Note Station nicht erreichbar

[Joschie]

Guten abend und frohes Neues

ich nutze die DS 723+ mit dem DSM Version 7.2-64570 Update 1. Auf meinem e/OS (Android) Handy habe ich mir die letzte kompatible Note-Station-Client Version installiert. Eine zeitlang lief es, dann habe ich mit der Backup-Software rumgebastelt, dann ne zeitlang nix mehr gemacht. Nun habe ich wieder angefangen mit der Note-Station rum zu spielen und sie funktioniert nicht. Das leidige Thema Computer. In dem Android Client gebe ich " <feldlan.myds.me:23473>, BENUTZER, PASSWORT, HTTPS Häkchen" an. Leider bekomme ich nur die Meldung:

Fehler bei Verbindung zur Synology NAS. Bitte überprüfen Sie die Netzwerkverbindung oder die IP-Adresse ihrer Synology NAS.

Und hinzukommt, dass ich jetzt auch eine neue Fritzbox habe.

Auf meiner Synology DS läuft DDNS. Habe auch meinen dynamischen Domain-Namen(feldlan.myds.me) gepingt. Funktioniert!

Auf meinem Router habe ich übergangsweise "Exposed Host" eingestellt. Die Firewall ist aber eingerichtet mit den folgenden Port-Freigaben:

Synology Note    23472 - 23473
Synology File    37000 - 37001
HTTP-Server        80
HTTPS-Server    443
Synology Drive    43002 - 43003
Exposed Host

Auf meiner DS sind folgende Firewall Regeln aktiv:


Muss irgendwas eingestellt sein auf meiner Fritzbox, damit mein DDN auf meine lokale IP meines Synology NAS zeigt?

Wie komme ich an mehr Informationen ran? Gibt es Konsolen Befehle mit denen ich an mehr Logs rankomme? Z.b. <systemctl ...>?

Danke und schönen abend

 

[Thonav]

Woher hast Du denn die Portangaben? Wie hast Du die Einstellungen auf der Fritzbox eingerichtet?

 

[Joschie]

Die Port-Angaben habe ich aus meinem DSM --> Systemsteuerung --> Anmeldeportal --> Anwendungen

Gerade nochmal im Bearbeitungs-Modus von meiner Firewall rein geschaut:

 

[Thonav]

Hast Du manuell darin rumgeschraubt?
Die Standardports findest Du hier. Und auch nur die (https) müssten per Portweiterleitung durchgereicht werden. Für die Notestation sollte also 5001 reichen.

 

[Joschie]

Vielleicht auch noch interessant. Auf meinem NAS habe ich im Terminal mit <journalctl -f> mir die Meldungen angeschaut, während ich mich mit meinem Android Client anmelde. Es kommen aber keine Meldungen zu einem Anmelde-Versuch.

 

[plang.pl]

Was willst du nun genau erreichen? Zugriff von extern oder intern?
Wenn das nicht auf die interne IP losgeht, wäre die Frage, ob du überhaupt eine öffentliche IPv4 Adresse hast.

 

[Joschie]

Danke Plang,

Ich möchte mit externen und internen Clients auf meinen Note Server zugreifen. Intern funktioniert es per Browser. Extern nutze ich nur die Android APP. Dafür habe ich DDNS auf dem NAS eingerichtet. Dies funktioniert auch.

ping feldlan.myds.me
PING feldlan.myds.me (92.72.46.211) 56(84) bytes of data.
64 bytes from dslb-092-072-046-211.092.072.pools.vodafone-ip.de (92.72.46.211): icmp_seq=1 ttl=61 time=30.9 ms

Mein Server ist aber Nachts ausgeschaltet.

Auf meinem Android Note Client gebe ich somit als Adresse "feldlan.myds.me:23473" an. Habe es mal mit dem Haaken bei HTTPS und mal ohne den Haaken probiert.

 

[Joschie]

Habe folgende Analyse im Terminal auf meinem NAS durchgeführt ohne Erfolg,

ash-4.4# tcpdump portrange 23472-23473
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

Auf meinem Android Client habe ich per APP und über den Web-Browser versucht auf den Note-Server zuzugreifen. Sowohl HTTP als auch HTTPS. Bei Web-Browser stand "ERR_CONNECTION_REFUSED".

 

[plang.pl]

Firewall der DS?

 

[Joschie]

Firewall der DS?

Genau, ich habe tcpdump im Terminal meiner Synology DS ausgeführt. Dabei habe ich nichts an Anfragen von ausserhalb meines Netzwerks auf dem Port 23472-23473 rein bekommen.

Als weiteren Test habe ich innerhalb meines Heim-Netzwerks den Note-Server kontaktiert. Mit Erfolg.

ash-4.4# tcpdump portrange 23472-23473
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
20:12:01.614373 IP feld-touch.fritz.box.49126 > feldNAS.fritz.box.23473: Flags [P.], seq 1098688535:1098688653, ack 3774110658, win 501, options [nop,nop,TS val 3144729414 ecr 47182316], length 118
20:12:01.614447 IP feldNAS.fritz.box.23473 > feld-touch.fritz.box.49126: Flags [.], ack 118, win 247, options [nop,nop,TS val 47205882 ecr 3144729414], length 0
20:12:01.700911 IP feldNAS.fritz.box.23473 > feld-touch.fritz.box.49126: Flags [P.], seq 1:2039, ack 118, win 247, options [nop,nop,TS val 47205968 ecr 3144729414], length 2038
20:12:01.701115 IP feldNAS.fritz.box.23473 > feld-touch.fritz.box.49126: Flags [P.], seq 2039:3549, ack 118, win 247, options [nop,nop,TS val 47205968 ecr 3144729414], length 1510

Das bedeutet, dass meine Fritzbox die Verbindung nicht durchlässt oder?

Meine Portfreigaben auf meiner Firtzbox sehen aktuell so aus:

Die "selbstständige Portfreigabe" habe gerade eben erst aktiviert.

 

[plang.pl]

Naja also mal grundsätzlich:
-der DDNS muss korrekt auf deine externe IP auflösen
-deine ext. IP muss auch öffentlich sein (also kein CGNAT oder dergleichen)
-dein Router muss den Port durchlassen
-das NAS muss die Verbindung annehmen (Stichwort Firewall der DS)
-das NAS muss was mit der Verbindung anzufangen wissen (in dem Falle über den benutzerdefinierten Port im Anmeldeportal)
-in der Handy App ist die DDNS Adresse MIT Port anzugeben

 

[Synchrotron]

Die selbstständige Portfreigabe würde ich gleich wieder abstellen.

Oder vertraust du darauf, dass jedes IoT-Gerät in deinem Heimnetzwerk damit verantwortlich umgeht ?

Bekanntlich steht das „S“ in IoT ja für „Sicherheit“.

 

[Thonav]

Als Standardport wird die 5001 (https) verwendet, also der gleiche wie für die DSM und auch für einige andere Programme. Nutze aber selber Note nicht. Kann es sein, dass das rumdaddeln mit den Ports beim TE dadurch etwas nicht erreichbar macht?

 

[plang.pl]

Der Screenshot der Firewall Dienste impliziert, dass ein eigener Port für die NoteStation via Anmeldeportal vergeben wurde. Ansonsten erscheint der Eintrag dort nicht mit dem Port

 

[Joschie]

Was die Analyse erschwert ist, dass ich keine vergeblichen Anmeldung über iptables auf meiner NAS bekomme. Ich nehme an, dass die Synology Firewall keine LOG RULES besitzt? Oder gibt es doch eine Heimliche? Und falls dem so ist, gibt es da eine elegante Methode die Firewall LOGS aus zu spucken?

 

[Thonav]

Wieso sind eigentlich in Deiner Firewall in #1 verschiedene 192er Adressen eingetragen?

 

[Joschie]

Um versehentliches Ausschliessen bei Modifikationen an der Firewall zu vermeiden.

D.h. meine Firewall soll auf jeden Fall immer TELNET für meinen Laptop zulassen. Und zwar nur meinen Laptop.

Habe aber gerade gesehen, dass ich ja auf jeden Fall informiert werde durch die folgende Option.



Nur wie kann Synology erkennen, dass er die LOG RULES an die richtige Stelle in meiner Firewall einfügt werden? Ich habe ja ein paar DROP RULES eingebaut. Und diese Regeln lassen alle zu verwerfenden Pakete fallen bevor diese dokumentiert werden können.

 

[metalworker]

also bevor du da auf der Konsole der Synology rumwühlst solltest doch erstmal prüfen
ob du Intern drauf kommst.
Und dann schauen ob deine Fritte richtig die Ports routet.

deine ddns adresse löst auch die Richtige IP auf ?

 

[Joschie]

Intern klappt wunderbar. Ich denke ich nehme die DROP RULES weg. Irgendwie habe ich das ungute Gefühl, das die DS ansonsten nicht LOGGEN kann.

Die DDNS Geschichte habe ich ja über die Synology NAS gelöst.




Hier nochmal die PING Ausgabe dazu.

markus@feld-touch:~$ ping feldlan.myds.me
PING feldlan.myds.me (92.72.46.235) 56(84) bytes of data.
64 bytes from dslb-092-072-046-235.092.072.pools.vodafone-ip.de (92.72.46.235): icmp_seq=1 ttl=61 time=34.0 ms
64 bytes from dslb-092-072-046-235.092.072.pools.vodafone-ip.de (92.72.46.235): icmp_seq=2 ttl=61 time=33.0 ms

 

[Thonav]

Ist mir zuviel der Bastelei bei Deinem System. Vielleicht solltest Du es mal zurücksetzen.