DSM 6.x und darunter Ping an Diskstation

[FotografierBahr]

Hallo,
nachdem ich neu hier bin, weiß ich nicht ob mein Beitrag / Frage hier richtig ist, somit bitte verschieben falls das hier falsch ist.

Hardware / Software:
DS718+ mit aktuellen DSM
Netzwerk mit Fritzbox 7590

Diskstation ist aus dem Heimnetz erreichbar, d.h. ich kann auf alles freigegebene zugreifen und alles läuft prima.
Firewall in DS ist aktiv mit den entsprechenden Freigaben für die benötigten Ports. Auch das funktioniert. (Bsp: Fernzugriff über VPN usw.)

Mein Problem:
Die Diskstation ist nicht Pingbar, obwohl sie erreichbar ist.
Schalte ich die Firewall ab, geht der Ping. Da ich aber auch Fernzugriff benötige möchte ich die Firewall nicht abschalten.


Einstellung der Firewall über LAN, mit freigabe der benötigten Ports und Zugriff verweigern für alles andere.
Meine Vermutung ist nun, das entweder es irgendwo eine Einstellung gibt, die verhindert das die DS auf nen Ping antwortet,
oder über "Zugriff verweigern, ein Port, der dazu benötigt wird, geschlossen ist. Ich konnte aber im Netz nichts dazu finden.

Danke bereits im voraus!

Dieter

 

[FotografierBahr]

Lösung gefunden, für all die, die vielleicht das gleiche Problem haben.

In der Firewall der Diskstation über Erstellen / Benutzerdefiniert das Protokoll ICMP auswählen
Unter spezifische IP die IP-Adresse eingeben, die den Ping sendet, oder für den IP-Bereich des Heimnetzwerkes

Für evtl. andere Lösungsvorschläge bin ich dankbar!

 

[blurrrr]

Ne, ist schon richtig, ICMP (Layer3) hat nix mit TCP/UDP (Layer4) zu tun hat, ist so schon richtig. Spezieller wäre da natürlich nur ein Echo-Request zu erlauben (vgl. https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol Typ "8"), aber keine Ahnung, ob die Syno-Firewall sowas hergibt.

 

[FotografierBahr]

So, erstes Problem ja gelöst Da hab ich nun ein weiteres, zu dem ich nichts gefunden habe.

Situation: VPN via Fritzbox (FB), hinter jeder FB ist eine Diskstation.
Grund, es so zu machen: Beide DS liegen hinter der Firewall der Router und ich muß keine weiteren Ports an den DS öffnen


Wenn ich den VPN aufgebaut habe, ist meine lokale DS nur noch via IP erreichbar.
Die entfernte kann ich über die Namensauflösung ansprechen.
Es ist mir auch klar, warum, da der Rechner, der das VPN aufbaut ja nun eine IP vom entfernten Router zugewiesen bekommt.
Bsp. Vor VPN hat der Rechner 192.168.100.10, nach den Aufbau des VPN 192.168.200.201
Wie kann ich realisieren, das der REchner trotzdem beide Diskstation mit Namensauflösung ansprechen kann.

 

[blurrrr]

Du kannst es Dir "sehr" einfach machen (kommt auf auch auf das Remote-Netz an) und beide Netze einfach via Fritzbox mit einer "Netz-zu-Netz"-Verbindung koppeln (das nennt sich dann Site2Site-VPN), dann wären direkt beide Netze miteinander verbunden. Allerdings ist der Durchsatz dann auch durch die Fritzboxen beschränkt. Diesbezüglich musst Du dann auch "garnichts" an den Fritzboxen öffnen (selbst die VPN-Ports zu den Synos nicht, da die Fritzboxen das alles selbst über Ihr WAN-Interface machen).

Was das Szenario mit dem "Namen" angeht: Je nachdem, wie die Konfiguration ist, wird beim VPN-Aufbau ein anderer DNS-Server (-> Namensauflösung!) übergeben. Sprich: "Vor" der VPN-Einwahl kriegst Du Deine Netzdaten von Deinem lokalen Router. Sobald Du Dich ins VPN einwählst, bekommst Du mitunter den Router der Gegenstelle als DNS-Server mitgeteilt. Dieser kennt Deine Syno natürlich nicht namentlich und deswegen kannst Du Dein Gerät auch nicht mehr via Name ansprechen. Für den Teilnehmer im Remote-Netz - sofern er sich dort einwählt - macht sowas natürlich schon Sinn, da er dann - nach erfolgreicher Einwahl - seine Syno mit Namen ansprechen kann. Kurzum wäre da wohl die Lösung, dass die DNS-Server-Konfiguration aus der VPN-Konfiguration gelöscht wird, denn dann bleibt alles so wie es "ist". Sollte Dir noch daran gelegen sein, die Remote-Syno mit Namen anzusprechen gäbe es die Möglichkeit, einen Eintrag in die lokale "hosts"-Datei Deines Rechners zu schreiben, oder ggf. den DNS-Dienst auf Deiner lokalen Syno laufen zu lassen. Letzteres ist aber schon ein größerer Brocken und bedingt auch einiges an Wissen zur DNS-Thematik. Alternativ leb einfach damit, das Remotenetz nur via IP anzusprechen.