DSM 6.x und darunter DS1513 kommt nicht mehr ins Internet - vom PC kann ich zugreifen

[emkay99]

Hallo,

meine DS1513+, grade vor ein paar Tagen geliefert, kommt jetzt selbst nicht mehr ins Internet. Sie hängt an einem Switch gemeinsam mit meinem PC. Mein PC kommt ins Internet, die DS ist vom PC pingbar, den DSM kann ich aufrufen vom PC aus. Jedoch schlägt vom DSM die Zeitsynchr.NTP fehl, das Package Center ist "ohne Internetverbindung". Ich sehe die DS im PC Windows-Explorer, kann dort auch Dateien abrufen nach Login auf das Share. Ich habe für meine benutzte Schnittstelle LAN1 sowohl DHCP als auch statische IP-Konfig. ausprobiert, auch den Standard-Gateway überprüft, das sieht alles gut aus. Trotzdem kein Internet-Zugriff, kein E-Mail-Log-Versand aus DSM (obwohl das mal ging), obwohl der PC am selben Switch Zugriff hat. Der Switch wurde auch als Root-Bridge konfiguriert, um geblockte Ports bestmöglich zu verhindern (aber ich komme ja vom PC aus auf die DSM-Oberfläche, wenn das auch manchmal hakt). Testweise habe ich jetzt DoS-Protection, ZweiFaktor-Auth., IP-Blocking deaktiviert. Trotzdem hat die DS selbst keinen Internet-Zugriff.

Welche Einstellungen sollte ich an der DS überprüfen? (DS1513+ mit 4GB RAM (also geupgradet, vom Händler), Firmware DSM 5.0-4493 Update 4)

Danke und viele Grüße,

Markus

 

[Frogman]

...meine DS1513+, grade vor ein paar Tagen von Ihnen geliefert, ...

Wie jetzt? - das Forum hat sicher nichts geliefert. Zum Problem des Zugriffs: wie genau ist denn die DS konfiguriert? Nur zu sagen, "DHCP oder fix hab ich probiert" hilft da wenig, da musst Du schon Details liefern. Hast Du die Geräte auch einmal neugestartet? Wie seht's mit Firewalls aus? Kommt die DS nach draußen, wenn Du sie direkt an den Router anschließt?

 

[emkay99]

Hallo Frogman,

danke für Deine Hinweise, ich habe einen Fehler mit dem Text zur Lieferung im Originalpost korrigiert.

Jetzt habe ich die DS direkt an den Router, eine FritzBox (Adr. 192.168.178.1), an LAN2 angeschlossen und kann sie auch konfigurieren (durch Login auf DSM). Aber das Problem bleibt, sie kommt nicht ins Internet: Failed to send email; Failed to set time or date from ntp-server.

Bei statischer Adressvergabe habe ich folgendes eingetragen:
Server name: SNAS, IP-Adresse: 192.168.178.201, Subnetzmaske: 255.255.255.0
DNS: 192.168.178.1 (und sekundärer DNS: 8.8.4.4, Google)
Default gateway: 192.168.178.1
Workgroup: WORKGROUP, WINS server :<Not Configured>, Tunnel <Not Configured>

Wie gesagt, kommt nicht ins Internet. M. E. wäre der Fehler typisch für: Falsche Subnetzmaske und/oder Default Gateway falsch; oder: DNS-Servereintrag stimmt nicht.

Ich stelle um auf DHCP und starte die Diskstation neu. Für die MAC von LAN1 habe ich mir erlaubt ein Static Lease in der FritzBox unter der MAC von LAN1 einzutragen, unter dem erscheint sie dann auch in der Heimnetzliste der FritzBox.

Nach Umstellung auf DHCP und Neustart sieht es so aus:

DNS: 192.168.178.1
Default gateway: 192.168.178.1
Workgroup: WORKGROUP
WINS server: <Not Configured>, Tunnel: <Not Configured>
LAN 1
MAC address: 00-11-32- undsoweiter
IP address: 192.168.178.201, Subnet mask: 255.255.255.0

aber: das Problem bleibt: Ich komme auf die Shares nach Login darauf (wird ja auch hübsch protokolliert: CIFS-Login ...), ich komme auf die DSM-Oberfläche, aber die DS selbst kommt nicht ins Internet (obwohl sie ja von meinem Router per DHCP zumindest ihre DHCP-Einstellungen bekommen haben muss - sonst würde ja da eine link-lokale IP stehen).

Es ist mir wirklich ein Rätsel.

 

[emkay99]

Hallo Frogman,

Für die MAC von LAN1 habe ich mir erlaubt ein Static Lease in der FritzBox unter der MAC von LAN1 einzutragen, unter dem erscheint sie dann auch in der Heimnetzliste der FritzBox.

Und das war mein Fehler. Das Static Lease in der Fritz.Box. Das und/oder die daraus folgende Adresse ...201 .
Lease gekillt in der FritzBox, DS neu gestartet, kommt hoch unter der IP ...34 und kommt ins Internet.

Jetzt interessiert mich nur noch, warum (IT-ler schreiben dafür ja oft kurz: WTF?).
Die ...201 ist doch keine Netz-oder Broadcastadr. eines Klasse-C-Netzes, dann hätte ich's ja akzeptiert.

Komisch.

 

[Merthos]

Firewall / Kindersicherung an der FB würden mir jetzt spontan einfallen.

 

[dil88]

Die 192.168.178.201 ist eine valide IP-Adresse. Allerdings fällt schon auf, dass Deine statische Adresse auch vom DHCP vergeben wurde (ob per static oder dynamic lease ist egal). Das sollte nicht sein. Du solltest die statische Adressen immer außerhalb des Bereichs vergeben, die dem DHCP-Server zur Vergabe zugewiesen wurden.

 

[emkay99]

Die 192.168.178.201 ist eine valide IP-Adresse. Allerdings fällt schon auf, dass Deine statische Adresse auch vom DHCP vergeben wurde (ob per static oder dynamic lease ist egal). Das sollte nicht sein. Du solltest die statische Adressen immer außerhalb des Bereichs vergeben, die dem DHCP-Server zur Vergabe zugewiesen wurden.

Da hast Du recht. Das ist in der FritzBox auch nicht ganz so hübsch einzustellen. Mein FritzBox-DHCP vergibt von 192.168.178.20 bis 200 (konfigurierbar, warum die nicht geekige binäre Netzgrenzen nehmen weiß ich auch nicht so recht) . Die .201 hat der nur vergeben, weil ich einen statischen Eintrag vorgenommen haben. Die IPs bis ...19 und ab ...201 werden bei meiner Konfig. nur statisch vergeben, vom DHCP eben nur dann, wenn für die MAC-Adr. ein statischer Eintrag vorliegt. Insofern war ich da schon auf der sicheren Seite, dachte ich.
Bloß das es nicht funktioniert hat.

In der FritzBox war keine Kindersicherung und keine Firewall aktiviert (ok, natürlich die SPI-Firewall, die alle NAT-Router ab Geburt mitbringen: von LAN nach WAN alles zulassen, von WAN nach LAN nur wenn Antwort auf von innen angeforderte Verbindung).

Eben flog mir die DS wieder von der Leine, als ich in der DS eine statische IP 192.168.178.201 eingetragen habe: da kam ich nicht mal auf die Konfig-Oberfläche. Habe sie mit dem Synology Assistant wieder eingefangen und jetzt bleibe ich mal bei den niedrigen IPs.

Bis zur weiteren Klärung möchte ich vorsichtig davon abraten, bei einem FritzBox-Router der DS eine IP größer 201 zu verpassen (zu lassen). Wobei ich hier vom Bauchgefühl die FritzBox eher als Schuldigen im Visier habe als die DS. Ich weiß bloß nicht, warum (in die Routing-Tabelle der FritzBox habe ich auch nicht eingegriffen, selbstverständlich).

Danke für eure Tipps,

Mark

 

[Frogman]

...Bis zur weiteren Klärung möchte ich vorsichtig davon abraten, bei einem FritzBox-Router der DS eine IP größer 201 zu verpassen (zu lassen).

Das ist - nimm's mir nicht übel - Blödsinn. Wenn Du sauber Grenzen für den DHCP konfiguriert hast und feste IPs nur außerhalb des Bereichs wählst, spielt das keine Rolle!

 

[emkay99]

Das ist - nimm's mir nicht übel - Blödsinn. Wenn Du sauber Grenzen für den DHCP konfiguriert hast und feste IPs nur außerhalb des Bereichs wählst, spielt das keine Rolle!

Nach einigen Jahren im IT-Bereich bin ich mit dem Wort "Blödsinn" arg vorsichtig geworden.

Natürlich hast Du damit recht: das darf so nicht sein. Das weiß ich auch. Und das kann man nachlesen.

Was aber, wenn AVM z.B. die Implementation ihres DHCP (i.v.m. Routing) nicht lehrbuch- oder standardkonform umgesetzt hat? Dafür lege ICH mittlerweile nicht mehr die Hand ins Feuer!

Lehrbuch sagt: statisch vergebene IP-Adressen oder statische DHCP-Leases immer außerhalb des dynamisch vergebenen Bereichs. D'accord. Der geht bei mir bis 192.168.178.200, dann kann ich ab ...201 (nicht, wie ich oben geschrieben habe, größer ...201, sondern größer/GLEICH ...201) statische IPs oder statische DHCP-Leases vergeben. Soweit das Lehrbuch.

Können wir uns darauf einigen: als mögliche Fehlerquelle im Blick halten? Nichts anderes hatte ich eigentlich gemeint mit dem 'vorsichtig davon abraten'.

 

[Frogman]

Ich selbst vergebe IPs oberhalb von 200 fest - bis 199 geht der DHCP. Niemals gab's Komplikationen - wie erwartet.

 

[laserdesign]

@emkay99,

welche Firmware ist denn da auf der Fritte??

 

[KlausKaa]

....als ich in der DS eine statische IP 192.168.178.201 eingetragen habe...

Spekulation an : hast Du evtl. mal ein VPN auf der Fritte eingerichtet ? Die .201 ist die erste IP, die dann vom VPN belegt wird - und ist erst nach den Löschen des VPN-Zugangs zu gebrauchen.

Grüße, Klaus

 

[emkay99]

Zwei Rückfragen hierzu noch, Frogman, entschuldige meine Neugier:

- Trägst Du die IP-Adressen in den Adressen der Clients ein, oder lässt du sie vom DHCP Deiner FritzBox über die MAC-Adresse als Static Lease den Clients zuweisen?

- Hast Du zufällig in Deiner FritzBox einen VPN-Zugang von außen ermöglicht?

Ich habe mir einen VPN-Zugang in meiner FritzBox eingerichtet (ob so etwas sinnvoll ist oder nicht oder wie, ist eine sehr individuelle Frage).
Standardmäßig reserviert die FritzBox die IP-Adressen für VPN-Zugriff ab ...201 . Was ich aber nicht sehen kann ist: ob die FritzBox jetzt durch meine VPN-Einrichtung "unter der Haube" statische Routen für IPs >200 gesetzt hat, die ins LAN (klar muss der VPN-Zugang ins LAN zeigen!) weisen. Dann nämlich wüßte ich, warum's mit dem WAN-Zugriff für IPs >200 bei bestehender VPN-Konfigurationsdatei nicht klappt ...

 

[emkay99]

Hallo Klaus,

Deine Frage hat sich mit meiner Antwort überschnitten: ja, VPN-Zugang mit Standardkonfig., und ich vermute, dass die Box dafür den Bereich größer ...200 reserviert hat.

@Laserdesign: Es ist die aktuelle Produktivversion, FRITZ!OS 06.04 , also kein Labor o.ä. .

Viele Grüße,

Mark

 

[laserdesign]

@Laserdesign: Es ist die aktuelle Produktivversion, FRITZ!OS 06.04 , also kein Labor o.ä. .

danke Mark, genau das wollte ich wissen, ich glaube Dein Problem hat sich, dank Klaus seines Beitrags, geklärt.

 

[Frogman]

Zwei Rückfragen hierzu noch, Frogman, entschuldige meine Neugier:

- Trägst Du die IP-Adressen in den Adressen der Clients ein, oder lässt du sie vom DHCP Deiner FritzBox über die MAC-Adresse als Static Lease den Clients zuweisen?

- Hast Du zufällig in Deiner FritzBox einen VPN-Zugang von außen ermöglicht?
...

Ich trage bei allen meinen Geräten die IPs fest ein.
Und ja - ich habe ein VPN zur Fritte, habe aber auch dort in der Konfig die IP festgelegt.

 

[dil88]

Lehrbuch sagt: statisch vergebene IP-Adressen oder statische DHCP-Leases immer außerhalb des dynamisch vergebenen Bereichs.

Das kenne und praktiziere ich anders. Feste IP außerhalb DHCP-Range ist richtig, aber statischer DHCP-Lease anhand der MAC-Adresse innerhalb des Ranges, denn auch diese Adressen vergibt ja der DHCP. Hat bei mir bisher perfekt funktioniert. Und dies, obwohl die Adressen am unteren Bereich des Ranges liegen, also da, wo sich der DHCP bei neuen Clients bedient. Er nimmt dann immer artig die nächst größere IP Nr. - wie sich das gehört.

 

[Frogman]

...und so sollte es auch sein, wie es bspw. hier unter dem Punkt 'Reserved Leases' (ganz unten) erläutert ist. Allerdings gibt es auch genügend DHCP-Server, die das anders handhaben...

 

[emkay99]

Bis zur weiteren Klärung möchte ich vorsichtig davon abraten, bei einem FritzBox-Router der DS eine IP größer 201 zu verpassen (zu lassen). Wobei ich hier vom Bauchgefühl die FritzBox eher als Schuldigen im Visier habe als die DS. Ich weiß bloß nicht, warum (in die Routing-Tabelle der FritzBox habe ich auch nicht eingegriffen, selbstverständlich).

Sorry for the delay - Ich hatte ja den AVM-Support nochmal angeschrieben, aber deren Antwort hat das Problem total verkannt, deswegen spare ich mir das Zitat.

In einem anderen Forum berichtet jemand, dass IPs größer 201 dann ins Internet kommen, wenn man die VPN-Standard-Konfiguration löscht. Daher denke ich, dass das das Problem hier war. Und bleibe bei meiner Empfehlung, keine IPs größer ...200 bei der FritzBox zu verwenden - WENN man eine Standard-VPN-Konfiguration hat. Es sei denn, man mag besagte Geräte eben nur link-lokal erreichen ;-) .

Warum die FritzBox die Reservierungen akzeptiert (das wäre ja noch OK, aber, Internetbeschränkungen aufheben lässt und dann noch lustig per Icon in der Heimnetzliste anzeigt: "Dieses Gerät hat Internetzugriff", weiß der Henker - ich find's irreführend.

Tut mir leid - das hat ja letztendlich alles nichts mit der DS zu tun. Nur ist das Problem in dem Kontext ausgebrochen, daher dachte ich ... .

Vielen Dank für eure Hilfe!

Gruß,

Mark