Externer Zugriff auf Diskstation (IPV6)

[nherobot]

Bin ebenfalls über Google hier gelandet.

Vielleicht kann mir jemand noch weiterhelfen und mich durch die Vielzahl der Parameter geleiten.
Mein Problem ist eigentlich wie bei den Vorpostern gelagert, allerdings konnte ich nicht alle Screenshots nachvollziehen.

Ich muss eine DS, die nachgelagert an einer Fritzbox 7520 hängt, bei Winsim ins Netz bringen. Das bedeutet über IPv6 und DS-Lite.
Gewünscht sind erstmal nur die Ports 5000-5001

Zwei Probleme, die ich aktuell sehe:
In der DS: Ich bekomme bei den hinterlegten DDNS-Anbietern immer nur eine IPv4 Anbindung/Adresse angezeigt
In der Fritzbox: wenn ich für IPv4 die genannten Ports 5000-5001 freigeben möchte, werden mir immer automatisch andere Ports zugewiesen

Für Support wäre ich dankbar.

 

[Benares]

Die IPv4 hilft dir wenig bei einem DS-Lite-Anschluss. Du brauchst bei IPv6, im Unterschied zu IPv4, nicht die IPv6 deiner Fritzbox, sondern die deine DS.
Ich finde, "MyFritz" löst das ganz gut. Einmal dort angemeldet, kannst du die IPv6 deiner internen Geräte, in Kombination mit einer "MyFritz-Portfreigabe" auch über <InternerName>.<MyfritzID>.myfritz,net auflösen.

 

[nherobot]

Was heißt das genau? Zunächst muss doch mal der DNS-Service auf die richtige Stelle zeigen können, oder? Und dem kann ich scheinbar in der DS nur IPv4 Adressen mitteilen. Jedenfalls gibt es dort (außer man nutzt einen Synology Dienst) bei mir nur ein Anzeigefeld für IPv4.

 

[Benares]

Welchen DDNS-Dienst nutz du momentan? synology.me mit dem DDNS-Updater der DS wäre auch eine Option, der kann auch IPv6.

 

[nherobot]

Idealerweise solllte es ein geräteunabhängiger Dienst sein, so war es bislang. Hinterlegt sind zur Zeit FreeDNS, Two-DNS und DUCKdns, zumindest FreeDNS und DUCKdns solllen auch IPv6 können.
Wie gesagt, in der DS fehlt mir aber für alle das IPv6 Adressfeld. Es ist sichtbar, wenn ich auf „DDNS-Dienst hinzufügen“ gehe, aber bei allen außer dem Synology-Dienst verschwindet das Feld, sobald ich einen Dienst aus dem Drop-Down Menü auswähle.

 

[Benares]

zumindest FreeDNS und DUCKdns solllen auch IPv6 können

Können sie oder können sie sollen?
Probier halt mal synology.me, das klappt ganz gut, lässt such auch leicht per CNAME in eine eigene Domain einbinden.

 

[c0smo]

DynV6 ist kostenlos. Verwende ich seit Jahren für ipv6.

 

[ctrlaltdelete]

Winsim

Also gehst du über UMTS ins Netz?
Ist IP6 in der Fritzbox aktiviert?
Ist IP6 in der DS aktiviert?

 

[nherobot]

Erstmal vielen Dank, dass hier so viele mitlesen und schreiben!

@ctrlaltdelete Nein, es handelt sich um den DSL-Zugang von Winsim, nicht um einen Handy-Zugang.
IPv6 ist sowohl in der Fritzbox als auch in der DS aktiviert. Winsim bietet wie oben geschrieben DSL ausschließlich als IPv6 mit DS-lite an.

 

[ctrlaltdelete]

Poste mal ein Screenshot der Freigaben in der Fritzbox, bzw. wenn möglich lösche alle Freigaben die zur IP der DS verweisen.
Dann richtest du eine neue Portfreigabe ein, siehe Bild.
In der DS aktivierst du DDNS, siehe Bild.

 

[nherobot]

Meine Portfreigabe auf der Fritz sieht so aus wie in Deinem Screenshot. Den DDNS-Synology-Eintrag kann ich heute abend mal testen. Er wäre allerdings nicht die gewünschte Lösung, da wir einen von Synology unabhängigen DDNS-Dienst nutzen wollen. Aber vielleicht hilft es bei der Eingrenzung des Problems. Heute abend mehr...

 

[Janüscht]

Eine IPv6 Freigabe ist eigentlich sehr einfach. Du musst zwischen 2 Systemen unterscheiden:
1. jeder erreichbare Client muss die (Sub)Domain selbst aktualisieren
2. du aktualisierst dem Präfix mit dem Router und hinterlegst die IP der Client als Record

Ich würde wie @c0smo auch Dynv6 empfehlen. Diesen setze ich schon sehr lange und ohne Probleme ein. Zudem ist es ein deutscher Anbieter, welcher sehr datensparsam ist. Andere Dienste wie Quickconnect, Myfritz etc. stellen im Hintergrund mehr als nur die IP-Auflösung dar oder sitzen im Ausland, wo deren Gesetz gilt. Man kann das machen, aber schön ist das nicht wirklich. Ich würde den direkten Weg vorziehen und die 2. Lösung mit den Record bevorzugen. Somit muss man nicht jedes Gerät einen Updater laufen lassen und der Router bekommt sofort mit, wenn sich dem Präfix geändert hat und aktualisiert diesen gleich. Bei den Clients, die im Netzwerk, (auch Synology, Docker, Scripte etc.) können dieses nur periodisch ausführen. Somit hat man immer einen möglichen Zeitraum zischen den Intervallen.

Wie das einzurichten ist, habe ich hier schon beschrieben. Ein weiteres Problem nach Freigabe sollte das Zertifikat sein. Das man manuell über die Diskstation ausstellen und aktualisieren oder voll automatisch über acme.sh. Auch dazu habe ich hier etwas geschrieben.

Eine IPv4 Freigabe brauchst du bei einem DS-Lite-Anschluss nicht, ich würde die Freigabe NUR für IPv6 aktivieren.

Auch würde ich nicht den Port 5000/5001 nutzen. Am besten verwendest du gleich den Port 443 und eine Subdomain. Das richtest du einfach über das Anmeldeportal öder den Reverse Proxy ein. Andere Post geben auch keine höhere Sicherheit. Das Problem bei dem 5000er Ports ist, dass der Bot/Angreifer ein bestimmtes Gerät (hier Synology) erwartet.

Wenn du noch das Blocklist-Script von @geimist nutzt, erhöht das natürlich zusätzlich deine Sicherheit wie eine ordentlich eingestellte Firewall, deaktivierten Admin-Konto etc.

 

[ctrlaltdelete]

Teste es erstmal mit Synology und dann schauen wir weiter. Denn generell würde ich nicht den Port 5001 ins Netz stellen, sondern über ein Subdomain auflösen und Reverseproxy nehmen, wenn VPN nicht sinnvoll einsetzbar ist. Hierzu die Frage was soll über den Fernzugriff geschehen, Wartungszugriff, Arbeitszugriff, mehrere Personen?

 

[c0smo]

Winsim bietet wie oben geschrieben DSL ausschließlich als IPv6 mit DS-lite an.

DS-Lite wird bei ipv4 verwendet, weil der Adressraum zur neige geht.
Ipv6 kann direkt angesprochen werden, allerdings mit mehr Aufwand. Die Konfiguration unterscheidet sich gegenüber der mit ipv4.

 

[Benares]

Zu #50: Bei DS-Lite würde ich die IPv4 erst gar nicht im DDNS registrieren, da diese eh nicht erreichbar ist.

 

[reanima]

Hallo zusammen,

ich habe das gleiche problem, ich möchte das hyper backup gerne auf einer syno zum laufen bringen die hinter einem DG Glasfaseranschluss steckt. eine ddns adresse die nur IPV6 auflöst habe ich über synology.me bereits erstellt. leider komme ich nicht auf die ds - nur via quickconnect.

Benutzt wird eine 7590AX von fritz in der die Ports als offen angezeigt werden.

Was kann ich noch machen?


Screenshot

Vielen lieben Dank bereits im voraus!

 

[c0smo]

Die Frage wäre jetzt, welche Ports und wo gehen die hin? Ipv6 (NAT) wird anders konfiguriert als ipv4 NAT.
Und welche ipv6 verwendest du?

 

[plang.pl]

Bei IPv6 gibt es kein NAT mehr. Jedes Gerät hat eine eigene Public IP.

 

[c0smo]

Genau, deshalb auch die Klammern.
Ich wusste, dass dieser Einwand kommen wird

 

[plang.pl]

Ach sorry, da war ich mal wieder zu schnell
Hab das vor deinem EDIT abgesendet