DDNS Extern nicht erreichbar / nur Heimnetz

[Andi001]

Hallo liebe Community,

ich hoffe ihr könnt mir helfen, weil ich bin etwas am verzweifeln. Ich habe seit kurzem eine neue Synology NAS (923+) und möchte darüber Synology Fotos für die Familie nutzen. Ich habe es am Anfang einfach mal über Quickconnect gelöst, leider brauchen da die Bilder und Videos sehr lange auf der mobilen App um angezeigt zu werden. Ist das normal?

Nun aber zu meiner eigentliche Frage. Ich habe nun es "endlich" geschafft, dass ich mal über DDNS im lokalen Netz mich mit der DSM verbinden kann. Ich habe dazu eine Portfreigabe auf der FritzBox gemacht (habe noch einen Orbi als Switch zwischengeschalten - aber da der im AP-Modus ist, sollte der hoffentlich nicht viel Relevanz haben). Mein erstes Problem war, dass ich von nirgends hin kam. Habe nun eine IPv4 Adresse von meinem Provider bekommen die von außen erreichbar ist. Nun funktioniert es eben wie oben gesagt, über Heimnetz - allerdings über Extern (Handy) geht es weder über die Synology Foto App noch wenn ich es Handy direkt im Browser versuche. Eine kleine Ergänzung noch, ich habe einen nslookup auf meine DDNS gemacht mit meinem Handynetz und dort zeigt er mir eine IPv6 Adresse - wenn ich im Heinnetz bin macht er IPv4. Ich hoffe wirklich sehr, dass mir jemand helfen kann. Habe schon alle möglichen Foren und Hilfsseiten durchsucht.

Was mich auch noch interessieren würde ist ob es vlt. auch noch eine bessere Lösung gibt. Ziel soll es wie gesagt sein, dass alle Familienmitglieder die Foto App nutzen können und das ganze auch schnell und performant. Wichtig ist, dass es ohne kompliziertes Setup am Client ist, weil hier das Know-How nicht vorhanden ist. Deswegen hätte ich für mich VPN ausgeschlossen - weil das müssten ja die User am Endgerät installieren oder?

Bin für jeden Tipp wirklich sehr dankbar.

 

[Andi001]

Kurz eine Ergänzung meinerseits. Nutze mittlerweile eine Domain von Strato für die DDNS und habe den DDNS Eintrag auf der Fritzbox gemacht. Leider gleiches Problem. Im lokalen Netz funktioniert es wenn ich die Domain eingebe. Von extern leider nicht

Wäre wirklich froh wenn jemand helfen kann.

NSLookup im lokalen Netz zeigt IPv4 Adresse an
NSLookup extern (mit Handyhotspot) zeigt IPv6 Adresse an

 

[Benares]

Hast du die Portfreigabe für IPv4 und IPv6 gemacht. Denk auch dran, dass man bei IPv6 die IPv6 des NAS ansprechen muss und nicht wie bei IPv4, die externe IPv4 der Fritzbox.

 

[Andi001]

Jetzt muss ich leider blöd nachfragen. Wie stelle ich dass denn ein, dass ich beide IP Adressen hinterlege? Und was heisst dass ich due IPv6 der NAS anspreche - also was muss ich da machen?

 

[Benares]

Benutze zum DDNS-Update den synology.me-Updater der DS. Da kannst du für IPv4 und IPv6 getrennt einstellen, welche IPs er publiziert.
Entweder du nutzt dann den synology.me-Namen direkt (incl. Zertifikat) oder du verwendest ihn in deiner Strato-Domain als CNAME.
Wichtig ist, dass nslookup letztendlich auf die externe IPv4 deiner Fritzbox und die interne IPv6 deiner DS auflöst.

Alternativ könntest du auch mit MyFritz arbeiten. Bei MyFritz registrieren und das Update die Frtzbox machen lassen. In Kombination mit MyFritz-Portfreigaben statt der normalen Portfreigaben, werden dann auch die Namen der internen Geräte DNS-auflösbar. Beispiel: <NameDeinerDS>.<MyFritzID>.myfritz.net. Auch diese Namen kannst du als CNAMEs innerhalb deiner Strato-Domain einsetzen.

Und wenn du mit nslookup testest, probiere es auch immer mit einem externen DNS-Server (nslookup <name> <DNS-Server>), z.B. der 1.1.1.1 oder 8.8.8.8. die Fritzbox unterschlägt gerne IPv6. Und trag die Namen auch beim DNS-Rebind-Schutz ein.

 

[Andi001]

Leider will es immer noch nicht so ganz funktionieren. Habe jetzt den DDNS-Update mittels synology.me gemacht. Mein Problem ist aber er will einfach auf die Fritzbox von extern nicht zugreifen. So verstehe ich das.

Rebind habe ich gemacht auf die xxx.synology.me Adresse in der Fritzbox.

Bei der synology.me habe ich dann noch versucht IPv6 zu hinterlegen, aber das habe ich jetzt auf dynamisch gemacht weil ich nicht wusste was eintragen bzw. ist es nicht gegangen.

LAN:
Folgendes bekomme ich beim NS-Lookup
xxx.synology.me
Antwort:
Server: fritz.box
Adress: 192.xxx.xxx.xxx

Nicht autorisierende Antwort
Name; xxx.synology.me
Adress: 46.xxx.xxx.xxx (also öffentliche IP)

xxx.synology.me 8.8.8.8
Server: dns.google
Adresse: 8.8.8.8

Nicht autorisierende Antwort
Name; xxx.synology.me
Adress: 46.xxx.xxx.xxx (also öffentliche IP)

Extern:
xxx.synology.me
Server: Unknown
Adress: xxxx::xxxx:xxxx:xxxx:xxxx (also hier ist halt keine IPv4 Adresse sondern IPv6)
Nicht autorisierende Antwort
Name; xxx.synology.me
Adress: 46.xxx.xxx.xxx (also öffentliche IP)

xxx.synology.me 8.8.8.8
Server: dns.google
Adresse: 8.8.8.8

Nicht autorisierende Antwort
Name; xxx.synology.me
Adress: 46.xxx.xxx.xxx (also öffentliche IP)

Für mich schaut das so aus, als ob ich nicht auf die Fritzbox von extern komme oder verstehe ich da was falsch?
Im Idealfall würde ich gerne falls möglich das my.fritzbox weglassen, sonst habe ich noch mehr dazwische

 

[Hagen2000]

Das schaut doch gut aus.
Da Du eine öffentliche IPv4-Adresse hast, deaktiviere auf dem NAS bei DDNS bitte die IPv6-Adresse.
Was Dir jetzt noch fehlt ist vermutlich die Freigabe in der FRITZ!Box, von außen auf das NAS zugreifen zu dürfen (siehe Internet / Freigaben / Portfreigaben).

Anm.: Der wesentlich sicherere Weg ist, das ganze über VPN zu lösen. Wireguard ist einfach einzurichten und auch für deine Familienmitglieder sollte das Aktivieren der VPN-Verbindung vor dem Zugriff auf die Familienfotos zu bewerkstelligen sein.

 

[Andi001]

Ich habe die IPv6 Adresse beim synology.me deaktiviert - leider will es immer noch nicht.
Als Portfreigabe habe ich in der Fritzbox gemacht. NAS (Interne IPv4 Adresse) mit den Ports 80, 443 und dann noch den DMS Port (also der Standard auf 5001) steht.

Fehlt da noch was? Verhalten ist leider immer noch gleich.

VPN wie oben gesagt ist halt die Sache, dass ich es bei allen Clients dann installieren müsste. Und die Großeltern tun sich schwer einen VPN Client zu installieren am Handy

 

[Hagen2000]

Port 80 solltest Du auf jeden Fall deaktivieren. Außerdem ist es empfehlenswert, extern nicht-standardisierte Portnummern zu verwenden, damit nicht gleich jeder Eindringling weiß, wo es lang geht. Das kannst du aber auch später noch umstellen, wenn es dann mal läuft.
Mach doch bitte mal Screenshots von den Menüs für die Portfreigaben. Private IP-Adressen (also 192.168.x.y) brauchst du übrigens nicht zu verschleiern, da kann sowieso niemand außer Dir zugreifen.

Der Weg bei IPv4 ist: Dein DDNS-Name ==> externe IPv4 der FRITZ!Box ==> interne IP des NAS (ggf. mit Umsetzung der Portnummer)

 

[Benares]

Mir fällt grad noch was ein:
Wenn die 46.xxx.xxx.xxx doch keine öffentlich erreichbare IP wäre, könnte ich mir vorstellen, dass der Zugriff von intern geht, von extern aber nicht. Die Fritzbox macht ja dann Loopback und geht über die Firewall zurück ins eigene Netz. Frag besser nochmal bei deinem Provider nach, ob die IPv4 wirklich öffentlich erreichbar ist.

Edit: Welche IPv4 zeigt der Online-Monitor der Fritzbox und welche IPv4 zeigt https://www.wieistmeineip.de/ ?

 

[Andi001]

@Hagen2000:
Also die Portfreigabe habe ich sehr simpel gemacht:



Das 5001 möchte ich umstellen, sobald es eben mal funktioniert.

Dann habe ich folgendes noch gemacht:



Als Domain verwende ich hier die Strato-Domain.

Auf der Synology habe ich folgendes noch gemacht:



Aber hier verwende ich einfach einen eigenen "Hostnamen". IPv4 ist auf automatisch (hier erkennt er die 46.xx IP) und IPv-6 ist deaktiviert).



Hier habe ich beide Domains eingetragen - sowohl die eigene Domain (Strato) als auch die Synology me




@Benares:
Die IPv4 im Online Monitor der Fritzbox und das Ergebnis von https://www.wieistmeineip.de/ ist ident. In beiden Fällen die 46.xxx Adresse. Das ist doch ein gutes Zeichen, dass es von extern erreichbar sein muss oder?

 

[Hagen2000]

Schaut doch gut aus. Was man nicht sieht, ist, was du jeweils bei „Port an Gerät“ eingetragen hast. Da sollte jeweils die gleiche Portnummer stehen wie bei „Port extern …“.
Wie greifst Du denn nun zu?
https://xxx.synology.me:5001 müsste Dich auf die DSM-Oberfläche leiten. Am besten mit Handy über Mobilfunk testen.
Mal abgesehen von evtl. Zertifikatswarnungen, was meldet der Browser?

 

[Andi001]

Port extern ist auch 5001 bei der Fritzbox.

Ich greife nun zu entweder direkt auf meinem Handy oder aber auf meinem PC mit Hotspot auf mein Handynetz zu. Dabei verwende ich genau den Link den du oben sagtest. Natürlich xxx noch ersetzt mit Namen. Habe auch schon von anderem Handy mit anderem Provider probiert.

Als Meldung kommt nicht viel nur „Die Website ist nicht erreichbar“ und als technischer Fehler: ERR_CONNECTION_TIMED_OUT.

Schalte ich am Handy dann auf WLAN um geht es sofort am Handy.

Habe echt keine Ahnung was da falsch läuft und verzweifel mit dem Teil. Zertifikat ist noch ein Thema wo ich am Ende eine Frage hab - aber erstmals sollte das Ding irgendwie laufen

 

[Hagen2000]

Ich bin jetzt auch etwas ratlos. Hast Du evtl. im NAS unter Sicherheit / Schutz / Freigabe-/Blockierungsliste den Zugriff auf bestimmte IP-Adressen beschränkt? Oder über die Firewall vom NAS?

 

[Andi001]

Blockierungsliste ist leer.
Firewall ist deaktiviert auf der NAS.

Jetzt wird es allerdings immer dubioser. Ich habe jetzt die FritzBox einmal auf Werkseinstellung zurückgesetzt.

Jetzt habe ich beim Online Monitor sowohl eine IPv4 als auch eine IPv6 Adresse.

Bei den Portfreigaben habe ich das gleiche gemacht wie zuvor (aber keine IPv6 Adresse eingetragen - wüsste nicht welche).
DNS-Rebind wieder eingetragen.

Wenn ich jetzt im WLAN bin und mich zur xxx.synology.me verbinden möchte erscheint ein FRITZ Anmeledefenster was ein Benutzer und Kennwort will.

Online-Monitor



Freigaben:


DynDNS auf Fritzbox ist leer
DNS-Rebind Schutz eingetragen





Bei den Portfreigaben ist das hier neu.


Und hier bei IPv6 ist nun das:




Muss ich hier was umstellen?

Danke vielmals für deinen/euren Support

Edit:

Das Fenster bekomme ich nun wenn ich auf xxx.synology.me gehe

EDIT: Vergesst bitte das mit dem Anmeldefenster - habe den Port der Fritzbox von 443 auf was anderes gestellt - und jetzt verwendet die Freigabe von der NAS 443 und jetzt kommt auch wieder das richtige im LAN/WLAN. Extern geht weiterhin nicht

 

[Hagen2000]

IPv6: Vermutlich hast Du auf deinem NAS IPv6 gar nicht aktiviert. Daher haben die nslookup-Befehle in #6 auch keine IPv6-Adressen (AAAA-Records) angezeigt (sofern Du sie nicht weggelassen hast ). Daher habe ich Dir geraten, IPv6 beim DDNS abzuschalten. Da Du kein IPv6 aktiv hast, erscheint auch keine IPv6 Interface-ID bei der Portfreigabe.

FRITZ!Box: Wenn Du den externen Zugriff auf der FRITZ!Box erlaubst, belegt diese dafür den Port 443 selbst. Aber das hast Du ja erkannt. Immerhin zeigt das, dass die DDNS-Auflösung funktioniert und Du darüber auf deine FRITZ!Box zugreifen könntest.

Was ist das mit der Portnummer 61001 und dem Ausrufezeichen daneben?

Hast Du auf dem NAS evtl. den Standard-Port für die DSM-GUI verstellt?

 

[Andi001]

Es geht!!!
Melde mich gleich mit mehr Infos

 

[Andi001]

Also hier nochmals meine Punkte was jetzt passiert ist.

Ich habe die Fritzbox resetted --> gleiches Verhalten

Danach hatte ich ein super Gespräch mit meinem Provider - sie hat alles geprüft. IP Adresse war öffentlich. Was sie aber gemacht hat, sie hat was in der Firewall angepasst - also dort hat sie mal auf ihrer Seite alles erlaubt.
Danach ging es immer noch nicht und was ich jetzt noch gemacht habe. Hab sogar nen neuen Router bestellt weil wir dann schon dachten vlt hat FritzBox was.

Auf der Fritzbox IPv6 deaktiviert.
Danach immer noch nichts

Danach habe ich die Einstellung IPv6 wieder deaktiviert auf der Synology (hatte ich davor schon getestet) und dann ging es mit der xxx.synology.me Adresse.

Eigene Domain geht nicht aber das ist mir nicht wichtig. Hauptsache so geht es.

Jetzt werde ich noch die Ports ändern und dann vlt. noch den CNAME im Strato anpassen.

Vielen vielen Dank euch allen. Ohne euch wäre das nichts geworden

 

[Hagen2000]

Falls Du noch ein Let‘s Encrypt-Zertifikat einrichten willst, musst Du eventuell Port 80 wieder aufmachen. Da kennen sich andere Forenmitglieder besser aus. Am besten machst Du dann ein neues Thema auf.

 

[Andi001]

Ich kämpfe mit den Zertifikaten schon herum

Aber weißt du auf die schnelle wieso ich hier folgende Zertifikate habe?

xxx.synology.me (Standardzertifikat)
xxx.direct.quickonnect.to
synology
Active Backup für Business

Passt das mal aus deiner Sicht im groben so?

Weil in der Handy-App (Photos) hat er mir unsicher/Zertifikatsfehler angezeigt. Habe jetzt das erste erneuert und dann glaub ich noch als Standard gemacht.

Edit: Bzw. sind in der Photos App noch 2 andere Zertifikate drinnen gewesen - vermute alt. Die habe ich jetzt entfernt.