Toggle sidebar

Brauche Hilfe bei der Fehlersuche - VLAN Konfiguration / Firewall oder anders?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

F

FR_NAS

Benutzer
Registriert
02. Jan. 2021
Beiträge
88
Reaktionspunkte
12
Punkte
8
Hallo zusammen,

ich habe mich vermutlich etwas zu sehr eingeschränkt mit diversen Firewall Regeln usw., so dass ich jetzt den Wald vor lauter Bäumen nicht mehr sehe. Vielleicht könnt ihr mir ein paar Tips geben, wo ich noch auf Fehlersuche gehen kann.

Ausgangslage:

Mein Router ist ein Unifi UCG

Ich habe 3 VLANs:
  • 192.168.1.0 - Default
  • 192.168.30.0 - V-DSM Host
  • 192.168.33.0 - Mailgateway (dürfte für mein Problem keine Rolle spielen)
  • 192.168.35.0 - Mailserver (um ein Virtuelle DSM Maschine in diesem Netz geht es.
Beteiligte (physikalische) NAS:
  • eine DS723+, die mit zwei LAN Schnittstellen in verschiedenen Netzten, einmal mit LAN 3 im Default Netz (als Standard Gateway eingerichtet), einmal mit LAN 1 im VLAN 30.
    • LAN 3 ist an einen Port angeschlossen, der alle VLANs zulässt
    • LAN 1 ist an eine Port angeschlossen, der für die Netze 30, 33 und 35 getagged ist.
  • eine DS720+ im Default Netz als Backup Ziel
  • eine neue DS223j im Default Netz als Backup Ziel (die soll demnächst Remote via VPN angebunden werden)
Virtueller Server:
- ein virtuelles DSM auf der DS723+, das viel LAN 1 im VLAN 35 ist; hier mal ein Screenshot von der Netzwerk Konfiguration:
1757241343486.png

Dieses virtuelle DSM macht regelmäßig Hyperbackups auf die DS720+ im Default Netz, das funktioniert ohne Problem. Dafür habe ich Firewall Regeln, die den entsprechenden Verkehr aus dem 35 Netz zu dem Backup-NAS erlauben.

Jetzt sollen auch auf die DS223j Backups gemacht werden. Zuerst hat - erwartungsgemäß - die Verbindung geblockt; entsprechender Eintrag im Log vorhanden. Ich habe also die Regel für die DS720+ kopiert und entsprechenden Verkehr erlaubt (die Regel ist auch oberhalb der Blockier-Regel). Jetzt bekomme ich keinen Log Eintrag' geblocktem Verkehr. Aber die Anmeldung an der DS223j ist immer noch nicht möglich.

Ich vermute, dass es am Tagging des Ports liegt, aber verstehe nicht, warum die Verbindung zu einem Backup NAS im Default Netzt möglich ist und zu einem anderen nicht ... Auch zu einem Rasperry PI im Default Netz - für den ich entsprechende Firewall Regeln gemacht habe - ist eine Verbindung via SSH von der DS723+ möglich.

Vom Host (der physikalischen DS723+) aus, kann ich einwandfrei Backups auf der DS223j machen.

Vielleicht hat ja einer von euch noch eine Idee, wie ich hier meinen Denk- / Konfigurationsfehler finden kann, ohne alles komplett neu aufzusetzen ...
 
Zuletzt bearbeitet:
Hier noch die Fehlermeldung, die ich in Hyperbackup beim Versuch, mich für das Backup an der DS223j anzumelden bekomme:
1757243841830.png
 
Ich weiß nicht, wie dein Regelwerk zwischen den VLANs ist. Aber zur initialen Einrichtung des Backup-Jobs muss das DSM-Userinterface der Backup-NAS auf der Produktiv-NAS erreichbar sein und nicht der Hyper Backup Vault Port.
 
Danke @plang.pl

Ich habe die folgenden Ports freigegeben: 6281,5001,5000,5566

5000 sollte eigentlich nicht gebraucht werden, also just in case ...
 
Können die DSen sich untereinander per ICMP (ping) erreichen?
 
Ok, das zeigt jetzt einen Unterschied: die DS720+ (das funktionierende Backup NAS) kann die DS im 35 Netz anpingen, der Rasperry PI auch. Aber die neue DS223j kann das NAS im 35 Netz nicht anpingen.
 
Sollte aber ja eigentlich keine Rolle spielen, wenn die 720+ in Richtung 223j sprechen will.
Kannst auch mal versuchen, einen Remote-Ordner der 223j auf der 720+ anzubinden über CIFS/SMB. Wenn das geht, weißt du, dass es Hyper Backup an sich liegt.
 
Danke @plang.pl, das hat mich in die richtige Richtung gebracht. Ich weiß zwar noch nicht genau, wie ich es lösen kann und ob das Problem jetzt an mir /meiner Konfiguration liegt oder ein merkwürdiges Verhalten ist, aber ich weiß jetzt, woran es liegt:
Auf der DS223j habe ich eine VPN Verbindung bereits eingerichtet, da die final Remote aufgestellt werden soll. Anscheinend hat die DS die eingehende Anfrage zur Authentifizierung über die VPN Verbindung beantwortet und nicht über das LAN, obwohl die DS auf der IP-Adresse des LAN angesprochen habe und LAN1 sowohl in der Dienstreihenfolge bevorzugt war, als auch als Standard Gateway eingerichtet war.

Jetzt habe ich erst mal VPN deaktiviert und voila es klappt ...
 
Eventuell hilft es, das hier zu aktivieren:
1757262134254.png
 
Danke @plang.pl, diese Einstellung "Mehrere GAteways aktivieren" hat geholfen.

Ich finde das Verhalten des Synology NAS hier tatsächlich sehr merkwürdig und unerwartet. Ich habe in meinem LAN mehrere Geräte mit mehreren Schnittstellen. Keines davon beantwortet Anfragen, die über das Standardgateway reinkommen über eine andere Schnittstelle.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten