2* Ddns unterschiedlich anbinden (fb, dem, 2ips)

[paine]

Hallo,

Ich nutze 2 dyndns Domains.

Eine ist in meiner FB für alles mögliche, und eine andere in meiner syno unter ddns.

Meine syno hat 2 lan Anschlüsse.

Der erste ist generell genutzt, der zweite speziell für VMs.

Nun möchte ich das die syno Ddns, nur für die VM IP (2ter Anschluss) verfügbar ist, denn:
Ich möchte freie Entscheidung über die ports haben.

Wenn ich nur eine dyndns in der FB habe, kann ich Portfreigaben nur einmal machen an eine IP im Netzwerk. Wenn ich bei einem bestimmten Gerät die gleiche ports frei haben will sagt FB schon belegt.

Deswegen eine 2te Ddns in der syno, nur wie kann ich diese an den 2ten lan Anschluss lenken, ausschließlich und mit Freigaben die sich wahrscheinlich auch ähneln zum normalen fb dyndns?

 

[Tommes]

Hi!

Das funktioniert so nicht, da deine beiden DDNS Adressen auf ein und dieselbe „öffentliche“ IP zurückgreifen, die du von deinem ISP erhalten hast. Somit kannst du einen Port auch nur einmal vergeben, egal wieviele DDNS Anbieter du verwendest. Hier wäre ein Reverse Proxy das Mittel der Wahl… je nachdem auch eine „einfache“ Portumleitung

 

[Benie]

@paine

Was machbar ist, so habe ich das gemacht, ich habe eine DynDNS auf der Fritzbox vom Provider x hinterlegt und habe diese in der Systemsteuerung -> ext. Zugriff -> DDNS auf die ext. IP auflösen lassen und habe somit extern auf die gewünschten freigegebenen Ports zugriff, mal dahingestellt was da dann noch alles zu tun ist wenn man Ports öffnet.

Als zweite DDNS habe ich eine von Synology erstellen lassen. Diese habe ich ebenfalls in der Systemsteuerung hinterlegt und lasse diese auf die interne IP auflösen. (das funtioniert nur mit einer Synology DDNS. Somit brauche ich keine offenen Ports zb. für die VM oder Vaultwarden usw.
Für die VM habe ich noch eine dritte DDNS (auch von Synology) welche ich nur auf der Synology VM und dem installierten OS verwende. Auch hier kann ich Problemlos über die DDNS oder IP netzextern mittels VPN/Wireguard zugreifen.

Zugriff auf die DS erfolgt von außen nur über VPN/Wireguard, mit DDNS oder IP (beides funktioniert, und ich habe keine offene Ports. Netzintern kann ich alles über die Synology DDNS aufrufen/verbinden und habe dabei sogar noch eine über das Zertifikat gesichte Verbindung.

Alles in allem bleibt die VM vom normalen System was den Zugriff betrifft getrennt und nutzt soweit ich das überschaue seine eigenen Ports ohne sie nach außen zu öffnen.

Vielleicht kannst Du ja auf ähnliche Weiße ein Konstrukt zusammen basteln wie Du es gern hättest. Aber das ganze läuft halt nur über einen LAN Anschluß.

 

[Janüscht]

VPN ist aber auch nicht immer die Lösung. Gerade, wenn man Dienste mit anderen Kumpels teilt. Wer möchte sein Netzwerk/-gerät andere jederzeit zugänglich machen? Ein infiziertes Gerät hatte somit Zugriff auf das Netzwerk/-gerät.

Man muss ja nicht immer alles teilen, das gilt auch für WLAN. Ich verstehe eh nicht, warum man zu Besuch kommt und dann mit einem Phone ins Internet muss um zu surfen. Eventuell bin ich auch zu alt, das zu versehen. Von der Störerhaftung einmal ganz zu schweigen. Ich kenne das aus meinem Bekanntenkreis. Dort ist ein WLAN eher ein öffentlicher Hotspot. Darüber kann ich nur den Kopf schütteln.

Es gibt, auch berichtige Einsatzmöglichkeiten für eine Freigabe. Diese kann man neben der Firewall auch mit Blocklisten @geimst oder fail2ban weiterhin absichern. Auch eine 2FA über einen Reverse Proxy (nicht Synology) ist möglich. Immer nur VPN zu empfehlen, halte ich für falsch. Man sollte erste einmal erfragen, um was für ein Personenkreis es sich handelt und dann eine Empfehlung abgeben. Es gibt Services z.B. Messenger (Matrix) wo ein VPN keinen Sinn macht. VPN würde ich nur einsetzten bei Mitgliedern eines Haushaltes. Freunde und Bekannte haben im Netzwerk nichts zu suchen. Auch wenn man die VPN-Verbindung auf ein Gerät beschränken kann, ist es trotzdem ein Risiko. Jeder sollte abschätzen, welches Risiko besser unter Kontrolle zu halten ist (Freigab oder Geräte via VPN, die aber kompromittiert mit Malware sein können).

Dann ist dir Frage auch nicht mehr so leicht zu beantworten. Einen Codefehler in der VPN-Software (Server/Client) ist dann noch nicht einmal berücksichtigt.

 

[paine]

Hi!

Das funktioniert so nicht, da deine beiden DDNS Adressen auf ein und dieselbe „öffentliche“ IP zurückgreifen, die du von deinem ISP erhalten hast. Somit kannst du einen Port auch nur einmal vergeben, egal wieviele DDNS Anbieter du verwendest. Hier wäre ein Reverse Proxy das Mittel der Wahl… je nachdem auch eine „einfache“ Portumleitung

Wie geht das mit dem Proxy? Kenne mich da nicht so aus

 

[metalworker]

der DDNS , macht ja nur die externe IP . Und da wohl nicht 2 Getrennte Internetanschlüsse hast , ist das also wumpe.
.
ReverseProxy ist da das richtige Thema wie Tommes schon sagte.

Einfach Gesagt.
Alle Anfragen gehen an den Proxy , und anhand der Portnummer und Vorallem der Domain wird dann die Anfrage verteilt.
test1.buttercremetorte.de geht an die 192.168.1.211:65888
test2.buttercremetorte.de geht an die 192.168.1.155:433

Da gibts aber im Internet vieles zum lesen.

Einfach mal zum Thema beschäftigen. Wurde auch hier im Forum schon oft durchgenommen.

 

[synfor]

test1.buttercremetorte.de geht an die 192.168.1.211:65888

Mit dieser Portnummer wird das nicht funktionieren.

 

[paine]

Ich verstehe nicht wie ich den DSM proxy einstellen muss und wie das geleitet werden muss.

- Meine FB ist am Internet
- An meine FB gehen alle Anfragen.
- In meiner FB ist der DNS für alles auf mein pihole eingestellt (IP *.*.*.108)
- Pihole upstream ist zu unbound (IP 109).
- Pi und UB laufen im docker macvlan damit sie eigene ips haben und port unabhängig sind
- Ddns ist auf Dsm eingerichtet wegen VM.
- die Synology (DSM) ist auf IP 101, VMM auf 102.

Ich habe den Proxy aus dem Paketzentrum geladen aber verstehe nicht wie ich den einrichten muss damit alles geht. Ich habe über Pihole lokale DNS Einträge (zb pi.lan, da soll eigentlich *.*.*.108/admim Aufgerufen werden aber das geht im pihole nicht, auch dazu Brauch ich den Proxy, aber verstehe nicht wie das geht...

 

[metalworker]

Stimmt . Hätte nicht gedacht das es jemanden auffällt ;-)

 

[paine]

Siehe hier:
https://www.synology-forum.de/threads/local-dns-per-pihole-ueber-reverse-proxy-auf-ds.134701/

 

[metalworker]

Du besuchst einen Reverse Proxy . Keinen normalen Proxy

 

[Benie]

Ich habe den Proxy aus dem Paketzentrum geladen

Nimm mal den Reverse Proxy aus dem Anmeldeportal Register Erweitert
Und vergiss dort dann die Erweiterten Einstellungen nicht.
Das ist etwas schlichter zum Anfang.

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/application_appportalias?version=6

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/application_appportalias?version=6


Man sollte schlichtweg viel mehr auf die Synology KB zurückgreifen.
Selbst Google macht das

 

[paine]

Danke ich schaue mir das mal genauer an