blurrrr
Well-known member
Von Haus aus nutzt die Syno die selbstsignierten Zertifikate. Wenn da was via Lets Encrypt bezogen wurde, hast Du das auch dem entsprechenden Dienst zugewiesen?
Wireguard Site-to-Site: DNS im Zielnetz ändern
- Ersteller Fritz Fritzl
- Erstellt am
Fritz Fritzl
New member
Danke dir, so dachte ich mir das auch.
Siehe Bild
Die Fehlermeldungen bei Synology sind häufig Quatsch bzw. schlecht übersetzt. Die Fehlermeldung aus dem Screenshot erhält man, wenn es kein Zertifikat gibt oder das Zertifikat nicht der Domain zugeordnet werden kann.
Da ich vorher ohne Zertifikate unterwegs war und mir das Wegklicken der Browser-Warnungen auf den Geist ging, habe ich die Lösung mit LE-Zertifikat und DNS-Rewrites aufgebaut. Seitdem diese läuft, komme ich ohne Zertifikatswarnungen auf meine Geräte und auch ABB verbindet sich ohne Probleme.
Es gibt aber eine Einschränkung: wenn ich von aussen (also sagen wir mit meinem Laptop per Handy-Hotspot) per VPN mit dem Heimnetz verbunden bin (im Wireguard eingetragener DNS: "192.168.10.88"), werden die FQDNs korrekt zu ihren IPs aufgelöst. Wenn ich aber zugleich per VPN mit der Aussenstelle verbunden bin (im Wireguard eingetragener DNS: "IP.von.Aussenstelle.Fritzbox, fritz.box"), funktioniert genau das nicht mehr. Ich denke in meiner laienhaften Unbeholfenheit, dass das etwas mit Metriken zu tun hat.
Ja, habe ich! Ist auch das Standard-Zertifikat und einzige Zertifikat.
Zuletzt bearbeitet:
Barungar
Well-known member
Bzw. damit versetzt Du das Konstrukt in eine Situation, in der es mehr als einen DNS-Server "gibt" und diese auch noch unterschiedliche Antworten liefern. Könnte es sein, dass dann der DNS gewinnt, der die externe IP liefert und dann einfach der Zugriff nicht funktioniert?
Fritz Fritzl
New member
Ich bin doch aber bestimmt nicht der einzige Nutzer, der gelegentlich mal von einem Client aus zu 2 VPNs verbunden ist? Das soltle doch ein lösbares Problem sein, oder nicht?
Ah ok, Danke
blurrrr
Well-known member
Naja, ich mach sowas nicht und ich wüsste auch nicht wozu... Ich bin auch nie gleichzeitig in 2 Häusern, also von daher...
Falls es aber um die Konstellation 2 Remote-Netze "gleichzeitig" im Zugriff zu haben, kommt es auf die Konstellation an. In der Regel sind diese dann sowieso einfach via Site2Site-VPN verbunden, somit kennen die Router auch die entsprechenden Routen in die anderen Netze, da reicht es dann normalerweise auch, wenn man sich an "einem" Standort einwähl und das Routing zum zweiten Standort einfach mit über die "eine" vorhandene Client-Verbindung abfackelt.
Kurzum: Eine Verbindung zu Standort A, wobei da direkt noch die Route mit zu Standort B mitgegeben wird, fertig. Zumindestens hat sowas mal mit Fritzboxen und dem Shrewsoft-VPN-Client funktioniert.
Barungar
Well-known member
Also ich wüsste nicht, wann ich mich mal mit einem Client in zu zwei VPNs verbunden hätte... wozu auch?
Von einer Firewall mehrere VPN-Tunnel zu anderen Standorten... das ist was anderes. Aber von einem Client zu mehr als einen VPN. Ich wüsste nicht wann.
Das Hauptproblem an der Stelle ist aber auch eher, dass die DNS-Informationen nicht durchgängig einheitlich sind. Weg A liefert Antwort A und Weg B liefert Antwort B. Sowas sollte man unbedingt vermeiden.
Da Du scheinbar ein wildcard Zertifikat hast, wieso nicht einfach einen minimal anderen FQDN für den internen Zugriff?
Von einer Firewall mehrere VPN-Tunnel zu anderen Standorten... das ist was anderes. Aber von einem Client zu mehr als einen VPN. Ich wüsste nicht wann.
Das Hauptproblem an der Stelle ist aber auch eher, dass die DNS-Informationen nicht durchgängig einheitlich sind. Weg A liefert Antwort A und Weg B liefert Antwort B. Sowas sollte man unbedingt vermeiden.
Da Du scheinbar ein wildcard Zertifikat hast, wieso nicht einfach einen minimal anderen FQDN für den internen Zugriff?
Fritz Fritzl
New member
Es ist ja eher, als würde man mit 2 Leuten in ihren jeweiligen Häusern zugleich TelefonierenNaja, ich mach sowas nicht und ich wüsste auch nicht wozu... Ich bin auch nie gleichzeitig in 2 Häusern, also von daher...
Weil ich sowohl Wartungsarbeiten an Geräten in dem einen als auch dem anderen Netz durchführen möchte beispielweise.
Das würde mir vermutlich genügen, lässt sich so etwas mit Wireguard auf der Fritzbox realisieren?
Und wie lässt sich das verhindern, ausser indem man niemals 2 VPN zugleich aktiv hat?Weg A liefert Antwort A und Weg B liefert Antwort B. Sowas sollte man unbedingt vermeiden.
Könntest du das näher erläutern oder mir dazu Lesematerial verlinken?
blurrrr
Well-known member
Indem man das entsprechende Netz noch mit übergibt (vermutlich in der Config, aber k.A., ich mach sowas nur via IPSec, nicht mit Wireguard).
Zum Beispiel indem man bei einer Verbindung eben "keinen" DNS mit übergibt, oder einfach nur eine Verbindung nutzt.
Fritz Fritzl
New member
Das probiere ich mal, evtl. geht das über das Config-File von Wireguard.
Wenn ich jetzt VPN-Zuhause den DNS 192.168.10.88 mitgebe und VPN-Aussenstelle keinen DNS mitgebe, wird doch VPN-Aussenstelle unbenutzbar?
blurrrr
Well-known member
Warum das? Solange Du die Dinge dort nur mit Namen ansprichst (oder im Adguard auch div. Dinge dafür hinterlegt hast), sollte das alles passen. Hab ich hier teils auch so laufen... Von div. Standorten werden div. DNS-Zonen zu mir auf's NAS gesynct. Ich frage einfach nur mein NAS, das liefert mir entsprechende IPs aus den Remote-Netzen und fertig (Routing halt durch div. VPN-Tunnel (Site-to-Site)).
Kannst diesbezüglich vermutlich mal hier schauen: https://en.avm.de/service/knowledge...ss-multiple-IP-networks-behind-the-FRITZ-Box/
Fritz Fritzl
New member
Dann habe ich da ein Verständnisproblem
Wenn ich für VPN-Aussenstelle keinen DNS angebe, wer wird denn dann befragt?
Vielen Dank!
blurrrr
Well-known member
Das was Du hinterlegt hast. Hinterlegst Du nichts, dann der normal eingetragene DNS beim Client. Übergibst Du einen DNS mittels Wireguard-Config, dann wird dieser gefragt. Hier ein kleines Beispiel:
VPN-Verbindung Standort A: Inklusive DNS
VPN-Verbindung Standort B: ohne DNS (es wird der von Standort A genutzt)
VPN-Verbindung Standort C: ohne DNS (es wird der von Standort A genutzt)
Das kannst Du mit verschiedenen Domains machen, oder alternativ halt einfach Subdomains z.B. in Form von "nas.a.domain.tld", das könnte dann z.B. so aussehen:
oder eben mit eigenen Domains:
Also "gestalten" kannst es ganz wie Du möchtest, nur muss der befragte DNS darüber halt auch Bescheid wissen bzw. auch die korrekten Antworten liefern
Der "Nachteil" dabei ist dann halt, dass Du immer die Verbindung zu Standort A haben musst bzgl. der DNS-Auflösung, sonst funktioniert das nicht. Hast Du lediglich eine Verbindung zu Standort B, erreichst Du natürlich den DNS an Standort A nicht (der in diesem Szenario dann aber auch garnicht mit übergeben wird, weil dies nur bei der Einwahl zu Standort A der Fall ist).Fritz Fritzl
New member
Ich habe nun in Wireguard für Windows die Config wie folgt angepasst (2tes Netzwerk hinzugefügt):
Code:
[Interface]
PrivateKey = MyPrivKey
Address = 192.168.10.230/24
DNS = 192.168.10.88
[Peer]
PublicKey = MyPubKey
PresharedKey = MyPSK
AllowedIPs = 192.168.10.0/24, 192.168.100.0/24
Endpoint = mein.ddns.org:54033
PersistentKeepalive = 25Somit kann ich (ohne eine statische Route in einer der Fritzboxen zu haben!) auch auf das 100er Aussenstellen-Netzwerk zugreifen, wenn ich per Wireguard mit dem 10er Heim-Netzwerk verbunden bin. Das ist schon mal super, auch wenn es gar nicht der Sinn des Threads war, also vielen Dank
Ich werde nun probieren, wie sich die Verbindung von Aussenstellen-NAS zu Heim-Backup-NAS verhält, wenn ich die hosts-Datei des Aussenstellen-NAS anpasse.
Fritz Fritzl
New member
Korrektur: ich werde das nicht probieren, 1. weil direkt beim Öffnen der Hosts-Datei gewarnt wird, dass diese bei einem System-Upgrade wieder zurückgesetzt wird und 2. weil mein Problem woanders liegen muss.
Wenn ich nämlich vom Aussenstellen-NAS per nslook das Zuhause-Backup-NAS suche, wird der FQDN bereits korrekt aufgelöst:
Wenn ich nun das Aussenstellen-NAS per ABB Agent zum Zuhause-Backup-NAS verbinde, erhalte ich keine Zertifikatswarnung mehr und kann verbinden. Bei Hyper Backup hingegen bekomme ich einen Zertifikatsfehler!
Was kann ich also noch tun?
