DSM 6.x und darunter Internetverbindung von NAS über Firewall verbindet nicht.

[Nick Art]

Guten Abend,

Ich habe seit einiger Zeit das Problem dass meine Synology sich nicht mehr mit dem Internet verbinden will. Die NAS schafft es auchg nicht sich mit dem Synology Account zu verbinden und DSM help geht auch nicht und EZ Internet bringt diese Meldung:

Im LAN funktioniert alles inklusive der XXX.synology.me addresse und auch mit der öffentlichen IP kann ich mich im LAN mit der Synology verbinden. Von Ausserhalb geht es aber nicht.
Hier vielleicht wichtig zu erwähnen ist dass das ganze davor noch geklappt hat. Ich habe auch keine nennenserten Änderungen am System, dem Router oder der Firewall (Xywall) vorgenommen (ausser ein paar Neustarts).
Nach einem dieser Newustarts hat meine VPN nicht mehr funktioniert, die Konfiguration blieb jedoch gleich. Ich vermute dass da vielleicht irgendetwas kleines sich geändert hat und vielleicht auch das Port Forwarding the Synology NAS unterdrückt? Ich bin zwar alles durchgegangen und es sah schon alles gleich und korrekt aus aber vielleicht habe ich etwas übersehen.
Es muss definitiv etwas an der Firewall liegen, jedoch wüsste ich nicht was denn für mich sieht alles korrekt konfiguriert aus.
Die Security Policies sind alle aktiviert. Weiss jemand zhhufälligerweise was da genau aktiviert sein sollte? (Ich habe mal gewisse Services restriktiert die ich nicht gebraucht habe und vielleicht ist da schon etwas schief gegangen und ich habe es nicht gemerkt?

Ich hoffe ihr könnt mir helfen,

Mit Freundlichen Grüssen,

Nick

 

[the other]

Moinsen,
schalt die Firewall versuchsweise für 5 Minuten aus und versuch es. Wenn es dann geht ist deine Vermutung wohl richtig. Wenn es immer noch nicht geht, dann liegt des Pudels Kern wohl an anderer Stelle...

 

[Nick Art]

Das Problem ist ich kann die Firewall nicht ausschalten, weil ja alle Verbindungen durch die Firewall gehen müssen (da dies ein externes eigenes Gerät ist).

Das System ist so aufgebaut: WAN-Router(Bridge-Modus)-Firewall-Switch-Server

Wenn ich die Firewall ausschalte dann sind alle Verbindungen zum Router unterbrochen. Direkt anhängen and den Router geht nicht da dieser im Bridge Modus ist. In der Firewall ist es eben nicht so dass dies nur Softwäre wäre welches man mit einem Klick ausschalten könnte wie bein gängine Routern dass der Fall ist. Den Router aus dem bridge Modus rauszubringen birgt mehr Probleme da man diesen ja über 192... nicht anpingen kann, da er ja im Bridge Modus ist und da möchte ich am liebsten auch nichts ändern.

Ich kann natürlich den Router direkt and die Switch hängen, dann wäre aber mein ganzes LAN direkt am Netz des Betreibers offen angehängt und jedes gerät müsste für sich selbst als Router fungieren (oder würde von Anbieter über einen Rotuer der das WAN des Betreibers verwaltet eine IP zugeteilt werden? Wie genau das beim Anbieter funktioniert weiss ich leider nicht. Laptopt direkt an Router hängen geht jedoch Internetmässig, mit einem IP Scan kann ich da glaube ich auch ganz viele andere Router sehen. Aber was da läuft wäre ich überfragt.) Ich bin auch ein bisschen zögerlich den Server einfach so direkt and das WAN anzuhängen.

 

[the other]

Moinsen,
sorry. Hatte vermutet, dass du (wie wohl 90 % hier) die einfache Synology Firewall meintest.

 

[the other]

Moinsen nochmal,
dann poste doch mal deine Firewall Regeln für das Netzwerksegment, in welchem das NAS hängt.
Kann es eventuell sein, dass du DNS ZUgriff (idR Port UDP/TCP 53) verboten bzw. je nach Konfig nicht explizit erlaubt hast? In deiner Grafik meckert das Ding ja wegen DNS. Vielleicht hat dir deine Firewall ja auch den VPN Port aus den Regeln entfernt...
Was sagt den das Protokoll der Firewall? Irgendwas sinniges bezüglich der üblichen DNS und VPN Ports?

 

[framp]

Es gibt ja schon bei der Netzwerkumgebungspruefung ein Ausrufezeichen. Vermutlich ist der DNS Fehler dann nur noch ein Folgefehler. Vielleicht weiss jemand in welchen Logs man auf der Syno die Checks von EZ-Internet verfolgen kann und die genauere Ursache fuer ein Failure finden kann?

 

[the other]

Moinsen,
wofür eigentlich das EZ Internet Gedöns? Ich selber nutze es nicht (was aber nicht der Grund der Frage ist), andere hier im Forum haben wiederholt zu Alternativen geraten. Kannst du die im Router hinterlegten Daten nicht einfach manuell einpflegen? Spart dir dann das doofe UPnP...falls das überhaupt im Zyxel aktiviert ist (bei Firewalls üblicherweise nicht per se so voreingestellt)...
Ich würde wirklich mal (der Vermutung des TEs folgend) die Firewall Protokolle sichten und schauen, was da ggf alles geblockt wird, den NAS Traffic betreffend.
Ist ja sonst auch fröhliches Raten....

 

[framp]

Ich nutze EZ-Internet auch nicht und musste erst mal nachsehen was das ist. Wuerde bei mir auch nicht funktionieren da ich bei meiner FB UPnP disabled habe. Ich mag es absolut nicht wenn sich jeder Client in meinem Netz ein Loch in die FW bohren kann. UPnP ist in meinen Augen ein absolut kritisches Security Feature in Routern.

 

[the other]

Moinsen framp,
lol, ja, ich musste auch erst auf der Synology Seite dazu nachlesen.
UPnP mag ich auch nicht und es ist ja nicht umsonst idR deaktiviert.

Deswegen: manuell einrichten das Ding, dann weißt du was da steht und im Zweifelsfall lernst du dabei sogar was.
Dann für den einfachen Gebrauch VPN einrichten (kann deine Firewall das?) und Regeln für den Zugriff erstellen.
Wenn es schon mal lief...neu aufsetzen.
Viel Erfolg

 

[blurrrr]

Najo, wenn "Internet" funktioniert (was ja wohl nur IP-basiert sein kann, wenn der DNS erst später abgefragt wird), wird es wohl schlichtweg ein Problem mit dem DNS-Server geben? Da würde ich einfach nochmal genauer hinschauen... Wenn nach Kontrolle alles "sauber" zu sein scheint, es aber trotzdem nicht geht, vllt doch mal zurücksetzen und auf DHCP stellen und damit nochmal testen.

Weil UPNP so ein Müll ist, wird man das auch auf keiner vernünftigen Firewall finden

 

[framp]

Moinsen framp,
... Wenn es schon mal lief...neu aufsetzen...

Ich glaube das hilft dem TE nicht besonders

@Nick Art Hast Du nicht protokolliert was Du geaendert hast an der Syno? Dann einfach alles mal zurueckdrehen. Sofern moeglich auch alle Aenderungen an der FW - jedenfalls mal temporaer. Der bessere Weg waere in Synologs was zu EZ-Internet Tests zu finden. Nur weiss ich nicht wo man die findet