Failed: Synchronisation vom Kalender

[Fusion]

@cosmo nein. Auch mit einer globalen IPv6 hängt das Gerät nicht direkt im öffentlichen Netz. Es Bedarf einer Öffnung in der Firewall des Routers (Portfreigabe).
Das zusätzliche NAT bei IPv4 (kann man bei IPv6 auch machen, wenn man unbedingt will) ist ja keine Sicherheitseinstellung.

Auf einem geöffneten Port hängen Geräte egal ob IPv4 oder IPv6 im Netz.

 

[EDvonSchleck]

Eigentlich "nichts". Die Firewall in der DS ist nun Pflicht und muss richtig konfiguriert werden. Deine DS hängt mit ipv6 direkt im öffentlichen Netz und nicht wie bei ipv4 hinter einem Router, der noch ein bißchen mehr an Sicherheit mitbringt!

Das stimmt auch so nicht, Natürlich greift die Firewall der Fritzbox. Es werden auch nur die geöffneten Ports freigeben, alle anderen Blieben zu. Das einzige was entfällt ist das NAT. Also von einen externen Port auf einen anderen internen Port die Anfragen weiterleiten. NAT wird sowieso als falsche Sicherheit verstanden. Ich würde das nicht überbewerten. Mit der Synology Firewall kann man etwas mehr einstellen, was in der Fritzbox nicht funktioniert.

Wem das zu kompliziert (Freigaben) ist kann auch einfach VPN in der Fritzbox einrichten uns sich das ganze ersparen.

 

[dan-ger]

Das es jetzt mit ipv6 funktioniert freut mich natürlich. Es stellt sich aber die Frage, ob er die nötige Konfiguration für die ipv6 Verbindungen selbst konfiguriert hat. Standard ist das ja eher nicht. Auch in der fritzbox müssen eigentlich ein paar Dinge beachtet werden. Zum Beispiel sollten die Präfixe automatisch zugewiesen werden.
Und zu guter Letzt muss auch der dyn-Dienst ipv6 verstehen.

Bei meiner Recherche zu diesem Thema bin ich noch auf den DNS-Rebind-Schutz in der Fritz!Box gestoßen (Heimnetz => Netzwerk => Netzwerkeinstellungen). Dort habe ich die DDNS-URL eingetragen.
Ansonsten habe ich nur noch die Portfreigaben in der Fritz!Box erstellt und sonst nichts verändert.

 

[EDvonSchleck]

Der Rebindschutz ist ja nur für das aufrufen der Dyndns im internen Netz.

Überlege dir ob die lieber mit IPv4 oder IPv4 die Verbindung aufbauen willst. Unterschiede gibt es soweit keine. Ein NAT ist nicht unbedingt notwendig und kompliziert die Sache für Einsteiger nur. Zur Sicherheit tut NAT auch nichts. Wenn du eine IP-v4 haben willst kontaktiere deinen ISP. Dieser wird dir sagen was es kostet oder du machst ein Upgrade auf 600/1000 - dort ist es incl.

 

[dan-ger]

Eigentlich "nichts". Die Firewall in der DS ist nun Pflicht und muss richtig konfiguriert werden. Deine DS hängt mit ipv6 direkt im öffentlichen Netz und nicht wie bei ipv4 hinter einem Router, der noch ein bißchen mehr an Sicherheit mitbringt!

Was genau meinst du mit "richtig konfiguriert werden"!? Wo sollte ich welche Einstellungen ggfs. vornehmen?

 

[EDvonSchleck]

In der Synology Firewall kannst du noch eine engere Auswahl machen. Deine DS ist jetzt nicht offen im Internet! Die Aussage stimmt nicht, siehe #41 & #42. Wenn du die DS-Firewall einrichten willst findest du hier ein Beispiel (IPv4) Die IPs und Anwendungen müssen natürlich angepasst werden,

 

[c0smo]

Es Bedarf einer Öffnung in der Firewall des Routers (Portfreigabe).

Davon gehe ich hier aus. Er schrieb ja, das es mit ipv6 funktioniert und sein Bild zeigt geöffnete ipv6 Ports.
Du hast übrigens den falschen c0smo angehauen

Auf einem geöffneten Port hängen Geräte egal ob IPv4 oder IPv6 im Netz.

Naja, schon. Dennoch spreche ich bei ip4 den Router an und bei ipv6 das direkte Gerät!

Natürlich greift die Firewall der Fritzbox

Sorry aber für mich ist das keine Firewall. Und bei ipv6 schon gar nicht.

Mit der Synology Firewall kann man etwas mehr einstellen

Deshalb auch der Hinweis von mir

Was genau meinst du mit "richtig konfiguriert werden"!?

Hier im Forum haben sich die abenteuerlichsten Konfigurationen gezeigt. Die sind oft alles, ausser richtig und sicher.
Eine FW macht erstmal alles dicht und du machst nur das auf, was benötigt wird und keinen Port mehr.
Dann ist die Reihenfolge der Regeln wichtig. Die DS arbeitet von oben nach unten ab.
Man sollte die FW auch auf die Schnittstelle (eth0, eth1, etc) begrenzen und nicht "Alle Schnittstellen" konfigurieren.
Hier ein Beispiel.
https://www.synology-forum.de/threads/synology-firewallregeln.72606/page-2#post-795533

Deine DS ist jetzt nicht offen im Internet!

Ach nein? Die ipv6 verweist direkt auf die DS. Wenn der Port offen und die Firewall aus ist, hängt sie direkt im Netz. Was daran ist jetzt nicht direkt im Netz?

 

[EDvonSchleck]

Ach nein? Die ipv6 verweist direkt auf die DS, wenn der Port offen und die Firewall aus ist Was daran ist jetzt nicht direkt im Netz?

Auf die Adresse ja und? Die Dyndns verweist ja auch auf die Diskstation. Trotzdem greifen von der Firewall nur die geöffneten Ports. Ich versteh jetzt deine Aufregung nicht. Ob jetzt die IPv6 bestehend aus Präfix und lokalen Teil der DS oder eine DynDNS/Domain ändert nichts an der Aussage. Eine NAT als Sicherheitsfeature zu bezeichnen ist falsch. Wenn man andere Ports verwenden will ist es ja immer noch möglich.

Verunsichere doch bitte nicht andere User mit falschen Aussagen.

 

[c0smo]

Die Dyndns verweist ja auch auf die Diskstation

Bei ipv4 eben nicht. Nur bei ipv6.

Ich versteh jetzt deine Aufregung nicht.

Die habe ich nur, weil mein Wort verdreht wird. Ich weise lediglich darauf hin, dass es bei ipv6 noch wichtiger ist, auf die Sicherheit zu schauen.

Eine NAT als Sicherheitsfeature zu bezeichnen ist falsch.

Wo liest du das aus meinen Texten? Falls das hier so verstanden wurde, dann Sorry. NAT ist kein Sicherheitsfeature!

Verunsichere doch bitte nicht andere User mit falschen Aussagen.

Jetz wirds aber theatralisch
An meinen Aussagen ist überhaupt nichts falsch. Möglichweise wurde die Goldwaage zu sehr bestückt.
Alles gut. Wir wollen doch alle das Gleiche.

 

[dan-ger]

@c0smos & @EDvonSchleck
Ich danke euch beiden für den TOP Support, die wie vielen neuen Informationen und weiterführenden Tipps!

 

[EDvonSchleck]

Bei ipv4 eben nicht. Nur bei ipv6.

Da bin Ich jetzt wieder gespannt: Wenn eine Anfrage auf die Adresse mit Port 5000 verbunden wird landet diese bei der Fritzbox NAT Port 5000 und diese leitet die Anfrage an den internen Port 5000 weiter. Jetzt bist du mit der Anfrage wo gelandet? Eine nutzung unterschiedlicher Ports hinter der NAT macht alles komplizierter. Richtig wäre einen anderen (nicht Standardport) gleich einzusetzen anstatt es im Router kreisen zu lassen.

Die habe ich nur, weil mein Wort verdreht wird. Ich weise lediglich darauf hin, dass es bei ipv6 noch wichtiger ist, auf die Sicherheit zu schauen.

Dann hättest du es so schreiben sollen uas deinen Post geht etwas anderes hervor:

Die Firewall in der DS ist nun Pflicht und muss richtig konfiguriert werden. Deine DS hängt mit ipv6 direkt im öffentlichen Netz und nicht wie bei ipv4 hinter einem Router, der noch ein bißchen mehr an Sicherheit mitbringt!

Natürlich stimmen die Aussagen nicht:

1. greift die Firewall der Fritzbox (auch wenn sie für dich nicht ausreichend ist, ist sie trotzdem da)
2. hängt die DS nicht fre und direkti im öffentlichen Netz
3. NAT ist kein Sicherheitsfeature

Alles gut. Wir wollen doch alle das Gleiche.

Da sind wir nach 3 Seiten einer Meinung

Soll sich der TE entscheiden wie er das umsetzen will.

Kleiner Tipp: Ich würde Baikal als Cal-& Carddav-Server nutzen und nicht die Apps von Synology. Damit hat man einen kleinen, schlanken und aktuellen Server, welcher in Docker oder in der Webstation läuft. Bei mir läuft dieser seit sehr viel Jahre zuverlässig. Es ist alles in einer Anwendung gebündelt, User müssen kein Synology Konto (DS) besitzen und ist sehr leicht zu sichern. Es lässt sich einfach über den Reverse-Proxy schleusen und kann somit über den Port 443 oder jeden anderen laufen. Ein Blick ist es wert und die Einrichtung dauert keine 5 Minuten.

 

[c0smo]

Da bin Ich jetzt wieder gespannt

Ich glaube du willst mich nicht verstehen, was ich wiederum nicht verstehe, da ich eigentlich denke, dass du ein fundiertes Wissen vorweisen kannst.

Ein ping - 4 auf den dyn zeigt die ipv4 von deinem Router.
Ein ping - 6 auf den dyn zeigt die ipv6 von der DS.
Das ist ja auch der Grund, warum mit ipv6 der dyn-Dienst auf dem Gerät laufen sollte, das von aussen erreichbar sein soll, also der DS. Bei ipv4 ist das wurscht wegen NAT.
Wenn du den Router unter ip6 weglassen würdest, also quasi ein Exposed Host konfigurierst und somit alles offen ist, landest du direkt auf der DS.
Ein Exposed Host konfiguriert mit ipv4, ebenfalls alles offen und kein NAT konfiguriert, landest du auf dem Router. Nicht auf der DS!

Diese ganze hin und her nervt jetzt, weil wir an sich alle wissen und dies vermitteln wollen, das es grundsätzlich immer wichtig ist, eine FW zu haben und nur die Ports zu öffnen sind, die benötigt werden.

NAT ist kein Sicherheitsfeature

Zum letzten Mal, ja! Die Aussage "ein bißchen mehr Sicherheit" bezog sich nicht auf das NAT, sondern auf die ein, zwei Punkte die in der FB noch an Sicherheit aktiviert werden kann. Stealth Modus oder wie das alles heißt.

Zwar OT, zeigt aber die ungefähre Richtung, die ich zeigen wollte.
https://www.linux-magazin.de/ausgaben/2011/08/ipv6-security/2/
https://www.golem.de/1112/88043-2.html

 

[EDvonSchleck]

Guter @c0smo.

Eine IPv6 ist aber kein "Exposed Host" und wird auch nicht so behandelt. Der Zugang über die entsprechenden Ports wird immer noch vom Router gesteuert. Ohne Router kann die DS kein Verbindung aufbauen wegen dem Modem. Von der Einwahl wäre es über PPPoE bei der DS noch möglich - von der Hardware aber nicht. Ob das bei Glasfasernetze noch funktioniert kann ich auf Grund meines VDSL-Anschlusses nicht sagen. Auch ist nicht jeder Glasfaseranschluss gleich. Unterschieden wird in aktiv und passiv. Und wie immer in Deutschland kocht jeder sein eigenes Süppchen anstatt einen Standard zu setzen und es einheitlich zu machen Damit ist schon einmal ein anderes Modem nötig! Somit Stimmt deine Aussage:

Wenn du den Router unter ip6 weglassen würdest, also quasi ein Exposed Host konfigurierst und somit alles offen ist, landest du direkt auf der DS.

Weil es einfach nicht funktionieren wird.

Fast allen Usern ist es egal ob zuerst der Router angesprochen wird, da eine Freigabe eh wegen eines Dienstes erfolgt der vom Internet erreichbar sein soll. Außerdem ist für die vollständige Adresse immer noch der Präfix, welcher vom ISP zugewiesen wird notwendig- dieser kann sich auch natürlich auch ändern. Einen Eindruck welcher durch deine Aussagen entsteht das diese DS wegen IPv6 jetzt offen im Netz steht ist einfach falsch.

IPv6 soll das überflüssige NAT komplett außen vor lassen und das Ganze erleichtern. Ich sehe wirklich kein Problem IPv6 nicht zu nutzen, es sei denn eine Anwendung, Server etc können damit nicht um (was immer noch sehr oft der Fall ist). Auch andere Sachen wie z.B. IP´s werden mit IPv6 vereinfacht - wenn auch die IP nicht mehr so einfach aus dem Kopf zuzuordnen sind. Auch bietet IPv6 einen besseren Schutz als IPv4. Ich denke das alles weist du auch!

Ich selbst mit IPv4 aufgewachsen nutze es immer noch, aber es wird irgendwann der Tag kommen... Das können wir nur in einen bestimmten Maß heraus zögern, aufhalten werden wir es nicht.

Auch kann man eine Firewall hinter eine Firewall machen, muss aber auch ordentlich geführt werden um Fehler vorzubeugen. Auch da können sich Fehler einschleichen - was aber nicht heißt das die DS Firewall nicht genutzt werden soll!

 

[c0smo]

Ich sehe wirklich kein Problem IPv6 nicht zu nutzen,

Witzig.. Ich auch nicht
Wollte nur auf die Härtung des Systems hinweisen.

was aber nicht heißt das die DS Firewall nicht genutzt werden soll!

Niemals nicht. Firewall ist Pflicht. Punkt.


Meine Güte, so viel heißer Brei. Das kann doch nicht mehr schmecken
Einen gemütlichen Abend wünsche ich.

 

[EDvonSchleck]

Es besteht ja immer noch die Möglichkeit auf die Freigaben komplett zu verzichten und wie bereits in #42 beschrieben auf VPN zu setzen.

Schönen Abend noch...

 

[dan-ger]

Interessant, seit letzter Nacht wird die DDNS-URL, bei gleichen Einstellungen wie zuvor, auf einmal nicht mehr aufgelöst und ich komme somit nicht mehr über die DDNS-URL mit entsprechender Portfreigabe auf den Kalendar. Was ist denn da auf einmal los?!

 

[EDvonSchleck]

Ich glaube hier wird vieles vermischt.

Das habe ich gestern auch schon geschrieben, Bei dir wird einiges durcheinander sein.

 

[c0smo]

Das Thema ist doch vom Tisch! Wie soll er sich denn einloggen können, wenn er DS-lite hat?


Nein. Du brauchst aber die Ports 5000 und 5001

Hat jetzt nichts mit dem dyn zu tun aber hast du diese Ports ebenfalls aufgemacht?
Wo läuft der Dyn? Auf der DS oder der FB?

 

[dan-ger]

Ich glaub jetzt haben wir die Ursache meines Problems: DS-Lite

Anbei ein Screenshot von Ereignisse > Internetverbindung aus meiner Fritz!Box.

 

[c0smo]

Dann verwundert mich aber weiterhin deine Aussage, das die IP vom ping deines dyn, identisch ist mit der von der dein-ip-check.de Seite.