AVM Fritz!Box Portfreigabe eingerichtet, aber nicht erreichbar

[CrazyEight]

Hallo Forum,
ich habe auf meiner DS DynDNS eingerichtet und dadurch war meine DS immer öffentlich über den port 5001 erreichbar. Ich habe mich bewusst gegen VPN entschieden weil auch meine Frau, Schwiegermutter/Papa mobilen Zugriff auf bestimmte Bereiche haben sollen (jeder hat natürlich seinen eigenen Account).
Außerdem nutze ich die Surveillance Station und möchte meine Benachrichtigungen auch bekommen ohne dass ich über VPN verbunden bin.

Da man über den 5001 Port schnell von lästigen Angreifern genervt wird die sich alle 2 Sekunden versuchen auf den deaktivierten Admin Account einzuloggen bekommt man dementsprechend viele Warnmeldungen die teilweise echt nerven.
Daher habe ich gedacht ich mache in meiner FritzBox einfach eine Portweiterleitung dass von außen bspw. der Port 58888 auf den 5001 Port umgeleitet wird.

Also Portfreigaben eigerichtet:

• 80 TCP
• 443 TCP
• 58888 TCP extern / 5001 intern

Bei 58888 kommt schon in der FritzBox die Meldung "Port extern - nur ipv4".
Nun komme ich zwar über meine "ich.synology.me:58888" Adresse im lokalen Netz auf die DS drauf aber wenn ich das ganze über mobile Daten versuche finde ich die DS nicht.

Ich vermute mal dass es eben daran liegt dass ich über die mobilen Daten eine ipv6 Adresse habe aber bin auf dem Gebiet auch weit weg von jeglicher Expertise daher hoffe ich jemand kann mir da einen guten Tipp geben.

EDIT: Oder macht es Sinn den HTTPS Port der Synology auch auf 58888 zu ändern und eine einfache Portfreigabe für 58888 zu erstellen?

 

[Benares]

Schau mal mit "nslookup ich.synology.me" bzw. "nslookup ich.synology.me 8.8.8.8" auf welche IP(s) aufgelöst wird. IPV4 oder IPv6 oder beide?
Wenn du über mobile Daten nur IPv6 kannst musst du deine Portfreigabe auf IPv6 ausweiten und am Besten auch einstellen, dass ich.synology.me nur die IPv6 aktualisiert/auflöst. Und IPv6 musst du auf Fritte und DS natürlich auch einschalten.

 

[CrazyEight]

Über "nslookup" bekomme ich

Server: fritz.box
Address: <ipv6>

Nicht autorisierende Antwort:
Name: ich.synology.me
Address: <ipv4>

Das Problem ist dass ich die nicht weiß wie man die Portfreigabe auf IPv6 ausweiten kann (FritzOS 7.50)
Ipv6 ist auf der FritzBox aber eingeschaltet.

 

[CrazyEight]

Also ich habe jetzt mal testweise über Systemsteuerung>Anmeldeportal den Https Port ebenfalls auf 58888 geändert und die Freigabe der FritzBox auf "58888 TCP extern / 58888 intern" gestellt und damit funktioniert der externe zugriff...

Ist jetzt nur die Frage ob es so Sinnvoll ist den 5001 Port zu ändern? Nicht dass dann wieder andere Dienste nicht funktionieren?!?

 

[Benares]

Das wirst du doch gefragt, wenn du eine neue Freigabe anlegst. Schmeiß die alten weg und legt sie neu an.
Ich würde es intern bei 5001 belassen.

 

[CrazyEight]

Ja eben aber auch bei dir steht ja "nur ipv4"

 

[Benares]

Ach was, das geht schon. Hinterher sind es halt 2 Regeln (bei mit Port 80 und 443, IPv4 und IPv6)



Edit: und probier auch mal "nslookup ich.synology.me 8.8.8.8" (Google als DNS-Server). Bei Mobile Daten ist ja nicht die Fritte dein DNS-Server. Die Fritte bevorzugt IPv4, warum auch immer.

 

[CrazyEight]

Jaja bei den voreingestellten Http-Server und Https-Server geht das bei mir auch. Aber wenn ich jetzt "Andere Anwendung" auswähle gehts eben nicht....
nslookup 8.8.8.8 liefert
Name: ich.synology.me
Addresses: <ipv6>
<ipv4>

 

[Ronny1978]

Da man über den 5001 Port schnell von lästigen Angreifern genervt wird die sich alle 2 Sekunden versuchen auf den deaktivierten Admin Account einzuloggen bekommt man dementsprechend viele Warnmeldungen die teilweise echt nerven.

Hatte ich auch. Ich habe daraufhin den Standardport auf was anderes als 5001 gestellt, alle Apps (DynDNS Adresse :neuer Port) angepasst und Ruhe im Schacht. Die Portweiterleitung auf meiner OpnSense habe ich natürlich auch angepasst. Aber ich kann dich dahingehend beruhigen: Wenn du den Standardport anpasst, funktioniert alles weiter. Es ist nur etwas Einrichtaufwand nötig. Aber dann hast du wenigstens Ruhe.

 

[Ronny1978]

Ach was, das geht schon. Hinterher sind es halt 2 Regeln (bei mit Port 80 und 443, IPv4 und IPv6)

Muss die Portweiterleitung wirklich in der Fritzbox HTTPS Server sein, wenn er EXTERN 58888 INTERN 5001 möchte? Sollte das nicht "andere Anwendung" sein??? Das HTTPS hat doch etwas mit dem Port zu tun. Es ist aber noch KEIN Server!!!

Einfach "Andere Anwendung" -> IPv4+IPv6 -> EXTERN 58888 -> INTERN 5001 probieren. Das sollte eigentlich gehen.

 

[Monacum]

Ich bin bei diesem Thema bestimmt kein Experte, aber ich frage mich die ganze Zeit, warum ihr den Standardport nicht einfach auf 58888 festlegt?

Da laufen DSM und unter anderem auch Kalender und Kontakte drüber, das wird aber alles automatisch angepasst, wenn man den Standardport ändert. War zumindest bei mir so.

 

[Ronny1978]

Gebe ich dir recht. Aber eine Maskierung des Ports hilft auch schon einmal. Ist ja immer Geschmackssache. Ich habe meinen Port in der DS auch komplett umgestellt.

 

[Hagen2000]

Bei IPv6 gibt es kein NAT mehr und damit auch kein PAT (port address translation), die Port-Nummer kann also nicht mehr umgesetzt werden. Daher der Hinweis in der Benutzeroberfläche, dass diese Einstellung nur für IPv4 wirksam ist.

Damit muss die Lösung von @CrazyEight wie in #4 beschrieben verwendet werden.

@Benares: Man sieht in deinem Beitrag #7 sehr schön, dass bei IPv4 jeweils zwei Portnummern angegeben werden (extern und intern), bei IPv6 aber nur eine Portnummer.

 

[Benares]

Ja du hast Recht, ich war gestern nicht mehr ganz bei der Sache.
@CrazyEight hat im Prinzip 2 Möglichkeiten:
Port 58888 in der Fritte 1:1 freizugeben und dann entweder den DSM-Port auf 58888 zu ändern, oder den DSM-Port auf 5001 zu belassen und über den Reverse Proxy 58888 auf 5001 umzuleiten

 

[CrazyEight]

Alles klar danke für die Antworten. Dann belasse ich es bei Lösung #4. Damit funktioniert es ja, auch wenn ich ein etwas mulmiges Gefühl habe ob das nicht doch noch irgendwo zu Problemen führt.
Meine Smartphone Apps habe ich schon auf den Port umgestellt.

 

[Ronny1978]

Damit funktioniert es ja, auch wenn ich ein etwas mulmiges Gefühl habe ob das nicht doch noch irgendwo zu Problemen führt.

Ich habe es umgestellt. Bei mir läuft alles