DS extern erreichbar trotz fehlender Portweiterleitung

[Andifront]

Hallo,

ich stehe gerade vor einem Rätsel.
Ich kann meine DS von extern erreichen (z.B. mit dem Handy aus dem Mobilfunknetz mit DS File oder mit dem Browser die WebUI), auch wenn ich die entsprechenden Ports im Router NICHT weiterleite.
Einzige Ausnahme, die ich bisher gefunden habe ist Port 22 für SFTP (zum Beispiel FolderSync). Das funktioniert tatsächlich nur, wenn ich den Port weiterleite (siehe Screenshot).

Router ist so ein komisches Kabel Deutschland Gerät.

Was könnte das sein? QuickConnect ist nicht aktiv.



MfG
Andi

 

[Fusion]

Wie testest du von extern?

Vielleicht bedarf es einem Neustart der Router-Modems?
Vielleicht muss der Eintrag gelöscht werden (deaktivieren fehlerhaft)?

Mir fallen grad nur die zwei Möglichkeiten ein (Einstellung greift nicht, Test nicht wirklich von extern)

 

[Andifront]

Test von Extern: Mobiltelefon über 4G (DS File, WebUI im Browser) => DS erreichbar
Einträge löschen => DS erreichbar
Router Neustart => DS erreichbar

 

[Fusion]

Was sagt die Firewall im Router?

Ist die DS vielleicht als Exposed Host oder ähnliches gesetzt, dass aller Traffic auf die DS geleitet wird?

QuickConnect definitiv nicht konfiguriert / deaktiviert?
Sicher, dass das Mobile (iOS/Android?) nicht heimlich das WLAN anschaltet?

 

[Andifront]

Hallo Fusion,

bitte entschuldige die späte Reaktion. Wir haben einen Säugling zu Hause, der jetzt den Takt vorgibt...

Ist die DS vielleicht als Exposed Host oder ähnliches gesetzt, dass aller Traffic auf die DS geleitet wird?

Keine Ahnung, wo kann ich sowas rausfinden? Ich habe das jedenfalls nicht bewusst so eingestellt.
Was aber eher dagegen spricht ist die Tatsache, dass die Portweiterleitung für Port 22 normal funktioniert. Wenn ich diese deaktiviere, komme ich mit FolderSync nicht mehr per SFTP auf die DS.

Sicher, dass das Mobile (iOS/Android?) nicht heimlich das WLAN anschaltet?

Ja, ich konnte auch von der Arbeit aus über das Büro-WLAN auf meine DS zuhause zugreifen.

QuickConnect definitiv nicht konfiguriert / deaktiviert?

Ja, definitiv deaktiviert:


Ein bisschen stutzig macht mich die Seite zwei (die aktivierten Haken im Hintergund):


MfG
Andi

 

[Fusion]

Ja, QC ist deaktiviert. Die Haken stören nicht. Du kannst es auch aktivieren, die Haken rausnehmen und wieder deaktivieren, wird nichts ändern.

Hab so ein Router von Kabel Deutschland noch nie gesehen, von daher schwer zu sagen, was da in den Menüs so alles steht.

Andere Idee. Hast du zufällig EZ-Internet oder die Router Konfiguration unter Externer Zugriff auf der DS benutzt?
Dann öffnet die DS die Ports immer wieder automatisch per uPnP.

Falls es das auch nicht ist mal in der Anleitung schauen
https://kabel.vodafone.de/static/media/Compal_WLANRouter_CH7466CE.pdf

Seite 25, uPnP deaktivieren
Seite 28, Firewall

Könnte z.B. die IPv6 Firewall aus sein. Und wenn alle kommunizierenden Teilnehmer via IPv6 sprechen und deine dynDNS auf der DS eine IPv6 hat ist diese direkt von außen erreichbar.

Grad mal alle Ideen für jetzt.

 

[Andifront]

DDNS ist auch über IPv6 registriert:


Ist das schon die Antwort? Die Apps DS File & DS Photo verbinden sich über IPv6 und dafür benötigt man keine Port-Weiterleitung mehr?

Laut diesem Link wird SFTP nicht über IPv6 unterstützt und deshalb benötige ich dafür weiterhin die Portweiterleitung?!
Welche Anwendungen auf Synology NAS werden von IPv6 unterstützt?

MfG
Andi

 

[Fusion]

Deine öffentlichen IPs/domains solltest du mindestens teil-anonymisieren bitte um ungewünschten Besuch nicht einzuladen.

Eine Portweiterleitung braucht man um die NAT-Barriere (Network Address Translation) zwischen internem und externem Netz zu überwinden bei IPv4 (eine externe IPv4, mehrere interne IPv4 Geräte).
Der Router merkt sich alle von innen kommenden Anfragen nach extern, um dann die externen Antworten an das anfragende Gerät intern zurück zu schicken.
Für unaufgeforderte Anfragen von extern hat er logischerweise keinen solchen Eintrag. Um die Anfragen trotzdem an ein internes Gerät zu bekommen, also der Router sie nicht einfach verwirft, gibt es die Portweiterleitung. Die Begrenzung ist, dass jeder externe Port am Router nur an ein internes Gerät geleitet werden kann.

Bekommt der Router vom Provider ein IPv6 Subnet, kann er Adressen daraus an interne Geräte weitergeben (analog DHCP für IPv4).
Diese Adressen sind aber im Unterschied zu den normalen privten IPv4 (192.168.x.y, 10.x.y.z etc) öffentliche IPv6.
Damit ist das einzige was (normale Home User) zwischen der Erreichbarkeit der internen Geräte mit IPv6 steht die IPv6 Firewall des Routers.
Hier braucht es nun keine Portweiterleitung, sondern Portfreigaben, in der Firewall.
Damit kann jedes interne IPv6 Gerät dann z.B. per Port 80 von außen erreicht werden.

Nachtrag:
Jedes Gerät was mit IPv4 und IPv4 kommuniziert hat (meist) inzwischen eine Priorisierung für IPv6.
Nur falls hier keine Antwort (vom angefragten Dienst) innerhalb weniger hundert ms kommt gibt es ein Fallback auf IPv4 (und dann greift wieder die Portweiterleitung).
Normal sollte bei IPv6 fähigen Routern auch die IPv6 Firewall standardmäßig aktiv sein und keinerlei Zugriff von Außen erlauben, trotz "öffentlicher" IPv6.

Nachtrag 2:
Ich war mal so frei.
Bei dir sind definitv die Portweiterleitungen, z.B. Port 5001, per IPv4 aktiv.
Also die anderen Punkte die ich vorher genannt hatte (EZ Internet, Router Config, uPnP) kontrollieren!

 

[gwork]

"Der beste Speicherort, um andere an unseren Erinerungen teilhaben lassen zu können" ist auf jeden Fall aus dem Internet erreichbar

 

[Andifront]

Vielen Dank soweit für eure Hilfe und das "Testen"
Die DS soll ja auch über das Internet erreichbar sein. Ich habe allerdings das ungute Gefühl, keine Kontrolle darüber zu haben.

UPnP ist angeblich deaktiviert, aber ich glaube dem Router momentan gar nichts mehr .-(
Ich setze den Router jetzt erstmal auf Werkseinstellungen zurück. Vielleicht hilft das ja...

- edit - Nach dem Werksreset scheint wieder alles normal zu sein. Keine Portweiterleitung aktiv. DS über Mobilfunknetz nicht erreichbar. Vielen Dank für eure Unterstützung!