VPN Verbindung steht - kein Zugriff auf DSM!

[kenman]

Hallo Zusammen,
ich habe seit vor kurzem Zugriffsproblem mit meinem DSM (Büro). Vorher konnte ich mich per VPN verbinden und per FTP auf meine Daten zugreifen und von zu Hause aus arbeiten (oder auch /web usw.)
Ich habe am Router nichts geändert. Alle Einträge (Portweiterleitung etc.) im FritzBox sind unverändert. Per VPN kann ich mich immer noch verbinden und per ping auch auf andere Server von mir abfragen. Ohne Problem. Aber leider nicht auf meinem DSM??? Woran kann das liegen? Hat jemand eine Idee? Bekomme per Ping auf die feste zugewiesene IP Adresse von DSM "timeout ip_sec" usw.

Hat jemand eine Idee? Muss ich evtl. mein DSM zurücksetzen?

 

[blurrrr]

Hi kenman,

Wo terminiert denn das VPN? Direkt auf der Synology oder auf einem anderen Gerät (Router, Server, etc.), sprich mit welchem Gerät verbindest Du Dich bei der VPN-Einwahl?
Bei einer statischen IP, wie lautet denn die letzte Zahl der IP (xxx.xxx.xxx.???)? (dient zur Abschätzung, ob die IP ggf. in DHCP-Range liegt)
Wie genau greifst Du via VPN auf die DS zu? Über die IP-Adresse, ggf. einen Namen?

Was durchaus vorkommen kann: es wurde eine statische IP festgelegt (Bsp: .150), nun weiss der DHCP-Dienst, welcher für die automatische Verteilung von Netzwerkinformationen an die Clients zuständig ist, aber nichts davon. Im einfachsten Fall hast Du dann nämlich das Szenario, dass ein Client die dynamische IP .150 vom DHCP-Dienst zugewiesen bekommt, da dieser ja nicht weiss, dass diese belegt ist. Der DHCP-Dienst hält sie für frei und wird sie auch entsprechend vergeben - zum Pech des Syno-Anwenders. Von daher gibt es eben entsprechende Dinge zu klären:

1) statische IP der Syno
2) DHCP-Range des DHCP-Dienstes (aus welchem Bereich werden Adressen vergeben? Die statischen Adressen sollten "nicht" in diesem Bereich liegen!)
3) (die ganz wesentliche Frage): Hat sich evtl. ein Client die IP einverleibt und Du hämmerst mit Deinen Anfragen grade gegen einen Client?

Vielleicht gab es aber auch einen Stromausfall und die DS ist schlichtweg ausgegangen (ggf. kein Haken bei "Automatisch starten nach Stromausfall")
Möglichkeiten gibt es leider doch etliche, von daher wären ein paar weitere Informationen unabdingbar, danke!

Gruß
blurrrr

P.S.: Alternativ sind auch gern mal die Virenscanner schuld, welche nach einem Update ggf. Einstellungen überschreiben wie z.B. das VPN-Netzwerk ist ein "privates" Netzwerk, wäre ggf. noch zu kontrollieren.

 

[kenman]

Hi kenman,

Wo terminiert denn das VPN? Direkt auf der Synology oder auf einem anderen Gerät (Router, Server, etc.), sprich mit welchem Gerät verbindest Du Dich bei der VPN-Einwahl?
Bei einer statischen IP, wie lautet denn die letzte Zahl der IP (xxx.xxx.xxx.???)? (dient zur Abschätzung, ob die IP ggf. in DHCP-Range liegt)
Wie genau greifst Du via VPN auf die DS zu? Über die IP-Adresse, ggf. einen Namen?

= wir haben ein Bürogemeinschaft. Es läuft alles über den Router. Ich verbinde mich, wenn ich extern unterwegs bin, per VPN (DDNS- xxx.selfhost.bz) die im Router verwaltet wird. Im Router hat sich nichts geändert. Alle Portweiterleitungen stimmen und sind aktuell. Der statischer IP lautet xxx.xxx.xxx.121.

Was durchaus vorkommen kann: es wurde eine statische IP festgelegt (Bsp: .150), nun weiss der DHCP-Dienst, welcher für die automatische Verteilung von Netzwerkinformationen an die Clients zuständig ist, aber nichts davon. Im einfachsten Fall hast Du dann nämlich das Szenario, dass ein Client die dynamische IP .150 vom DHCP-Dienst zugewiesen bekommt, da dieser ja nicht weiss, dass diese belegt ist. Der DHCP-Dienst hält sie für frei und wird sie auch entsprechend vergeben - zum Pech des Syno-Anwenders. Von daher gibt es eben entsprechende Dinge zu klären:

= mein DHCP Server im DS ist ausgeschaltet. Muss das eingeschaltet sein?

1) statische IP der Syno

2) DHCP-Range des DHCP-Dienstes (aus welchem Bereich werden Adressen vergeben? Die statischen Adressen sollten "nicht" in diesem Bereich liegen!)
3) (die ganz wesentliche Frage): Hat sich evtl. ein Client die IP einverleibt und Du hämmerst mit Deinen Anfragen grade gegen einen Client?

1.) xxx.xxx.xx.121
2.) wie oben erwähnt, war mein DHCP-Dienst/Server immer deaktiviert gewesen!
3.) nein, das habe ich gerade intern abgefragt. Wenn ich im Büro bin, kann ich mich ohne Probleme im Netzwerk auf DS zugreifen. Das Problem ist, dass ich per VPN das nicht mehr machen kann.

Vielleicht gab es aber auch einen Stromausfall und die DS ist schlichtweg ausgegangen (ggf. kein Haken bei "Automatisch starten nach Stromausfall")
Möglichkeiten gibt es leider doch etliche, von daher wären ein paar weitere Informationen unabdingbar, danke!

= das eher nicht

 

[blurrrr]

.121 macht schon gar keinen guten Eindruck bzgl. meiner Vermutung (wenn ich das mal so sagen darf ). Irgendein Gerät in eurem Netzwerk bietet definitiv DHCP an, denn sonst müssten alle Clients statisch konfiguriert werden und da hat schlussendlich sowieso niemand Lust zu, weil sonst (grade bei mobilen Geräten) immer mehr Probleme macht, als via DHCP. Kommen wir mal zum eigentlichen Punkt:

Wenn der z.B. Router DHCP im Netz bereitstellt, wird er dazu einen vordefinierten Bereich wählen. Bei Fritzboxen z.B. fängt dieser Bereich (meine ich), ab .20 an, bei anderen Herstellern oftmals ab .100, ganz selten auch mal bei .2. Wie dem auch sei, ich würde mal aufgrund der vorliegenden Tatsachen von .100 ausgehen. Mit entsprechend Pech werden weitere 21 Leases (IP-Vergaben) vorgenommen und schwupps: irgendein Client bekommt die .121. Damit haben wir dann 2 Geräte im gleichen Netz mit der gleichen IP und schon knallt's. Auf Computern wird eigentlich immer eine entsprechende Meldung ausgegeben ("IP-Adress-Konflikt" o.ä.), bei Mobilgeräten meistens.... nicht. Daher tendiere ich stark zu folgenden Vermutungen: 1) Ein Mobilgerät hat ebenfalls diese IP, 2) evtl. hat ein Drucker mit dynamischer IP diese IP bezogen.

Das einfachste ist nun folgendes (Syno ist ja statisch): Finde das Gerät, welches den DHCP-Dienst bereitstellt und schaue dort in die DHCP-Lease-Tabelle (also die vergebenen IPs, bei einer Fritz!Box findest Du sowas z.B. unter Heimnetzwerk, bei anderen heisst es z.B. "LAN-Geräte", usw., ich denke es ist klar was ich meine) . Mache dort das Gerät mit der entsprechenden IP (.121) aus, dann hast Du schon mal den Übeltäter. Zur Vermeidung, dass dieser Umstand erneut geschieht gibt es nun auch mehrere Möglichkeiten:

1) Ändern der IP der Syno (inkl. den Portweiterleitungen auf dem Router (sofern vorhanden)) auf eine IP, welche "nicht" in der DHCP-Range (z.B. .100-.199) liegt.
2) Am DHCP-anbietenden Gerät eine Reservierung anlegen für die MAC-Adresse der Syno (oder einer nicht existenten) für die besagte IP (z.B. ...121...... 11:22:33:44:55:66)

Was mich ein wenig wundert, selbst in einer Bürogemeinschaft sollte man doch einen administrativen Ansprechpartner haben, habt ihr so etwas nicht?

 

[kenman]

.121 macht schon gar keinen guten Eindruck bzgl. meiner Vermutung (wenn ich das mal so sagen darf ). Irgendein Gerät in eurem Netzwerk bietet definitiv DHCP an, denn sonst müssten alle Clients statisch konfiguriert werden und da hat schlussendlich sowieso niemand Lust zu, weil sonst (grade bei mobilen Geräten) immer mehr Probleme macht, als via DHCP. Kommen wir mal zum eigentlichen Punkt:

Wenn der z.B. Router DHCP im Netz bereitstellt, wird er dazu einen vordefinierten Bereich wählen. Bei Fritzboxen z.B. fängt dieser Bereich (meine ich), ab .20 an, bei anderen Herstellern oftmals ab .100, ganz selten auch mal bei .2. Wie dem auch sei, ich würde mal aufgrund der vorliegenden Tatsachen von .100 ausgehen. Mit entsprechend Pech werden weitere 21 Leases (IP-Vergaben) vorgenommen und schwupps: irgendein Client bekommt die .121. Damit haben wir dann 2 Geräte im gleichen Netz mit der gleichen IP und schon knallt's. Auf Computern wird eigentlich immer eine entsprechende Meldung ausgegeben ("IP-Adress-Konflikt" o.ä.), bei Mobilgeräten meistens.... nicht. Daher tendiere ich stark zu folgenden Vermutungen: 1) Ein Mobilgerät hat ebenfalls diese IP, 2) evtl. hat ein Drucker mit dynamischer IP diese IP bezogen.

Das einfachste ist nun folgendes (Syno ist ja statisch): Finde das Gerät, welches den DHCP-Dienst bereitstellt und schaue dort in die DHCP-Lease-Tabelle (also die vergebenen IPs, bei einer Fritz!Box findest Du sowas z.B. unter Heimnetzwerk, bei anderen heisst es z.B. "LAN-Geräte", usw., ich denke es ist klar was ich meine) . Mache dort das Gerät mit der entsprechenden IP (.121) aus, dann hast Du schon mal den Übeltäter. Zur Vermeidung, dass dieser Umstand erneut geschieht gibt es nun auch mehrere Möglichkeiten:

1) Ändern der IP der Syno (inkl. den Portweiterleitungen auf dem Router (sofern vorhanden)) auf eine IP, welche "nicht" in der DHCP-Range (z.B. .100-.199) liegt.
2) Am DHCP-anbietenden Gerät eine Reservierung anlegen für die MAC-Adresse der Syno (oder einer nicht existenten) für die besagte IP (z.B. ...121...... 11:22:33:44:55:66)

Was mich ein wenig wundert, selbst in einer Bürogemeinschaft sollte man doch einen administrativen Ansprechpartner haben, habt ihr so etwas nicht?

Vielen Dank. Werde ich gleich mal versuchen und berichten.
Doch haben wir. Jedoch können die auch nicht nachvollziehen, wieso das auf einmal nicht mehr funktioniert, obwohl im Router keine Einstellungen mehr vorgenommen worden sind.

 

[blurrrr]

Wie die können das nicht nachvollziehen?? Die von mir beschriebene Problematik ist eine ganz einfache ("(2 Häuser haben die gleiche Hausnummer, wohin soll der Postbote liefern?") und bei einer statischen IP in diesem Bereich auf Dauer "absehbare"... Das hätten die aber schon definitiv mal äussern können.... für Admins Grundschullektüre! Zudem könnte man sich (bei entsprechenden Verträgen/Möglichkeiten) als Administrator auch via VPN bei euch ins Netz hängen und selber schauen, ohne, dass Du da nun gross fummeln müsstest... äusserst merkwürdig... Kostet einen findigen Admin keine 5 Minuten... VPN an, auf der DHCP-Büchse gucken (die müssen wissen wo der Dienst läuft!), VPN aus. Naja, sei's drum... schau Du gleich mal und dann sehen wir weiter....

 

[goetz]

Hallo,
@kenman
bitte keine Vollzitate und erst recht nicht wenn Du direkt antwortest.
Danke.

Gruß Götz

 

[kenman]

Hi,
wir haben nun im Netzwerk (Router) nach allen Fakten geschaut. Es ist alles nach rechtens eingestellt. Auch die DHCP ist richtig. :-(
Ich weiß nicht mehr weiter. Wenn ich mich per VPN verbinde, kann ich alle Netzwerkverindungen (z.B. Fritzbox usw.) pingen.
Wenn ich aber mein IP auswähle, bekomme ich Timeout.
Es gibt noch ein DS115 im Netz, die meine Kollegen eingerichtet haben. Könnte das das Problem sein?? Eigentlich nicht oder? Die wird nämlich mit anderen IP festgelegt.
Sollte ich evtl. ein Reset durchführen? Gehen meine Daten auf der Festplatte verloren wenn ich das mache?

 

[Martinus1977]

Moin zusammen, ich hänge mich hier mal ran, da ich mehr oder weniger vor dem gleichen Problem stehe.

Netzwerk-aufbau:
Netz 1: 10.0.0.1 / 255.255.255.0
VPN: 10.10.10.1 (auch schon andere versuchsweise genommen)
Server 1515+: 10.0.0.10 bzw 10.0.0.11 (lcdp)
Drucker: 10.0.0.5
Telefonanlage: 10.0.0.3
Switch: 10.0.0.2
DHCP von 100-200

Netz 2: 172.20.20.1
Netz 3: 192.168.178.1

OpenVPN Clients: sowohl unter Windows, Linux und Android

Die Verbindung über VPN funktioniert ohne Probleme, ich kann auch Netz 2 und Netz 3 auf Drucker, switch, Router etc über die jeweilige IP zugreifen. Einzig der Server auf dem auch OpenVPN läuft, ist nicht ansprechbar. Selbst ein ping geht nicht durch...
Zuvor war es über den Vpn nicht möglich, Router oder andere Geräte im Netz anzusprechen, dieses ließ sich jedoch durch Anpassung der Clients beheben (MTU auf 1350).
Vor dieser Anpassung konnte ich auch noch das DSM über die IP aufrufen, allerdings war dann kein login möglich (ich vermute, weil die Daten zerhackt waren).
Die Firewall der DS ist derzeit aus, der passende Port ist im Router freigegeben, ansonsten würde das VPN ja nicht verbinden.



Also liebe Experten, wo ist mein Fehler? Warum kann ich nicht auf das DSM zugreifen?

 

[Martinus1977]

Ok, einen kleinen Schritt bin ich weiter, aber Sinn macht das vom Gesamtkonzept leider keinen.
Zu den Details: wie oben beschrieben kann ich über VPN auf das entfernte Netz über die entsprechenden IPs zugreifen, lediglich die Diskstation zickt. Als Workaround ist diese über das VPN jetzt zwar ansprechbar, aber über die falsche IP, meint konkret:
die Diskstation ist nur über die VPN-Server-IP ansprechbar. (VPN-Server hab ich auf 10.8.0.1 - hierüber kann ich jetzt auch auf das DSM zugreifen)
Da ich aktuell mit dem DSM 6.1 beta arbeite und dementsprechend auch mit dem VPN-Server 1.34-2750 (beta), klingt das nach einem Bug-Report.

Wenn jemand von Euch allerdings einen Workaround kennt, bzw mir mit dem Befehl die Route richtig zu setzen, wäre ich dankbar. Alle Clients von Hand mit der anderen IP zu versorgen, ist keine Lösung.

Ich danke Euch jetzt schon für Eure Hilfe!

 

[Martinus1977]

Ich hab zwar keine Ahnung, warum das ganze jetzt wieder läuft, aber nach dem Umstieg von LDAP auf Active Directory klappt alles wieder wie gewünscht. Ich vermute, dass der DNS-Server hier jetzt den Fehler, der durch was auch immer sich eingeschlichen hatte, behebt.

 

[kenman]

Hallo Martiuns,
schön dass es bei dir geklappt hat. Bei mir läuft es leider immer noch nicht. Kannst du mir Infos geben, wie du von LDAP auf Active Directory umgestiegen bist?

 

[kenman]

Hallo Zusammen,
ich konnte das Problem endlich lösen! Die Verbindung steht wieder.
Ich habe unter "Netzwerk / Allgemein / Erweiterte Einstellungen / Mehrere Gateways aktivieren" deaktiviert und "DNS Server manuell konfigurieren" mit bevorzugter DNS - Server eingestellt. (siehe Screenshot)

So kann ich endlich wieder per VPN extern zugreifen.

Trotzdem vielen Dank!

 

[Martinus1977]

Somit steht wohl fest, dass der Bug im DNS-Routing liegt. Bug oder Feature ist die ewige Frage...

Sorry dass ich nicht geantwortet habe und Danke an Dich, dass Du für alle nachvollziehbar die Lösung beschreibst!

 

[chigy110]

Hallo Zusammen,
ich konnte das Problem endlich lösen! Die Verbindung steht wieder.
Ich habe unter "Netzwerk / Allgemein / Erweiterte Einstellungen / Mehrere Gateways aktivieren" deaktiviert und "DNS Server manuell konfigurieren" mit bevorzugter DNS - Server eingestellt. (siehe Screenshot)

So kann ich endlich wieder per VPN extern zugreifen.

Trotzdem vielen Dank!

Anhang anzeigen 34946

OMG vielen Dank für diese Lösung, genau das Problem hat mir in letztes Zeit viele graue Haare beschert!