VPN Zugriffe laufen nicht?

[MarSche]

Guten Morgen

Ich habe ein kleineres Problem.

Ich nutze zwei Synology 220+.
Eine als Datengrab die Andere enthält wichtige Daten als auch Fotos und dort löuft halt Synology Photos.

Im WLAN habe ich keinerlei Probleme auf die jeweiligen NAS zuzugreifen. Dies mache ich per Android über die App Photos und über den Samsung Dateibrowser, Eigene Dateien, per SMB, womit dann die Netzwerkspeicher angezeigt werden. Es geht auch alles.

Wenn ich aber nun nicht im WLAN bin und per VPN versuche auf die NAS zugreifen will, geht nur die NAS die ich als Datengrab nutze, die andere NAS wird nicht angezeigt
Auch die App Photos zeigt keine Fotos an.

Wo ist das PProblem zu suchen. Ich meine, im VPN ist der Adressbeteich ja so, als ob ich im Heimnetz wäre. Die NAS als Datengrab geht ja auch per VPN aber die eigentlich wichtigere nicht.

Jemand ein Tipp?

Danke

 

[EDvonSchleck]

Firewall nicht richtig eingerichtet? Welches VPN? VPN auf den Router oder NAS? Funktioniert bei VPN nur Photos nicht oder ist generell kein Zugriff möglich?

 

[MarSche]

Moin Moin

Ich war mal gerade etwas fummeln, also an dem System

Zuerst deine Fragen:

VPN läuft über eine FritzBox, also das kostenlose VPN von AVM.
Das lief auch alles die Jahre, meine das es seit dem letzten oder vorletzten DSM Update diese Probleme macht.

Jetzt habe ich mal in die Firewall der betroffenen NAS geschaut und dort war nur noch eine Regel hinterlegt, diese war für Hybrid Share. Keine Ahnung seit wann dazu gekommen ist.
Zudem war unter der Schnittstelle LAN1 noch was ich früher beim Einrichten mal eingestellt habe. Das wäre dies:



Nun habe ich zwar per VPN Zugriff auf die DSM direkt gehabt aber SMB und PhotoStation App gingen nicht per VPN.

Jetzt habe ich in der Firewall wieder den Zugriff für das Verwaltungsprogramm wegen Port 5000 und 5001 freigegeben, womit ja auch Photos arbeitet und den Windowsdateiserver, damit SMB wieder per VPN geht.
Das tut es jetzt auch wieder soweit.



Aber verstehe nich, warum das mal konfigurierte verschwunden war, denndas lief alles?

Kann man Photos nicht einen eigenen Port zuweisen, also nicht 5000 oder 5001 ohne die NAS komplett zu verbiegen, denn die zieht sich ja die Updates und wenn ich den globalen Port ändere funktioniert das nicht mehr oder?

Was sagtst Du denn sonst zu den Firewalleinstellungen bei mir?

Ich möchte schlicht kein QuickConnect nutzen. Die NAS soll so wenig wie möglich selbst online sein und alles was ich brauche hole ich mir per Fritz VPN oder eben per WLAN, womit ich ja dann quasi oder im Heimnetz auf die Photoapp oder SMB zugreife.

Danke vorab

 

[Thonav]

Du hast ja eine Fritz!Box 7590 - schon mal darüber nachgedacht die Laborversion herunterzuladen und Wireguard VPN zu probieren? Das wird dann mit der Laborversion angeboten und läuft bei mir sehr gut und viel schneller als die anderen Fritz VPN Möglichkeiten.

 

[EDvonSchleck]

Sieht Komisch aus. Du hast das Fremdnetz aber nicht zugelassen.
Richte die Firewall einmal richtig ein!

Bsp. von mir siehst du hier:



1. Zeile ist deinem Netzwerk anzupassen
2. Zeile entsprechend den IP-Bereich vom VPN (hier Docker)
3. Zeile optional für Internetfreigaben (ohne VPN)
4. Zeile alles blockieren (Rest)

 

[MarSche]

Danke, aber die VPN Adresse von AVM ändert sich doch oder nicht? Ich greife ja quasi über einer App von AVM und meinen Zugangsdaten auf die 7590 dann zu oder vertue ich mich da nun?

Also das Fremdnetz muss freigegeben sein, denn es geht ja nun wieder, schalte ich VPN wieder ab und bin rein im mobilen Netz, dann ist der Zugriff auch wieder blockiert bzw. nicht möglich.

Zu deiner Zeile 1: Gibst Du dort nicht nur eine IP frei anstatt deine Range? Oder ist das der Router?

 

[Rotbart]

Wenn du dich von extern über vpn mit der Fritzbox verbindest bekommst du in der Regel von ihr eine "höhere" IP zugewiesen zb. *.*.*.200.
Deine Firewall sperrt ja teile eines Heimnetzes (erlaubt von 192.168.1.1 - 192.168.1.?), da mal kontrollieren ob du dich nicht selber blockst.
Photos kannst du in Systemsteuerung > Anmeldeportal > Anwendung ein eigenen Port zuweisen

 

[EDvonSchleck]

Du musst dich mit den Grundlagen von VPN beschäftigen. Ich hoffe auch das beide FB einen unterschiedlichen IP-Range haben.

 

[MarSche]

Beide FB? Habe nur eine. Meine Frage zu deinem Screenshot hat nichts mit VPN zu tun, sondern die Frage war, was du mit deiner 1. ZEILE bei Dir freigibst?

 

[EDvonSchleck]

Mein komplettes Netzwerk, meiner lokalen Fritz!Box. Als 2. Zeile musst du den IP-Range des VPN eingeben. Das ist aber nicht der VPN Range der 2. Fritz!Box!

Jeder Client, welcher sich aus einem entfernten Netzwerk verbindet, bekommt von deiner Fritz!Box eine andere IP, diese IP ist nicht gleich den Netzwerk-IPS im lokalen Netzwerk. Diesen IP-Range ist lokal bei dir geblockt!

 

[MarSche]

Du gibst mit der IP dein komplettes Heimnetz frei? Die 0 bedeutet doch ein Broadcast oder? Was liegt den bei Dir auf dieser Addresse, dein Router Gateway?
Würde das so gar nicht kennen. Deshalb die Fragerei.

 

[EDvonSchleck]

Du meinst die Subnet? Also die 255.255.255.0? Damit haben alle Netzwerkgeräte in meinen Klasse-C Netzwerk von 192.168.0.1-192.168.0.254 Zugriff auf den NAS. Dadurch erspare ich mir die manuelle IP vergeben, was übrigens bei IPv6 eh nicht mehr der Normalfall ist. Ich habe nur noch wenige Geräte, die eine fixe IP bekommen. Die meisten sind nur noch mit DHCP verbunden. Dadurch muss man bei neuen Geräten auch nichts mehr manuelle konfigurieren. Ein Sicherheitsfeature ist eine fixe IP auch nicht. Deshalb würde ich nicht so kompliziert denken.

 

[MarSche]

Ok, nur um es zu verstehen:
Du gibst in deiner 1. ZEILE das Gateway deines Routers frei, dass wäre 192.168.0.1 und zudem mit 255.255.255.0 das Subnet, damit die ganze Range im C frei ist. Richtig?
Laut Firewallregel in Synology gibst du damit nur einen expliziten Rechner frei?!

Nehmen wir mal meine Zeilen:

1. 192.168.1.1 - 192.168.1.200.
Das kann ich natürlich optimieren, damit ich die ganze Range freigebe, tut aber das fast das gleiche wie bei Dir, denn mein Router liegt auf 1.1.

2. Da komme ich auch etwas ins schleudern, denn die sagt ja eigentlich, dass alles rein und raus darf, was die Region Deutschland betrifft
(Macht eigentlich keinen richtigen Sinn oder? )

3. Dort gebe ich dem NTP Dienst Zugriff für den Bereich ins Internet Region Deutschland. Unnötig denke ich.

 

[EDvonSchleck]

Ich glaube, du verstehst es noch nicht richtig.
In der 1. Zeile brauchst du einfach nur den 3. Block (hier 0) auf deinem Netzwerk anpassen.

Du musst schon richtig lesen, was in #5 steht!!!

In der 2. Zeile kommt der IP Rage von der FB vergebenen VPN Verbindungen rein.
3. ist optional, wenn du Dienste freigeben willst an andere User, welche kein VPN nutzen. OPTIONAL!
4. Rest wird gesperrt.

Wozu du den NTP Dienst freigibst, das kann ich dir auch nicht sagen. Das kann die FB ebenfalls gleich mitmachen.

Das Beste ist aber, dass du den Rest nicht richtig blockierst, aber Angst vor Zugriffen hast. Auch blockiert die Firewall der DS zusätzlich zur FB. Du kannst bei der DS mehr einstellen, was in der FB nicht geht. ABER wenn du alles in der DS freigibst, aber in der FB nicht passiert auch nichts das die DS nicht direkt am WAN hängt.

 

[Benares]

Ich glaube, ihr beiden redet momentan etwas aneinander vorbei.

Das Fritzbox-VPN (egal ob IPSec oder Wireguard) verwendet bei Host-Anbindungen normalerweise Adressen ab .200, genauer gesagt, welche oberhalb des eingestellten DHCP-Bereichs (default ist m.W. .20-.199), d.h. der VPN-Client bekommt auch eine IP aus dem lokalen Netz.



Wenn also die Firewall auf der DS aktiv ist, muss der Range auch diesen Bereich >=.200 umfassen, was bei @MarSche wohl nicht der Fall ist.

 

[MarSche]

OK OK

Haben der Punkt Subnet nicht gesehen. Bin zur Zeit mit dem Smartphone auf den Konsolen.

Zeile 1 macht dann natürlich Sinn, werde ich übernehmen.

In Zeile 2 kann ich keine Range des VPN eintragen, da die Fritz keine Range dafür nutzt und da kommt nun die Antwort von @Rotbart ins Spiel, denn genau seine Vermutungen waren es. Ich habe in Zeile 1 nämlich vorher 192.168.1.1 - 192.168.1.200 freigegeben und der VPN hatte die Adresse in der Fritz 192.168.1.201, somit war ich ausgesperrt und es ging nicht.
Die Fritz nutzt die IP der Telekom, wo ich bin und setzt intern eine lokale Adresse für VPN, das geht ja über die App MyFritz, deshalb kann ich nicht wie Du eine Range angeben.
Wenn ich mich vom Provider trenne und neu verbinde, habe ich meistens, nicht immer, eine neue IP.

Ich habe daher nun alle Regeln oben gelöscht und die Zeile 1 von Dir angepasst.
Alle anderen Regeln für Dateinrowser usw. brauch ich jetzt gar nicht, denn es geht wieder über VPN, da ich mich nicht mehr aussperre.

Danke an Euch

 

[MarSche]

Ich glaube, ihr beiden redet momentan etwas aneinander vorbei.

Das Fritzbox-VPN (egal ob IPSec oder Wireguard) verwendet bei Host-Anbindungen normalerweise Adressen ab .200, genauer gesagt, welche oberhalb des eingestellten DHCP-Bereichs (default ist m.W. .20-.199), d.h. der VPN-Client bekommt auch eine IP aus dem lokalen Netz.

Anhang anzeigen 76219

Wenn also die Firewall auf der DS aktiv ist, muss der Range auch diesen Bereich >.200 umfassen, was bei @MarSche wohl nicht der Fall ist.

Genau das hatte Ich gerade eben als letzte Antwort gepostet. Der Fehler ist korrigiert, dank Rotbart Hinweis und mein VPN und Photos usw arbeiter wieder. Grund war also, dass ich mich ausgesperrt hatte.

 

[Benares]

Die 2. Zeile brauchst du nicht, stell einfach die 1. Zeile so ein wie @EDvonSchleck, also bei dir 192.168.1.0/255.255.255.0

 

[EDvonSchleck]

Dazu noch Zeile 4, damit der Rest auch greift, ansonsten ist es bisschen nutzlos. Warum gibst du NTP frei?

 

[MarSche]

Ich hatte einst diese Regeln aus einem Forum, da ging es auch um das Hacken durch andere Länder und man eben diese Zeilen, wie oben auf dem Foto zu sehen war, nehmen sollte.
Das ist aber zwei Jahre her. Der jetzige Fehler hat mir nun gezeigt, dass nicht alles gut ist, was man übernimmt.
Jetzt mit dieser Aktion macht es wieder Sinn.
Regeln entschlackt, Range komplett freigegeben und es geht wieder

Merci Euch und noch einen schönen 1.Advent.