBox) scheint zu funktionieren


nun nslookup <meiner-Domain>.de 192.168.122.1 -> das ist die VPN IP der DS - wohl wird sie hier nicht weiter gereicht !?


nun nslookup <meiner-Domain>.de 192.168.123.251 -> das ist die LAN IP der DS - hier ebenfalls kein weiterkommen!?


Nun kann ich daraus nehemen das mein DNS - Server der DS vermutlich die Anfragen nicht weiter leitet!? richtig? nur was ist an der Config des DNS servers falsch?