DynDNS über zwei Netzwerke

[Snugel]

Hallo Lancom Gemeinde,

ich habe einen Lancom 1781 VAW, mit dem noch aktuellsten Releas des LCOS, eine FritzBox 7490 und zwei NAS von Synology 1819+ und 1815+ ebenfalls allas mit aktuellstem OS.
------------------------------
Zum Netzwerk
Der Lancom ist mein Gateway und hängt somit an der TAE-Box der Telekom. Er spannt das erste Netzwerk auf.
An ihm hängt die FritzBox, welche das zweite Netzwerk aufspannt. Sie agiert als Router und macht das erste Netzwerk, dem zweiten bekannt. Sie hat also eine IP aus dem Range des ersten Netzwerks des DHCP vom Lancom bekommen.
------------------------------
Anforderung
Die beiden NAS, der Lancom und die FritzBox sollen via DynDNS erreichbar sein.
------------------------------
Status Quo
Im Netzwerk 2 sind die zwei NAS. DynDNS ist eingerichtet und als Status bekomme ich Normal zurück, kann aber noch nicht darauf zugreifen.
Der Router, der das zweite Netzwerk vom ersten trennt, ist über DynDNS und Port 40443 erreichbar.
Der Lancom ist noch nicht erreichbar, auch wenn ich DynDNS schon eingerichtet habe.
------------------------------
Derzeitiges Problem
Aktuell versuche ich derzeit DynDNS am Lancom zum laufen zubekommen. Mit der CLI bin ich nicht ganz vertraut, konnte mir aber aus Schnippseln die Statusabfrage zusammenbasteln und habe festgestellt, dass das sehr einfach ist.
DynDNS ist bereits eingerichtet (siehe unten "Protokoll Lancom"), komme aber nicht so richtig dahinter, wieso ich ihn noch nicht erreiche.

Könnt ihr mir bitte weiterhelfen?
------------------------------
Geplant
Die beiden NAS via DynDNS erreichbar machen.
Vom Lancom habe ich ein Portforwarding auf die FritzBox und die Ports der zwei NAS eingerichtet. Im Portforwarding des Lancom habe ich als IP die der FritzBox aus dem Netzwerk des Lancom angegeben, was in dem Fall ja die LAN1-Buchse der FritzBox ist und nicht die als WAN bezeichnete Buchse.
In der FritzBox habe ich ebenfalls ein Portforwarding eingerichtet. Jedoch habe ich hier die IP's der zwei NAS genommen. Die Ports sind alle Unterschiedlich (kein Konflikt).
Ich vermute, bin mir aber nicht ganz sicher, das hier ein DNS Problem vorliegt.

Die Frage ist nun, wieso erreiche ich die noch nicht, obwohl mir diese den Status Normal mitteilen? Prüfen die evtl. nur, ob der austausch der sich geänderten externen IP klappt?
Habt ihr ideen dazu?
------------------------------
Protokoll Lancom

Time: 02/21/2020 16:49:46
Action: repeat:300
Result: timer started

Time: 02/21/2020 16:49:46
Action: dnscheck:xyz.test.eu
Result: 80.140.200.88

Time: 02/21/2020 16:49:46
Action: https://LoginName:Passwort@dyndns.strat ... ckmx=NOCHG
Result: locked (2059780 seconds remaining)

Time: 02/21/2020 16:44:47
Action: repeat:300
Result: timer started

Time: 02/21/2020 16:44:47
Action: https://LoginName:Passwort@dyndns.strat ... ckmx=NOCHG
Result: good 80.140.200.88

Time: 02/21/2020 16:44:46
Action: dnscheck:xyz.test.eu
Result: 80.140.200.88

Time: 02/21/2020 16:44:46
Action: https://LoginName:Passwort@dyndns.strat ... ckmx=NOCHG
Result: locked (2060080 seconds remaining)

------------------------------
Lösungsansätze
Kann ich dem Lancom DNS oder dem ReverseProxy (nicht sicher ob die einen RerverseProxy haben) beibringen, das wenn Anfragen bestimmter Namen eintreffen, diese auf eine IP des Netzwerkszeigen, in dem die zwei NAS sind?
Theoretisch müsste das doch gehen oder?

Eventuell benötige tipps wo ich die einzelnen Punkte vorfinde.
------------------------------

Ich Danke für Eure Mühen.

[Jirka]

Der Router, der das zweite Netzwerk vom ersten trennt, ist über DynDNS und Port 40443 erreichbar.

Also die FRITZ!Box. Ja, dann ist zumindest schon mal ein Teil funktional

Der Lancom ist noch nicht erreichbar, auch wenn ich DynDNS schon eingerichtet habe.

Was vermutlich an einer Einstellung unter
Konfiguration -> Management -> Admin -> Ports
oder
Konfiguration -> Management -> Admin -> Zugriffseinstellungen -> Konfigurations-Zugriffs-Wege -> Zugriffs-Rechte -> Von einer WAN-Schnittstelle
liegt.

Aktuell versuche ich derzeit DynDNS am Lancom zum laufen zubekommen. Mit der CLI bin ich nicht ganz vertraut, konnte mir aber aus Schnippseln die Statusabfrage zusammenbasteln und habe festgestellt, dass das sehr einfach ist.

Das hört sich allerdings nicht unbedingt vertrauenserweckend an.

Die Frage ist nun, wieso erreiche ich die [NASs] noch nicht, obwohl mir diese den Status Normal mitteilen?

Kommst Du denn aus dem ersten Netz, also dem Netz des LANCOMs vor der FRITZ!Box auf die NASs? Du müsstest also die IP-Adresse der FRITZ!Box im LAN des LANCOMs eingeben und den entsprechenden Port für das jeweilige NAS. Wenn das nicht klappt, stimmt irgendwas mit dem Portforwarding in der FRITZ!Box nicht (recht unwahrscheinlich) oder aber mit den NASs nicht, z. B. haben die vielleicht kein Standardgateway oder so, keine Ahnung.

Viele Grüße,
Jirka

[Snugel]

Jirka hat geschrieben: ↑
Samstag 22. Februar 2020, 15:33

Snugel hat geschrieben: ↑
Samstag 22. Februar 2020, 10:58
Der Router, der das zweite Netzwerk vom ersten trennt, ist über DynDNS und Port 40443 erreichbar.

Also die FRITZ!Box. Ja, dann ist zumindest schon mal ein Teil funktional

Richtig die FritzBox.

Jirka hat geschrieben: ↑
Samstag 22. Februar 2020, 15:33

Snugel hat geschrieben: ↑
Samstag 22. Februar 2020, 10:58
Der Lancom ist noch nicht erreichbar, auch wenn ich DynDNS schon eingerichtet habe.

Was vermutlich an einer Einstellung unter
Konfiguration -> Management -> Admin -> Ports
oder
Konfiguration -> Management -> Admin -> Zugriffseinstellungen -> Konfigurations-Zugriffs-Wege -> Zugriffs-Rechte -> Von einer WAN-Schnittstelle
liegt.

Ja, du hattest recht. Es waren zwar nicht die Ports aber die Zugriffsrechte.

Jirka hat geschrieben: ↑
Samstag 22. Februar 2020, 15:33

Snugel hat geschrieben: ↑
Samstag 22. Februar 2020, 10:58
Aktuell versuche ich derzeit DynDNS am Lancom zum laufen zubekommen. Mit der CLI bin ich nicht ganz vertraut, konnte mir aber aus Schnippseln die Statusabfrage zusammenbasteln und habe festgestellt, dass das sehr einfach ist.

Das hört sich allerdings nicht unbedingt vertrauenserweckend an.

Worauf spielst du bitte an?

Jirka hat geschrieben: ↑
Samstag 22. Februar 2020, 15:33

Snugel hat geschrieben: ↑
Samstag 22. Februar 2020, 10:58
Die Frage ist nun, wieso erreiche ich die [NASs] noch nicht, obwohl mir diese den Status Normal mitteilen?

Kommst Du denn aus dem ersten Netz, also dem Netz des LANCOMs vor der FRITZ!Box auf die NASs? Du müsstest also die IP-Adresse der FRITZ!Box im LAN des LANCOMs eingeben und den entsprechenden Port für das jeweilige NAS. Wenn das nicht klappt, stimmt irgendwas mit dem Portforwarding in der FRITZ!Box nicht (recht unwahrscheinlich) oder aber mit den NASs nicht, z. B. haben die vielleicht kein Standardgateway oder so, keine Ahnung.

Darum werde ich mich Morgen kümmern.

[Snugel]

Guten Tag.

Entschuldigt meine Verspätung. Bin aus der waagerechte Position wieder in die vertikale Position gekommen.

@Jirka
Nein, ich komme nicht vom Netzwerk des Lancom (192.168.87.0) in das Netzwerk der FritzBox (192.168.82.0).

In der FritzBox habe ich jedoch die Route ins Netz des Lancom und auch im Lancom habe ich die Route ins Netz der FritzBox eingetragen. Die FritzBox hat die IP 192.168.87.2 vom Lancom als statische IP-Adresse anliegen.
Die Fritzbox hat im eigenen Netz die IP 192.168.82.1.
Der Lancom hat im eigenen Netz die IP 192.168.87.1.

Ich habe diesbezüglich noch ein Bild mit beigelegt.

[Jirka]

In der FritzBox habe ich jedoch die Route ins Netz des Lancom und auch im Lancom habe ich die Route ins Netz der FritzBox eingetragen.

Die beiden Routen kannst Du streichen. In der Konstellation, wie Du es jetzt hast, macht die FRITZ!Box NAT. Was Du also brauchst, sind, wie schon geschrieben, Portforwardings in der FRITZ!Box, und zwar für jede NAS. Beispiel: Ein NAS hat die IP-Adresse 192.168.82.100. Dann legst Du in der FRITZ!Box ein Portforwarding (z. B.) für den Port 5.001 an. Jetzt kommst Du vom LANCOM-Netz aus über die 192.168.87.2:5001 auf die NAS mit der IP-Adresse 192.168.82.100. Für das zweite NAS nimmst Du dann z. B. den Port 5.002 (weil 5.001 ja schon vergeben ist für den ersten) und mapst den auf 5.001.

Viele Grüße,
Jirka

[Snugel]

OK. Portforwarding war schon eingerichtet und aktiv in der Fritzbox. Der Zugriff ist aber vom Lancom-Netz nicht möglich.

[Jirka]

Dann machst Du irgendwas falsch. Die Konfiguration der Portforwardings in der FRITZ!Box ist auch nicht mehr ganz trivial, durch die dort vorgegebenen Bezeichnungen/Dienste, aber vielleicht solltest Du das noch mal prüfen oder prüfen lassen, weil ein Portforwarding eben genau das macht und wenn das nicht geht, dann stimmt da was nicht.
Bitte prüfe ggf. ein Portforwarding auf andere einfache Geräte, damit Du evt. Probleme mit Deinen NASs ausschließen kannst. Unter Umständen kann es sein, dass bei Deinen NASs erst ein Zugriff von anderen Netzen erlaubt sein muss, ich weiß es nicht.

Viele Grüße,
Jirka

[Snugel]

Hallo,

ich habe einen Tippfehler in der IP-Adresse gehabt. Ich habe ihn entfernt und kann nun vom Netz des Lancom auf das Netz der FritzBox zugreifen. Es klappt auch, das ich auf die NAS komme mit der Portfreigabe.
Stehe ich nur noch vor der Herausforderung, vom Internet auf die NAS zu kommen. Dafür habe ich den Quell-Port, die Ziel-IP und den Ziel- bzw. Mapping-Port in die Forwarding Tabelle eingetragen.
Ich glaube, ich muss noch sicherstellen, dass die DNS-Namen weitergeleitet werden die ich im Internet benutze um auf die Geräte zu zugreifen. Also so was wie Alias-Namen.

[Jirka]

Stehe ich nur noch vor der Herausforderung, vom Internet auf die NAS zu kommen. Dafür habe ich den Quell-Port, die Ziel-IP und den Ziel- bzw. Mapping-Port in die Forwarding Tabelle eingetragen.

Konkret?

Ich glaube, ich muss noch sicherstellen, dass die DNS-Namen weitergeleitet werden die ich im Internet benutze um auf die Geräte zu zugreifen. Also so was wie Alias-Namen.

Nein, musst Du nicht.

[Snugel]

Snugel hat geschrieben: ↑
Samstag 14. März 2020, 19:58
Stehe ich nur noch vor der Herausforderung, vom Internet auf die NAS zu kommen. Dafür habe ich den Quell-Port, die Ziel-IP und den Ziel- bzw. Mapping-Port in die Forwarding Tabelle eingetragen.

Konkret?

Also ich schaffe es auf den Lancom und die FritzBox über DynDNS. Aber hinter die FritzBox gehts nicht. Aus letztem Fehler habe ich gelernt und aus dem Grund vorsorglich alles nach Tippfehlern kontrolliert. Weitere sind mir nicht aufgefallen.

[Jirka]

Ich meinte mit konkret, wie sieht Anfangs-Port, End-Port, Gegenstelle, Intranet-Adresse, Map-Port, Protokoll und WAN-Adresse Deiner Port-Forwarding-Einträge aus.

[Snugel]

Sorry für die sehr, sehr späte Rückmeldung.

Der Vollständigkeithalber will ich es dem Forum nicht vorenthalten. Aus dem Grund liefere ich das noch nach.

Anfangs-Port: 443
End-Port: 443
Gegenstelle: kein Eintrag selektiert
Intranet Adresse: Ziel-IP des Geräts
Map-Port: könnte ich zwar leer lassen, habe aber 443 drinnen stehen.
Protokoll: TCP
WAN-Adresse: 0.0.0.0
Kommentar: Ist natürlich nicht leer.

[Jirka]

Ein einziges Portforwarding? Für zwei NAS? Das ist offensichtlich etwas wenig...
Wieso wählst Du die Gegenstelle nicht aus? Damit wäre das Portforwarding eindeutig an selbige gebunden.
Was ist "Ziel-IP des Geräts"? Welche IP welches Gerätes?
Ist bei Dir unter Konfiguration -> VPN -> IPsec-over-HTTPS annehmen angehakt?

[Snugel]

Ein einziges Portforwarding? Das ist offensichtlich etwas wenig...

Natürlich nicht nur ein Portforwarding sondern 12. Ich habe eben gedacht, das ein Bsp. reicht. Wieso sollte ich 12x das selbe Schema niederschreiben?

Wieso wählst Du die Gegenstelle nicht aus? Damit wäre das Portforwarding eindeutig an selbige gebunden.

Gegenstelle habe ich nun ausgewählt.

Was ist "Ziel-IP des Geräts"? Welche IP welches Gerätes?

Die Ziel-IP ist die IP an die das Portforwarding gerichtet ist. Ziel-IP ist nur ein Platzhalter für eine Zahlenfolge, die aus je vier Okteten besteht. Jedes Oktet, ist dabei durch einen Dezimalpunkt getrennt. Als Ziel-IPs sind bspw. die IPs vom NAS01 und NAS02 und einer FritzBox für den Platzhalter in mehreren, aber für jedes Portforwarding einzigartigen Forwarding-Regel eingetragen.

Ist bei Dir unter Konfiguration -> VPN -> IPsec-over-HTTPS annehmen angehakt?

Nein hatte ich noch nicht. Ist nun aber der Fall.

Vielen Dank schonmal an der Stelle für die reichliche hilfe.

[Jirka]

Natürlich nicht nur ein Portforwarding sondern 12.

Hätte man dann ja auch mal erwähnen können. Weil die weiteren Portforwardings dann ja etwas anders aussehen, z. B. dann doch die Angabe eines Map-Ports notwendig ist (insbesondere in der FRITZ!Box).

Ich habe eben gedacht, das ein Bsp. reicht. Wieso sollte ich 12x das selbe Schema niederschreiben?

Weil ja einige Portforwardings offensichtlich nicht funktionierten. Und irgendwodran muss es ja liegen. Und offensichtlich ändert sich Deine Ziel-IP ja ab und an, was ich an einem Beispiel schlicht nicht erkennen kann, dass diese je nach Portforwarding anders ist.
Außerdem habe ich nicht gesagt, dass Du alle 12 niederschreiben sollst.

Die Ziel-IP ist die IP an die das Portforwarding gerichtet ist.

Ach ne.

Ziel-IP ist nur ein Platzhalter für eine Zahlenfolge, die aus je vier Okteten besteht. Jedes Oktet, ist dabei durch einen Dezimalpunkt getrennt.

Geht es noch unkonkreter? Was die Leute hier manchmal für ein Problem haben, private IP-Adressen preis zu geben, das wundert mich immer wieder aufs Neue. Unglaublich.
Was eine IP-Adresse ist, weiß ich übrigens. Und ich habe auch noch nie ein Portforwarding gehabt, was nicht funktioniert hat, wie es sollte. Du hingegen anscheinend ja, insofern wäre es ja vielleicht sinnvoll gewesen, hier mal zu schreiben, was Du gemacht hast, damit man Fehler erkennen kann.

Als Ziel-IPs sind bspw. die IPs vom NAS01 und NAS02

Was schon mal falsch ist, denn der LANCOM kennt nur die FRITZ!Box, aber nicht die NAS01 und NAS02!
Die FRITZ!Box leitet dann weiter an diese IPs, ja. Aber nicht der LANCOM.

Nein hatte ich noch nicht. Ist nun aber der Fall.

Habe ich gesagt, dass Du das einschalten sollst? Wenn Du jetzt gesagt hättest, dass das eingeschaltet ist, dann hätte ich Dir den Tipp gegeben, nicht den Port 443 zu verwenden (oder das auszuschalten, wenn Du es nicht brauchst).
(Also schalte es wieder aus.)

Vielen Dank schonmal an der Stelle für die reichliche hilfe.

Ja, gerne geschehen, meine Geduld ist jetzt aber am Ende, sorry.

Viele Grüße,
Jirka