AVM Fritz!Box Portfreigabe eingerichtet, aber nicht erreichbar

CrazyEight

Benutzer
Mitglied seit
16. Jul 2022
Beiträge
100
Punkte für Reaktionen
2
Punkte
18
Hallo Forum,
ich habe auf meiner DS DynDNS eingerichtet und dadurch war meine DS immer öffentlich über den port 5001 erreichbar. Ich habe mich bewusst gegen VPN entschieden weil auch meine Frau, Schwiegermutter/Papa mobilen Zugriff auf bestimmte Bereiche haben sollen (jeder hat natürlich seinen eigenen Account).
Außerdem nutze ich die Surveillance Station und möchte meine Benachrichtigungen auch bekommen ohne dass ich über VPN verbunden bin.

Da man über den 5001 Port schnell von lästigen Angreifern genervt wird die sich alle 2 Sekunden versuchen auf den deaktivierten Admin Account einzuloggen bekommt man dementsprechend viele Warnmeldungen die teilweise echt nerven.
Daher habe ich gedacht ich mache in meiner FritzBox einfach eine Portweiterleitung dass von außen bspw. der Port 58888 auf den 5001 Port umgeleitet wird.

Also Portfreigaben eigerichtet:
  • 80 TCP
  • 443 TCP
  • 58888 TCP extern / 5001 intern
Bei 58888 kommt schon in der FritzBox die Meldung "Port extern - nur ipv4".
Nun komme ich zwar über meine "ich.synology.me:58888" Adresse im lokalen Netz auf die DS drauf aber wenn ich das ganze über mobile Daten versuche finde ich die DS nicht.

Ich vermute mal dass es eben daran liegt dass ich über die mobilen Daten eine ipv6 Adresse habe aber bin auf dem Gebiet auch weit weg von jeglicher Expertise daher hoffe ich jemand kann mir da einen guten Tipp geben.

EDIT: Oder macht es Sinn den HTTPS Port der Synology auch auf 58888 zu ändern und eine einfache Portfreigabe für 58888 zu erstellen?
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.764
Punkte für Reaktionen
3.738
Punkte
468
Schau mal mit "nslookup ich.synology.me" bzw. "nslookup ich.synology.me 8.8.8.8" auf welche IP(s) aufgelöst wird. IPV4 oder IPv6 oder beide?
Wenn du über mobile Daten nur IPv6 kannst musst du deine Portfreigabe auf IPv6 ausweiten und am Besten auch einstellen, dass ich.synology.me nur die IPv6 aktualisiert/auflöst. Und IPv6 musst du auf Fritte und DS natürlich auch einschalten.
 

CrazyEight

Benutzer
Mitglied seit
16. Jul 2022
Beiträge
100
Punkte für Reaktionen
2
Punkte
18
Über "nslookup" bekomme ich

Server: fritz.box
Address: <ipv6>

Nicht autorisierende Antwort:
Name: ich.synology.me
Address: <ipv4>

Das Problem ist dass ich die nicht weiß wie man die Portfreigabe auf IPv6 ausweiten kann (FritzOS 7.50)
Ipv6 ist auf der FritzBox aber eingeschaltet.
 

CrazyEight

Benutzer
Mitglied seit
16. Jul 2022
Beiträge
100
Punkte für Reaktionen
2
Punkte
18
Also ich habe jetzt mal testweise über Systemsteuerung>Anmeldeportal den Https Port ebenfalls auf 58888 geändert und die Freigabe der FritzBox auf "58888 TCP extern / 58888 intern" gestellt und damit funktioniert der externe zugriff...

Ist jetzt nur die Frage ob es so Sinnvoll ist den 5001 Port zu ändern? Nicht dass dann wieder andere Dienste nicht funktionieren?!?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.764
Punkte für Reaktionen
3.738
Punkte
468
Das wirst du doch gefragt, wenn du eine neue Freigabe anlegst. Schmeiß die alten weg und legt sie neu an.
Ich würde es intern bei 5001 belassen.

1687984032709.png
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.764
Punkte für Reaktionen
3.738
Punkte
468
Ach was, das geht schon. Hinterher sind es halt 2 Regeln (bei mit Port 80 und 443, IPv4 und IPv6)

1687985343928.png

Edit: und probier auch mal "nslookup ich.synology.me 8.8.8.8" (Google als DNS-Server). Bei Mobile Daten ist ja nicht die Fritte dein DNS-Server. Die Fritte bevorzugt IPv4, warum auch immer.
 

CrazyEight

Benutzer
Mitglied seit
16. Jul 2022
Beiträge
100
Punkte für Reaktionen
2
Punkte
18
Jaja bei den voreingestellten Http-Server und Https-Server geht das bei mir auch. Aber wenn ich jetzt "Andere Anwendung" auswähle gehts eben nicht....
nslookup 8.8.8.8 liefert
Name: ich.synology.me
Addresses: <ipv6>
<ipv4>
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
Da man über den 5001 Port schnell von lästigen Angreifern genervt wird die sich alle 2 Sekunden versuchen auf den deaktivierten Admin Account einzuloggen bekommt man dementsprechend viele Warnmeldungen die teilweise echt nerven.
Hatte ich auch. Ich habe daraufhin den Standardport auf was anderes als 5001 gestellt, alle Apps (DynDNS Adresse :neuer Port) angepasst und Ruhe im Schacht. Die Portweiterleitung auf meiner OpnSense habe ich natürlich auch angepasst. Aber ich kann dich dahingehend beruhigen: Wenn du den Standardport anpasst, funktioniert alles weiter. Es ist nur etwas Einrichtaufwand nötig. Aber dann hast du wenigstens Ruhe. ;)
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
Ach was, das geht schon. Hinterher sind es halt 2 Regeln (bei mit Port 80 und 443, IPv4 und IPv6)
Muss die Portweiterleitung wirklich in der Fritzbox HTTPS Server sein, wenn er EXTERN 58888 INTERN 5001 möchte? Sollte das nicht "andere Anwendung" sein??? Das HTTPS hat doch etwas mit dem Port zu tun. Es ist aber noch KEIN Server!!!

Einfach "Andere Anwendung" -> IPv4+IPv6 -> EXTERN 58888 -> INTERN 5001 probieren. Das sollte eigentlich gehen.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Ich bin bei diesem Thema bestimmt kein Experte, aber ich frage mich die ganze Zeit, warum ihr den Standardport nicht einfach auf 58888 festlegt?

Da laufen DSM und unter anderem auch Kalender und Kontakte drüber, das wird aber alles automatisch angepasst, wenn man den Standardport ändert. War zumindest bei mir so.
 
  • Like
Reaktionen: Ronny1978

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
Gebe ich dir recht. Aber eine Maskierung des Ports hilft auch schon einmal. Ist ja immer Geschmackssache. Ich habe meinen Port in der DS auch komplett umgestellt. ;)
 
Zuletzt bearbeitet von einem Moderator:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
339
Punkte für Reaktionen
117
Punkte
43
Bei IPv6 gibt es kein NAT mehr und damit auch kein PAT (port address translation), die Port-Nummer kann also nicht mehr umgesetzt werden. Daher der Hinweis in der Benutzeroberfläche, dass diese Einstellung nur für IPv4 wirksam ist.

Damit muss die Lösung von @CrazyEight wie in #4 beschrieben verwendet werden.

@Benares: Man sieht in deinem Beitrag #7 sehr schön, dass bei IPv4 jeweils zwei Portnummern angegeben werden (extern und intern), bei IPv6 aber nur eine Portnummer.
 
  • Like
Reaktionen: Monacum

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.764
Punkte für Reaktionen
3.738
Punkte
468
Ja du hast Recht, ich war gestern nicht mehr ganz bei der Sache.
@CrazyEight hat im Prinzip 2 Möglichkeiten:
Port 58888 in der Fritte 1:1 freizugeben und dann entweder den DSM-Port auf 58888 zu ändern, oder den DSM-Port auf 5001 zu belassen und über den Reverse Proxy 58888 auf 5001 umzuleiten
 

CrazyEight

Benutzer
Mitglied seit
16. Jul 2022
Beiträge
100
Punkte für Reaktionen
2
Punkte
18
Alles klar danke für die Antworten. Dann belasse ich es bei Lösung #4. Damit funktioniert es ja, auch wenn ich ein etwas mulmiges Gefühl habe ob das nicht doch noch irgendwo zu Problemen führt.
Meine Smartphone Apps habe ich schon auf den Port umgestellt.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat