VPN-Verbindung zur DiskStation - DNS klappt nicht

[nofear2k]

Hallo,

in Kürze: Was muß ich einstellen, damit bei während aktiver VPN Verbindung zur DiskStation die DiskStation unter ihrem Host-Namen erreichbar ist bzw. die DNS-Auflösung über die vorgeschaltete FritzBox funktioniert?

Anforderung: mehrere Benutzer sollen von zu Hause auf die DiskStation im Büro zugreifen können (Zugriff auf Dateien / File Server)

Büro: Fritzbox mit angeschlossener DiskStation, VPN-Server installiert (L2TP), Benutzer haben VPN-Berechtigung, Ports von FritzBox auf DS sind eingerichtet.
Die DiskStation heisst "synology" und bekommt von der fritzBox immer die reservierte IP Adresse 192.168.178.200 zugewiesen. Alles gut soweit!

zu Hause: VPN-Verbindung zur DiskStation kann erfolgreich aufgebaut werden, bis jetzt ohne DNS, sondern über die aktuelle IP-Adresse des Providers. Soweit also prima.

Problem: Bei aktiver VPN-Verbindung ist die DiskStation nicht über ihren Hostnamen "\\synology" aufrufbar, nur über ihre IP Adresse "\\192.168.178.200".
Die DNS Auflösung funktioniert nicht:
von meinem PC über VPN an DiskStation verbunden: ping synology > tot
von meinem PC über VPN an DiskStation verbunden: ping 192.168.178.200 > 100% OK

Danke
nofear2k

 

[mayo007]

Über IP reicht doch.
Wenn DNS nicht geht ist es meinst ein Clientproblem da der Name nicht aufgelöst werden kann.

 

[Philipp06]

Hi,
@nofear2k Was ist bei dir der DNS? Fritte oder Syno?

MfG
Philipp

 

[Penthys]

Das VPN der Diskstation nutzt das Google DNS wenn es nicht anders angegeben wird. Per dhcp-option DNS den internen DNS resolver - in der Regel der Router - eintragen und auch die internen Namen sollten wieder aufgelöst werden.

 

[nofear2k]

@nofear2k Was ist bei dir der DNS? Fritte oder Syno?

Hi Philipp,
die Synology Disk Station arbeitet im Netzwerk ja als Client der FritzBox.
Die vorgeschaltete FritzBox müsste die Namensauflösung machen, denke ich.
Siehe Screenshots. Wenn ich über VPN an der Disk Station verbunden bin, kann ich auf die fritz.box zugreifen, auch auf das Internet, siehe auch tracert (zweiter Screenshot), nur auf die Synology selbst nicht. Die Synology befindet sich NICHT in einem Gastzugangs-Port (kann man einstellen an der Fritte...).
An dem Tracert Screenshot kann kan auch sehen, dass SYNOLOGY -> FritzBox ...

Danke!

 

[nofear2k]

Das VPN der Diskstation nutzt das Google DNS wenn es nicht anders angegeben wird. Per dhcp-option DNS den internen DNS resolver - in der Regel der Router - eintragen und auch die internen Namen sollten wieder aufgelöst werden.

Hi,

ich habe testweise die IP-Adresse der FritzBox in der Netzwerkschnittstelle aktiviert (die Funktion).
Kein Unterschied, schadet aber auch nicht solange ich keinen anderen Router verwende.

Die FritzBox sollte als DNS Server von der DiskStation angesprochen werden. Wenn ich über VPN (Handy Hotspot) verbunden bin, ist die FritzBox auf jeden Fall mein zugeordneter DNS Server), trotzdem bekomme ich die DiskStation über \\synology nicht angesprochen.
Wenn ich mich im selben Netzwerk befinde, also per WLAN an der FritzBox, ist ebenfalls die FritzBox mein DNS Server, klar...

Was ich seltsam finde: ping klappt nicht aber nslookup funktioniert (dritter Screenshot)

 

[nofear2k]

Über IP reicht doch.
Wenn DNS nicht geht ist es meinst ein Clientproblem da der Name nicht aufgelöst werden kann.

Hi!
Clientproblem = Disk Station als Client oder mein via VPN verbundener Computer als Client?
Wenn ich via Wlan an der FritzBox hänge, dann kein Problem mit DNS-Auflösung \\Synology
IP reicht mir, ist aber nicht wirklich zugänglich für die wenig IT affinen Kollegen.

 

[Syno-OS]

VPN -> Kein Broadcasting -> keine Netbios namen (aka hostname hier synology)
Alte bekannte Limitation, daher lösungen auch... sehe z.b.:
https://service.avm.de/help/de/FRITZ-Box-7590/019/hilfe_howto_vpn_netbios_zulassen

 

[Philipp06]

Whoa ganz langsam!
1. Warum Windows 7??? Ich hoffe der Rechner hängt nicht am Internet.
2. Zeige uns Mal die Einstellungen deines VPN Servers.

MfG
Philipp

 

[Penthys]

Was ich seltsam finde: ping klappt nicht aber nslookup funktioniert (dritter Screenshot)

Funktioniert ein Ping auf synology.fritz.box?

 

[nofear2k]

VPN -> Kein Broadcasting -> keine Netbios namen (aka hostname hier synology)
Alte bekannte Limitation, daher lösungen auch... sehe z.b.:
https://service.avm.de/help/de/FRITZ-Box-7590/019/hilfe_howto_vpn_netbios_zulassen

Vielen Dank, ich werde dann versuchen die FritzBox als VPN Gegenseite zu verwenden anstatt das Synology NAS.
Sollte das funktionieren, wäre das sicher auch ok. Die Fritten sind halt nicht so wirklich performant, daher...
Ich werde berichten

 

[nofear2k]

Funktioniert ein Ping auf synology.fritz.box?

Hi Penthys,

ja, das funktioniert. Was bedeutet die Schreibweise?

 

[Penthys]

Das ist der FQDN (Fully Qualified Domain Name). Fritz.Box ist die Standard-Domain einer FRITZ!Box und durch die zusätzliche Angabe wird dem Netzwerk gesagt, dass es sich um das LAN handelt, in der die Synology gesucht werden soll. Ich vermute mal, dass die FRITZ!Box anfragen aus den VPN nicht dem LAN zuordnet und der DNS daher diese extern aufzulösen versucht. Das wird durch die exakte Bestimmung korrigiert.
Ich denke, bei ihr war das auch mal so. Seit ein Pi-Hole die DNS übernommen hat, der Router seine DNS Anfragen an Pi-Hole schickt und alle anderen Geräte, wie bisher auch, den Router dafür verwenden, war das Problem weg, sofern ich das alles noch richtig zuordne.

 

[Synchrotron]

Performance des VPNs auf der FB: Ist es eine der neueren Fritz!Boxen, und das OS ist aktuell (7.21 oder höher), reicht der VPN-Server der FB locker aus, um die üblichen Upload-Bandbreiten (alles bis 50Mbit/s) zu bedienen.

Aus meiner Sicht ist es immer besser, der VPN-Server werkelt auf dem Router. Die schlechteste Variante ist der VPN-Server auf dem Datenserver.

 

[Penthys]

Kann man sich inzwischen auch mit Windows-Boardmitteln mit dem FRITZ!Box-VPN verbinden? Der von AVM empfohlene Client wurde ja vor langer Zeit in der Entwicklung eingestellt.

 

[Philipp06]

Mit Windows Boardmitteln sollte das gehen. Einen L2TP/IPSec Client hat Windows ja. Da musst du nur einen Wert in der Registry anpassen und dann sollte das klappen (so bei mir - mein VPN Server läuft aber auf dem NAS).

 

[Benares]

Aber mit dem FRITZ!Box-VPN klappt das nicht, da der nur IKEv1 kann. Da braucht man unter Windows immer noch den alten Fritz!Fernzugang oder den Shrewsoft Client. Aber AVM kommt jetzt langsam unter Zugzwang, da iOS inzwischen IKEv1 auch nicht mehr unterstützt. Deshalb soll in einer nächsten Fritz!OS-Versionen Wireguard integriert werden.

Aber BTT: Man sollte im AVM-Heimnetz auf den Clients besser "fritz.box" als primären DNS-Suffix festlegen oder in die DNS-Suffix-Suchliste aufnehmen, damit auch die Namensauflösung mit Kurznamen zuverlässig klappt.

 

[nofear2k]

Vielen Dank für die vielen Anregungen an alle beteiligten !!!

Ich werde es diese Woche im Büro nochmal versuchen mit DNS Auflösung über den Fully qualified hostname "synology.fritz.box" und ebenso die VPN Einwahl über die FritzBox anstatt die Synology DiskStation als VPN Server zu nehmen.

VPN mit FritzBox im ersten Anlauf hat nicht funktioniert mit der FritzBox als VPN Gegenstelle. Aber das wäre dann eher eine Frage für das AVM-Forum.
- Portweiterleitungen zum VPN Server der Disk Station deaktiviert
- dedizierten VPN-User mit VPN Zugriff in der FritzBox angelegt
- sowohl mit DynDNS als auch mit der aktuellen IP (öffentlichen) probiert sich zu verbinden
->Windows VPN Client versucht ne Minute ne Verbindung aufzubauen -> Fehler 789, kein Handshake oder ähnliches im Status-Fenster sichtbar

 

[Benares]

Das geht auch nicht mit Bordmitteln. Die Fritzboxen können momentan nur IKEv1. Da bräuchte man entweder den alten Fritz!Fernzugang oder den ebenfalls alten Shrewsoft-Client. Aber in einer der nächsten Fritz!OS-Versionen soll wenigsten Wireguard eingebaut werden. Dann geht's bei Windows zwar immer noch nicht mit Bordmitteln, aber Wireguard-Lösungen gibt es fast für alle Systeme.

 

[Philipp06]

Probiere das Mal mit Windows 10 bitte. Ich habe die Vermutung das Windows 7 sein VPN Client einfach zu alt ist.