Synology IPV6 / Quick Connet /externet Zugriff

[skeunig]

Hallo zusammen,
ich habe jetzt schon einiges hier gelesen aber habe noch keine passende Antwort gefunden und brauche mal ein paar Experten Meinungen.


Kurze Information vorab:
Ich habe Vodafone und meinen Anschluss aufgerüstet. Dadurch eine neue Fritz!Box und leider auch nur noch DS Lite bzw. nur noch IPV6 Adressen.
Vorher habe ich auf meine NAS über VPN oder über Portfreigaben zugegriffen.

Das Problem:
VPN fällt ja leider aktuell bei IPV6 weg.
Leider kann ich auch, aus welchen Gründen auch immer, nicht direkt über eine IPV6 Adresse auf meine NAS von extern zugreifen.
Obwohl ich von meinen Handy über Mobilfunk Vodafone zugreife die auch IPV6 unterstützten.
Interessanter weiße kann ich aber auf meine Virtuelle Maschine auf der NAS über RDP und IPV6 zugreifen.
Heißt es bleibt ja eigentlich nur noch Quick Connect übrig, wenn ich von extern auf meine Bilder usw. zugreifen möchte.
Steht ja auch oft im Internet das man bei IPV6 einfach das Quick Connect nutzten soll und alle Probleme sind gelöst.

Meine Frage:
Was haltet ihr von Quick Connect, ist das sicher, würdet ihr drauf zurück greifen ?
Gibt es andere bessere Möglichkeiten ?

Ich sage schon mal vielen Dank für jeglichen Input von eurer Seite .

 

[Fusion]

Das Fritzbox VPN kann halt leider noch kein ipv6, die meisten anderen können das.

Einer der Hauptunterschiede, dein NAS hat eine eigene IPv6. Es versteckt sich nicht mehr hinter der ipv4 des Routers (NAT). Trotzdem muss im Router eine Portfreigabe für ipv6 gesetzt sein, damit dieser die Anfrage durch die Firewall lässt.
Und der dynDNS client muss auf dem NAS laufen, dass die URL / Name auf diese ipv6 auflöst und nicht die des Routers.
Oder z.b. Im Falle von Fritzbox und myfritz dyndns kann die Fritzbox auch Prefix Aktualisierungen als Stellvertreter vornehmen. Das Prefix ist normal der vordere Teil der ipv6 (den bekommt die Fritzbox vom Provider zur Weiterverteilung an Geräte im LAN), der hintere Teil ist die Host Kennung. Damit kann sie sich die jeweils aktuelle IP des NAS selbst zusammenstückeln und passend hinter nas.blabla.myfritz.net hinterlegen während sie selbst unter blabla.myfritz.net und einer anderen IPv6 erreichbar wäre.

Solange jedenfalls dein Externer Client auch per IPv6 unterwegs ist liegt es nicht an DS Lite, wenn du das Ziel nicht erreichst.
Eher die Firewall / Portfreigaben, oder Dienst nicht ipv6 fähig, oder nicht erreichbare ipv4 für den dyndns Namen hinterlegt, oder...

 

[skeunig]

Ja das stimmt aber ich muss "leider" bei Vodafone mit der Fritzbox arbeiten bzw. finde das auch gut so.
Die Alternative wäre ja nur noch ein reines Modem von Vodafone zu nehmen.

Portfreigaben sind die nötigen für DS Photo und Moment gesetzt, sowie für RDP mit der Virtuellen Maschine.

DynDNS läuft im Moment gar nicht, da ich ja auch so über die direkte IPV6 Adresse auf meine NAS zugreifen müsste.
Heißt DynDNS ist für mich im ersten Teil gar nicht so wichtig,

Der externe Client ist auch per IPV6 unterwegs.
Firewall der NAS ist deaktiviert. Protfreigaben sind eingerichtet, DYNDNS gibt es nicht...
Eigentlich sind alle Probleme schon sehr eingerenzt. Das ist ja das Problem.

Was hälst du den von Quick Connect ?

 

[himitsu]

Zum Testen kannst das VPN auch erstmal in der DS nutzen versuchen.

Portfreigabe für VPN in der Fritze
und VPN-Server in der DS einrichten.
https://kb.synology.com/de-de/DSM/help/VPNCenter/vpn_setup?version=6

Ja, Viele raten davon ab, das VPN im Endgerät zu haben, aber für den Test geht es erstmal.
Wenn es geht, dann kannst den VPN-Server auch auf einen RaspberryPi oä. verschieben,
und als Bonus bist du dann unabhängig von Anbieter und Router (FritzBox), wenn wieder was getauscht wird.

 

[Fusion]

Wenn du zum Testen eh schon ohne dyndns, also nur auf IP Basis unterwegs Bist, dann bräuchte man eventuell jetzt die konkreten IPs um das beurteilen zu können.
Benutzt du auch die IPv6 der NAS und nicht die der Fritzbox?

Irgendwo muss der Fehler ja liegen..
Und da deine Aussagen was OK zu sein scheint stimmig sind kann es ja eigentlich nur noch so ein 'profanes' Problem sein ala
- falsch verstanden
- falschen Wert benutzt
- Einstellung wirkt anders als gedacht
- Einstellung nicht wirksam obwohl anders angezeigt


Quickconnect kann man nutzen. Ohne den Relay Dienst (lässt sich in der Systemsteuerung ausschalten) läuft der Verkehr genauso direkt wie bei dyndns, wenn die Ports offen sind. Sind sie es nicht gibt es nur Verbindung via relay Server bei Synology. Vom Vertrauen mal abgesehen war die Leitung zumindest in der Vergangenheit da begrenzt (1Mbit/s damals, weiß grad nicht wie es aktuell ist).
und es lassen sich nicht beliebige Dienste per quickconnect nutzen, sondern nur einige der Syno eigenen.

 

[ottosykora]

Quickconnect kann man nutzen. Ohne den Relay Dienst (lässt sich in der Systemsteuerung ausschalten) läuft der Verkehr genauso direkt wie bei dyndns, wenn die Ports offen sind. Sind sie es nicht gibt es nur Verbindung via relay Server bei Synology.

das Ausschalten des Relay Diesntes heisst nur dass der tatsächliche Traffic nicht über den Server läuft.
Vermitteln tut der Server auch dann, es sind keine permanent geöffnete Ports nötig

 

[Fusion]

Da hast du natürlich recht, war unsauber formuliert. Gibt drei Stufen laut Whitepaper
- QC Vermittler + Relay
- QC Vermittler + virtueller Tunnel (NAT hole punching)
- QC Vermittler + direkte Verbindung über Portfreigaben oder Portweiterleitungen

Nur wenn das Relay nicht erlaubt ist, und die Erstellung des virtuellen Tunnels, aus welchem Grund auch immer, fehlschlägt, kommt keine Verbindung zu stande.

 

[himitsu]

Wenn QC direkt vermitteln kann, dann leitet es auf die IP weiter und es läuft nichts mehr über deren Server, außer eben der Anmeldung.

 

[skeunig]

Erstmal vielen Dank für euren ganzen Input

Wenn ich das jetzt richtig verstanden habe und es kurz zusammenfasse, wäre die einfachste, schnellste und beste Lösung Quick Connect zu benutzten.

Das hieße ich registriere mich bei Synology, aktiviere Qucik Connect und mach das Häcken bei "RelayDienst" raus.

Sann sollte meine Synology NAS über die Quick Connect Adresse erreichbar sein, ohne dass die Daten über den Synology Server laufen und man das Problem mit der Bandbreite hat.

Hab ich das so richtig verstanden ?

Wie ist das dann mit IPv6. Ist die Synology mit diesem System vom jeden Client aus erreichbar oder auch nur von einem Client der IPV6 unterstützt.

 

[skeunig]

Zum Testen kannst das VPN auch erstmal in der DS nutzen versuchen.

Portfreigabe für VPN in der Fritze
und VPN-Server in der DS einrichten.
https://kb.synology.com/de-de/DSM/help/VPNCenter/vpn_setup?version=6

Ja, Viele raten davon ab, das VPN im Endgerät zu haben, aber für den Test geht es erstmal.
Wenn es geht, dann kannst den VPN-Server auch auf einen RaspberryPi oä. verschieben,
und als Bonus bist du dann unabhängig von Anbieter und Router (FritzBox), wenn wieder was getauscht wird.

Das ist allerdings auch eine interessante Lösung, wenn wahrscheinlich auch ein bisschen komplezierter und wenn ich Inhalte mit anderen Personen teilen möchte, dann geht das damit natürlich leider nicht.
Wäre dann eine gute Lösung für mich privat, um von extern auf meine NAS zugreifen zu können.

Wusste gar nicht das es im "DS Store" eine "APP" gibt, um einen VPN Server zu erstellen.
Dieser unterstützt auch IPV6 dann?

Ah und noch eine kleine Frage, warum raten viele ab, den VPN Server direkt auf der Synology laufen zu lassen ?

 

[himitsu]

Im Prinzip: Wenn sich jemand in deinen VPN-Server hackt, dann ist er auch direkt im NAS drin.
Läuft der VPN-Server in der FritzBox, einem RaspberryPi oder sonstwo, dann ist der Angreifer erstmal nur dort, bzw. in deinem Netzwerk, und müsste dann erstmal versuchen sich auch ins NAS zu hacken.

Ein VPN-Server im Docker oder VMM würde dann aber fast genauso "sicher" sein, denk ich mal.

 

[skeunig]

Okay Verstehe aber auch wenn er sich in meinen VPN Tunnel hacken würde, bräuchte er doch trotzdem noch meine Zugangsdaten der Synology Nas und wenn ich noch zusätzlich die zwei Faktor Methode aktiviert habe, noch diese Daten, um auf meine NAS zuzugreifen oder sehe ich das falsch ?

 

[himitsu]

jupp.

Läuft das VPN halt im NAS, dann wäre er ja schon direkt drin.
Geil wäre es dann noch, für den Angreifer, wenn der Server bereits mit root-Rechten liefe.

 

[skeunig]

Ah okay dann ist das natürlich echt eine sehr unsichere Methode .

Aber wie du schon sagtest, das Problem würde man ja umgehen, wenn man den Server auf einem Raspery Pi laufen lassen würde, weil dann ja wieder die Schutzmechanismen der Anmeldung und Zwei Faktor Auth. Greifen würden.

 

[himitsu]

Oder man geht einfach davon aus, das VPN ist sicher.

Drum ist es für den Test erstmal OK und weiter auch, so lange man ihm vertraut.

 

[skeunig]

jetzt kommt mir aber da auch noch eine Frage:

Ist der VPN Tunnel, wenn er dann zum Beispeil auf einem Pi läuft auch unabhängigt der IP Adressen Version oder belibt der Status das ich auf IPV6 Adrressen nur mit einem Client der IPV6 unterstützt zugreifen kann ?

 

[himitsu]

Es muß kann ja beim Anbieter nur v6 sein, weil die Leitung nicht mehr bietet, aber was im VPN verpackt ist ... das müsste doch unabhängig sein, oder nicht?