DSM 7.1 220+ von aussen nicht mehr erreichbar

[EDvonSchleck]

Was der Provider gemacht hat oder ob es an der Labor liegt, kann ich dir auch nicht sagen. Beides ist aber auch mit IPv6 ohne Probleme möglich. Mit WireGuard auch VPN. Es ist halt nur eine Einstellungssache.

 

[alphabravocharly]

dann werde ich auf ip6 mal umsteigen. danke

 

[alphabravocharly]

habe über telnet folgendes bekommen:
telnet homeserver.i234.me:5001
Verbindungsaufbau zu homeserver.i234.me:5001...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 23.
Wo kommt der port 23 her? Hab ich nirgends eingestellt.

Und das bekomme ich von meiner fritz:
Warnung:
Ihre FRITZ!Box hat sich im MyFRITZ!-System mit einer nicht öffentlich erreichbaren IPv4-Adresse registriert. Diese Adresse ist nicht aus dem Internet erreichbar. Die Weiterleitung auf Ihre FRITZ!Box wird voraussichtlich scheitern.

Diese Meldung kann die folgenden Ursachen haben:

• Ihre FRITZ!Box ist nicht direkt mit dem Internetanschluss verbunden, sondern wird hinter einem anderen NAT-Router betrieben. MyFRITZ! kann nur genutzt werden, wenn Ihre FRITZ!Box direkt mit dem Internetanschluss verbunden ist.
• Ihre FRITZ!Box hat von Ihrem Internetanbieter keine öffentliche IPv4-Adresse zugewiesen bekommen. Dies kommt z. B. an Anschlüssen vor, die mit dem Dual-Stack-Lite-Protokoll betrieben werden. Wenden Sie sich an Ihren Internetanbieter um zu erfahren, wie Sie einkommende IPv4-Verbindungen an Ihrem Anschluss ermöglichen können, oder greifen Sie über IPv6 auf Ihre FRITZ!Box zu.

Ich glaube der Anbieter hat was geändert. Werde nochmals mit ihm Kontakt aufnehmen
alpha

 

[EDvonSchleck]

habe über telnet folgendes bekommen:
telnet homeserver.i234.me:5001
Verbindungsaufbau zu homeserver.i234.me:5001...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 23.
Wo kommt der port 23 her? Hab ich nirgends eingestellt.

Telnet nutzt den Port 23 (default) nicht den 5001! Somit gibst du den Port 5001 auch nicht beim Verbindungsaufbau ein!

Und das bekomme ich von meiner fritz:
Warnung:
Ihre FRITZ!Box hat sich im MyFRITZ!-System mit einer nicht öffentlich erreichbaren IPv4-Adresse registriert. Diese Adresse ist nicht aus dem Internet erreichbar. Die Weiterleitung auf Ihre FRITZ!Box wird voraussichtlich scheitern.

Diese Meldung kann die folgenden Ursachen haben:

• Ihre FRITZ!Box ist nicht direkt mit dem Internetanschluss verbunden, sondern wird hinter einem anderen NAT-Router betrieben. MyFRITZ! kann nur genutzt werden, wenn Ihre FRITZ!Box direkt mit dem Internetanschluss verbunden ist.
• Ihre FRITZ!Box hat von Ihrem Internetanbieter keine öffentliche IPv4-Adresse zugewiesen bekommen. Dies kommt z. B. an Anschlüssen vor, die mit dem Dual-Stack-Lite-Protokoll betrieben werden. Wenden Sie sich an Ihren Internetanbieter um zu erfahren, wie Sie einkommende IPv4-Verbindungen an Ihrem Anschluss ermöglichen können, oder greifen Sie über IPv6 auf Ihre FRITZ!Box zu.

Das habe ich dir bereits geschrieben. Du hast nicht viel Auswahl: Mit IPv6 leben und einrichten oder Portmapper für IPv4 nutzen und dafür bezahlen.

Ich glaube der Anbieter hat was geändert. Werde nochmals mit ihm Kontakt aufnehmen
alpha

Das kannst du gerne machen, nur verspreche ich mir nicht viel davon. Gerade bei Glasfaser ist das Ganze sehr begrenzt. Oft gibt es die Möglichkeit, in einen Businesstarif zu wechseln. Das muss aber dein Anbieter nicht unbedingt anbieten. Dann bekommst du auch wieder eine öffentliche IP.

Ich würde es mit einer IPv6 einrichten und gut ist es. Selbst im internen Netz nutze ich nur noch Namen und keine IPs mehr. Du musst auch nicht unbedingt Synology-DNS oder Myfritz dafür benutzen. Ein kostenfreier Anbieter mit guten Einstellungsmöglichkeiten ist dynv6.com. Dort werden auch keine weiteren Daten benötigt und du kannst mit einer Adresse (Subdomain) deine Fritz!Box und Synology ansprechen. VPN funktioniert natürlich darüber auch.

Solltest du trotzdem eine feste IPv6 benötigen, empfehle ich dir eine externen VPS mit 6tunnel anstatt feste-ip. Diese VPS gibt es ab Sonntag in der Osteraktion von Netcup günstiger sowie bei IONOS. Wenn du lieber eine eigene Domain haben willst, ist die auch für 1,60€ im Jahr in der Osteraktion zu haben.

Ich selbst nutze Netcuo auch schon lange. Netcup wird nativ von acme.sh (Zertifikat) unterstützt.

 

[Monacum]

Selbst im internen Netz nutze ich nur noch Namen und keine IPs mehr.

Ich möchte mich da kurz einklinken: Also so wie http://paperless statt http://192.168.1.2:12345? Und das bewerkstelligst du über Pi-Hole, wenn ich das richtig verstanden habe?

 

[EDvonSchleck]

Ich nutze lieber AdGuard Home und filtere wie beim Pi-Hole auch Werbung und Webseiten weg. Die Umschreibung funktioniert natürlich auch über den Synology DNS-Server. Damit ist es auch möglich, ein Zertifikat einzubinden, was z.B. für Vaultwarden (Bitwarden) nötig ist.

Dein Beispiel würde etwas so aussehen: http(s)://paperless.example.com. Damit wird alles über den Port 80/443 abgewickelt. Die Eingabe ist einfacher durch Anwendung und Domain gegenüber IP und Port. Bei Verwendung von Lesezeichen oder Heimadall ist das eh nicht interessant. Natürlich kannst du auch Webseiten umleiten, die dir nicht gehören z.B. Google, M§ oder ähnliches, nur ein Zertifikat wirst du dafür nicht bekommen und musst ohne SSL auskommen.

 

[Benares]

Noch als Erklärung dazu:

habe über telnet folgendes bekommen:
telnet homeserver.i234.me:5001
Verbindungsaufbau zu homeserver.i234.me:5001...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 23.
Wo kommt der port 23 her? Hab ich nirgends eingestellt.

telnet ist eigentlich ein Terminal-Programm das normalerweise Port 23 benutzt. Aber darum ging's nicht. Man kann damit auch einfach die Erreichbarkeit bestimmter TCP-Ports testen, weil man auch optional eine Portnummer als zweiten Parameter angeben kann, also nicht mit Doppelpunkt getrennt.
Bsp. "telnet homeserver.i234.me 5001"

Viel machen kann man dann da nicht, aber man sieht halt, ob man hinkommt oder nicht.

 

[alphabravocharly]

Der Provider hat sich der Problematik angenommen und hat irgendetwas umgestellt. Jetzt läuft wieder alles. IP6 bieten sie derezeit nicht an.
Recht schönen Danke an alle die mir hier weitegeholfen haben.
Super Forum, nette Leute.
Mfg
alpha

 

[EDvonSchleck]

Schön, das es wieder läuft. IPv4 ist ja vollkommen ok. IPv6 aber auch nicht tragisch.
Ich würde aber versuchen alle Anwendungen nur über den Port 443 laufen zu lassen und andere, besonders die Standardports schließen. Dazu empfehle ich noch die richtige Einstellung der Firewall und das IP-Block-Script von @geimist. Das wäre das mindeste was umgesetzt werden sollte um unnötige Anmeldeversuche und Bots dem System fernzuhalten.

 

[alphabravocharly]

werde mich damit beschäftigen, danke

 

[EDvonSchleck]

Dazu nutzt du einfach Subdomains. Diese kannst du einfach in den Synology Anwendungen (Systemsteuerung > Anmeldeportal > Anwendung) unter benutzerdefinierte Domain eintragen und für alle anderen im Reverse Proxy (Systemsteuerung > Anmeldeportal > Erweitert > Reverse Proxy).

Bei der Firewall deinen IP-Range 192.168.178.0 eintragen! Die restlichen Sachen kannst du übernehmen. Das 2. Netzwerk kannst du weglassen, sofern du kein Docker auf der DS nutzt. Beim Land gibst du die Länder ein, welche Zugriff auf deinen DS haben sollen. Dort ist weniger mehr und kann auch einfach zum Urlaub erweitert werden. Die Ordnung muss von oben nach unten sein - FERTIG!

Viel Spaß mit der DS.