DDNS Ausfall?

SoniX

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
772
Punkte für Reaktionen
58
Punkte
48
Hallo,

wir haben in unserer Firma folgende Konfiguration:

DDNS mit firmenname.synology.me
DDNS in Systemsteuerung sagt Verbindung normal. Externe Adresse wird auch korrekt erkannt.

Weiters nutzen wir Reverse Proxy für diverse Dienste wie Chat, File, Photo, etc.

Das NAS läuft, ist über SMB als auch über IP Adresse erreichbar.
Der Zugriff funktioniert sowohl von intern mit internen IP als auch von extern mittels externer IP Adresse auf Port 5001 und auch 443.

Aber jeglicher Zugriff auf firmenname.synology.me ist tot; ebenfalls natürlich auch der Reverse Proxy welcher darauf aufbaut.

Das ist natürlich doof, weil wir den Zugriff über DDNS laufen haben und so alle unsere Anwendungen auf dem Handy und Verknüpfungen am Desktop nichtmehr funktionieren.

Wo kann man denn den Status von synology.me einsehen?
Direkt aufrufen kann man die Domain ja nicht und DSM sagt die Verbindung sei in Ordnung.

Funktioniert DDNS bei euch?

Danke für die Info.

Edit: Habe gerade die Seite gefunden wo der Status einsehbar ist. https://www.synology.com/de-de/support/synology_service
Allerdings wird dort alles auf Betriebsbereit angezeigt. Warum funktioniert aber DDNS nichtmehr?

Edit: Ich musste gestern das Active Insight Paket deaktivieren. Das hatte bei uns für durchgängig hohe Last gesorgt und ohne Ende auf die Platten geschrieben. Heute dann hat das NAS ein QuickConnect Update gemacht. Das sollte aber beides nichts mit DDNS zu tun haben.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
mittels externer IP Adresse auf Port 5001
Den Port 5001 ins Netz zu hängen ist keine gute Idee. Insbesondere nicht als Firma. Nur, dass du es mal gehört hast.

Auf einem PC kannst du mit dem Kommandozeilentool "nslookup" prüfen, ob der DDNS auch tatsächlich auf die korrekte IP auflöst. Das musst du für den DDNS selbst und für die Subdomains einmal testen. Wenn der auf die korrekte ext. IP auflöst, dann liegt es nicht am DDNS. Denn für mehr als die Auflösung ist der nicht zuständig.
 

luxdunkel

Benutzer
Contributor
Mitglied seit
22. Mai 2023
Beiträge
99
Punkte für Reaktionen
45
Punkte
18
Hallo,

ich habe seit Dienstag die selben Probleme, hier die Antwort des Supports:

Hallo,

Vielen Dank, dass Sie sich an den Synology Support gewendet haben. Wir schätzen Ihre Geduld und Ihr Verständnis.

Wir haben das von Ihnen erwähnte Problem untersucht, und unser Entwickler hat bestätigt, dass unser Server gestern Opfer eines Angriffs wurde. Um unsere Systeme zu schützen und die Sicherheit unserer Dienste zu gewährleisten, blockiert unser Schutzmechanismus automatisch übermäßige Anfragen. Dadurch kann es bei einigen Benutzern vorübergehend zu Schwierigkeiten bei DNS-Anfragen gekommen sein.

Wir entschuldigen uns aufrichtig für eventuelle Unannehmlichkeiten, die Ihnen dadurch entstanden sind.

Wenn Sie weitere Fragen oder Bedenken haben, können Sie sich gerne an uns wenden. Wir sind hier, um Ihnen zu helfen.
 
  • Like
Reaktionen: Ulfhednir

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Verwendet ihr den reinen DynDNS zum Login oder habt ihr einen DNS-Record (CNAME) gesetzt, womit die DynDNS auf eine Subdomain verweist?
Wenn ja: Dann könntest du einen Fallback über einen anderen DynDNS-Provider einrichten und den CNAME auf den neuen DynDNS umbiegen.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Bei sowas frag ich mich, wieso Synology nicht von sich aus seine Nutzer informiert. Da würde ich mir grundsätzlich überlegen, ob ich nicht lieber einen anderen Anbieter nehme. Wenn sie sowas nicht im Griff haben, dann sollen sie es nicht anbieten.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.176
Punkte für Reaktionen
1.141
Punkte
194
Als Firma würde ich euch empfehlen entweder eine Feste IP zu bekommen.
Oder alternativ DDNS über euren Hosting Provider wo eure Domain liegt.
Die meisten bieten das auch an.
 

luxdunkel

Benutzer
Contributor
Mitglied seit
22. Mai 2023
Beiträge
99
Punkte für Reaktionen
45
Punkte
18
ich verwende keinen DNS-Record. Ein klein wenig ärgert es mich, dass bis heute nichts im Vorfallprotokoll bei Synology steht. Ich überlege mir jetzt, eine feste IP zu beantragen. Was passiert dann mit der Adresse name.synology.me? Kann ich sie weiter behalten?
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.176
Punkte für Reaktionen
1.141
Punkte
194
Theoretisch kannst dir behalten . bleibt ja bestehen dann.
Aber ich würde da nen richtigen DNS Record nehmen .
 

SoniX

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
772
Punkte für Reaktionen
58
Punkte
48
Hallo!

WOW, Das ist ne Menge Antwort und Input für solch kurze Zeit. SAGENHAFT!

Habe gerade mit nslookup nachgesehen; wird korrekt aufgelöst.
Natürlich ist das Problem jetzt auch komplett verschwunden und jeglicher Zugriff funktioniert wieder. -.-

Um auch auf eure Antworten einzugehen:

Ich hätte es liebend gerne über unsere Domain laufen, aber da hat der externe Dienstleister seine Finger drauf und rückt die Zugangsdaten leider nicht raus. Von dem wegzukommen erweist sich aber leider als schwieriger als gedacht; da gibt es Firmeninterne Blockaden und dann müssten wir auch den Exchangeserver umziehen.

Ich weiß; Port 5001 ist offen. Ist mir bewusst.
VPN wäre natürlich angebracht, allerdings auch hier Firmeninterne Blockaden. Derjenige welcher den VPN verwaltet will keine Zugänge rausgeben, aber da unsere Mitarbeiter Zugriff benötigen musste ich es ohne VPN realisieren. Ich habe es zumindest maximalst abgesichert mit 2FA, Ländersperren, Account und DoS Schutz etc; alle Schutzmaßnahmen die möglich sind, sind auch aktiv. Leider klappts nur mit Port 443 nicht....

Nein, nur DDNS über den Synology Dienst, kein Fallback. Und leider kein Zugriff auf auf die Domain DNS. Zuhause habe ich einen Fallback integriert, da bräuchte ich nur den DNS Eintrag ändern. Hier aber leider nicht möglich.

Ja, eine Info seitens Synology wäre schon toll. Vorallem hatte deren Statusseite ja auch keine Fehler angezeigt obwohl welche vorhanden waren.

Eine fixe IP hätten wir sogar ;-)
Aber das merken sich die Mitarbeiter nicht... darum wird über DDNS zugegriffen.
Und da kein Zugriff aufs unsere Domain, kann ich die IP leider nicht hinterlegen :-/

Ich bin nicht ganz glücklich mit unserer Lösung. Das würde sauberer gehen. Ich musste das beste aus der Situation machen um einen möglichst guten Kompromiss aus Arbeitsfähigkeit und Sicherheit herstellen. In Summe funktioniert es, aber könnte besser sein.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.956
Punkte für Reaktionen
782
Punkte
134
Firmeninterne Blockaden
Muss bei sowas immer den Kopf schütteln. Kleine Fürsten, die ihr Fürstentum ganz alleine regieren wollen. Sind die dann auch mit im Boot, falls sicherheitstechnisch was passiert oder eher vorne beim fingerpointing dabei???

Hilft dir jetzt nicht weiter, aber der Drang zum Meckern war einfach zu groß. Sorry :LOL:
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.176
Punkte für Reaktionen
1.141
Punkte
194
eiei das klingt ja aber auch übel.
Bist du bei euch der IT Verantwortliche ?

Grundlegen geht Sicherheit immer vor Komfort .
Und Ports öffnen nur weil einer keine VPNs erstellen will ?

Aber doof natürlich wenn du da nichts ändern kannst.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.956
Punkte für Reaktionen
782
Punkte
134

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.176
Punkte für Reaktionen
1.141
Punkte
194
ich meinte Sonix ;-)
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.956
Punkte für Reaktionen
782
Punkte
134
ah sorry. Lasst mich einfach liegen :LOL:
 

SoniX

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
772
Punkte für Reaktionen
58
Punkte
48
Sagen wir so: Ich habe es inoffiziell übernommen.

Als ich in die Firma kam, bestand die EDV aus einem QNAP NAS mit einer Platte welches im Eck am Boden lag (tatsächlich lag und nicht stand).
NAS und Platte schon überaltert (5+Jahre), keine Updates drauf, kein RAID, kein vernünftiges Backup, nichts.

Ich habe dann umgestellt auf eine 923+, RAID-1, mehrstufiges (verschlüsseltes) Backup (3-2-1), Useraccounts, USV, neue Verkabelung, etc.
Daraus hat sich dann auch ergeben dass ich einen Admin Account aufs NAS habe und zum Glück zumindest das administrieren kann.
Natürlich alles vom Chef genehmigt, weil auch der mit der bisherigen Lösung unzufrieden war.
Den IT Verantwortlichen haben wir aber übergangen, dieser verwaltet offiziell bis heute. Und bei diesem liegt halt Router, VPN, etc.

Man kann dem IT Verantwortlichen zugute halten dass er sehr auf Sicherheit bedacht ist. Das ist auch der Grund warum er keine VPN Zugänge erstellen will (außer für sich selbst). Aber wir haben mehr als die Hälfte externe Mitarbeiter und die brauchen immer wieder Zugriff auf Daten. Zuvor war das alles sehr kompliziert mit Anrufen und Verzögerungen verbunden. Wobei das mit der bedachten Sicherheit so eine Sache ist wenn die Daten da ungesichert auf veralteten Geräten am Boden rumliegen... ich konnte das nicht ansehen.

Wobei es mit einem VPN auch nicht so einfach wäre. Wir bräuchten einen VPN Server (Derzeit läuft das auf der Firewall mit bescheidener Performance), die Geräte der Benutzer müssten durchgängig damit verbunden sein (Chat App soll ja durchwegs erreichbar sein), auch ein VPN braucht einen offenen Port, das System und der VPN Server wollen auch gewartet sein. Wir müssten auf dem Server dann auch die User bzw Zertifikate (getrennt vom NAS) verwalten. Alles halt auch zusätzlich Arbeit und auch mögliche Fehlerquellen.

Man wird sehen wo die Reise hingeht. :)
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.176
Punkte für Reaktionen
1.141
Punkte
194
also mal ehrlich , wenn der Admin keine vernünftigen Backups und Updates macht , dann gehört dem alles aus der Hand genommen.

Und mit VPN geht vieles besser.
Du kannst dann auch in der Firewall einstellen wohin die VPN Clients dürfen und wohin nicht.

Was habt ihr denn für eine Firewall im Einsatz ?


Rede mit deinem Chef und sage Ihm auch das du es nur machen kannst wenn du auch alles in der Hand hast .
sonst würde ich da an deiner stelle für nichts Verantwortung übernehmen
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat