Zu VPN-Server aus dem LAN und von auswärts unter der gleichen IP verbinden geht nicht

[rmartins]

Hallo zusammen

Ich habe eine PPTP-VPN-Verbindung mit der Diskstation aufgebaut.

Ziel im Wesentlichen: Laufwerke der DS mappen auf dem Laptop. Und vor allem möchte ich, dass das Mapping immer auf den gleichen Laufwerksbuchstaben geht, egal ob ich im LAN bin oder draussen.

Das Problem: Wenn ich die Verbindung aus einem Netz von ausserhalb starte (also z.B. den Laptop via Handy ins Internet bringe), funktioniert sie wunderbar. Wenn ich die Verbindung aber aus dem LAN selber starte, geht nichts. Wenn ich das VPN umkonfiguriere, dass der Client die internet IP des VPN-Servers sucht, geht es aus dem LAN.

Wir haben natürlich eine Firewall am Internet-Eingang des LAN stehen.

Ich könnte mir folgendes vorstellen:
- Der VPN-Client steuert ja die WAN-IP unseres Netzes an, d.h. die "externe" IP, die uns unser Internetprovider zugeteilt hat.
- Das Problem könnte darin bestehen, dass das VPN nicht korrekt weitergeroutet zur DS, wenn ich aus dem LAN komme.
- Witzigerweise ist die DS aus dem LAN mit anderen Diensten (HTTP, HTTPS, etc.) problemlos erreichbar unter der WAN-IP. D.h. diese Dienste werden von der Firewall korrekt reingeroutet.
- Zudem funktioniert das Routing wie gesagt, wenn ich von ausserhalb unseres Netzes mit VPN auf die DS zugreife.

Hat wer eine Idee, woran das liegen könnte?

Gruss & DANKE

R.

 

[Ap0phis]

Innerhalb des LAN baut ihr aber nicht nochmal eine VPN-Verbindung über die externe IP auf, oder?
Falls doch, könnte "Loopback" in eurem Router/Firewall hier das Problem sein.

 

[rmartins]

Hallo Ap0phis

Danke für die Antwort.

Du meinst eine zweite VPN-Verbindung zwischen Firewall und DS? Nein, es gibt immer nur eine VPN-Verbindung.

Diese soll jedoch immer auf die WAN-Adresse der Firewall verbinden, unabhängig davon ob ich den Lap im LAN oder im WAN habe. Dies weil ich nicht von innen und von aussen verschiedene VPN-Settings und vor allem verschiedene Settings der gemappten Drives nutzen will.

Insofern gibt es schon einen "Loopback": Der VPN-Client spricht sowohl von innen als auch von aussen die WAN-IP der Firewall an, die Firewall soll ihn in beiden Fällen weiter routen auf die DS. Bei HTTP geht dieser "Loopback" problemlos, d.h. ich kann die DS unter der WAN-IP ansprechen im Browser, auch aus dem LAN heraus. Beim VPN geht es nicht, die Verbindung scheitert. Und ich weiss nicht, warum.

Variante 1: Funktioniert

DS mit VPN-Server im LAN -------------Firewall ---------- Laptop mit VPN-Client im WAN

Variante 2: Funktioniert nicht

DS mit VPN-Server im LAN-----|-------------Laptop mit Client im LAN
WAN-----------Firewall-------|

(Sorry, das mit der Grafik hat anfangs nicht geklappt...) Striche sind Vergbindungen...

Gruss & danke

R.

 

[Ap0phis]

... Bei HTTP geht dieser "Loopback" problemlos, d.h. ich kann die DS unter der WAN-IP ansprechen im Browser, auch aus dem LAN heraus. Beim VPN geht es nicht, die Verbindung scheitert. Und ich weiss nicht, warum.
...

Ok, VPN scheiter hier deshalb, weil dein LAN und dein VPN-Netz hier logischerweise den gleichen bzw. hier sogar den selben IP-Bereich haben. Das funktioniert nicht. Der VPN-Server kann nicht 2 Netze mit gleichem IP-Bereich routen!

Wenn du die Netzlaufwerke per interne IP verbindest, dann brauchst du nur diese eine Konfiguration für LAN- und VPN-Betrieb.
> \\LAN_IP_der_DS/freigabe < funktioniert genau so im LAN und VPN!

Deine VPN-Verbindung mußt du also nur aufbauen, wenn du nicht im LAN bist.
Was du da willst bzw. möchtest ist hier erstmal von der Technik/Logik eingeschränkt. ;-)

 

[rmartins]

Hmm, schade (verstehe die Mechanik zwar immer noch nicht ganz, aber wirst wohl Recht haben, das Ergebnis stimmt jedenfalls mit Dir überein ;-) )

Irgend eine Idee für einen Workaround, damit ich meine gemappten Drives immer auf den gleichen Buchstaben habe, egal ob von draussen oder vom LAN? (Sonst gehen manche Shortcuts auf Files nicht...)

Gruss & danke

R.

 

[Quertz]

Ok, VPN scheiter hier deshalb, weil dein LAN und dein VPN-Netz hier logischerweise den gleichen bzw. hier sogar den selben IP-Bereich haben. Das funktioniert nicht. Der VPN-Server kann nicht 2 Netze mit gleichem IP-Bereich routen!

Das habe ich jetzt nicht herausgelesen.
Aber so richtig habe ich die Netztwerktopolgie von rmartins nicht verstanden.
Es scheint doch eine WAN IP zu geben, die vom ISP zugeteilt wird. Also gehe ich von einem Router evtl. mit integrierter oder separater Firewall aus.
Das LAN wird doch wahrscheinlich ein andere Adressbereich sein, so dass zwischen LAN und WAN geroutet wird.
D.h. es müssen in Router und Firewall die entsprechenden Ports geöffnet und weitergeleitet werden.

Auch ich dachte sofort an ein Loopback-Problem, das man z.B. mit einem lokalen DNS in den Griff bekommen könnte.

Wenn es der Zugriff von extern wie intern für HTPP (Port 80) gleich (ich gehe von einem Aufruf "http://<FQDN>" aus) funktioniert, spricht das eher dafür, dass etwas anderes schief läuft. Ohne genauere Infos ist das aber wie Kristallkugel lesen....

Gruß
Thomas

 

[fpo4711]

Hallo rmarthis,

sprich deine DS mit ihrer lokalen IP an. Nicht mit irgendwelchen IP's des Tunnels sondern mit der ihr eigenen IP. Z.Bsp. 192.168.0.1. Mit dieser IP kannst Du dann auch die Laufwerke mappen. (\\192.168.0.1\irgendwas)

Damit ist dann deine DS im lokalen Netz und wenn Du einen VPN-Tunnel geöffnet hast erreichbar. Im lokalen Netz ist der Aufbau eines VPN nicht nötig und das Routing würde auch bei einem aufgebauten Tunnel nicht richtig funktionieren.

Gruß Frank

Edit: Gerade richtig gelesen - Ap0phis hat das ja schon in #4 beschrieben. Also nochmal mit Nachdruck

 

[Ap0phis]

...
Irgend eine Idee für einen Workaround, damit ich meine gemappten Drives immer auf den gleichen Buchstaben habe, egal ob von draussen oder vom LAN? (Sonst gehen manche Shortcuts auf Files nicht...)

Wie jetzt schon mehrfach erwähnt: Laufwerke einbinden mit: \\LAN_IP_der_DS\freigabe

Das funktioniert sowohl im LAN als auch per VPN.
Die VPN-Verbindung darfst du nur ausserhalb des LAN aufbauen!

 

[fpo4711]

Hi,

also wenn das jetzt nicht ankommt, weiß ich auch nicht

Vieleicht können wir ja noch Quertz von der Richtigkeit der Aussage überzeugen

Gruß Frank

 

[rmartins]

Ok - ich habe eben etwas gelernt (sorry für den Rant eben - hab ihn schuldbewusst wieder gelöscht):

1. Wenn ich das VPN öffne, erreiche ich die DS nicht nur unter der IP des VPN-Servers (10.0.0.0), sondern zusätzlich auch unter ihrer lokalen IP 192.168.x.x. Selbst wenn der Client eine 10.x.x.x-IP hat. Das verwirrt mich jetzt etwas.

2. Da stellt sich aber eine Frage: Was passiert, wenn ich den Rechner in einem Netz habe, das selber 192.xxx-Adressen hat? Gehen bei gestartetem VPN Anfragen das immer auf das Remote-Netz? Oder gibts so Chaos? (Das Funktionieren des VPN sollte ja eigentlich nicht davon abhängen..)

Gruss R.

 

[fpo4711]

bevor Ihr hier unnütz rumlabert..

Na da frag ich mich doch warum Du das mit deinem Wissen nicht hinkriegst. Viel Spaß. In Zukunft ohne mich.

 

[Ap0phis]

Schade, dass du unser "Gelaber" lieber ignorierst, anstatt es wenigstens mal auszuprobieren.

Wünsche dir trotzdem, dass du oder irgend jemand anderes eine akzeptable Lösung findet.

Nachtrag zu deiner Änderung von 15:49:

Deine 2te Frage ist auch schon längst beantwortet: Es funktioniert nicht, wenn beide Netze im gleichen IP-Bereich liegen!
Die IP-Bereiche müssen sich mindestens in einem der ersten 3 Blöcke unterscheiden!

 

[Pete_RK]

wenn man das Thema hier so liest, dann schüttelt es einen ja... so ein haufen falsche Aussagen...

Fakt ist, wenn du von außerhalb deine DS über den VPN ansprechen willst, musst du über die VPN-IP gehen und nicht die lokale LAN IP!
Wenn du es doch anders versuchst, passiert folgendes... Der PC der den VPN hält, kennt nur das VPN-IP-Netz da es direkt verbunden ist, ebenso wie das zu dem zeitpunkt vorhandene "Rechner-Lokale" Netz in dem du dich befindest... es kann also die LAN-IP deiner DS nicht direkt ansprechen und schickt es logischer Weise an das aktuelle lokale default-gateway...welches das Paket vermutlich verwirft, weil private IP-Netze ohne NAT nicht in das öffentliche Netz geroutet werden...

2 Lösungsvorschläge:

- bau dir Batch-Dateien mit denen du die Freigabe mounten kannst... einem für lokal und einmal remote...
- 2. du könntest eine statische permanente Host-Route auf dem Notebook eintragen (Ziel: DS-LAN-IP mit 32bit Maske!!! und als Gateway die VPN-IP von der DS) ... das sollte von außerhalb mit VPN ohne Probleme funktionieren...und wenn du im lokalen Netz bisst, sollte der PC diese Route ignorieren, da er ja merkt das der im selben IP Netz ist und somit mit der DS direkt kommunizieren kann ohne über den Router zu gehen...

 

[fpo4711]

wenn man das Thema hier so liest, dann schüttelt es einen ja... so ein haufen falsche Aussagen...

Ich wollte mich hier eigentlich nicht mehr einbringen, aber es war so ein satirischer Abend (Von dem Text mal abgesehen), weshalb ich mich leider nicht zurückhalten kann.

Wenn ihr euch bis jetzt nicht gesucht habt, aber ihr habt euch gefunden!

Schon mal die Routing-Tables vor und nach dem Aufbau angeschaut? Und wir sprechen hier über Synology oder? Nicht das es nachher heißt: Aber bei mir steht doch unter localip, remoteip, route oder iroute xxxxxxx in der config xyz blabla. Selbst mein iPad macht das. Und das stellt sich (oder Apple ) bei den meisten Sachen zickig an.

Gruß Frank

 

[Quertz]

Vieleicht können wir ja noch Quertz von der Richtigkeit der Aussage überzeugen

Paßt schon. Ich hatte nicht verstanden, dass auch vom LAN aus eine VPN- Verbindung aufgebaut wurde.

 

[fpo4711]

Paßt schon. Ich hatte nicht verstanden, dass auch vom LAN aus eine VPN- Verbindung aufgebaut wurde.

Das hatte ich mir schon gedacht. Deshalb auch ein dezenter

Gruß Frank

 

[Ap0phis]

wenn man das Thema hier so liest, dann schüttelt es einen ja... so ein haufen falsche Aussagen...

Fakt ist, wenn du von außerhalb deine DS über den VPN ansprechen willst, musst du über die VPN-IP gehen und nicht die lokale LAN IP!
...

Fakt ist, dass inzwischen selbst martins vom Gegenteil überzeugt ist:

...
1. Wenn ich das VPN öffne, erreiche ich die DS nicht nur unter der IP des VPN-Servers (10.0.0.0), sondern zusätzlich auch unter ihrer lokalen IP 192.168.x.x. Selbst wenn der Client eine 10.x.x.x-IP hat.
...

Wenn also dein "Schüttelfrost" irgendwann abgeklungen ist, können wir hier gerne weiter diskutieren. ;-)