Toggle sidebar

VPN IPSec Server blockiert nach ca. 50 erfolgreichen Verbindungen, Restart erforderlich

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
U

ultra-junkie

Benutzer
Registriert
05. Mai 2020
Beiträge
6
Reaktionspunkte
0
Punkte
1
Hallo Zusammen

ich nutze eine VPN-Verbindung, um 2 NAS miteinander zu verbinden (für Backup). Das funktioniert eigentlich sehr gut. Leider habe ich für den Backup-NAS keine fixe IP-Adresse, was bedeutet, dass die Verbindung regelmässig in der Nacht unterbrochen wird und neu hergestellt werden muss.

Nach einer nicht genau messbaren Zahl von Versuchen kann nach etwa 3-5 Wochen keine Verbindung mehr aufgebaut werden.

Ein Stop/Start des IPSec-Servers löst das Problem.

Ich habe auch versucht, OpenVPN als Ersatz zu nehmen, aber dort bekomme ich aus irgendeinem Grund nicht immer die gleiche IP-Adresse zugewiesen, so dass die Backup-Verbindung fehlschlägt.

Hat jemand schon Ähnliches beobachtet? Der Synology-Support konnte mir bisher noch nicht helfen.
 
ultra-junkie schrieb:
OpenVPN als Ersatz zu nehmen, aber dort bekomme ich aus irgendeinem Grund nicht immer die gleiche IP-Adresse zugewiesen
Zum Vergrößern anklicken....
Wäre wohl "ifconfig-push"... Google einfach mal nach "openvpn ifconfig-push", da wirste dann schon fündig.

ultra-junkie schrieb:
Nach einer nicht genau messbaren Zahl von Versuchen kann nach etwa 3-5 Wochen keine Verbindung mehr aufgebaut werden.
Zum Vergrößern anklicken....

Könnte es zufällig sein, dass der DynDNS-Record einfach nicht vernünftig aktualisiert wird (soll manchmal auch vorkommen) und das Ziel dann für eine gewisse Zeit eine falsche IP bei der DynDNS-Adresse hinterlegt hat, so dass das Quellsystem quasi "garnicht" mehr dran kommt? Vielleicht spackt auch nur der DynDNS-Client rum (je nachdem, wo er grade läuft). Möglichkeiten gibt es viele, man sollte vllt mal nachschauen, wo konkret das Problem liegt :)

Alternativ lässte das fehlerhafte Syno einfach alle 2 Wochen via Script neustarten. Alternativ dazu... Backup-Strategie/-Produkt wechseln... wenn es blöd läuft und der Hersteller nix zu einer Lösung beitragen kann...??
 
Der NAS mit der dynamischen Adresse stellt aktiv die Verbindung her. Der mit dem IPSec-Server hat ne feste Adresse. Das kann es also nicht sein... und alle 2 Wochen via Script neustarten ist die Hammermethode. Ich betrachte mich aber eher als Feinmechaniker, jedenfalls in diesem Bereich ;). Im übrigen tragen Neustarts nicht unbedingt positiv zur Lebensdauer der Disks bei.

Mal schauen ob noch jemand eine Lösung hat. Sonst versuche ich es nochmal mit den Spezialisten in Taiwan.
 
ultra-junkie schrieb:
Ich betrachte mich aber eher als Feinmechaniker
Zum Vergrößern anklicken....
Und dann war es so ein riesiges Problem eine statische VPN-IP hinzukriegen? :unsure:

ultra-junkie schrieb:
Ich habe auch versucht, OpenVPN als Ersatz zu nehmen, aber dort bekomme ich aus irgendeinem Grund nicht immer die gleiche IP-Adresse zugewiesen, so dass die Backup-Verbindung fehlschlägt.
Zum Vergrößern anklicken....

Also nur mal so für's Verständnis (da Du ja gerne irgendwelche "wichtigen" Dinge auslässt - wie statische IPs und so)....:

Die Quelle (mit dyn. WAN-IP) verbindet sich zum Ziel (mit stat. WAN-IP).... da frag ich mich allerdings: Wen juckt das bitte, wenn die Quelle eine dynamische IP hat (egal ob LAN/WAN), wenn das Ziel fest definiert ist und sich auch nicht ändert? Oder sicherst Du vom Anschluss mit statischer IP "zum" Anschluss mit dynamischer IP? Wobei es schon ein wenig fragwürdig wäre, wenn die dynamische Seite die VPN-Verbindung aufbaut, damit Du von der statischen Seite das Backup zur dynamischen Seite schieben kannst (...kann man machen, aber...).

Davon ab, könnte man bei "dynamisch" auch einfach "statisch" machen (das ist dann FA-technisch eh eine 50/50-Rechnung)... alternativ vernünftige HW hin und zeitbasierte FW-Regeln für den S2S-Tunnel ?
 
hahaha... nur so for the records:

1. meine Fachexpertise ist, wenn es an die Niederungen der Netzwerkkonfiguration geht, soweit vorhanden, dass mein Netzwerk samt Firewall, Webseite, Mailserver und VPN-Zugang +/- reibungslos läuft und die grosse Masse der Attacken abgeblockt wird. Als Guru würde ich mich jedoch sicher nicht bezeichnen. Dass man bei OpenVPN auch eine fixe IP vergeben kann, habe ich zwar dumpf vermutet, aber nicht die Zeit gehabt, mich durch die Tiefen des Internets zu wühlen, um dazu was Passendes zu finden.

2. Der eine NAS (Server für alles, nennen wir ihn NAS1) steht in einem zivilisierten Land, wo man gegen Einwurf kleiner Münzen schnell und einfach eine feste externe IP bekommt. Der andere NAS (Backup-Server, VPN CLient = NAS2) steht in einem weniger zivilisierten Land, wo man sich nach einem Anruf beim Internetprovider am liebsten selbst in die Klapse einweisen würde. Oder anders ausgedrückt: Ich hätte gern in besagtem Land auch eine feste IP, aber die gibts bei em Provider nur für Business-Anschlüsse, und sämtliche Versuche, einen solchen zu beantragen, waren bisher erfolg- und hoffnungslos (es ist unglaublich, wieviel Optionen und Gelabere man im Entscheidungsbaum einer Hotline unterbringen kann!!!).

Damit zurück zum Problem:
NAS2 kann nicht als Server fungieren, da die Adresse ständig wechselt und NAS1 folglich nicht wüsste, wohin er sich verbinden sollte. Also habe ich die Richtung umgedreht. Wie beschrieben geht das mit IPSec an sich wunderbar, wären da nicht die gelegentlichen Abstürze.

Deinen Rat mit "ifconfig" werde ich weiterverfolgen (Danke dafür). Hättest Du mir noch zufällig das Verzeichnis mit der Konfiguration? Spart mir weitere Recherche... und wenn ich mal zuviel Zeit haben sollte, setze ich in dem nicht so zivilisierten Land hinter die FritzBox auch noch ein Zyxel USG und baue dann damit den VPN-Tunnel auf.
 
Jo, guck Dir dat mal an... Davon ab, gibt es auch noch DynDNS (in Bezug auf die dynamischen Anschlüsse).

Was das mit dem Verzeichnis angeht... k.A. ich nutz das komische Syno-VPN-Zeugs nicht und im Zweifel sag ich immer "irgendwo unter /etc/" aber damit wäre Dir wohl auch nicht geholfen ??

1) Suchfunktion des Forums hier: https://www.synology-forum.de/threads/static-ip-fuer-openvpn-client.69664/, oder jenen hier https://www.synology-forum.de/threads/vpn-und-static-ip-aber-wie.39391/
2) Google: https://www.google.com/search?q=synology+openvpn+ifconfig-push

Kriegste schon hin und falls nicht nicht -> https://www.youtube.com/watch?v=2WRnkdKa0Hc (sorry, das muss ich grade einfach zu jeder Gelegenheit posten :ROFLMAO:)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten