Synology-Server hosten in einem Carrier-grade NAT des Providers-> Wie ?!

[rhino]

Hallo zusammen ,

ich würde gerne einen Synology-Server bei mir zu Hause hosten. Dazu habe ich mir eine Domain gemietet (Strato), welche ich über ddns mit der Fritz-Box verbunden habe.
Nun ist es jedoch so, dass meine Domain auf eine falsche IP-Adresse umgeleitet wird (IP: 188.210.***.***). Diese IP-Adresse ist die gleiche, wie ich sie auf www.wieistmeineip.de auf allen Endgeräten wiederfinde. Diese ist jedoch nicht korrekt (!!)
Schaue ich nun auf der Weboberfläche der Fritz-Box nach, finde ich die korrekte IP-Adresse, unter der ich meinen Server problemlos erreichen kann (IP: 100.6*.***.***). Laut Recherche bin ich glücklicher Mitnutzer eines Subnetzes des Providers Quix (ironie) und habe eine private IPv4-Adresse, welche für den Domain-Betreiber und den Rest des Internets nicht zugänglich ist (Erklärt die falsche Umleitung) .

Nun meine Fragen:

1.) Liege ich richtig, dass ich eine private IP-Adresse habe?
2.) Was kann ich tun, damit ich meinen Server für die Außenwelt zugänglich machen kann? Hat jemand eine Idee?


Danke im Voraus.
Gruß,
Rhino

 

[Fusion]

100.6 ist schon mal keine private Adresse per se (nach IANA)

Was meinst du mit "problemlos erreichbar"? Aus dem Mobilfunknetz, oder aus deinem LAN?
Und bei welchem Provider bist du?

 

[rhino]

100.6 ist schon mal keine private Adresse per se (nach IANA)

Was meinst du mit "problemlos erreichbar"? Aus dem Mobilfunknetz, oder aus deinem LAN?
Und bei welchem Provider bist du?

Mit "problemlos erreichbar" meine ich aus dem Internet. Von zu Hause kann ich problemlos über das LAN auf den Server zugreifen. Aber ich will ihn ja ins Netz bringen, damit ich auf meine Daten zugreifen kann. Vor meinem Providerwechsel (Telekom zu Quix) hat das mit ddns einwandfrei funktioniert. Nun bin ich bei Quix (https://www.myquix.de/) und die Domain wird falsch, bzw. nicht ausreichend umgeleitet.

Ich hab vorhin mal einen Link mit der IP der FritzBox ( http://100.6*.***.***:5000 <--- Webinterface der Synology) an einen Freund geschickt. Dieser konnte ihn nicht öffnen. Ich kann jedoch übers Internet darauf zugreifen. Daher vermute ich mal, dass ich in einem Subnet des Providers bin. Nun suche ich Lösungen um den Server ins Netz zu bringen... bisher vergeblich

 

[Fusion]

Dann ist das was du als "übers Internet" bezeichnest, nicht wirklich von extern (z.B. Mobilfunknetz, oder eben dein Freund, --> das ist "übers Internet")

Von daher würde ich doch mal als erstes nett beim Provider anfragen, wie du auf Geräte in deinem LAN von extern zugreifen kannst. Der weiß das sicher am besten, welche Technik er einsetzt.
Wir "vermuten" hier ja nur rum.
Wenn er wirklich nochmal ein komplettes NAT fährt, also LAN IPv4 > deine Fritzbox > WAN IPv4 > Provider Router > Internet, nur mit IPv4, dann kommst du da nicht durch von außen.

Dann kann man nur mit Tunnellösungen arbeiten. z.B. ein VPN zu einem VPN-Endpunkt im Internet. Der Zugriff wäre dann vom Internet auf den VPN-Endpunkt durch den Tunnel in dein Netz.
Das kostet aber mit SIcherheit Geld, wenn man dort Portweiterleitungen etc auf dem Endpunkt haben will.

P.S. Bitte keine Vollzitate. @Nutzer reicht vollkommen, ganz speziell, wenn du direkt antwortest. Danke.

 

[rhino]

Hallo,

Dankeschön an Fusion für die Hilfe.
Ich bin ein großes Stück weitergekommen:

Ich habe DDNS-Updater 2 nun auf meiner DS installiert und erfolgreich eine Verbindung zum Update-Server von spdyn.de bzw. spdns.de aufgebaut. Also meine Domain wird nun erfolgreich alle 24h mit meiner IPv6 aktualisiert. Ich kann jedoch nicht über die Domain auf meine DS zugreifen (Diese Website ist nicht erreichbar. Die DNS-Adresse des Servers von blablub.spdns.de wurde nicht gefunden). Wenn ich jedoch die externe IPv6-Adresse in den Browser eingebe, komme ich auf das Webinterface der DS. Es sind also die Ports freigegeben und der externe Zugriff ist möglich. Ich kann auch die Domain blablub.spdns.de über den Online-Ping anpingen und bekomme auch die richtige IPv6 als Antwort. Die Umleitung ist also korrekt ! In der cmd kann ich jedoch die Domain nicht auflösen und bekomme keine Antwort vom Server zurück, obwohl ich eigentlich eine bekommen sollte

Ich bin gerade etwas verwirrt. Warum kann ich meine DS nicht über meine Domain erreichen?
Ich kann zwar für 2€/Monat eine feste IP bekommen, aber das halte ich für unnötig.

 

[Fusion]

Es fehlt wieder die Hälfte an Information für eine konkrete Antwort.

jedoch die externe IPv6-Adresse in den Browser eingebe

Wo läuft dieser Browser? Im LAN?

Der erste Test der jetzt funktionieren sollte bevor man sich über andere Dinge Gedanken macht ist:
Die externe IPv6 von einem externen Client (Mobilfunk, oder ein Rechner außerhalb deines Provider-Netzes), der ebenfalls eine IPv6 besitzt, aufzurufen.
Wenn das funktioniert und du auf du auf deiner DS landest, dann stimmen die IPs und die Portfreigabe in deiner Fritzbox.

Danach kann man dann sehen, wie man das DNS Geraffel noch zum laufen bekommt.

 

[rhino]

Bitte entschuldige die fehlenden Informationen. Ich bin leider nicht vom Fach und bemühe mich bestmöglich.

Wo läuft dieser Browser? Im LAN?

Ja, du hattest diesbezüglich recht. Das ganze lief über LAN und hatte auch dementsprechend eine Latenz von <1ms.

Ich habe nun versucht, die IPv6 von extern anzupingen (Client hat ein aktives IPv6-Protokoll). Es war mir nicht möglich, den Server zu erreichen. Weder über den Browser, noch über den ping.

Was mich etwas stutzig macht ist folgendes:
Über den online-Ping (externer Ping - http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php) kann ich die IPv6 anpingen und bekomme auch eine Antwort. Schalte ich die Ports an der FritzBox aus, bekomme ich keine Antwort mehr. Das ganze habe ich auch über einen externen Rechner versucht und eine Antwort von meinem Server erhalten (... solange bis ich die Ports geschlossen habe). Also muss der Server ja im Internet erreichbar sein, nehme ich mal schwer an?!

Nur warum bekomme ich keine Antwort über die cmd?

Vielen Dank im Voraus für deine Hílfe !

 

[Fusion]

Musst dich nicht entschuldigen.

Prinzipiell ist erstmal ein Unterschied zwischen IPv4 und IPv6, wie der Router die Pakete abarbeitet. Mal nur den extern > intern Weg betrachtet.
Bei IPv4 kommen die Anfragen an den Router und es wird anhand des Ports entschieden an welches Ziel im LAN das geht.
Bei IPv6 wird die IP der DS in der Router-Firewall zusammen mit einem Port oder komplett freigegeben. Die Anfrage kommt also auch beim Router schon mit der Ziel-IP an. Der Router selbst hat dann meist auch noch eine andere IPv6.
Zudem hat jedes Gerät dann meist noch eine link.local IPv6, die nur intern gilt.
Ohne jetzt mindestens Teil der IP zu kennen ist schwierig zu sagen, welche IPs dies sind.
Wenn der online Ping und ein externer Rechner aber Verbindung erhalten und dies nicht mehr nachdem du die Portfreigabe ausgeschaltet hast, deutet es schon mal auf externe Erreichbarkeit hin.
Kannst du denn mit dieser IPv6 die Oberfläche der DS im Browser erreichen? Die Eingabe ist glaube ich http(s)://[ipv6]ort. Müsste man nochmal verifizieren.

In der Fritzbox musst du zudem die Domain in den Netzwerkeinstellungen noch im DNS-Rebind-Schutz als Ausnahme eintragen, sonst verwirft die Fritzbox sämtlich Anfragen von intern, die auf die externe IP der Fritzbox zurück verweisen.

 

[rhino]

Vielen Dank für deine Erklärung, Fusion.
Leider kann ich auch über den Browser die DS nicht erreichen (extern).

Aber nachdem ich den DNS-Rebind-Schutz in der FritzBox eingerichtet habe, werden die DNS-Anfragen jedenfalls nun korrekt aufgelöst. Damit ist das Thema Domain schon mal durch. Jetzt muss ich nur noch den Zugriff auf die DS über das Internet einrichten...

Gibt es eventuell eine Einstellung an meinem Client (Win 10 Education) die zu beachten ist? Ein externer Client (online-Ping) kann den Server ja auch erreichen.

 

[Fusion]

Die DNS Auflösung hätte auch vorher schon funktionieren müssen. Die IPv6 der DS sollte ja vorher schon mit der Domain assoziiert sein. Die IPv6 Portfreigabe in der Fritzbox ist eigentlich nur eine "Firewall öffne dich" Regel.

Von extern war ja kein Problem, hattest ja schon Webinterface gesehen.

Was jetzt noch nicht geht ist die DS intern über die externe Adresse zu erreichen?

 

[rhino]

Nein, intern kann ich die DS problemlos über die externe IPv6 der DS erreichen. Das läuft aber alles übers Lan. Selbst wenn ich die Ports schließe kann ich auf die externe IPv6 darauf zugreifen.

Über meinen externen Client kann ich jedoch weder die DS über den Browser, noch über Ping erreichen. Und das ist das eigentliche Ziel von meinem Server, damit ich von unterwegs auf meine Daten zugreifen kann. Das einzige was bisher extern Konnektivität zum Server herstellen konnte, ist der Online-Ping von einem hoster (siehe oben).

Ich habe dir mal meine IPv6 per PN geschickt. Vielleicht kannst du ja darauf zugreifen?!

 

[Fusion]

Hast du für die IPv6 der DS in der Fritzbox eine IPv6 Freigabe (Internet > Freigabe > IPv6) getätigt?
Diese IP/Interface-ID (Host-Teil der IPv6) darf nicht mit der IPv6 der Fritzbox unter Übersicht > Verbindungen übereinstimmen.

 

[maulsim]

Unterstützt dein externer Client auch IPv6? Mobilfunk hat damit z.B. Probleme.
Was passiert wenn du die Domain am externen Client auflöst? Unterstützt der externe Browser IPv6 oder versucht er es bevorzugt mit IPv4 und verrennt sich dabei?

 

[rhino]

Ich melde mich zurück!

Hab das Problem gelöst. Mein externer Client hatte zwar ein aktives IPv6-Protokoll, jedoch war die IPv6-Unterstützung in der Fritz-Box nicht aktiviert, was einen Zugriff unmöglich machte (Zitat: "Jaja.... IPv6 hab ich aktiviert" .... soviel dazu) ...

Ich danke euch zwei für die kompetente Hilfe!

 

[Fusion]

Sehr schön.