Wie 3 Standorte mit korrektem DNS über VPN verbinden.

[jugi]

Moin zusammen,

hat jemand ne Idee, wie/ob ich mit Fritzboxen und den DS (und ohne arg viel gebastel) 3 (oder mehr) Standorte so zusammenschließen kann, dass jeder von überall auf alle Server via server.familiendomain.de zugreifen kann? Und zwar auch dann, wenn der Client selber via VPN an einem der Standorte angemeldet ist? (Clients: iOS / Mac)

Aktuell sind die drei Standorte über die Fritten verbunden und das funktioniert auf IP-Ebene auch ganz gut, leider gibts da halt ständig "Das ist nicht sicher"-Fehler und die wollte ich jetzt mit einem Wildcard-Zertifikat auf *.familiendomain.de beheben - dazu müssen aber auch immer und überall die Urls richtig aufgelöst werden können (Quickconnect / Externer Zugriff ist egal). Manuelle Einträge jeglicher Art an den Clients sind Tabu.

Aktuelles Szenario: Fritzboxen übernehmen VPN, DHCP & DNS
DNS ist nicht machbar, da es die Fritte nicht kann

Erster Versuch: Fritzboxen übernehmen VPN, DSen DHCP & DNS
Funzt so lange gut, wie man in einem der Fritten-Netze ist, bei VPN-Login von außen an der Fritte hab ichs nicht hinbekommen.
=> Fehlgeschlagen

Zweiter Versuch: DSen übernehmen auch VPN-Server
Anscheinend kann eine DS, die VPN-Server ist, nicht gleichzeitig VPN-Client sein?
=> Fehlgeschlagen

Dritter Versuch: Eine DS Übernimmt den VPS-Server, alle Fritten melden sich da drauf an
Tut nicht, da die Fritte und die DS da wohl nicht die gleiche Sprache sprechen (wollen)? (Oder ich war zu blöd)
Das dürfte aber auch quatsch sein, da dann ja Standort 2 & 3 über nur über Standort 1 miteinander reden könnten. Ich hätte das ganze lieber dezentral.
=> Fehlgeschlagen

Weitere Idee Anyone?

Danke & VG
jugi


p.s. momentan alles noch IPv4

 

[Frogman]

Dazu gibt's bei AVM ein Tutorial.

 

[jugi]

Und nun lies doch bitte nochmal den Text - und nicht nur die Überschrift

Nach der Anleitung ist das aktuelle Setup erstellt - da funzt aber halt kein DNS.

 

[Frogman]

... - da funzt aber halt kein DNS.

Dann erklär mal deutlicher, was Du damit meinst

 

[jugi]

Ah ok, in einem Technikforum ging ich jetzt irgendwie davon aus, dass ihr das kennt

Aber gut, zuerst hier mal generell DNS bei Wikipedia.
Das ist das, was man sonst immer in der hosts-Datei macht.

Ich habs mit dem DNS-Server-Paket von Synology ja in Versuch 1 auch schon soweit hinbekommen, dass ich in den 3 lokalen Netzen "server1.familiendomain.de" auf die interne IP des Server an Standort 1 umgebogen bekommen habe.
Das klappt aber eben wieder nicht, wenn man sich von außen am VPN-Server einer der Fritzboxen anmeldet, da diese nicht die funktionalität bietet einen bestimmten DNS-Server zu hinterlegen… Versuch 2 & 3 klappten dann eben auch nicht, Gründe stehen ja oben.

 

[Frogman]

Ah ok, in einem Technikforum ging ich jetzt irgendwie davon aus, dass ihr das kennt
.

Was ein DNS-Server macht, ist bekannt - was aber nicht ganz klärt, was Du oben beschrieben hattest

Zum Thema: Die Fritzbox liefert im VPN-Handshake den vom Provider zugewiesenen DNS-Server mit. Da man diesen in der Fritzbox ja mit eigenen DNS-Servern ersetzen kann, wäre es einmal einen Test wert, dort in den Fritten den DNS-Server in Deinem LAN zu verankern, der dann für alles weitere auf einen öffentlichen DNS forwarded. Sollten die Fritten dann den ersetzten eigenen DNS-Server auch über das VPN ausgeben, könnte es funktionieren.

 

[jugi]

Ah ok, naja gut - jetzt ist das problem ja klar.

Den DNS-Server der DS in der Fritzbox einzutragen hatte ich versucht - klappte aber nicht
War ich da nur zu blöd? Also läuft das bei jemandem?

 

[heavy]

Vielleicht wäre es mal hilfreich zu erfahren was du für fritten hast, bei meiner alten kann man keinen dns eintragen für den dhcp, VPN nutze ich nicht da er nicht klappte (nutze den der ds) bei den neueren Fritten kann man den dns eintragen.

 

[jugi]

Im Einsatz sind 2x7490 und 1x7390, teste grad an einer 7490.

 

[jugi]

Nach drei weiteren Stunden verbuche ich das jetzt mal unter unmöglich (Mit Bordmitteln)…

Lokale DNS Server scheint die Fritzbox zu ignorieren, VPN Clients bekommen allerdings eh gar keinen mitgeteilt und unter iOS ist das manuelle eintragen eines DNS-Server gar nicht erst möglich…

So wichtig isses dann am Ende auch nicht und ich geb jetzt auch kein Geld für ein Zertifikat aus, wenn es dann wieder nur zu 80% funktioniert.
Sollte doch noch jemand eine Idee haben immer her damit, ansonten hilfts vielleicht dem einen oder anderen "vorbeigoogler".

 

[Frogman]

Hier gibt es aktuell eine Neuerung:
mit der Firmware 6.50 auf der 7490 (wird sukzessive auch für weitere Modelle ausgerollt) gibt es neue Optionen :





EDIT:
Übrigens liefert das 6.50-Update ein klasse responsive Design

 

[exkanzler]

Hi,
man sollte nur darauf achten, dass man dann auch eine Weiterleitung bei seinem eigenen DNS Server zum Internet Provider macht, sonst sieht es mit dem Internetzugriff duster aus...



Habe den Punkt mit DNS leider nur bei den Interneteinstellungen gefunden. Im Heimnetzbereich leider nicht...

 

[Frogman]

Nein, Du kannst vom DNS-Server auf der DS dann für die nicht lokal auflösbaren Anfragen auch gewöhnlich an die Fritzbox weiterleiten (die dann entweder an die vom Provider zugeteilten oder manuell eingetragenen externen DNS weitergibt). Die von mir zitierte Angabe eines lokalen DNS für IPv4 und IPv6 in der Fritzbox legt fest, welche IP für einen DNS im Heimnetz bspw. über DHCP im LAN verteilt wird, sonst nichts.

 

[jugi]

Die Box scheint den lokalen DNS leider nicht an VPN-Clients rauszugeben (iOS zumindest behauptet die URI nicht zu kennen)

edit: was auch logisch ist, da der VPN-Server ja nichts mit dem DHCP-Server zu tun hat (von dem wiederum der DNS-Eintrag kommen würde…)

 

[Frogman]

Die Box scheint den lokalen DNS leider nicht an VPN-Clients rauszugeben (iOS zumindest behauptet die URI nicht zu kennen)

An meinem Androiden wird aber der eingetragene lokale DNS (sprich meine DS) ausgegeben:

 

[Messebe]

Guten Morgen,
also ganz kann ich nicht folgen . . .
Ich persönlich habe zur Zeit 6 IP-Netze / Standorte via Fritz- VPN miteinander verbunden.
Wobei 3 Standorte mit allen Netzen reden können. Die andern 3 ein " eingeschränktes Wissen" haben. Soll heißen, kennen nicht alle Netze
Ich nutze auf den Fritten den DYNDNS Service von Strato.
Zum erstellen der VPN Verbindungen habe ich "Fritz-Fernzugang" genutzt und die CFG Files in die jeweiligen Boxen eingelesen.
Und das ganze klappt ohne Probleme.
Jetzt die Frage:
Willst du in den andern Netzen die Geräte via IP-Adresse oder Hostnamen nutzen?

 

[jugi]

Das Ziel ist eine Domain für den Zugriff aus allen Subnetzen zu verwenden (IPs sind für nicht-technis so schwer zu merken…)

Ich will am Ende einfach allen Teilnehmern sagen können "Ggf. ins VPN gehen und dann server.domain.de" - Momentan ist halt immer der lokale Server über seinen Namen erreichbar, aber die Remote-Server eben nur über die IP, das ist halt für einige verwirrend…

Hat man denn über das (Windows-)Programm "Fritz-Fernzugang" mehr Einstellungsmöglichkeiten, als über das Webinterface der FB? Ich habe halt keinen Windows-PC und es daher nicht mit dem Programm versucht…

edit: Gerade nochmal mitm Mac versucht: Kein DNS-Server mitgekommen Hab ich was falsch gemacht? Der DNS-Server ist eingetragen unter Heimnetzübersicht -> Netzwerkeinstellungen -> IP Adressen -> "IPv4-Adressen" (IPv6 ist eh deaktiviert):