Version: 7.2-64551 RC

[ostrocker]

Hallöchen, nach der Installation der neusten Version wurde FTP auf SMB umgestellt.
Dabei entsteht bei mir folgendes Problem:
Zugriff über Browser funktioniert wie immer, über die Netzwerkumgebung wird er allerdings blockiert,
Login Maske erscheint und nach Eingabe der korrekten Zugangs Daten erfolgt trotzdem kein zugriff.
Unter Schutz > Blockierungsliste erschien z.B. 2003:f9:8xxx:f502:4xxx:bbb0:eed:xxx was ich nicht zuordnen konnte.
Ich fand heraus das es sich um die iPv6 Adresse von meinem Rechner handelt. Diese Daten auf die Erlaubnisseite und schon ging alles
wie immer. Problem gelöst dachte ich . den bei jedem Rechnerneustart die gleiche Geschichte.
Ich fand auch die Ursache, den im Gegensatz zur festzugewiesenen IP 192.xxx.x.xxx ändert sich die iPv6 jedes Mal.
Wo soll ich nun anfangen das Problem dauerhaft zu beheben?
NAS, Rechner oder Router ?
Einfachste (unsichere) Lösung die automatische Blockierung zu deaktivieren.
Im Router gibt es auch die Möglichkeit einer festen iPv6 Adresse allerdings weis ich nicht ob es sich da auf die Geräte im Netzwerk
oder nur den Router (Speedport Smart 4 Typ B) bezieht.

Danke für Eure Hinweise.

 

[EDvonSchleck]

Mit der wechselnden IPv6 ist ein Feature von IPv6 und soll der Sicherheit dienen. Darüber hinaus gibt es auch noch eine fixe IPv6.
Scheinbar benutzt du einen Internetzugang der Telekom (Speadport Router)?
Warum deaktiviert du nicht einfach IPv6 im Router oder DS und richtest die Firewall richtige auf dein IPv4-Home-Netzwerk ein?
Die Telekom unterstützt doch Dual Stack und setzt kein "Lite" ein, was aber auch erst für eine Freigabe wichtig wäre, nicht Netzintern!

Was willst du überhaupt alles nutzen? Was schwebt dir vor?

Ps: dein Name ist bei mir Programm

 

[Benares]

Wo soll ich nun anfangen das Problem dauerhaft zu beheben?
NAS, Rechner oder Router ?

Ich würde auf dem Rechner anfangen und überlegen, was sich da wohl falsch an der DS anmeldet und was in letzter Zeit geändert wurde. Automatisch verbundene Laufwerke? Sonstige Dienste, die die DS nutzen? Passworte geändert? Benutzer gelöscht? ...

Das Problem ist ja weniger die wechselnde IPv6, sondern die Blockierung.

 

[EDvonSchleck]

Da der Zugriff beim Entfernen aus der Blockierliste zustande kommt, kann es ja nicht an den Zugangsdaten liegen.
Wobei ein Löschen dieser Anmeldedaten kann NIE schaden, das hat schon zu vielen Fehlern geführt.

 

[ostrocker]

Es wurde nix geändert bis auf SMB anstelle FTP, und wen ich die aktuelle iPv6 erlaube geht alles wie vorher.
Offensichtlich hat FTP die iPv4 genutzt welche ich meinem Rechner fest zugewiesen hatte.
Ich möchte einfach so wie gewohnt, bin Baujahr 1956 ;-) , gleich im Explorer auf meine Verzeichnisse zugreifen,
ohne , nervig, jedes Mal erst auf das NAS zu gehen um es zuzulassen.
Alle andern mobilen Zugriffe z.B. Photo, Musik, Drive ... Laufen wie gewohnt nur der Erstzugriff am Rechner nicht

 

[synfor]

Ich fand auch die Ursache, den im Gegensatz zur festzugewiesenen IP 192.xxx.x.xxx ändert sich die iPv6 jedes Mal.

Das ist mit Sicherheit nicht die Ursache.

 

[maxblank]

Nimm bei deiner Netzwerkkarte am Windows Rechner mal den Haken bei IPv6 raus und teste es nochmals.

https://www.giga.de/tipp/ipv6-deaktivieren-und-aktivieren-so-gehts/

 

[Benares]

Da der Zugriff beim Entfernen aus der Blockierliste zustande kommt, kann es ja nicht an den Zugangsdaten liegen.

Doch kann es. Wenn sich da irgendein Dienst ö.ä. im Hintergrund zyklisch falsch anmeldet, klappt zwar der Zugriff nach Entfernen aus der Blockierungsliste, bis halt der Dienst wieder zuschlägt und für einen Neueintrag sorgt.

Ich würde auch mal in die "Anmeldeinformationsverwaltung" von Windows schauen, ob da noch irgendwelcher Schrott rumliegt. Evtl. liefert ja auch das Verbindungsprotokoll im Protokoll-Center der DS Hinweise.

 

[ostrocker]

Ich glaube, das Problem liegt woanders, ich hatte nicht bedacht das ich auf Grund eines Mainbordfehlers, beim Start erschien plötzlich immer das UEFI Bios, allerdings nur die Überschrift und keine Einstellungen mehr . Aber nach 10 Jahren kann man ja mal upgraden , inklusive Win11.
Und jetzt vermute ich das Win11 iPv6 immer den Vorzug gibt. Ich habe mal meinen Reserverechner mit Win10 gestartet und siehe da, der Zugriff
lief wie immer.
Ich habe nun das iPv6 Protokoll beim Hauptrechner deaktiviert und werde weiter beobachten.

 

[EDvonSchleck]

Wenn du IPv6 auf dem Router deaktivierst (sofern möglich) gilt dieses für das gesamte Netzwerk. Wenn du IPv6 auf der DS ausschaltest, gilt das für alle Clients und nicht nur für den Rechner. Das habe ich aber oben bereits geschrieben. Wenn du IPv6 bei deinem Provider nicht benötigst, kannst du IPv6 einfach deaktivieren. Bei Anbietern die dieses benötigen muss es halt auch richtig eingestellt werden.

Es kann nie schaden, sein Netzwerk richtig zu konfigurieren und die Firewall in der DS richtig einzustellen.

 

[synfor]

Die IP-Adresse wird blockiert, weil von diesem Rechner mehrfach ein Login mit nicht existierendem User versucht wird. Das Deaktivieren von IPv6 wird das Problem nicht lösen.

 

[ostrocker]

Offensichtlich hat es geholfen, nach mehreren Neustarts alles wie gehabt.
Jedoch habe ich gesehen das sich nun die iPv6 Adresse auch im Router nicht mehr ändert.
Die Freigabe/Blockierliste im NAS habe ich geleert und es tauchen keine neuen Einträge mehr auf.
Natürlich weiß ich grundsätzlich wie ein Netzwerk funktioniert, bin aber kein Experte, deshalb lasse ich Firewall und Co. lieber automatisch.
Router Einstellungen sind die oberste Ebene, und da hängt nicht nur Rechner und NAS dran, sondern auch Wlan, TV+ und Smartgeräte...
Wie die dann eventuell auf fehlendes iPv6 reagieren will ich mir nicht ausmalen.

 

[EDvonSchleck]

Die Firewall automatisch ist immer so eine Sache. En Netzwerk sollte ordentlich eingerichtet werden. Mit der IPv6 im Router meinst du die externe, interne oder die des Clients? Auch die Anmeldetaten kannst du noch einmal überprüfen. So wird es nicht lange dauern, bis es wieder Probleme gibt.

 

[ostrocker]

Wäre alles kein Problem gewesen wenn man bei iPv6 auch einen Haken setzen könnte, aber die Option wird nur bei iPv4 angeboten

 

[EDvonSchleck]

Das wird aber die fixe IPv6 vom Rechner sein?
Weil man bei deinem Router IPv6 nicht deaktivieren kann, kannst du dieses einfach bei der DS machen. Danach verbindet sich der Rechner sich immer nur noch über IPv4 und IPv6 spielt keine Rolle mehr. Wenn du eine Internetfreigabe hast, kannst du mit IPv6 und ohne Firewall ein erhebliches Risiko ausgesetzt sein!

 

[ostrocker]

Und was bedeutet das für meinen mobilen Zugriff?
Ich habe keine öffentlichen Freigaben, sondern gehe mobil nur mit eigenen Geräten rein und auch da ist Secure Signin vorgeschaltet.
War bisher immer der Meinung das es sicher genug ist.

 

[EDvonSchleck]

Wenn du z. B. UPnP im Router aktiv hast, kann es schon vorkommen, dass die DS die Portfreigaben selbstständig macht. Was genau eingestellt ist, kann ich dir nicht sagen. Trotzdem kann es nie schaden, die Firewall zu aktivieren und sein eigenes Heimnetz als sicher zuzuweisen. Das geht sehr einfach und sollte nicht wegen Bequemlichkeit nicht deaktiviert sein. Gerade bei IPv6 könnte das ein Sicherheitsrisiko.

Im Heimnetz ist das natürlich zu vernachlässigen, wenn wirklich alles im Heimnetz bleibt. Nur weil du keine Freigabe eingerichtet hast, schließt es ja nicht andere Geräte aus, dass dies es für den User übernehmen. Worüber einige User sich feuen ist ein wirkliches Sicherheitsrisiko.

Ob Secure Signin der Heilsbringer sein wird, mag ich auch bezweifeln. Ist dort die Bequemlichkeit wieder im Vordergrund. Das kann man auch mit 2FA und (T)OTP genauso erreichen, ohne dass die Loginanfragen über Synology und deren Servern laufen. Muss aber jeder selbst entscheiden.

 

[Benares]

Ich finde, der Thread läuft etwas in die falsche Richtung.
Da war eingangs von Einträgen in der Blocklist die Rede. Die Lösungsansatz war dann, IPv6 abzuschalten, damit man man die Whitelist nutzen kann, anstatt nach der Ursache zu schauen

Und jetzt noch eine Aussage wie

Wenn du eine Internetfreigabe hast, kannst du mit IPv6 und ohne Firewall ein erhebliches Risiko ausgesetzt sein!

Das ist bei IPv4 ebenso!

Ich finde, wenn man schon einen Dual-Stack-Anschluss mit öffentlicher IPv4 und IPv6 hat, sollte man IPv4 und IPv6 auch intern nutzen. Bei IPv6 muss man zwar etwas umdenken, und für viele ist das evtl. auch noch Neuland, aber ein Hexenwerk ist es auch nicht.

 

[EDvonSchleck]

Die Lösungsansatz war dann, IPv6 abzuschalten, damit man man die Whitelist nutzen kann, anstatt nach der Ursache zu schauen

Da es scheinbar kein Anmeldefehler ist, sieht man das es jetzt nicht mehr auftritt. Ansonsten wäre jede IP nach den eingestellten Login-Versuche bzw. nach einer Zeit automatisch wieder auf die Blocklist. Das ist aber scheinbar nicht der Fall und somit würde ich die Anmeldedaten ausschließen. Was Windows im Hintergrund gemacht hat oder kann ich auch nicht sagen.

Das ist bei IPv4 ebenso!

Was UPnP angeht, ja. Ich sehe bei IPv6 aber eine höhere Möglichkeit Schaden anzurichten, wenn es nicht richtig konfiguriert ist. Dann schließlich gibst du das Gerät direkt ins Internet frei. Das mag von der Gewichtung marginal sein, trotzdem finde ich es erwähnenswert.

Ich finde, wenn man schon einen Dual-Stack-Anschluss mit öffentlicher IPv4 und IPv6 hat, sollte man IPv4 und IPv6 auch intern nutzen.

Bringt auch keinen Vorteil.

Bei IPv6 muss man zwar etwas umdenken, und für viele ist das evtl. auch noch Neuland, aber ein Hexenwerk ist es auch nicht.

Ja gehe ich mit, jedoch muss man es nicht schwieriger machen als es ist. Wenn User mit den IPv6 schon massive Probleme hat, wird dieses mit IPv6 nicht besser. Das fängt mit der Handhabung und Aufbau schon an. Wenn man auf IPv6 angewiesen ist, hat man eh keine Wahl, der Rest kann sich aber aktuell noch zurücklegen und es laufen lassen. Wie in den anderen Threads geschrieben, würde ich auch keine extra Kosten für Portmapper ausgeben und einfach IPv6 nutzen.

 

[Benares]

Die Blocklist wird immer nur durch Anmeldefehler getriggert, wo die im konkreten Fall herkommen, kann ich auch nicht sagen. Der TE hat leider noch mal, wie vorgeschlagen, ins Protokoll-Center geschaut.

IPv6 ist sicherheitstechnisch genauso gut wie IPv4, sogar noch besser. Dadurch das ein Client immer mit seiner temporären IPv6 (Security Extension) ins Netz geht, wird seine "richtige" IPv6, über die er ggf. auch erreichbar wäre, nie öffentlich. Und der Wegfall von NAT mit all seinen Problemen ist auch eher positiv. Und spätestens dann, wenn manche Dienste nur noch per IPv6 erreichbar sind, muss man sich damit beschäftigen.