FRITZ!Box: Wenn VPN an, dann DNS aus

[computerfrust]

Bei meiner FRITZ!Box 7330 mit entsprechend neuester Firmware (6.30) habe ich folgendes Problem:

Wenn man das Häkchen bei einem eingerichteten VPN-User setzt und die Änderung übernimmt, funktioniert mein LAN-interner DNS-Server (DNSMASQ) nicht mehr. Seine Upstream-Anfragen werden von der FRITZ!Box nicht mehr verarbeitet.

Wenn die Clients statt beim internen DNS-Server direkt bei der FRITZ!Box anfragen, dann werden die Anfragen beantwortet.

Ich vermute, dass AVM es da etwas zu gut gemeint hat und eine undokumentierte Sicherung eingebaut hat.

Edit: Problem gelöst!
Die FRITZ!Box spendiert dem VPN-Client eine lokale Netzwerkadresse, und zwar ungefragt die allererste, die um 1 höher ist als die letzte vom User erlaubte DHCP-IP. Und zwar unabhängig davon, ob sie bereits belegt ist. In meinem Fall war sie belegt vom DNS-Server.
Ein Unding, was AVM sich da wieder erlaubt, da weiß beim Programmieren wohl die eine Hand nicht was die andere tut.
Falls jemand jemals ein ähnliches Problem haben sollte, hoffe ich geholfen zu haben.
PS: FRITZ!Box musste zudem neu gestartet werden, ein bloßes Ändern der DHCP-Range im laufenden Betrieb reichte nicht aus...

 

[blackshuck]

dann melde avm doch bitte diesen fehler!

btw: das die fritzbox dem client eine ip gibt, die direkt hinter der dhcp-range liegt, steht so auch in einer anleitung zum vpn einrichten auf der avm-homepage. die doppelbelegung ist natürlich unschön
trotzdem gut das du den fehler gefunden hast. ich werds mir für mein vpn merken

 

[Raijin]

Dein Edit ist nicht so ganz klar.

Ein DHCP-Server vergibt IP-Adressen aus seinem Pool stets aufsteigend, also wenn die Range von .100 bis -.200 geht, dann bekommt der erste Client, der per DHCP nach einer IP fragt, die .100, der nächste die .101, usw. Wenn der DHCP anhand der MAC-Adresse des Clients merkt, dass dieser vom letzten Mal noch eine gültige reservierte IP aus dem Pool hat, bekommt er diese.

Was ein DHCP-Server NICHT tut, ist zu prüfen ob eine IP-Adresse belegt ist oder nicht. Ein DHCP-Server führt gewissermaßen nur eine simple Liste mit MAC, IP und Ablaufdatum. Wenn man im obigen Beispiel zB ein NAS manuell auf die .110 setzt, dann knallt es genau dann, wenn der DHCP-Server einem neuen Client die .110 zuteilt.

Niemals sollte man also eine IP-Adresse aus dem DHCP-Pool irgendwo manuell eintragen, niemals nie nich. Tut man es doch, ist es nur eine Frage der Zeit bis ein IP-Konflikt auftritt, weil sich der DHCP wie gesagt einen Teufel darum schert ob eine IP unbelegt ist oder nicht. Taucht die IP in seiner Liste nicht auf, ist sie für ihn frei, so einfach macht er sich das

 

[computerfrust]

In deinem Beispiel hätte ich manuell für meinen DNS-Server (LAN-Gerät) .201 angefordert (vom Server aus), um außerhalb von DHCP zu liegen. Die FRITZ!Box hätte bei einer VPN-Einrichtung über die Web-Oberfläche ebenfalls .201 genommen (offenbar hard-coded, dass einfach DHCP-Ende + 1 genommen wird). Da beide Geräte, VPN und LAN-Gerät zeitgleich dieselbe IP haben, kommt es zu Problemen.

 

[Raijin]

Aso! Hossa, das ist in der Tat ein Bug bzw. AVM riskiert damit unweigerlich IP-Konflikte. Es wäre ok, wenn sich die Fritze für das VPN eine DHCP-IP holt oder wenn man manuell eine IP aus dem LAN vergeben könnte, aber eiskalt DHCP.MAX+1 ist sehr strange. Ich frage mich was wohl passiert, wenn man die DHCP-Range auf -.254 setzt. Evtl. knallt die Fritzbox den VPN-Adapter dann auf die Broadcast-Adresse - lol

Wenn dem wirklich so ist - ich kann es mangels Fritzbox ja nicht testen - dann solltest du das in der Tat dem AVM-Support melden. Sowas muss mindestens dokumentiert sein und in der Anleitung beispielsweise als Hinweis-Box auftauchen. Dann kann man sich immerhin darauf einstellen, wenn man das im Handbuch liest. Bessere wäre aber eine DHCP-IP oder zB bei deaktiviertem DHCP eine einstellbare IP.

 

[Sc0rc3d]

Hi,

also die FRITZ!Box vergibt hierbei bei einer VPN-Verbindung wahrlich immer eine IP-Adresse nach dem
DHCP-Bereich, passt diese aber auch individuell an, wenn man bspw. den DHCP-Bereich verändert (dann
bekommen auch alle eingerichteten VPN-Benutzer eine neue IP-Adresse, außerhalb des DHCP-Bereiches).

Wenn du den DHCP-Bereich bis .254 setzt funktioniert übrigens die VPN-Verbindung nicht mehr, da du
keinen Pre-Shared Key angezeigt bekommst.

Aber zurück zum Thema. Einen Bug bei AVM sehe ich hierbei aber nicht. Lasse mich aber gern vom
Gegenteil überzeugen. Das "Problem" hierbei war doch, dass der TE seinem DNS-Server eine feste
IP-Adresse (außerhalb des DHCP-Bereiches) im Server selbst manuell konfiguriert hat, wenn
ich es richtig verstanden habe. Grundsätzlich nicht schlimm aber damit war das Gerät der
FRITZ!Box ja nicht bekannt. Dabei hätte er es nur auf der Benutzeroberfläche der FRITZ!Box
unter: "Heimnetz > Netzwerk" bei "Gerät hinzufügen" angeben müssen, um IP-Adresskonflikte
zu vermeiden. Dafür ist diese Funktion doch (mit unter) da.

Ansonsten wird die IP-Adresse übrigens auch ohne Hinzufügen übersprungen. Ich habe testweise
einem Gerät im LAN die 214 zugewiesen (mein DHCP-Pool ist 180-210). Habe dann vier
Verbindungen angelegt und es waren .211,212,213 und 215. Läuft also wie es soll. Gestestet
mit FRITZ!Box 7490 @ 6.30.

Gruß
Sc0rc3d