AVM Fritz!Box IPv4, IPv6, PiHole und die Fritzbox

[deltapapa]

Moin Moin,
sorry das ich dieses unendlich lange Thema mit einem neuen Beitrag nochmal aufmachen muss, aber ich komme einfach nicht weiter.
Ich habe mein Problem schonmal hier geschildert, nur leider keine Antwort erhalten (was vermutlich an dem sehr alten Thread lag: https://www.synology-forum.de/threads/externer-zugang-ueber-fritzbox.126518/post-1083171).
Ich habe bis vor ein paar Wochen meine DS918+ an einer Fritzbox 7590 ohne Probleme betrieben.
Dazu habe ich über die DS918 direkt ein DDNS Eintrag gesetzt, diesen auf meinem externen Webserver über einen CNAME Eintrag auf eine schöne Domain umgeleitet und 4 Ports in meiner Fritzbox geöffnet. 2 Ports für das automatische erneuern der Zertifikate, und 2 Ports für Active Backup und WebDav für mein KeePass2Android zugriff.
Lief alles chick. Ich habe 4 Handys, die Fotos über Synology Photos sichern. Die PiHole läuft in einem Container. Bis auf meine Rechner, die ich mit ActiveBackup sichere, läuft auch nicht mehr viel auf meiner NAS (kein Webserver etc). QucikConnect habe ich ausgeschaltet.
Nun war mir schon immer die offenen Ports ein Dorn im Auge und vor 2 Wochen hat meine Internet Provider (Glasfaser) den IPv4 Zugang abgedreht.
Das Problem habe ich mit einem Anruf bei TNG gelöst, die haben mir wieder eine eigene IPv4 Adresse für den Zugang über DDNS gegeben (kostenfrei)
Okay, im gleichen Atemzug wurde ich gefragt, ob man IPv6 freischalten sollte, was ich auch zugestimmt habe.
So, nun geht alles wieder, meine NAS ist von außerhalb erreichbar über meine Domain, aber meine PIHole funzt nicht mehr.
Ich vermute, das es mit den IPv6 Adressen zusammenhängt.

Jetzt meine Frage: Ich würde gerne meine DS918 via IPv6 von außen erreichbar machen. Dann fallen ja auch die Portfreigaben weg, wenn ich das richtig verstanden haben. Hat jemand vielleicht eine Anleitung dazu, wie ich das am besten machen kann. Bei dynv6 habe ich mich bereits angemeldet, aber die Anleitungen die ich gefunden habe konnte ich irgendwie nicht umsetzen.
Dann würde ich gerne in diesem Atemzug die PiHole, die auf der NAS in einem Container läuft, ebenfalls auf IPv6 umstellen.

Und wenn ich das richtig verstanden habe, benötige ich dann auch keinen VPN mehr.

Vielleicht kann mir da jemand von euch Profis etwas auf die Sprünge helfen.

Vielen lieben Dank,
deltapapa

 

[plang.pl]

2 Ports für das automatische erneuern der Zertifikate

Hier würde ich eher auf acme.sh setzen (im Docker). Dann brauchst du dafür keine Ports zu öffnen. Alternativ, wenn du synology.me Domains nutzt, musst du für die Zertifikate ohnehin keinen Port öffnen (Quelle).
Für den Rest (AB4B und KeePass), würde ich an deiner Stelle darüber nachdenken, nicht einen VPN-Zugang zu nutzen. Vor allem bei letzterem liegen ja hochsensible Daten im Hintergrund.

Dann fallen ja auch die Portfreigaben weg

Nein. Portweiterleitungen fallen weg. In den meisten Routern musst du aber dennoch die Ports freigeben (Firewall). Sonst könnte ja Hinz und Kunz auf jedes Gerät im Heimnetz zugreifen von extern.

Wenn pi-hole nicht mehr funktioniert, hast du wohl dem Router nicht gesagt, dass er den pihole auch für DNSv6 per DHCP verteilen soll.

Wenn du dein NAS via IPv6 extern erreichbar machen willst, muss letzten Endes der DDNS auf die ext. IPv6 des NAS zeigen und nicht auf den Router, wie das bei IPv4 der Fall ist. Wie gesagt, vielleicht ist für dich auch VPN der bessere Weg. Was für einen Router hast du?

EDIT: Link bei "Quelle" ergänzt
EDIT2: Sehe gerade, dass du im Forum für FritzBoxen gepostet hast. Also erübrigt sich die Frage nach dem Router. Nur welche FritzBox hast du genau?

 

[plang.pl]

In dem anderen Thread schreibst du Folgendes:

VPN habe ich bis jetzt aber irgendwie nicht hinbekommen.

Hierzu möchte ich dir einmal die Anleitungen von AVM ans Herz legen. Wenn du eine Fritte mit OS 7.5 oder höher hast, ist die WireGuard Einrichtung easy erledigt mit ein paar Klicks. Andernfalls müsstest du IPSec nutzen, was schwerer, aber auch machbar und gut dokumentiert ist

 

[Stationary]

Er hat eine 7590, sagt sein tag. Da läuft FOS7.56 mit Wireguard problemlos drauf. Andererseits sagt der tag: Glasfaser, d.h. die 7590 hängt möglicherweise hinter einem GF-Modem.

 

[plang.pl]

Er hat eine 7590, sagt sein tag

Was ist heut nur mit mir los? Hätt ich auch sehen müssen
In dem Fall dürfte es ja recht einfach sein. Wenn da noch ein Modem davor hängt, dann müsste man da wohl noch Portweiterleitungen schalten.

 

[deltapapa]

Moin Moin,
vielen dank für eure schnellen Antworten.
Ganz genau, ich habe eine 7590 an einem Glasfaseranschluss mit Provider TNG (Bürgerbreitbandnetz)
Dahinter steht im Keller meine NAS. Ich vermute mit Modem meint ihr die kleine Box, die der Glasfaseranbieter installiert habt, oder? Ich wüsste aber nicht, ob ich da irgendwas einstellen kann.
Okay, die Frage ist, wie ich jetzt vorgehe. Als erstes würde ich in der Fritzbox bevorzugt IPv6 einstellen.
Und dann mich mit VPN beschäftigen, oder?
Noch eine verständisfrage: Wenn ich der DDNS Dienst von Synology (synology.me) kann ja kein IPv6, oder?
Also müsste ich dann auf jeden Fall Dynv6 nutzen, oder? Und dann müsste ich ja irgendwie die Zertifikate erneuern.

Sorry für die ganzen doofen Fragen, es erscheint mir im Moment nur alles unheimlich kompliziert...

Vielen Dank nochmal,
deltapapa

 

[plang.pl]

Und dann mich mit VPN beschäftigen, oder?

Ja.
Ich weiß nicht, ob man im Modem des Providers eine Portfreigabe braucht. Ich habe noch kein Glasfaser Anschluss gehabt / betreut, deshalb kann ich dir das nicht sagen. Versuche es halt erstmal ohne. Auf der 7590 kannst du auf jeden Fall auf FritzOS 7.55 updaten und dann WireGuard nutzen, solange sie nicht vom Provider gebrandet ist und der evtl das Update zurück hält

bevorzugt IPv6 einstellen.

Wenn du keine öffentliche IPv4 hast, musst du über IPv6 gehen oder beim Provider nachhaken
Das muss aber nicht Dynv6 sein, es gibt auch andere IPv6 DDNS Anbieter

 

[Monacum]

FritzOS 7.55

7.56

 

[plang.pl]

Ups. Naja nah dran. 7.5 reicht eigentlich auch

 

[deltapapa]

Moin,
okay. Ich hatte ein öffentliche IPv4, das wurde dann umgestellt auf Dual Stack Lite, und nach einem Anruf beim Provider hatte ich wieder eine öffentliche IPv4. Im selben Atemzug habe ich drum gebeten, meinen Anschluß aber auch über IPv6 erreichbar zu machen. Und das würde ich in Zukunft auch gerne nutzen, falls der Provider wieder auf die Idee kommt, IPv4 umzustellen.

Ich glaube ich habe kein Glasfaser Modem, das geht in einen sogenanntes Netzabschlussgerät (ONT) und von dort direkt in die Fritzbox.

Okay, wenn ich das richtig verstanden habe, soll ich als erstes versuchen, meine Anwendungen über VPN mit der NAS erreichbar zu machen.
Das sollte ja auch mit Synology Photos von den Handys ohne Probleme klappen.

Wenn ich das habe, bzw im selben Atemzug versuche ich dann, DDNS via IPv6 einzurichten. Da würde ich dann Dynv6 nehmen, weil synology.me das ja nicht kann.

Und dann kümmere ich mich um die PiHole.

Oh man, wie gesagt, ich weiß gar nicht wo ich anfangen soll.....

 

[plang.pl]

Wenn du VPN hast, brauchst du kein DDNS auf der DS. Du brauchst nur den DDNS Dienst der Fritte (myfritz)

 

[synfor]

Wenn ich das habe, bzw im selben Atemzug versuche ich dann, DDNS via IPv6 einzurichten. Da würde ich dann Dynv6 nehmen, weil synology.me das ja nicht kann.

Doch:

 

[Hagen2000]

Ich glaube ich habe kein Glasfaser Modem, das geht in einen sogenanntes Netzabschlussgerät (ONT) und von dort direkt in die Fritzbox.

Der ONT ist das Glasfaser-Modem. Theoretisch könnte man sich auf diesem sogar einloggen, wenn man denn die Zugangsdaten hätte … Zu konfigurieren im Sinne von Portfreigaben o.ä. gibt es da aber m.W. nichts und wird auch nicht benötigt. Benutze selbst auch eine FRITZ!Box mit ONT von der Telekom.

 

[deltapapa]

Mhhh, jetzt habe ich aber doch nochmal eine Frage :Wenn ich jetzt den synology.me Dienst auf der NAS einfach auf IPv6 umstelle, dann müsste das doch ganz genauso laufen wie vorher, oder?
Mir wird, wenn ich den Dienst neu einrichte ja auch eine IPv6 Adresse angezeigt. Oder liege ich da falsch?
Ich habe in der Fritte auch gesehen, dass wenn ich neue Portfreigaben einrichte, diese auch auf IPv6 einrichten kann. Das ist doch dann schon eine Art Portweiterleitung, oder?

 

[plang.pl]

Willst du nun VPN nutzen oder nicht?
Wenn ja, brauchst du keine Portweiterleitungen / -freigaben.

 

[deltapapa]

Doch, ich möchte gerne VPN nutzen. Wenn ich dich richtig verstanden habe, brauche ich dann ja auch keine DDNS weiterleitung mehr. Ich werde mir gleich noch das Video von deinem verlinkten Artikel anschauen (hatte noch keine Zeit dazu), vielleicht wird es mir dann alles etwas klarer.

Bzw, ich würde gerne die Umstellung Step By Step machen, also erst auf IPv6 umstellen (wenn das denn einfach wäre) und dann VPN einrichten, auch auf die Gefahr hin vielleicht etwas doppelt konfigurieren zu müssen (bzw. einige Schritte überflüssig wären).

 

[plang.pl]

Alles was du brauchst, ist die MyFritz DDNS Adresse und die Einrichtung des VPN.
Alles, was du dafür brauchst, findest du in den Anleitungen, die ich in Nr 3 verlinkt hatte.
Wenn du eine FritzOS > 7.5 auf dem Router hast -> ganz klar WireGuard nutzen. Wenn nicht, dann IPSec oder schauen, ob du updaten kannst

 

[deltapapa]

Moin Moin,
sorry für die späte Rückmeldung. So, ich habe mich jetzt mal mit VPN beschäftigt, und da bleibt eine Frage: Auf meinen Handys läuft ja Synology Photos. Diese App macht selbstständig und ohne meine Zutun ein Backup der Fotos. Muss ich, wenn ich VPN über WireGuard einrichtet, jedes mal die WireGuard App starten, um Synology Photos nutzen zu können? Weil dann würde ich für Synology Photos QuickConnect einrichten, und für die anderen Anwendungen VPN. Wobei es ja auch nervig ist, jedes mal wenn ich Keepass2Android nutzen möchte, erst einen VPN Tunnel aufbauen muss. Oder läuft WireGuard im Hintergrund immer?

Vielen Dank für mögliche Antworten,
deltapapa

 

[Monacum]

Du kannst WireGuard so einrichten, dass es in fremden WLAN-Netzwerken automatisch aktiviert wird, also überall da, wo du WLAN hast, aber nicht zu Hause bist oder in einem anderen vertrauenswürdigen Netzwerk. Der einzige Bereich, in dem du das dann nicht automatisch hast, wäre das mobile Netz.

Aber selbst da könntest du den VPN-Tunnel automatisch aktivieren lassen, ich rate allerdings eher davon ab, weil das doch auf Dauer auf den Akku geht.

Ich persönlich greife über VPN auf mein NAS zu, allerdings mache ich das Backup von Synology Photos tatsächlich über QuickConnect.

 

[deltapapa]

Achso, und ja, in meiner Fritzbox läuft 7.55, WireGuard ist mit an Board.
Zeitgleich beschäftige ich mich gerade mit dem IPv6 Protokoll, da ich Dual Stack habe werde ich mal versuchen, meine Fritte so wie hier: https://www.pcwelt.de/article/1783073/ipv6-fritzbox.html einzustellen.