Merkwürdiges verhalten vom Netzwerkverkehr (NAS) im Heimnetzwerk

[TimTaylorX]

Guten Morgen Zusammen,

ich habe seit ein paar Tagen ein Problem zu Hause, dem ich nicht wirklich auf die Spur komme. Nun wollte ich es mal mit euch teilen, eventuell hat jemand eine Idee was da los sein könnte.

Kurz mal mein Aufbau zu Hause:
Ich habe ein Windows NAS im Einsatz, auf diesem laufen mehrere Dienste (Nextcloud, Teamspeak, Emby usw.), dieses ist über CableCom mit dem Internet verbunden und hat diverse Portfreigaben (+Weiterleitungen im Router). Das NAS aktualisiert eine Top-Level Domain von SelfHost, diese ist auch normal connected.

Mein Problem:
Seit einigen Tagen kann ich selbst von meinem Notebook im selben Netzwerk nicht mehr auf die Dienste per Domain zugreifen. Das äußert sich z.B. so was ich mit ts.domain.de auf meinen Teamspeak connecte, dann sehe ich meine Channel, kann mich aber nicht bewegen und werde wieder disconnected nach ein paar Sekunden, das verhält sich dann wie ein Loop. Connecte ich mit der internen IP funktioniert es ohne Probleme. Auch wenn ich versuche meine Cloud im Browser aufzurufen, läd die Seite zwar aber wahnsinnig langsam. Lustiger wird es noch bei einer RDP Verbindung, ich sehe kurz den Desktop und danach ein paar "Pixel-Klötzchen", dann werde ich disconnected. Mit der internen IP funktioniert es wieder ganz normal. Das beste ist aber, wenn ich von unterwegs mit dem Handy oder an einem anderen PC das ganze versuche, klappt alles ganz normal. Auch meine Freunde haben keine Probleme mit TS oder der Cloud. Das Problem besteht auch wenn ich das Notebook über WLAN anstatt Kabel verbinde.

Was ich versucht habe:
Ich habe den Router und Switch neugestartet (bzw. 30 Min vom Strom gehabt) und die Firewall des NAS geprüft. Auf dem Notebook wurde nichts installiert und auch sonst keine Konfiguration vorgenommen, letzte Woche ging das noch alles. Ich habe auf dem Notebook auch einen flushdns gemacht, hat nichts gebracht. Auch z.B. das iPad weisst die selben Probleme zu Hause auf, scheint also gar nicht am Notebook zu liegen.

Hat jemand eine Idee was das sein könnte?

 

[meph!sto]

...
Ich habe den Router und Switch neugestartet (bzw. 30 Min vom Strom gehabt) und die Firewall des NAS geprüft...

Hast du mal dein NAS neugestartet ?

 

[Madman1209]

Hi,

offenkundig stimmt etwas netzintern mit der Namensauflösung nicht. Welchen DNS Server nutzt du? NAS wurde auch mal neu gestartet?

VG,
Mad

 

[cc_aero]

Also du möchtest aus deinem internen Netz auf deine öffentliche tld zugreifen?
Das funktioniert oft nicht zuverlässig, in Abhängigkeit vom Router (der sollte dafür nat-reflection können).

Ich hab das so gelösten das ich auf meinem Homeserver einen eigenen DNS betreibe und die öffentliche Domain anlegen und dort dann die interne Adresse des Servers eintrage. Der interne DNS muss natürlich per DHCP den clienten bekannt gegeben werden. Der DNS Server wiederum sollte aber nicht öffentlich erreichbar sein.

 

[revan.]

Ohne deinen konkreten Netzwerkaufbau zu kennen ist das hier raten.

 

[TimTaylorX]

Achso ja natürlich das habe ich vergessen zu schreiben, das NAS wurde auch neugestartet. Der DNS ist die IP des Routers, also quasi die üblichen Einstellungen.

Also du möchtest aus deinem internen Netz auf deine öffentliche tld zugreifen?
Das funktioniert oft nicht zuverlässig, in Abhängigkeit vom Router (der sollte dafür nat-reflection können).

Ich hab das so gelösten das ich auf meinem Homeserver einen eigenen DNS betreibe und die öffentliche Domain anlegen und dort dann die interne Adresse des Servers eintrage. Der interne DNS muss natürlich per DHCP den clienten bekannt gegeben werden. Der DNS Server wiederum sollte aber nicht öffentlich erreichbar sein.

Hm das komische ist einfach das es bisher immer funktioniert hat, ohne so eine extra Lösung und plötzlich macht es Probleme.

 

[cc_aero]

Was für einen Router verwendest du? Einem vom Provider gestellten? Wenn ja, vl hat er ein update eingespielt und configs verändert welches als Nebenwirkung nat reflection unterbindet.
Am besten fährst du auf die Dauer mit einem eigenen internen DNS Server, wenn du deinen Server intern wie extern über die gleiche Domain erreichen willst... So meine Erfahrungen mit dem Thema.

 

[TimTaylorX]

Ja das ist der Kabel-Router von UPC, ich meine das Schimpft sich ConnectBox. Hm da muss ich mich mal schlau machen wie man das konfiguriert.

 

[FranzvonAssisi]

Nach DNS-Rebind-Schutz oder NAT-Loopback suchen und evtl. deaktivieren bzw. deine Domain eintragen in Ausnahmen.

Eventuell gab es ein Update und diese Funktion wurde (sinnvollerweise) hinzugefügt.

Bitte mache mal einen "nslookup deine.domain" und "ping deine.domain" in der Eingabeaufforderung & poste das Ergebnis.

Lg

PS: Ein genaues Modell vom Router könnte nicht schaden. Du bist dir sicher, dass der Hairpinning / Nat-Loopback unterstützt?

 

[TimTaylorX]

Also ich bin gerade nicht zu Hause, aber das Teil heisst UPC ConnectBox. Ich denke mal sie konnte das bis letzte Woche, schliesslich lief das alles seit Februar ohne Probleme

Leider hat diese Box echt mässige Einstellungen, der Schrott kann nicht mal DynDNS. Vlt wurde das einfach per Software-Update deaktiviert...verstehe aber auch nicht warum es dann connected oder langsam funktioniert. Solle das Loopback nicht gehen, dürfte das doch überhaupt nicht erreichbar sein oder?

 

[Raijin]

@FranzvonAssisi hat's schon geschrieben: NAT-Loopback. Wenn man von innerhalb des Netzwerks die öffentliche IP des Routers ansteuert, kommt es auf den Router bzw. dessen Konfiguration an ob dieser das überhaupt zulässt. Das ganze nennt sich NAT-Loopback und dann behandelt der Router den Traffic, der eigentlich von innen kommt, wie Traffic, der von außen kommt. Das heißt im Klartext, dass JEDES Datenpaket von deinem PC zum Router geht, dort im WAN-Port gewissermaßen um 180° gedreht wird und anschließend die komplette NAT-Pipeline durchläuft, inkl. Portweiterleitung und Firewall. Selbst wenn also dein Server und dein PC 30 cm nebeneinander am selben Switch hängen, wird die Verbindung dann vollständig über den Router geleitet. Bei TeamSpeak mag das noch unerheblich sein, aber sobald du über denselben Weg auch Daten kopierst, kann es eben auch passieren, dass der Router bei der NAT- bzw. WAN<->LAN-Performance schlapp macht und eben nicht die volle Übertragungsrate bieten kann wie es bei einer direkten Verbindung über LAN zwischen PC und Server der Fall wäre.

Grundsätzlich rate ich daher eher davon ab, mit NAT-Loopback zu arbeiten, wenn es nicht aus welchen Gründen auch immer bewusst gewollt ist. Besser ist da ein benutzerdefinierter Eintrag im DNS-Server (also dem Router oder ggfs einem DNS wie pihole auf einem Raspberry PI oder oder oder). Dieser Eintrag beinhaltet dann für blabla.meine.ddns.domain die lokale IP des Servers. So wird der PC dann zwar mit blabla.meine.ddns.domain verbinden, aber der DNS gibt nicht die öffentliche IP des Routers zurück (was zu oben erwähntem Verbindungsprozess führt), sondern die lokale IP des Servers. Somit wird der komplette Traffic anschließend nur noch lokal über die Switches laufen und je nach Netzwerkaufbau nach der DNS-Anfrage nie wieder beim Router vorbeikommen, weil die Daten direkt von Switch-Port zu Switch-Port gehen.

*edit
Bietet der Router unter Umständen keine Möglichkeit, manuelle Einträge im DNS-Server einzugeben, kann man auch die hosts-Datei des Client-PCs bearbeiten. Im Prinzip ist das auch dasselbe was der Router bei sich im DNS tun würde, den individuellen Eintrag in die hosts-Datei des Routers schreiben. Die hosts-Datei wird vom Betriebssystem in der Regel vor allen anderen Mechanismen zur Namensauflösung herangezogen. Wenn also "192.168.1.234 blabla.meine.ddns.domain" in der lokalen hosts-Datei steht, wird dafür gar nicht erst ein DNS-Request erstellt, sondern direkt diese IP benutzt.

Alternativ kann man sich auch ganz einfach angewöhnen, von daheim den Server mit dem lokalen Netzwerknamen bzw. der lokalen IP anzusprechen. Die meisten Programme, die Server-Verbindungen herstellen, haben ein Adressbuch oder zumindest eine Historie wo man von unterwegs (zB Hotel) ganz einfach auf den Eintrag mit blabla.meine.ddns.domain klicken kann und von daheim eben auf den darunter mit der lokalen IP, fertig, aus

 

[TimTaylorX]

Der Router bietet leider recht wenig an, ich war schon froh das Portweiterleitungen funktionieren. Toll ist auch das man eine Netzwerkanalyse machen kann und der Router meint ich hab was böses im LAN was die interne Kommunikation beeinflussen könnte...aber was es ist zeigt er nicht an xD. Monatelang lief alles normal und jetzt plötzlich nicht mehr, bin echt am überlegen ob ich einen neuen Router kaufe und das Teil in den BridgeModus versetze. Stellt sich dann nur wieder die Frage, welcher Router taugt was

 

[Raijin]

Wieso? Wenn der Router das tut was er soll und du keine speziellen Probleme hast, würde ich ihn nicht tauschen. "Never change a running system" kommt nicht von ungefähr. Consumer-Router leiden immer unter dem Umstand, dass sie zu 99% vom Hersteller hart vorkonfiguriert wurden und nur sehr wenige Einstellungen über die GUI zulassen. So ist zum Beispiel eine Portweiterleitung nur ein Wizard, eine automatische Oberfläche, die im Hintergrund NAT-Regeln erstellt sowie passend dazu Ausnahmen in der Firewall hinzufügt. Davon bekommt der Nutzer gar nichts mit. Die eigentliche Firewall ist für den Nutzer nicht mal sichtbar, geschweige denn veränderbar.

Sofern der Router aber abgesehen von der vorliegenden Problematik seinen Job zufriedenstellend erledigt, sehe ich keinen Grund für einen Tausch. Am Ende kann man sich damit nämlich auch andere Probleme ins Boot holen, die dann mit dem neuen Router auftauchen.

Da ich hoffentlich verständlich dargelegt habe was NAT-Loopback bedeutet und was die Nachteile sind - Vorteile sehe ich offen gestanden fast keine - kann ich daher nur nochmal dazu raten, andere Wege zu gehen. Wenn der Router wie in meinem edit angedeutet keine Möglichkeit bietet, einen manuellen DNS-Eintrag hinzuzufügen, kann man bei einer überschaubaren Anzahl an PCs wie erwähnt die hosts-Datei anpassen. Sollen allerdings auch Smartphone, Tablet und Co uuuunbedingt die DDNS-Domain nutzen, weil man keine Lust hat am Handy unterwegs und daheim "ständig" zwischen lokalem und mobilem Zugriff bzw. den dazugehörigen lokalen Namen/IPs bzw. der DDNS-Domain umzuschalten, stößt man mit dieser Methode schnell an Grenzen. Da Android und Co ohne Root-Rechte relativ zugenagelt sind, ist es nicht einfach oder gar unmöglich, die hosts-Datei zu ändern. An dieser Stelle kommt dann zB ein Raspberry PI für ~35€ ins Spiel, der einen DNS-Server hostet. Sogesehen kann man sogar noch günstiger fahren, wenn man einen 08/15 WLAN-Router mit OpenWRT, DD-WRT, o.ä. flasht und dann mittels der GUI oder im worst case via SSH die Änderungen am DNS vornimmt. Sobald dieser PI/xxWRT-Router dann als DNS im Netzwerk verteilt wird, kann er eben besagte DDNS-Domain mit der lokalen statt der WAN-IP beantworten und los geht's.

Wenn du dir die Anpassung der hosts-Datei nicht zutraust oder die Änderung auch bei Nicht-PCs greifen soll, du dich aber auch nicht an einen lokalen DNS-Server auf einem PI, o.ä. wagst, rate ich zu einer simplen Lösung: Verbinde dich lokal eben einfach mit der lokalen IP oder ggfs mit dem lokalen Netzwerknamen des Servers und NICHT mit der DDNS-Domain..........

 

[TimTaylorX]

Hm ich weiss nicht, der Router bzw. die Box tut ja scheinbar eben nicht mehr das was sie mal getan hat, ich vermute mal das der Provider daran gefummelt hat. Und da der Kram ja auch auf Handy und iPad laufen soll (Nextcloud Sync usw.), da fällt das Hostdatei Thema schon raus. Hmm ich muss mir da mal überlegen was ich nun mache...echt nervig wenn Sachen plötzlich nicht mehr gehen, die monatelang gelaufen sind.

 

[cc_aero]

Also wenn schon im Netzwerk ein Windows -Nas (Windows Server OS?) läuft würde ich, wie vorhin erwähnt dort ganz einfach einen DNS Server einrichten (Standard Windows DNS oder einen bind oder Powerdns) und auf diesen einen Zone für die externe Domain einrichten und diese Domain auf die interne IP zeigen lassen. Für alle anderen abfragen soll er an den Router forwarden.
Gleichzeitig würde ich den DHCP-server des Routers ebenfalls abschalten und am Windows-server einen DHCP konfigurieren. Dieser soll dann als DNS Server den eignen DNS Server übermitteln.
Somit hättest du das Problem ohne Geld auszugeben mit ein bisschen Konfigurationsaufwand behoben.
Und der Router macht Letzt endlich das was er am besten kann: Routen.

 

[Raijin]

Stimmt. Ich hatte überlesen, dass eh schon ein Windows Server - sei es nu mit Desktop- oder Server-Windows - als NAS zum Einsatz kommt. Dann kann man da natürlich auch gleich die DNS-Rolle hinschieben.

@TimTaylorX : Klar ist es nervig, wenn etwas lief und dann plötzlich nicht mehr. Was ich in meinen Ausführungen versucht habe darzustellen ist, dass dein bisheriger Weg aber grundsätzlich problematisch sein kann. Selbst wenn es jetzt also immer noch so funktionieren und der Thread sich um ein anderes Thema drehen würde, bestünde weiterhin die Empfehlung, den Weg über eine lokale IP, einen lokalen Namen oder einen manuellen DNS-Eintrag zu gehen.

Bei NAT-Loopback geht es nicht primär um das geht/geht nicht, sondern auch darum, dass man innerhalb eines Netzwerks weitestgehend immer mit vollen 1 Gbit/s Daten verschieben kann, während selbiges durch NAT-Loopback bei einem potentiell langsamen Router an der NAT-Performance scheitern kann, weil ein 08/15 Router nicht zwingend auch mit vollen 1 Gbit/s NATten kann und somit die Verbindung PC--Router--NATLoopback--Router--NAS eventuell ausgebremst wird. Bei TeamSpeak und dergleichen ist das irrelevant, aber sobald dann eben auch große Datenmengen durchs Netzwerk gehen, kann sich das spürbar auswirken.

NAT-Loopback ist daher ein zweischneidiges Schwert. Auf der einen Seite ist es zwar bequem, aber auf der anderen Seite nehmen die Daten im worst case aberwitzige Umwege. Man stelle sich mal vor PC und NAS hängen am selben Switch im 2. OG, während der Router im Keller sitzt. Statt dass die Daten nu direkt PC-Switch-NAS gehen und nach wenigen Metern Patchkabel+Switch ihr Ziel finden, werden sie bei NAT-Loopback erstmal quer durchs Haus in den Keller gejagt, dort kurz vorm Verlassen des Routers in Richtung www um 180° gedreht und dann wieder quer durch das Haus ins 2. OG geschickt, zum Server. Die Antwort nimmt denselben Weg nur rückwärts.......