Synology über QuickConnect nicht erreichbar

[Movus IT-Solutions GmbH]

Guten Tag

Meine Synology DS220+ ist seit einigen Monaten erfolgreich im Einsatz. QuickConnect wurde erfolgreich eingerichtet und funktionierte trotz Firewall. Portweiterleitungen wurden keine gemacht. Nun habe ich die Firewall ersetzt (neu von Securepoint) und seither funktioniert QuickConnect nicht mehr. Wenn ich die URL %quickconnectid%.quickconnect.to im Browser eingebe lädt er lange bis schliesslich gemeldet wird, dass die Verbindung nicht hergestellt werden kann. Im Whitepaper zu QuickConnect habe ich gelesen, dass verschiedene Verbindungsmöglichkeiten ausprobiert werden. Sollte der direkte nicht funktionieren, wird über Hole Punching eine Verbindung hergestellt. Wenn alles nicht klappt, wird über einen Proxy-Server von Synology kommuniziert. Es scheint jedoch gar nichts zu klappen.

Das ist wahrscheinlich ein Firewall-spezifisches Problem, da es mit der vorherigen Firewall funktioniert hat. Hat trotzdem jemand eine Idee? Die neue Firewall ist von Securepoint.

 

[EDvonSchleck]

Kannst du die Firewall deaktivieren oder exposed machen? Funktioniert die Verbindung anschließend wieder? Wenn nicht, kann es ein Problem mit Synology Account oder Verbindung sein.

 

[Movus IT-Solutions GmbH]

Deaktivieren kann ich die Firewall nicht. Ich nehme nicht an, dass es am Synology Account liegt. Sobald ich bei der Firewall Port 5001 an die Synology weiterleite, funktioniert QuickConnect. Jedoch sollte es ja auch ohne Weiterleitung funktionieren. Ich habe beim Firewall-Hersteller ein Ticket eröffnet.

 

[plang.pl]

Ich nehme auch an, dass es an der SecurePoint liegt. Kannst du da nicht ins Protokoll gucken und blockierte Verbindungen von der IP der DS ansehen?
EDIT: Du kannst doch bestimmt auch die DS als Exposed Host ins Internet stellen, oder (zum Test)?

 

[EDvonSchleck]

Ja, das sollte auch ohne Freigabe funktionieren. Die Verbindung wird dann von der DS aufgebaut, also von innen. Diese Verbindung muss ja blockiert werden. Dazu müsste man aber den Datenverkehr entsprechend loggen.
Generell bin ich aber trotzdem kein Freund von den Synology Lösungen.

 

[Movus IT-Solutions GmbH]

Ich logge den Datenverkehr der Synology seit ca. einer Stunde und sehe nur DNS- und NTP-Abfragen. Ich habe mich in das Thema Hole Punching eingelesen und gelernt, dass beide Geräte sich bei einem öffentlichen Server melden und so gegenseitig die öffentlichen IP-Adressen austauschen. Schliesslich versuchen beide Seiten sich gegenseitig über die öffentliche IP zu erreichen. Beim ersten Zugriff schlägt dies dann fehl, jedoch sollte die direkte Verbindung ab der zweiten Abfrage hergestellt werden können.
Ich habe angenommen, dass die DS regelmässig den öffentlichen Synology-Server kontaktiert, um offen für Verbindungen zu sein. Davon sehe ich jedoch in den Log-Dateien nichts. Ich habe noch die Idee, die DS mal neu zu starten in der Hoffnung, dass nach dem Neustart ein Verbindungsaufbau zum Synology-Server gemacht wird. Würde dann melden, was ich in den Logs sehe oder wenn ich vom Securepoint-Support etwas höre.

 

[ottosykora]

Frage:
wenn du versuchst mit dem Browser die QC Adresse anzusprechen
https://[QC ID].quickconnect.to

wechselt nach einiger Zeit die Zeile in dem Browser zu so was?:
https://[QC ID].de7.quickconnect.to

falls nicht, ev einen anderen Browser versucht?

 

[Movus IT-Solutions GmbH]

Unterdessen funktioniert QuickConnect, weshalb ich die Frage von ottosykora nicht mehr mit Sicherheit beantworten kann. Ich glaube die Weiterleitung wurde nicht gemacht.

Was ich bisher herausgefunden habe:
Wir blockieren auf unserer Firewall auch ausgehende Ports. Wir lassen nur einige Standardports für die Kommunikation ins Internet offen, so z.B. HTTP, HTTPS, NTP, DNS, FTP und ein paar mehr. Ich habe bereits bevor ich diesen Forumeintrag geschrieben habe für die DS alle Ports in Richtung Internet geöffnet, jedoch machte diese gestern den ganzen Nachmittag lang keine Anfragen ins Internet ausser NTP und DNS.
Schliesslich habe ich die DS neu gestartet und QuickConnect funktionierte sofort. Als ich mir die Logs angeschaut habe, habe ich gesehen, dass die DS direkt nach dem Neustart ein paar Anfragen auf den Ports 4000 und 4001 gemacht hat. Diese Ports waren beim vorherigen Starten der DS noch blockiert.

Leider finde ich hierzu offiziell von Synology nichts:
https://kb.synology.com/en-me/DSM/tutorial/What_network_ports_are_used_by_Synology_services

In einem englischsprachigen Synology-Forum verweist jemand darauf, dass dies mit QuickConnect zu tun hat, jedoch finde ich auch hier nichts Offizielles von Synology dazu.
https://community.synology.com/enu/forum/5/post/127710

Weiss jemand etwas zu diesen beiden Ports? Wahrscheinlich muss ich diese in Zukunft für die DS offen lassen, sodass QuickConnect funktioniert.

Nur nochmal zur Info: Ich spreche hier von ausgehenden Firewall-Regeln. Vom Internet ins interne Netzwerk habe ich nichts geöffnet.

Übrigens: Ich habe für die IP-Adresse die über Port 4000,4001 kontaktiert wird, ein nslookup gemacht und erhalte den Hostnamen on-fr-punch1.synology.com. Dem Namen nach hat der Server etwas mit dem Hole Punching zu tun. Zumindest werden hier wahrscheinlich initial ein paar Informationen übermittelt. Nach dem Start der DS wird dann nur noch ein Synology-Server über Port 443 alle 10 Sekunden aufgerufen.

 

[EDvonSchleck]

Die Frage ist eher, wenn man eine professionelle Firewall nutzt bzw. einsetzt ob man denn auch Quickconnect nutzen sollte. Immerhin findet die Kommunikation auf fremden Servern statt. Eine direkte Verbindung sollte doch bevorzugt werden. Ob Quickconnet die Lösungen im kommerziellen Bereich ist muss jeder selbst abschätzen. Ich würde dieses noch nicht einmal private machen, wie ich schon mehrfach geschrieben habe. Whitepaper hin oder her.

Davon abgesehen wusstest du ja auch das der Trafik nach extern blockiert wird. Wie soll denn das mit Quickconnect funktionieren? Das Quckconnect den Port 443 oder ähnlich nicht nutzt, sollte ja auch jedem klar sein. Bei einem Heimanwender gibt es solche Regeln nicht und ein Profi sollte wissen, was er macht.

 

[Movus IT-Solutions GmbH]

Danke für die Empfehlung bezüglich Sicherheit. Leider weiss ich noch nicht alles auf der Welt und gebe mein bestes von Tag zu Tag besser zu werden. Ich persönlich habe angenommen, dass QuickConnect ev. sogar sicherer sein könnte, da keine Ports fix zur Synology weitergeleitet werden. Ein Portscan würde schnell die offenen Ports erkennen und da ansetzen können. Bei QuickConnect wird ja der Datenverkehr im Normalfall nicht über einen Relayserver geleitet. Der Synology-Server vermittelt ja nur. Danach ist die Kommunikation P2P.

Bezüglich dem zweiten Teil habe ich ja geschrieben, dass die Standardports wie 443 schon immer offen waren. Testweise habe ich dann ab gestern Mittag, noch bevor ich diesen Beitrag eröffnet habe, alle Ports für die DS in Richtung Internet geöffnet.
1. wusste ich nicht, dass ich danach die DS neu starten muss, sodass die DS das merkt
2. steht niergens etwas zu den Ports 4000 und 4001, also wie hätte ich das wissen können?

Über eine hilfreiche Auskunft bezüglich dieser beiden Ports wäre ich immer noch sehr dankbar. Ich denke, dass viele IT-Abteilungen ausgehende Ports einschränken.

 

[EDvonSchleck]

Du musst ja nicht alles wissen, das verlangt ja auch keiner von dir.

Du musst unterscheiden zwischen Enduser und Profi. Du setzt eindeutig Profi Equipment ein und musst dementsprechend auch so handeln.
Dass Quickconnect nur eine Bypass nutzt, sollte klar sein. Es muss ja anders der Zugang realisiert werden. Das "könnte" sich als Trojanisches Pferd entpuppen. Hast du einmal eine P2P Verbindung ohne Ports aufgebaut?

Ich bleibe dabei: Ein Enduser interessiert es nicht wegen der Hardware und ein Profi würde es nicht einsetzen.

Wenn du bereits den Port 443 geöffnet hast, warum nutzt du diesen nicht einfach? Das kannst du über den Virtual Host (Webseiten), Synology Anwendungen oder den Reverse Proxy (andere Anwendungen) einfach einstellen. Dabei nutzt du eine Subdomain für jede Verbindung. Ich denke, eine Domain hast du bestimmt? Eine Blockierung von ausgehende Port 443 käme dem Stecker ziehen gleich.

 

[Movus IT-Solutions GmbH]

Danke für die Tipps. Ich werde das im Detail prüfen und dann wahrscheinlich so umsetzen.

Dennoch hätte ich sehr gerne gewusst, was da nach dem Start der DS über Port 4000/4001 zu den Synology-Server übermittelt wird? Ich finde zu diesen Ports nichts. Geändert habe ich an den Standardkonfigurationen der DS nichts. Weiter ist es komisch, dass bei der vorherigen Firewall diese Ports in Richtung Internet auch blockiert waren, jedoch QuickConnect trotzdem funktioniert hat.

 

[Benares]

4000/UDP ausgehend scheint wirklich QuickConnect zu sein, lies mal hier.
Hier hab ich auch noch was gefunden, was für dich interessant sein könnte.

 

[Movus IT-Solutions GmbH]

Danke für die Rückmeldung.
Den ersten Link habe ich noch nicht gesehen. Die Antwort von Frogman in dem erwähnten Beitrag ist leider ohne Quelle.
Den zwiten Link habe ich bereits gesehen. Dort steht zwar, welche Protokolle QuickConnect verwendet, jedoch steht da auch nichts von Port 4000 oder 4001.
Wir können das als erledigt betrachten. Ich finde es einfach schade, dass ich niergends etwas offizielles zu diesen Ports finde. So muss man das Problem halt mit Try&Error und viel Zeitaufwand lösen.

 

[Benares]

Na ja, im 2. Link stehen leider keine Ports dabei, aber bei QuickConnect wird UDP ausgehend zu keepalive.synology.com genannt. Leider funktioniert kein DNS-Lookup auf diesen Namen. Vielleicht fragst du einfach mal bei Synology nach, ob die evtl. noch eine bessere Dokumentation dazu haben.

 

[EDvonSchleck]

Ich denke, die Fragen kann nur Synology beantworten und was sich genau abspielt. Aber das wird bestimmt nicht zufriedenstellend sein. Solltest du ein Ticket aufmachen und mehr Informationen bekommen, kannst du diese gerne mit uns teilen. Auch die Zertifikate benötigen keine Postöffnung und kommunizieren über eine API. Da läuft noch ein bisschen mehr im Hintergrund.

Dabei muss es ja nicht unbedingt schlecht sein. Aber eine bessere Kommunikation oder Beschreibung wäre nicht schlecht. Dann hat jeder die Möglichkeit, selbst zu entscheiden. Auch ist bis jetzt noch nichts Negatives bekannt, aber was nicht ist, kann ja immer noch werden.