DNS-Auflösung über PPTP-VPN

[ponG86]

Hallo zusammen,

ich habe mir einen Tunnel eingerichtet, um von unterwegs in mein Heimnetz zu kommen. Ich nutze dabei meine DS211j als VPN-Server (mit dem entsprechenden Paket). Ich verwende PPTP.

Als Router kommt eine Fritzbox 7270 zum Einsatz (192.168.178.1). DynDNS, Portforward usw. alles wunderbar, ich kann mich problemlos von unterwegs (Laptop, iPhone usw.) verbinden und auf die DS zugreifen.

Bei der DNS-Konfiguration hakt es allerding. Ich kann NUR auf die Diskstation zugreifen, nicht aber auf andere Rechner in meinem Heimnetz (z.B. Hausautomation).

Könnt ihr mir sagen, wo es hakt? Ich habe schon versucht, die FritzBox im VPN-Server als manuellen DNS-Server einzutragen, allerdings ohne Wirkung. Oder habe ich einen Denkfehler in meiner Konfiguration?

Vielen Dank schonmal vorab für eure Hilfe!

 

[effmue]

Guude,

hast du den Direktzugriff über die jeweilige IP-Adresse des Endgeräts versucht..?

 

[king_dingeling]

Die Namesauflösung geschieht ja, soweit ich weiss, über Broadcasts welche nur im jeweiligen lokalen Netzwerk verteilt werden. Trage deine Endgeräte doch fix in deiner hosts Datei ein.

 

[Netranger]

Hi,

Naja, wie ich das jetzt herausgelesen habe verbindest Du auf die DS mittels PPPT und da liegt nun auch schon der Hund begraben.

Dein Endpunkt ist die DS aber was das default Gateway ?

Das sollte schon ein Router sein, oder hast Du es irgendwie geschafft die DS als solchen zu konfigurieren ?

Die DS als VPN-server ist aus meiner Sicht lediglich dort als VPN-Server einzusetzen, wenn diese in einer DMZ oder frei im I-Netz hängt.
Natürlich mit der eigenen FW gesichert. sonst macht das keinen sinn.

Wozu dann überhaupt VPN-Server? ganz einfach damit mehrere Clients darauf zugreifen können oder zumindest der admin.

Sieh mal, Du hast eine eigene Adresse zugewiesen wenn Du über VPN verbindest und diese Pakete werden getunnelt.
Diese Pakete heissen "Packets of Interrest" und müssen am Client sowie am Server definiert werden.
Typischer Weise liegen die in einem Netz das nicht innerhalb des LAN-bereichs liegen.

Am LAN hast du beispielsweise 102.168.0.0 255.255.255.0 was 254 mögliche hosts bedeutet.
Der VPN-adapter weist dir aber z.B. 10.0.0.1 255.255.255.0 zu was wie man sieht nicht innerhalb des Hausnetzes liegt.

Ich habe den VPN-Server an der DS noch nicht angesehen, aber wenn das Teil nicht routen kann hast Du so gesehen verloren und bist und bleibst auf der DS.

Gruß Mike

 

[jody]

Versuche Deine F-Box zum Tunnel-Endpunkt zu machen, dann erreichst DU alles in Deinem Netzwerk!
Wie Mike schon geschrieben hat, müsste Dein NAS dann auch routen und dafür ist es nicht konfiguriert.

Grüße
Jody

 

[iSoncek]

Ich häng mich da mal rein, weil ich auch VPN nutzen will. Ist es also sinnvoller den Router als VPN-Server bzw. VPN-Endpunkt zu konfigurieren. DynDNS darauf einzurichten und somit das LAN per VPN zu erreichen?
Nutzt ihr spezielle Tools auf den mobilen Geräten zur Nutzung des VPN-Zugriffes? Welche sind zuverlässig und gut und wenn möglich kostenlos? Speziell iOS?
Danke!

 

[goetz]

Hallo,
@Netganger

Ich habe den VPN-Server an der DS noch nicht angesehen,

solltest Du aber mal tun.
Die DS routet nicht, sie NATet.

echo 1 > /proc/sys/net/ipv4/ip_forward  
/sbin/iptables -t nat -A POSTROUTING -s ${LOCALIP}/24 -o ${NET_IF} -j MASQUERADE

Somit ist der Zugriff auf das Heimnetz möglich. Namensauflösung ist ein anderer Schuh, da hilft wohl nur eine lokale hosts Datei.

Gruß Götz

 

[Netranger]

Ich häng mich da mal rein, weil ich auch VPN nutzen will. Ist es also sinnvoller den Router als VPN-Server bzw. VPN-Endpunkt zu konfigurieren. DynDNS darauf einzurichten und somit das LAN per VPN zu erreichen?
Nutzt ihr spezielle Tools auf den mobilen Geräten zur Nutzung des VPN-Zugriffes? Welche sind zuverlässig und gut und wenn möglich kostenlos? Speziell iOS?
Danke!

Hi ISonek,

DynDNS kannst Du entwerder mit der FW lösen, oder aber wenn Du mehrere verwenden willst bietet sich QTips DDNS Updater an - der läuft perfekt

Und ja evt. benötigst Du spezielle Firmware auf Deiner Fritzbox was ich Dir aber so nicht beantworten kann da ich so ein Gerät noch nicht in Händen hatte.

Kostenlos gibt es das vielleicht auch im Bundle zu kaufen also Frtitzbox plus Client, solltest aber selbst wissen was in Deinem Paket beinhaltet war/ist.

Und ja es gibt kostenlose VPN-Clientsoftware von Shrew, so habe ich das auch gelöst.

Gruß - Mike

 

[Netranger]

Hallo goetz,

Also NAT hat ja nichts mit Routing zu tun, aber wenn Du es sagst wird es wohl so sein.
Nur frage ich mich dann warum es beim TS nicht funst.

Und ja wenn die Maskierung passt, also der Host sich im selben Netz wie auch die DS befindet halte ich es für durchaus möglich, aber wie gesagt ich habe es nicht angetestet.
Ehrlich gesagt ist es mir zu mühsam und will meine Zeit dafür nicht aufbrauchen.

Leider bin ich kein Linux-Guru wie Du, deshalb sagt mir Dein Screen nur wenig.
Was ich sehe ist, dass Routing anscheinend aufgedreht ist und Du mit 24bit maskierst was weder wie von mir weiter oben ergibt dass man 254 Host verwenden kann.

Normaler Weise erhält der VPN-Client ein default Gateway via PPP - wenn dieser diese Adresse als DNS Server verwendet und die DS hat selbst noch einen und zwar den richtigen (nach WWW) richtigen DNS-Eintrag, könnte das auch funktionieren - nur so als Tipp.

Gruß Mike

 

[Netranger]

Die Namesauflösung geschieht ja, soweit ich weiss, über Broadcasts welche nur im jeweiligen lokalen Netzwerk verteilt werden. Trage deine Endgeräte doch fix in deiner hosts Datei ein.

Das ist so nicht ganz richtig weil:

Namensauflösung geschieht via DNS-Server der dem Client ja entweder über statischen Eintrag an der Netzwerkkarte oder via DHCP füntioniert.

Auf DOOF-Systemen machst Du ein CMD fenster auf und gibst mal ipconfig /all ein und hier siehst Du welche Adressen für einen entsprechenden Adapter wozu verwendet werden.
Wenn der DNS-Server dann mit der Anfrage nichts anfangen kann gibt´s natürlich auch keine Adresse dazu und das typische Seite nicht gefunden ist zu sehen.

Broadcasts finden hier keine Anwendung, da ja ein Unicast an den DNS-Server vollkommen ausreicht.

Sonst hast Du mit der Aussage "Broadcasts nur innerhalb eines Netzes" Recht, wobei eine DNS-Anfrage niemals ein Broadcast ist!
Das käme dann schon eher mit ARP in Verbindung, denn hier wird innerhalb eines Netzes dann nach der MAC-Adresse gebroadcastet im Falle diese nich bekannt ist.

Mit der hosts Datei erschlägst Du eine statische Namensauflösung - soll heissen, man ordnet eindeutig und fix einen bestimmten Namen einer IP-Adresse zu.

Beispiel: Du trägst DS in Verbindung mit der DS inklusive Port 5000 ein, dann wird diese falls sie online ist auch melden.

Nicht mehr und nicht weniger.

Gruß - Mike

 

[goetz]

Hallo,

Nur frage ich mich dann warum es beim TS nicht funst.

sein Problem betrifft die Namensauflösung der lokalen NetBios-Namen, so hab ich das verstanden, bisher hat er sich nicht dazu geäußert ob ein IP-Zugriff funktioniert.
Kein DNS Server der Welt wird mir den Hostnamen meiner Bastel-DS "DS-106" in eine IP auflösen, das wird per Broadcast UDP Port 137 abgehandelt und lebt nur im lokalen Subnet (NBNS).
Die iptable rule besagt maskiere alle Pakete die vom VPN-Netz (10.0.0.0/24) kommen und zum LAN Anschluß raus gehen.

Bevor wir weiter in der Suppe rumstochern sollten wir die Antwort vom TS abwarten.

Gruß Götz

 

[Netranger]

Okay, von Netbios bin ich nicht ausgegangen, wer verwendet denn sowas

Und logisch werden keine internen Namen via official DNS aufgelöst - korrekt.

Bis gleich...