VPN IPSec Dynamische IP Adresse

[sub2010]

Hallo Zusammen,

ich möchte zwischen zwei Standorten, 2 NAS Stationen miteinander verbinden.
Über einen IP Adressen Eintrag, funktioniert das auch. Aber sobald ich eine DynDNS Adresse eingebe oder meine Domain nehme, erhalte ich folgenden Fehler:

Meine Vermutung ist, dass der Server nicht meine DynDNS Adresse auflösen kann, was ich aber nicht über eine DNS Lookup bestätigt bekomme.



Obwohl ich eine DynDNS Adresse auf der NAS eingerichtet habe.
Was übersehe ich?
Server:


*IP Adresse habe ich geschwärzt bzw geweißt :-D
Client:

Hier mein Aufbau:

 

[Stationary]

Da Du die lokalen Adressen am entscheidenden Punkt geschwärzt/geweißt hast (192.168.?.1) muß ich Dich fragen: ist das Fragezeichen in beiden Netzen identisch oder verschieden? Zumindest für von Fritzboxen aufgebaute VPN-Verbindungen zu anderen Netzwerken im Bereich LAN-LAN-Kopplung müssen die beiden Netzwerke unterschiedliche IP-Bereiche belegen, das ? muß also in beiden Netzwerken für eine andere Zahl stehen.
Ob das auch für den Fall gilt, in denen die Diskstations sich herübertunneln, weiß ich nicht genau, weil ich das nie ausprobiert habe, könnte mir aber vorstellen, daß das auch so sein muß. Ist das bei Dir der Fall, daß beide Netzwerke unterschiedliche Bereiche haben, also das eine z. B. 192.168.10.1 und das andere 192.168.20.1? Portfreigaben in den Routern, falls nötig, sind gemacht?

Das, was Du hättest schwärzen sollen, wäre der Eintrag hinter nslookup gewesen…das bist doch Du, oder:

Ach so, und Deinen Namen vielleicht auch…

 

[sub2010]

Danke dir für den Hinweis, könntest du noch deinen Screenshot entfernen - DANKE

Hier die IP Config.


Das ganze funktioniert sofort wenn ich meine Externe IP Adresse eintrage. Port Freigaben sind demnach in Ordnung.

 

[blurrrr]

Es ist uninteressant, was "Du" auflöst, wichtig ist, was die Kisten selbst auflösen (v4 vs v6). Du schreibst hier auch so rein "garnichts" über die entsprechenden Standorte in Bezug auf die WAN-Seite (statisch, dynamisch, v4, v6, Dualstack, DS-Lite, nada...)

Meine Vermutung ist, dass der Server nicht meine DynDNS Adresse auflösen kann, was ich aber nicht über eine DNS Lookup bestätigt bekomme.

Nur weil wir hier ebay.de auflösen können und die Menschen in China vllt nicht, heisst es nicht, dass nur weil wir das auflösen können, dass die Menschen in China es auch können müssten. Check? ?? Prüf auf "jedem" (am Verbindungsaufbau) beteiligten Gerät die korrekte Auflösung... ?

 

[Stationary]

könntest du noch deinen Screenshot entfernen

Screenshot kann ich nicht mehr entfernen, ist aber ja so abgeschnitten, daß man nicht lesen kann, was da steht. Den kann nur noch ein Admin herausnehmen - wenn also einer mitliest: screenshot bitte löschen.

 

[goetz]

Ist erledigt.

Gruß Götz

 

[sub2010]

@goetz Danke.

@blurrrr
Ich habe einen NS Lookup von dem VPN Client gemacht. Und meine externe IP Adresse wurde korrekt ausgelöst. Und dennoch erhalte ich den Fehler (s. Oben).
Der Domänen DNS Server der auf der NAS läuft hat mir die Adresse aufgelöst.

Meine Internet Adresse auf beiden Seite ist eine Ipv4. Kein DS Lite.

Sobald ich meine externe IP Adresse angebe Funktioniert die Verbindung.

Was übersehe ich?

 

[blurrrr]

Tjo, dann mag die VPN-Server-DS die Ansprache via Hostname nicht, oder bei der VPN-Client-DS hängt ggf. noch immer etwas schief... nix genaues weiss man nicht, aber irgendwas in diese Richtungen wird es wohl sein. Schau doch einfach mal in die Logs (nicht nur Fehlermeldungen... Protokollcenter, oder via SSH über die Shell)... erstmal bei bei der Server-DS was beim Einwahlversuch des Clients dort im Log auftaucht und ggf. auch im Client. Dann biste auf jeden Fall schon mal was weiter...

Ich kann Dir aber sagen, dass IPsec in Kombi mit NAT recht ziemlich zickig ist und wenn Du Dir das Leben einfach machen möchtest, würde ich an Deiner Stelle definitiv OpenVPN nutzen. Könnteste mal hier reinschauen... https://m.heise.de/security/artikel/VPN-Knigge-270796.html?seite=all Ist zwar schon etwas älter, aber so grundlegende Dinge verlieren irgendwie nie ihre Gültigkeit ?? Generell natürlich auch mal https://de.wikipedia.org/wiki/IPsec Die Fehlermeldung der Syno muss auch nicht 1001% stimmig sein, von daher besser immer direkt in die Logs schauen (auch wenn man ggf. weniger versteht, hat man aber mehr zum nachschlagen).

Alternativ könnteste Dir auch überlegen, ob die DS vom FB-Standort sich nicht einfach direkt bei der UDM einwählt... sofern da nix weiter vor der UDM ist, wärste auch erstmal die 2-Seiten-NAT-Thematik los UND Du hättest die UDM noch dazwischen zur Traffic-Regelung (und vllt sind da auch die VPN-Logs hübscher ?).

 

[sub2010]

Ich habe es mit allen 3 Arten probiert und es kam exakt der selbe raus ?.
Aber die Idee mit openvpn zur UDM ist gut.
Leider unterstützt die UDM kein dynamische IP Adressen ?. Mein erster Versuch ging auch zwischen Fritz Box und UDM.

 

[blurrrr]

Leider unterstützt die UDM kein dynamische IP Adressen ?.

Wie ist das bitte zu verstehen?

 

[sub2010]

Wie ist das bitte zu verstehen?

Die UDM Pro ist leider nicht das was ich von einer Firewall erwarte. Ich hab kein Experte beim Thema Firewall. Aber das was die mir anbieten ist traurig, hier ein Auszug aus der Config.
Die UDM Pro unterstützt nur statische externe IP Adressen.


Ich weiß gerade nicht woran es liegt, aber ich habe gerade vom Handy und von der entfernen NAS eine VPN Verbindung via OpenVPN hinbekommen. Ich weiß nicht warum es jetzt mit DDNS klappt

 

[blurrrr]

Wenn es jetzt mit OpenVPN läuft, ist doch jut, dann herzlichen Glückwunsch und Haken hinter

 

[sub2010]

Leider noch nicht, ich habe ein wenig getestet. Und jetzt erhalte ich den Fehler das das TLS Zertifikat nicht gültig sei.

Ich habe folgende Einstellungen gewählt:

 

[blurrrr]

Erstell einfach ein eigenes und benutz das