SFTP-Zugriff funktioniert trotz Port-Weiterleitung nur intern

[therealsega]

Hallo Leute,

ich habe auf meiner Synology DS214 den SFTP-Dienst aktiviert, und kann mit meinem Benutzer auch per SFTP auf meine Diskstation zugreifen.
Allerdings nur, wenn ich mich in meinem Heimnetzwerk befinde.

Für den Zugriff von aussen, habe ich meinen Router mit einem DDNS-Server konfiguriert (ping an den entsprechenden Namen führt zur korrekten IP) und eine Portweiterleitung an 22 eingerichtet.

Trotzdem klappt es nicht, dass ich mich von aussern per SFTP an meiner Diskstation anmelden.
Die FTP-Programm steigen jeweils mit einer Zeitüberschreitung aus.

Habt ihr eine Idee, woran das liegen kann?

Gruß
Sebastian

 

[therealsega]

Für den Zugriff von aussen, habe ich meinen Router mit einem DDNS-Server konfiguriert (ping an den entsprechenden Namen führt zur korrekten IP) und eine Portweiterleitung an 22 eingerichte

Korrektur: Auch der ping funktioniert nur innerhalb des Netzwerkes, ausserhalb leider nicht. Dort gibt es eine Zeitüberschreitung.

Was kann das sein?

 

[TheGardner]

Sieht erstmal so aus, als würde Dein DDNS nicht (richtig) funktionieren. Auch kann es sein, dass der DDNS funktioniert aber der Router Ping-Anfragen ignoriert - es also so scheint, als würde der Ping ins Leere gehen.
Zunächst solltest Du einmal schauen, ob der DDNS 100% funktioniert. Das müsste in der Systemsteuerung (der DS) unter DDNS zu sehen sein bzw. (wenn der Router das DDNS macht) in den log Dateien im Router. Außerdem solltest Du bei Deinem DDNS Account ebenfalls sehen können, ob dort die aktuelle IP hinterlegt worden ist.

Im Endeffekt kannst Du auch erstmal über www.wieistmeineip.de Deine derzeitige IP herausfinden und diese mal testweise im FTP Programm eingeben. Funktioniert dieser Schritt, dann wäre die DDNS Sache das nächste was Du abklären solltest - was dann auch funktionieren müsste.

Zum Schluss würde ich allerdings den Port 22 am Router nicht öffnen, sondern die Portweiterleitung etwas verändern. Der Port 22 sollte verschleiert werden, so dass man nicht ständig über ungebetene Gäste zu klagen hat - denn das wirst Du früher oder später...
So eine Verschleierung ist relativ einfach am Router einzurichten. Dazu musst Du nur die derzeitige Portweiterleitung von 22 (außen) zu 22 (innen) so verändern, dass außen nicht mehr der Port 22 offen ist, sondern ein anderer 'nicht so bekannter' Port. Bei mir zum Beispiel ist es der Port 922.
D.h. ich habe bei mir eine Portweiterleitung von 922 (außen) nach 22 (innen) eingerichtet. Die Hacker kloppen sich nun am bekannten Port 22 draußen die Finger wund und bekommen nur die Meldung, dass der Port 22 nicht geöffnet ist und lassen somit von meinem Gerät ab und gehen zum nächsten Opfer über.

 

[Thorndike]

Da dies der erste Versuch des Zugriffs von außen zu sein scheint stellt sich auch die Frage welcher Provider? Bietet der Dual Stack oder nur die Lite Version?

 

[therealsega]

Sieht erstmal so aus, als würde Dein DDNS nicht (richtig) funktionieren. Auch kann es sein, dass der DDNS funktioniert aber der Router Ping-Anfragen ignoriert - es also so scheint, als würde der Ping ins Leere gehen.
Zunächst solltest Du einmal schauen, ob der DDNS 100% funktioniert. Das müsste in der Systemsteuerung (der DS) unter DDNS zu sehen sein bzw. (wenn der Router das DDNS macht) in den log Dateien im Router. Außerdem solltest Du bei Deinem DDNS Account ebenfalls sehen können, ob dort die aktuelle IP hinterlegt worden ist.

Im Endeffekt kannst Du auch erstmal über www.wieistmeineip.de Deine derzeitige IP herausfinden und diese mal testweise im FTP Programm eingeben. Funktioniert dieser Schritt, dann wäre die DDNS Sache das nächste was Du abklären solltest - was dann auch funktionieren müsste.

Meine derzeitige IP und die bei meinem DDNS-Anbieter hinterlegte IP sind identisch.
Mein FTP-Programm kann die Verbindung sowohl über die URL als auch über die IP-Adresse nicht herstellen.

 

[therealsega]

Da dies der erste Versuch des Zugriffs von außen zu sein scheint stellt sich auch die Frage welcher Provider? Bietet der Dual Stack oder nur die Lite Version?

Mein Provider ist KabelBW. Ein kurzer Überblick über die Google-Ergebnisse zu dem Thema lässt darauf schließen, dass dort kein Dual Stack angeboten wird.
Leider weiß ich nicht, was es damit auf sich hat, und wie ich jetzt damit umgehen kann.

 

[Thorndike]

KabelBW wird dir vermutlich wirklich einen DS Lite Anschluß verpasst haben. Wenn überhaupt, kommst du dann nur noch mit IPv6 an deine Daten. Du solltest als erstes einmal prüfen ob deine externe Adresse aus einem routingfähigen Bereich stammt (in einem der besonderen Bereiche liegt: http://de.wikipedia.org/wiki/IP-Adresse#Besondere_IP-Adressen). Wenn ja wird es z.B. aus einem Handynetz nichts werden.
Alternativ könntest du dir einen Anbieter suchen der dir gegen Entgeld die Daten aus dem IPv4 nach IPv6 tunnelt.

 

[therealsega]

KabelBW wird dir vermutlich wirklich einen DS Lite Anschluß verpasst haben. Wenn überhaupt, kommst du dann nur noch mit IPv6 an deine Daten. Du solltest als erstes einmal prüfen ob deine externe Adresse aus einem routingfähigen Bereich stammt (in einem der besonderen Bereiche liegt: http://de.wikipedia.org/wiki/IP-Adresse#Besondere_IP-Adressen). Wenn ja wird es z.B. aus einem Handynetz nichts werden.
Alternativ könntest du dir einen Anbieter suchen der dir gegen Entgeld die Daten aus dem IPv4 nach IPv6 tunnelt.

Meine aktuelle IP lautet momentan 149.172.xxx.xxx und diesen Adressbereich kann ich in der von Dir genannten Auflistung nicht finden. Ist das jetzt gut oder schlecht?
Welche Probleme oder Einschränkungen handel ich mir denn ein, wenn ich mein Netzwerk auf IPv6 umstelle?

 

[TheGardner]

scheint Kabel BW zu sein und nen richtiger Anschluss. D.h. eigentlich müsste alles funktionieren. Meine Herangehensweise wäre jetzt:

- Ping auf 149.172.xxx.xxx ---> funktioniert?
- wenn nicht dann im Router schauen, ob irgendwo eingestellt werden kann, dass man den Router/die IP pingen kann, da er das wohl zur Zeit noch ignoriert bzw. hier mal den Routertyp angeben, dass die Leute Dir den Weg zu dieser Einstellung zeigen könnn
- wenn ja, dann nochmal einen ping auf die dynDNS Adresse senden -- vorher aber beim DynDNS Dienst schauen, ob dort auch wiklich die aktuelle 149.172..... hinterlegt ist

 

[therealsega]

- Ping auf 149.172.xxx.xxx ---> funktioniert?
- wenn nicht dann im Router schauen, ob irgendwo eingestellt werden kann, dass man den Router/die IP pingen kann, da er das wohl zur Zeit noch ignoriert bzw. hier mal den Routertyp angeben, dass die Leute Dir den Weg zu dieser Einstellung zeigen könnn

Ping funktioniert leider nicht. Die IP-Adresse ist korrekt hinterlegt.
Ich habe einen NETGEAR WNR3500L Router. Wer kann mir dazu weiterhelfen?

Danke für Eure Hilfe.

 

[goetz]

Hallo,
trotz einer 149.172.xxx.xxx IP kann es sein, daß Du Dir diese öffentliche IP mit anderen Anschlüssen teilst und dann ist der externe Zugriff über IPv4 nicht möglich.
Was hast Du vor Deinem Router, Modem oder Modemrouter?

Gruß Götz

 

[therealsega]

Was hast Du vor Deinem Router, Modem oder Modemrouter?

Kabel-Modem von KabelBW.

 

[goetz]

und wie heißt das Teil?

Gruß Götz

 

[picard_1983]

Hallo,
trotz einer 149.172.xxx.xxx IP kann es sein, daß Du Dir diese öffentliche IP mit anderen Anschlüssen teilst und dann ist der externe Zugriff über IPv4 nicht möglich.
Was hast Du vor Deinem Router, Modem oder Modemrouter?

Gruß Götz

Ich denke das wird so sein. Ich hatte das gleiche Problem. DDNS über den Router kann man da vergessen.

Am besten du schaust mal kurz unter:

www.wieistmeineip.de

Hier wird die richtige angezeigt. Wenn diese IP eine andere ist also die von dir im Router, dann steckst du hinter einem NAT-Range.

Bei klappte dies nur durch die DS. Der Dienst bekommt eigenartigerweise die richtige IP raus. WIe die DS das macht keine Ahnung. Alle anderen DDNS im Router kannst du dann vergessen.

 

[therealsega]

www.wieistmeineip.de

Stimmt mit den o.g. Adressen überein.

Hatte gerade auch Kontakt mit dem Kundenservice von KabelBW. Mein Anschluss wird jetzt von IPv6 auf IPv4 umgestellt, damit sollte es dann hoffentlich klappen.
Ich werde berichten.

 

[picard_1983]

Stimmt mit den o.g. Adressen überein.

Hatte gerade auch Kontakt mit dem Kundenservice von KabelBW. Mein Anschluss wird jetzt von IPv6 auf IPv4 umgestellt, damit sollte es dann hoffentlich klappen.
Ich werde berichten.

Ok, kann aber auch dann sein, wenn du auf IPv4 bist, das du trotzdem hinter einem NAT-Range hängst. Einfach noch einmal die o. g. Adresse aufrufen und prüfen. Viel Erfolg.

 

[therealsega]

und wie heißt das teil?

Gruß götz

cisco epc3208

 

[therealsega]

Hallo Leute,

ich bin jetzt mit IPv4 unterwegs aber ich kann immer noch nicht auf die DS per SFTP zugreifen.

Folgendes habe ich noch gemacht:

• In der DS unter "Externer Zugriff > DDNS" meinen Anbiete hinterlegt (Status: normal)
• Im Router eine NAT-Filter "geöffnet"

Ich kann nach wie vor nur über die interne IP per SFTP auf die DS zugriefen, über die externe IP oder den Hostnamen geht es nicht.

Habt ihr weitere Ideen, ich weiß nicht mehr, wo ich hinschauen muss.

Danke und Gruß.

 

[goetz]

Hallo,
den externen Zugang mußt Du auch von extern testen, die meisten Homerouter können mit der externen Adresse nichts anfangen (NAT Loopback).
Der Cisco epc3208 ist auch ein Router und wenn der im Routermodus ist müßten dort auch Weiterleitungen zum Netgear eingerichtet werden. Schau mal im KundenPortal vom Kabelanbieter ob Du da den Bridge Modus einstellen kannst.

Gruß Götz

 

[therealsega]

Der Cisco epc3208 ist auch ein Router und wenn der im Routermodus ist müßten dort auch Weiterleitungen zum Netgear eingerichtet werden. Schau mal im KundenPortal vom Kabelanbieter ob Du da den Bridge Modus einstellen kannst.
Gruß Götz

Soweit ich weiß handelt es sich beim EPC3208 lediglich um ein Modem und nicht um einen Router.
Den EPC3208G kann man in den Bridge Modus stellen. Das Modell ohne G, jedoch nicht. Der hat ja auch keine Konfigurationsseite, die man erreichen kann.

Habt ihr weitere Ideen?