VPN Plus Server auf RT2600ac

jung

Benutzer
Mitglied seit
08. Apr 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Der VPN Plus Server lässt sich zwar einrichten verweigert jedoch seine Funktion.

Der Router ist mit dem Internet verbunden und hat eine feste IP bekommen, eine Verbindung aus dem LAN ins Internet ist problemlos möglich genauso wie ein Verbinden aus dem WAN mit dem VPN-Server...

Jedoch ist das lokale Netz vom VPN-Client nicht erreichbar...

Der Client bekommt eine Adresse aus dem 10.0.0.0/24 Netz und kann auch den Router (10.0.0.1) erreichen jedoch nicht das LAN welches mit 172.23.48.0/22 adressiert ist.

Die Bereiche sind soweit ich es beurteilen kann auch ordentlich in der Haupttabelle eingetragen...

Hat jemand eine Idee???

Der Support kommt mit abenteuerlichen Vorschlägen wie auf jedem Client (Win, Mac, iOS, Android) eine statische Route einzutragen ...
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.185
Punkte für Reaktionen
1.072
Punkte
248
Vorab: ich nutze das Gerät nicht und kann daher nur theoretische Ansätze liefern.

Die Route sollte - in der Theorie - bei der Verbindung mit übertragen werden (oder schon entsprechend bei der Clientsoftware hinterlegt sein). Je nachdem, welches VPN Du nutzt und wie die Config gestrickt ist, ist entsprechend lokal am Client hinterlegt, oder wird beim Verbindungsaufbau an den Client übermittelt. Mitunter ist es aber auch "nur" die Firewall... kurzum: folgendes kannst Du nun machen:

1) Windows: "route print -4"
Damit werden Dir entsprechend sämtliche Routen angezeigt, die Dein Rechner lokal kennt. Bist Du nicht mit dem VPN verbunden, sollten 10.x.x.x, sowie 172.23.x.x nicht vorhanden sein. Bist Du eingewählt ins VPN, sollten beide Netze in der Routingtabelle vorhanden sein (vermutlich inkl. einem "Netz 172.23.x.x" ist über "10.0.0.1" erreichbar).

2) Windows: "tracert 172.23.48.x" (am besten eine NAS-IP oder ein sonstiges Gerät im "LAN")
Damit kannst Du überprüfen, welchen Weg die Pakete gehen. Kommt als erster Hop (bzw. die erste Stelle) die 10.0.0.1 werden die Daten schon mal korrekt in den VPN-Tunnel geleitet und somit stimmt die Strecke. Siehst Du dort allerdings etwas anderes, ist da schon etwas im argen, da die Pakete eben nicht in den Tunnel wandern, sondern vermutlich ganz normal den Weg ins Internet gehen und dort werden die Adressen Deines LAN natürlich nicht weitergeleitet.

Somit wird vorerst sichergestellt, dass das Routing soweit auch erstmal in Ordnung ist. Schlägt das schon fehl, muss man sich zunächst darum kümmern.
Läuft es, bleibt eigentlich nur noch die Firewall als Problemkind bestehen. Darf das VPN-Netz denn überhaupt auf das LAN zugreifen?

P.S.: Alternativ liegt es aber auch an den über tausend Hosts, welche sich in Deinem Netzwerk befinden bei einem /22er Netz :p ;)
 

jung

Benutzer
Mitglied seit
08. Apr 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo,

Danke für die Ansätze :)

zu 1.) richtig ist, dass ohne VPN-Verbindung keine 10.x.x.x Einträge da sind und mit diese Einträge dazu kommen. das 172.23.x.x wird überhaupt nicht eingetragen (muss es aus meiner Sicht aber auch nicht da der Haken gesetzt wurde das VPN als Standardgateway zu nutzen... / Im gleichen Netzwerk existiert ein VPN-Server auf einer NAS bei dem funktioniert es einwandfrei und es ist auch hier nur das 10.x.x.x in der Routingtabelle des Clients sichtbar...

zu 2.) tracert liefert als ersten hop wie gewünscht 10.0.0.1 in der Folge jedoch nur Zeitüberschreitungen…

Obwohl laut Synology keine Firewallregel erforderlich sein soll hab ich Regeln in beide Richtungen 10.0.0.0/255.255.255.0 -> 172.23.48.0/255.255.252.0 und zurück angelegt die sämtlichen Verkehr zu allen Ports erlauben.

Da der normale Synology VPN-Server auf dem NAS kein Problem mit dem Netz hat, sollte der VPN-Plus auf dem Router das ja auch können...
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.185
Punkte für Reaktionen
1.072
Punkte
248
Haken für das Standardgateway (denke ich mal) dürfte nur gesetzt werden, wenn "sämtlicher" Traffic (auch was gen Internet soll) durch den Tunnel soll. Welches VPN nutzt Du denn (IPSec/SSL) und was nutzt Du auf dem Client? Das mit den statischen Routen ist natürlich albern, sowas muss dynamisch sein (VPN an, Route da & VPN aus, Route weg).

EDIT: Morgen noch 1 Stresstag und dann bin ich über das Wochenende weg. Sollte sich da bis nächste Woche keine Lösung gefunden haben, schauen wir da einfach mal genauer unter die Haube :)
 

jung

Benutzer
Mitglied seit
08. Apr 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Das mit sämtlichen Traffic durch den Tunnel wäre kein Problem, hat ja auch seine Vorteile (IP-Adresse, Sicherheitsrichtlinie etc.)
 

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
92
Punkte für Reaktionen
7
Punkte
8
Hi,
ich muß das Thema noch einmal aufgreifen, da ich das gleiche Problem habe.
Gibt es da schon eine Lösung?
Ich kann, wenn die VPN aufgebaut ist, den Router (SRM) erreichen. Sowohl über die VPN IP (172.21.0.x) als auch über die lokale IP des Routers (192.168.1.x).
Leider kann ich keinen Rechner im lokalen Netz des Routers erreichen (192.168.1.x)

Netzwerk:
lokales Netz Rechner (der die VPN aufbaut): 192.168.168.x
VPN: 172.21.0.x
Netz Router: 192.168.1.x

LG
René
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.185
Punkte für Reaktionen
1.072
Punkte
248
I.d.R.: "Haken setzen!"
 

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
1.361
Punkte für Reaktionen
113
Punkte
89
Wie @blurrrr schon schrieb, Haken Clients Zugriff zum LAN erlauben.

Oftmals sind es auch irgendwelche Firewall Regeln, die das dann blockieren.
 

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
92
Punkte für Reaktionen
7
Punkte
8
Hi,
OK, habe das Problem offensichtlich nicht korrekt beschrieben, es geht nicht um einen Rechner...
Bisher: Diskstation von extern verbindet sich mit meiner Diskstation (L2TP), macht eine Datensicherung (Hyperbackup).
Jetzt sollte sein: Diskstation von extern verbindet sich mit Router (L2TP) und macht eine Datensicherung auf meine DS (Hyperbackup).
Leider kann die externe DS meine DS nicht "sehen".
Per Computer kann ich mich mit dem Router verbinden und komme auch auf die Geräte im LAN. Scheinbar liegt das Problem aber an der externen DS, nicht am Router.!?

LG
René
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.185
Punkte für Reaktionen
1.072
Punkte
248
Liegt es evtl daran, dass bei einem Disk-zu-Disk-VPN ein völlig anderer IP-Kreis zum tragen kommt, als wenn Du Dich über Deinen Router ins VPN einwählst? Im lokalen LAN wirst Du ja sicherlich irgendwas in Form von 192.168.x.x für die Ziel-Syno haben. Bei Syno-VPN (Syno-zu-Syno) wird es vermutlich irgendwas mit 10.x.x.x gewesen sein. Mal überprüft?
 

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
92
Punkte für Reaktionen
7
Punkte
8
Korrekt, bei Disk zu Disk läuft alles (VPN Server bzw. DS = 10.9.0.0)
Bei VPN Verbindung zum Router ist die Adresse der DS 192.168.169.40. Die gibt mir aber unter der Adresse keine Antwort.
Da kommt nur der Spruch, das er die Gegenstation nicht erreichen kann.
Soll heißen: Die Zieladresse hab ich angepasst bzw. versucht ein neues Backup auf die "neue" IP einzurichten.
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.185
Punkte für Reaktionen
1.072
Punkte
248
Also nur zum Verständnis: VPN wird etabliert, aber es geht nichts durch?

Da würden mir spontan erstmal 2 Dinge zu einfallen:

1) Routing-Tabelle prüfen (kennt die Quell-DS den Weg in das Zielnetz überhaupt)
2) Firewall-Einstellungen (darf die Quell-Syno überhaupt ins Zielnetz bzw. auf die Zielsyno)

EDIT: Könntest mal von der Quell-Syno via SSH einen Ping auf die Ziel-Syno absetzen (bei aktiviertem VPN). Wenn das schon nicht hinhaut, kannst Du es nochmal mit einem traceroute versuchen, damit Du siehst, welchen Weg die Pakete von A nach B nehmen.
 
Zuletzt bearbeitet:

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
92
Punkte für Reaktionen
7
Punkte
8
Hi Blurr,
Deine Verständnisfrage: Jep, so sieht es aus.
Punkt 1 die Quell DS kennt den Weg zur Ziel DS nicht, da die Standardgateway aber der VPN Server ist, sollte es reichen, wenn der es weiß.
Punkt 2 Ja, wenn ich die VPN mit einem Windoof Client aufbaue, kommt dieser ja ins Zielnetz.

Der Weg per SSH, den teste ich mal bei Gelegenheit, dazu müßte ich vor Ort sein. Das geht per Teamviewer vicht, soweit ich weiß.

LG
René
 

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
92
Punkte für Reaktionen
7
Punkte
8
OK, meine letzte Antwort war offenbar nicht richtig...
Die richtige Route wird beim Herstellen der VPN eingetragen:
1601025358894.png

nur pingen o.ä. kann ich nicht...
1601025452361.png

irgendwie strange, die Quell NAS kommt nicht ins Netz...
 

Rene1

Benutzer
Mitglied seit
28. Jun 2016
Beiträge
92
Punkte für Reaktionen
7
Punkte
8
So jetzt...
hat sich erledigt.
Vielen Dank für die Tipps. Ich trau mich fast nicht zu sagen, was das Problem war...
Die NAS Firewall hat den Zugriff geblockt.

LG
René
 
  • Haha
Reaktionen: blurrrr

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.587
Punkte für Reaktionen
459
Punkte
359
Na ja, Hauptsache ein (offensichtlicher / wahrscheinlicher) Fehler, der sich beseitigen lässt. Ein Problem weniger. :)
 
  • Like
Reaktionen: blurrrr

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.185
Punkte für Reaktionen
1.072
Punkte
248
Sag ich ja ... 1 oder 2, aber... hauptsache läuft 😁
 

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
1.361
Punkte für Reaktionen
113
Punkte
89

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.710
Punkte für Reaktionen
408
Punkte
109
Moinsen,
ähh.nein?
Eigentlich läuft es immer recht gleich ab:
du bestellst "Internet" bei einem der Anbieter...idR liegt ein Kabel bis zum Haus bzw ins Haus/Wohnung.
Den Router schließt du per Kabel am WAN an. Manche Router bieten zusätzlich wifi, andere nicht. Am besten bist du bedient, wenn du deine Geräte auch per Kabel (am LAN des Routers) einbindest, da hier meist die Verbindung schneller ist. Nur wenn ein Gerät zB einen langsamen LAN Zugang hat kann es mal von Vorteil sein, hier WLAN zu nutzen.
Wenn dein Router im Keller steht, dann brauchst du vermutlich kein Wifi (außer du wohnst im Keller). ;)
 
  • Like
Reaktionen: Linus Hecker