Synology Synology mit DS-Lite Filestation mit externem Zugriff über DDNS einrichten

[Silverstation]

Hallo Zusammen,

ich versuche seit einiger Zeit meine FileStation von außen per DDNS und Portforwarding erreichbar zu machen.
Bei der External Access Anleitung bin ich leider jedoch gescheitert
https://kb.synology.com/de-de/DSM/tutorial/Quick_Start_External_Access

Mein DDNS hat den Status "Normal", jedoch unter Externer Zugriff > Routerkonfiguration schlagen meine verbindungstests Fehl mit "Fehlgeschlagen bei Verbindung mit dem Internet"

Die Portweiterleitung auf meine Fritzbox 7590 ist per "selbständige Portfreigaben für dieses Gerät erlauben" auf der Synology aktiviert

Jetzt habe ich die Vermutung, dass es an dem DS-Lite von Vodafone liegen könnte.

Einen Konfigurationsfehler meinerseits schließe ich nicht aus.

 

[Benares]

Die Portweiterleitung auf meine Fritzbox 7590 ist per "selbständige Portfreigaben für dieses Gerät erlauben" auf der Synology aktiviert

Mach bitte nicht sowas, Portfreigaben sollten auf dem Router konfiguriert werden und nicht remote.

Wenn du DS-Lite hast, musst du mit IPv6 arbeiten, d.h. im DDNS nur die IPv6, und zwar die des Endgeräts veröffentlichen, denn die IPv4 wäre eh nicht erreichbar.

 

[Silverstation]

Das habe ich tatsächlich auch Probiert Benares.
Die DDNS hat ne externe Adresse gesetzt als die der Synology selbst. Der Status steht auf normal.

Unter Routerkonfiguration Verbindungstest erhalte ich denselben Fehler.

 

[ctrlaltdelete]

Schau mal hier:
https://www.synology-forum.de/threa...ive-via-ds-lite-wie-genau.134042/post-1177478

 

[Silverstation]

Also laut portscanner ist die IPv6 der Synology wirklich auf Port 443 und 5001 offen.
Dennoch erhalte ich ein Fehlgeschlagen bei den Verbindungstests:


In den LAN Einstellungen ist IPv6 aktiviert
In den DDNS Einstellungen ist IPv4 deaktiviert
Mit einem NSLookup bekomme ich IPv4 und IPv6 korrekt zurück.
Sogar die Synology Firewall habe ich kurzzeitig deaktiivert

Nutze ich eventuell die falsche Aufrufmethode?
Ich gebe ein https://[Hostname].synology.me (Das was ich auf dem DDNS konfiguriert habe) und kriege ein "Seite wurde nicht gefunden"

 

[Benares]

Wie gesagt, lass das sein mit der Remote-Firewall-Konfiguration per UPnP von der DS aus. Mach das besser auf der Fritzbox selbst.
Richtig wäre es, wenn nslookup nur die IPv6 der DS liefert, keine IPv4.

In den DDNS Einstellungen ist IPv4 deaktiviert
Mit einem NSLookup bekomme ich IPv4 und IPv6 korrekt zurück.

Das widerspricht sich.

 

[ctrlaltdelete]

Lösch die automatische Routerconfig und richte es manuell am Router ein.
Welchen Dienst willst du denn von aussen erreichen.
Ich würde wenn kein VPN geht, es über Subdomains und ReverseProxy lösen und nur Port 443 aufmachen.

 

[Silverstation]

Ich hab die automatische Routerconfig Einstellungen gelöscht und an der Fritzbox ist jetzt noch 443 und 5001 in der Freigabe gelassen.
Ich möchte die File Station von außen erreichbar machen und mit dem erlangten Wissen dann auch ein Meshcentral für mich und Freunde einrichten.

Ich will das im Endeffekt meine ausgewählten Mitarbeiter auf https//meineAdresse zugreifen können und sich große Dateien wie Backups und Snapshots von der Synology runterladen können.

Ich selbst bin bei einem anderen Synology Nutzer angelegt und komme per Microsoft Authenticator und Benutzer Kennwort hinein, das wollte ich nachmachen.
PS: dieser Synology Nutzer hat bereits versucht mir zu helfen Er und ich sind leide keine Netzwerkadmins

 

[Silverstation]

so sieht meine Reverse Proxy aus

 

[ctrlaltdelete]

Auch IPv6 an der Fritzbox?

https://deineds.synology.me:5001

 

[Silverstation]

Wenn du meinst ob meine Fritzbox ne IPv6 hat ja hat es
Wenn du meinst ob meine Synology ne IPv6 von der Fritzbox hat auch ja

mit https://meineds.synology.me:5001 komme ich per LTE vom Handy nicht drauf
Auch nicht per https://[ipv6-Adresse]:5001

 

[ctrlaltdelete]

wenn du Reverse Proxy nutzt, brauchst du nur Port 443
Und dann verschiedene Proxy Einträge
z.B.
dsm.deineds.synology.me auf 5001
file.deineds.synology.me auf 7001

 

[Benares]

Bitte bedenken, dass du für den Reverse Proxy auch eine Wildcard-DNS-Auflösung für die verwendeten Namen brauchst.

 

[Silverstation]

Ich hab jetzt in die Reverse Proxy die daten abgeglichen.
Als Quelle habe ich geschrieben dsm.meineds.synology.me und als Ziel localhost auf etwaige Ports
Meine IPv6 ist von außen sichtbar mittels nslookup/dig meinedsm.synology.me

Als DNS nutze ich den DNS meines pi-hole. Das ist halt nur ein lokales DNS,

Es wird NUR die ipv6 angezeigt.
Allerdings wenn ich den Hostname auflösen möchte, bekomme ich immernoch ipv4 UND ipv6 adresse.
Ist das eventuell schlimm?
Tatsächlich komme ich von außen sogar auf folgende Seite:


Was hab ich vergessen?

 

[Silverstation]

ok ich begreifs nicht ganz aber es geht jetzt. Ich geb euch gleich eine vollstämndige Info

 

[Benares]

Schau mal, wieso dsm.meineds.synology.me als auch meineds.synology.me immer noch auch eine IPv4 auflöst, irgendwoher muss die ja kommen. Welche ist das?
Das kann, je nach Client, zu Problemen führen, wenn diese nicht auch erreichbar ist.

 

[Silverstation]

Wie es gelöst worden ist für unsere zukünftigen Leser:
Ich hab ne Synology DS1821+ der Direkt am Router angeschlossen ist
Ich habe vom Anbieter ein DSLite, was bedeutet ich hab keine feste IPv4 und muss deshalb auf v6 ausweichen.

Router:
Ich habe im Router eine Portreigabe für die Synology auf 443 IPv6 eingesetzt.
Ich musste in der FritzBox unter Heimnetz > Netzwerk > Netzwerkeinstellungen ausnahmen definieren für den DNS-Rebind-Schutz

Synology:
Die Synology hat naturgemäß eine IPv6 Adresse die er autmatisch zieht. Wer sicher gehen will kann eine Manuell eintragen damit das immer die gleiche ist.
Unter Systemsteuerung > Externer Zugriff > DDNS habe ich einen Hostnamen für meine Synology definiert Beispielhaft hier "meineds.synology.me"
Die Externe IPv4 habe ich deaktiviert
Die Externe IPv6 habe ich auf LAN1 gesetzt in meinem Fall ist das die IPv6 der Synology selbst
Ein Zertifikat von Letsencrypt möchte ich auch zwingend Empfehlen kostet auch nichts
Heartbeat aktivieren

Dann musste ich tatsächlich meine Reverse Proxies rausnehmen und unter
Anmeldeportal > Anwendungen einen Aliasnamen für meine Filestation definieren. Beispielhaft File

Wieso auch immer bin ich seitdem von extern erreichbar mit:
https://meineds.synology.me/file
Wenn man aber nur eingibt
https://meineds.synology.me
Kommt man zu "Verbindung fehlgeschlagen"

Das funktioniert von extern übrigens nur, wenn die Externen ipv6 auf den Clients aktiviert haben.
Ich/wir haben jetzt nämlich das Problem das unsere Pi-holes nicht mehr ganz gut schützen, weil der Container Manager der DSM wohl kein IPv6 hat.
Dazu öffne ich gleich einen neuen Thread

 

[ctrlaltdelete]

Filestation Proxy wäre auch gegangen:
file.deineds.synology.me auf localhost Port 7001