DSM 7.2 Zugriff auf DS mit Wireguard

[alex303]

Hallo zusammen,
bei mir nutze ich Telekom DSL, als Router pfSense mit Wireguard.
Das funktioniert auch alles bis auf den Zugriff auf die DS.

Wenn auf meinen Handy Wireguard eingeschaltet ist, komme ich immer von außen in mein Netzwerk.
Es sei denn ich bin zu Hause, dann funktioniert der Zugriff auf meine Synology DS nicht mehr solange Wireguard eingeschaltet ist.

In den Synology Apps habe ich den Zugang mit der DynDNS Adresse eingetragen, damit es extern auch ohne VPN funktioniert, im Router DNS Resolver unter Host Overrides habe ich die DynDNS Adresse und die IP der Synology eingetragen, damit die DynDNS Adresse intern direkt zur DS geleitet wird.
Das funktioniert aber nur ohne Wireguard.

Was fehlt denn hier noch?

Gruß
Alexander

 

[its]

Ohne deine Einstellungen zu analysieren, um eine mögliche Ursache/Lösung zu finden, kannst du doch auch im Wireguard-Client auf deinem Handy einstellen, dass in deinem Heim-Wlan die VPN-Verbindung nicht aufgebaut wird!

 

[Benie]

Bei der Android App gibt es diese Einstellung nicht.

 

[its]

…ok, war mir nicht bewusst. Unter MacOS und iOS ist es möglich - hätte nicht gedacht, das es bei Android nicht geht!

 

[Benie]

Mir ist das auch erst kürzlich aufgefallen, dass es da Unterschiede gibt. Aber ist ja bei einigen Apps daß sie unterschiedliche Funktionen haben. Mit der Android App funktioniert, bei mir zumindest, die Verbindung auch im W-LAN.

 

[alex303]

im Wireguard-Client auf deinem Handy einstellen, dass in deinem Heim-Wlan die VPN-Verbindung nicht aufgebaut wird!

Ich habe ein iPhone, wo wird das denn eingestellt?

 

[w00dcu11er]

Erstmals Wireguard-App aus dem App Store herunterladen und installieren. Dann alles Weitere wie oben.

 

[its]

Starte die Wireguard-App. Wähle die die Verbindung aus und dann oben rechts auf "Bearbeiten".
Scrolle ganz nach unten bis zu "Aktivierung auf Wunsch" - der rest sollte selbsterklärend sein

 

[alex303]

Scrolle ganz nach unten bis zu "Aktivierung auf Wunsch"

Woher weiss denn WireGuard ob ich in meinem WLAN bin oder im Fremdem WLAN?

 

[Ronny1978]

Nutzt dein Wireguard auch den DNS der pfSense und wird auch der KOMPLETTE Internetverkehr weitergeleitet?

 

[its]

Woher weiss denn WireGuard ob ich in meinem WLAN bin oder im Fremdem WLAN?

Als letzten Punkt „unter SSIDs“ wählst du dein Wlan aus mit der Option „ausgenommen diese SSID“

 

[alex303]

Nutzt dein Wireguard auch den DNS der pfSense und wird auch der KOMPLETTE Internetverkehr weitergeleitet?

Gute Frage, wo wird das eingestellt?

 

[plang.pl]

Im WireGuard Profil steht der zu nutzende DNS-Server drinne

 

[alex303]

Im WireGuard Profil auf dem Handy habe ich, wie oben geschrieben, die IP der pfSense und 9.9.9.9 drin.
Oder meinst Du etwas anderes?

 

[plang.pl]

Wenn die unter "Nameserver" in der Config stehen, dann passt das.
Falls der Zugriff über den DDNS nicht funktioniert und via IP schon, dann hast du ein DNS-Problem, was ggfs. ein Routingproblem nach sich zieht. Ich würde mal mit einem Client im VPN testen, ob die DDNS-Adresse auf die richtige IP aufgelöst wird und wo die Hops hingehen, wenn man eine traceroute macht.

 

[Ronny1978]

Im WireGuard Profil auf dem Handy habe ich, wie oben geschrieben, die IP der pfSense und 9.9.9.9 drin

Dann nutzt dein Wireguard Client QUAD9 als DNS. Woher soll QUAD9 deine internen DNS Namen kennen. Ansonsten stimmt evtl. in den Einstellungen der pfSense was nicht. Heißt ja: Per Wireguard rein, wieder raus und wieder per DDNS rein.

Router DNS Resolver unter Host Overrides

Dein Wireguard nutzt ja somit den Resolver nicht, sondern QUAD9 . Die DNS Einstellungen für das Wireguard Netz (DNS) müssen genauso sein, wie für die anderen Netze UND am Client muss der der natürlich auch die pfSense als DNS Server nutzen UND NICHT Quad9.

NAMESERVER = pfSense dann müsste es klappen.

 

[alex303]

Dann nutzt dein Wireguard Client QUAD9 als DNS. Woher soll QUAD9 deine internen DNS Namen kennen.

Wenn doch auch die IP der pfSense drin steht, warum nutzt Wireguard dann nur QUAD9?

am Client muss der der natürlich auch die pfSense als DNS Server nutzen UND NICHT Quad9

Nur mit der IP der pfSense funktioniert gar nix.

NAMESERVER = pfSense dann müsste es klappen.

Jetzt habe ich im Wireguard Client auf dem Handy als DNS den Hostname "pfSense" eingetragen und nicht die IP, damit funktioniert es.
Wo liegt denn der Unterschied ob IP oder Hostname?

Ich würde mal mit einem Client im VPN testen, ob die DDNS-Adresse auf die richtige IP aufgelöst wird und wo die Hops hingehen, wenn man eine traceroute macht.

Auf dem PC habe ich es mit Wireguard ausprobiert:
Tracert zur DynDNS Adresse wird die IP der DS aufgelöst, aber Hops nicht, nur Zeitüberschreitung.
Tracert funktioniert auch nur zu entfernten Fritzbox.
Im WLAN mit Wireguard funktioniert weder Ping zur DS noch zur pfSense, aber zur entfernten Fritzbox schon.

Unter General Setup bei DNS Server habe ich so eingetragen:

Wireguard Konfig vom Handy:

 

[plang.pl]

Na dann löst aber der DDNS auf die externe IPv4 des Routers auf, oder?
Die muss aber auf die interne IP der DS auflösen.
Klappt nun der Zugriff auf die DS via IP im VPN oder nicht?

 

[alex303]

Na dann löst aber der DDNS auf die externe IPv4 des Routers auf, oder?
Die muss aber auf die interne IP der DS auflösen.

So sieht es ohne Wireguard aus:

und so mit Wireguard:

192.168.40.251 ist die IP der DS.

Klappt nun der Zugriff auf die DS via IP im VPN oder nicht?

Ja, funktioniert.

 

[plang.pl]

Da stimmt aber dann irgendeine Routing-Regel der pfsense im Zusammenhang mit WireGuard / Transfernetz nicht.