VPN und Autoblock, habe mich ausgesperrt - und nun?

Status
Für weitere Antworten geschlossen.

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo liebes Forum,

ich hoffe, es kann mir jemand weiterhelfen...

Folgendes ist passiert:
Ich habe mir eine zweite Diskstation zugelegt (beides sind DS411 slim), eine steht in Deutschland und die zweite in Italien, wo ich mich derzeit auch befinde.

Ich habe Montag und Dienstag die DS in Italien eingerichtet und alle meine Daten übertragen (lokal vom PC und einiges über VPN von der DS in Deutschland). Nun wollte ich gestern noch ein automatisches Backup einrichten, von der DS Deutschland auf die DS Italien. Ich habe mich also über VPN mit der DS Deutschland verbunden, dann den DSM über http Port 5000 aufgerufen und alles konfiguriert. Das Backup startete auch sofort.

Kurze Zeit später habe ich festgestellt, daß es wohl sehr lange dauern wird mit 27GB und daß ein tägliches Backup dann vielleicht doch unangemessen ist - ich sollte besser mein lokales Backup (welches ich auf der DS Deutschland bereits für wichtige Daten eingerichtet hatte (Mails alle 6 Stunden, andere Daten täglich bzw. wöchentlich) per Folder Sync mit der DS Italien synchronisieren.

Ich habe mich also wieder über VPN verbunden und den DSM über http aufgerufen. Irgendwie war aber der Seitenaufbau extrem langsam und die Icons kamen teils doppelt. Also habe ich mehrmals versucht, den DSM zu schließen und wieder neu zu öffnen. Zwischendurch kam auch mal eine Meldung, ich hätte keine Rechte, diese Aktion auszuführen, mit der ich aber nichts anfangen konnte. Das Ende vom Lied war dann, daß plötzlich die VPN-Verbindung unterbrochen wurde. Und nun komme ich über VPN nicht mehr auf die DS. Es heißt immer "Der Remote-Server antwortet nicht". Unter MyDS von Synology wird die DS aber ganz normal als "online" angezeigt.

Ich gehe jetzt davon aus, daß ich mich selber ausgesperrt habe, weil ich auf der DS den Autoblock aktiviert hatte (5 Versuche in 5 Minuten, 1 Tag blockiert). Ich habe zwar kein falsches PW eingegeben, aber wahrscheinlich werden einfach alle "gescheiterten Anmeldeversuche" gezählt, auch wenn diese andere Gründe haben....

Nun sind 24 Stunden vergangen, aber ich komme immer noch nicht auf die DS... Ich habe zwischenzeitlich schon folgendes erfolglos probiert:
- ital. Router abschalten, damit er eine neue IP bekommt
- mich mit verschiedenen Usern anmelden, die Zugriffsrechte per VPN haben

Hat jemand eine Idee, was da passiert sein könnte?

Was genau passiert bei einer IP-Blockade? Ich ging davon aus, daß es die aktuelle Zugriffs-IP (aus Italien) ist, aber anscheinend nicht, denn diese habe ich seit gestern bereits 2 mal geändert und es klappt trotzdem nicht und auch die Aufhebung der Blockade nach 24 Stunden hat scheinbar nicht funktioniert.

Oder ist die blockierte IP eine andere, z.B. die von mir vergeben 10.xxx.xxx.x??? Oder die von meinem Router in Deutschland, wenn ich bei meiner VPN Verbindung den Haken bei Default-Gateway für Remote-Verbindung gesetzt habe?

Auch über die http bzw. https-Seite komme ich nicht mehr auf die DS (Port 5000/5001), aber das liegt wohl daran, daß ich dafür die VPN-Verbindung brauche, denn an meinem Router in Deutschland ist nur noch Port 1723 auf die DS geleitet, alle anderen habe ich aufgrund von Sicherheitstipps, die ich immer wieder gelesen habe, geschlossen.

Gibt es irgendeine Möglichkeit, auf die DS zu kommen, ohne erst 2000km nach Deutschland zu fahren?
Ich würde nämlich gerne das dumme Backup abschalten, das nun jede Nacht nach Italien läuft... (und aus unerfindlichen Gründen auch "nur" 1,2GB überträgt, aber nicht die kompletten 27GB)

Vielen Dank schon mal im voraus für Eure Hilfe!
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
geblockt wird die externe italienische IP wenn die automatische Blockierung zuschlägt. Nun ist aber auch der Synology DDNS Service nicht immer unbedingt stabil, beobache mal in MyDS ob die IPs beider DS auch wirklich aktualiesiet werden (auf italienischer Seite Router kurz abschalten, auf deutscher Seite Zwangstrennung abwarten).

Gruß Götz
 

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo Götz,
vielen Dank für Deine Antwort.

Auf der deutschen Seite erfolgt keine Zwangstrennung. Bin bei Unitymedia und habe schon seit Monaten dieselbe IP. Sozusagen statisch, auch wenn nicht es offiziell nicht so ist.

Habe jetzt über eine Webseite mal geprüft, ob der Port 1723 auf der deutschen Router-IP überhaupt offen ist, aber er ist zu. D.h. mein Router hat sie geschlossen (???) Warum auch immer. Oder vielleicht wird sie mir nur von der ital. IP als geschlossen angezeigt. Bin bei Telecom Italia, die IP's beginnen immer mit 79.xx.xxx .xxx Vielleicht ist die ganze IP-Serie 79.xxx geblockt und nicht nur meine derzeitige. Meine Befürchtung ist, daß ich wieder nach DE fahren muß, um nachzusehen, was da passiert ist.... Und wahrscheinlich ist es, wie bei meinem letzten Problem, gar nichts, muß nur einmal den PC hochfahren, DSM starten und alles läuft wieder.

Irgendwie bringen mir die ganzen Sicherheitsvorkehrungen nichts, wenn ich mich dann hinterher ständig selbst aussperre. Bin sehr oft im Ausland und habe mir genau dafür die NAS gekauft. Aber wenn jedesmal, wenn ich weg bin (ist bereits das 2. Mal seit Kauf vor 1 Monat), Zugriffs-Probleme auftreten, sollte ich wohl am Router doch mehrere Ports öffnen, damit ich auf mehreren alternativen Wegen Zugriff habe. (5000, 5001) So ist der ganze Server für meine Zwecke rausgeschmissenes Geld - so sicher, daß ich selbst nicht drankomme...

Noch andere Vorschläge?

Vielen Dank und viele Grüße
Silke
 
Zuletzt bearbeitet:

Quertz

Benutzer
Mitglied seit
21. Jan 2013
Beiträge
65
Punkte für Reaktionen
0
Punkte
0
Irgendwie bringen mir die ganzen Sicherheitsvorkehrungen nichts, wenn ich mich dann hinterher ständig selbst aussperre. Bin sehr oft im Ausland und habe mir genau dafür die NAS gekauft. Aber wenn jedesmal, wenn ich weg bin (ist bereits das 2. Mal seit Kauf vor 1 Monat), Zugriffs-Probleme auftreten, sollte ich wohl am Router doch mehrere Ports öffnen, damit ich auf mehreren alternativen Wegen Zugriff habe. (5000, 5001) So ist der ganze Server für meine Zwecke rausgeschmissenes Geld - so sicher, daß ich selbst nicht drankomme...
Das sehe ich ähnlich: Ich hab's so gelöst:
Port 5001 für https Login in DSM
1194 für OpenVPN
Port xxx22 (hohe Portnummer) für SSH.
admin deaktiviert und dafür einen anderen Administrator angelegt.
Passwörter, die Sonderzeichen und Ziffern enthalten.

Gruß
Thomas
 

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Vielen Dank, Thomas, für Deine Antwort.

Ich werde es tatsächlich ähnlich machen wie Du, damit ich mehrere Zugriffsalternativen habe, wenn das VPN nicht mehr funktioniert. Ich kann ja nicht ständig mal eben zwischen Deutschland und Italien hin- und herfahren, um nachzuschauen, was jetzt schon wieder passiert ist.

Den Admin und Guest habe ich sowieso schon deaktiviert und mir nur mehrere user mit Adminrechten angelegt, die alle unterschiedliche Berechtigungen haben (manche dürfen auf alle Volumes zugreifen, andere nicht, manche dürfen nur lesen, andere auch schreiben). Je nachdem, von wo und wofür ich mich einlogge, wähle ich den Benutzer.

Hier noch ein Update zur Situation:
Ich habe zwischenzeitlich mit einem USB-Stick versucht, mich mit der DS in Deutschland zu verbinden, denn dieser hat auf jeden Fall eine andere Source-IP. Leider klappt es auch so nicht. Es erfolgt bei einem ipad immer die Meldung, daß der PPTP-VPN Server nicht antwortet... Es liegt also nicht an meiner blockierten IP-Adresse, sondern am Router, der scheinbar den Port 1723 geschlossen hat.

Aber warum funktioniert dann das Backup von Deutschland nach Italien jede Nacht? Das nutzt doch denselben Port, oder nicht?

Ich habe schon das komplette Handbuch von meinem Router gelesen (Netgear FWG114P), aber zum Thema Port schließen gibt es keine Infos, auch nicht, ob diese nach einer gewissen Zeit wieder freigschaltet werden oder man da vor Ort tätig werden muß.

Und was ist mit dem online-Status der DS beim DDNS-Service? Wenn die DS nun offline wäre, würde dann das Backup trotzdem laufen?

Noch jemand eine Idee?

Viele Grüße
Silke
 
Zuletzt bearbeitet:

Quertz

Benutzer
Mitglied seit
21. Jan 2013
Beiträge
65
Punkte für Reaktionen
0
Punkte
0
Ich habe zwischenzeitlich mit einem USB-Stick versucht, mich mit der DS in Deutschland zu verbinden, denn dieser hat auf jeden Fall eine andere Source-IP. Leider klappt es auch so nicht. Es erfolgt bei einem ipad immer die Meldung, daß der PPTP-VPN Server nicht antwortet... Es liegt also nicht an meiner blockierten IP-Adresse, sondern am Router, der scheinbar den Port 1723 geschlossen hat.

Aber warum funktioniert dann das Backup von Deutschland nach Italien jede Nacht? Das nutzt doch denselben Port, oder nicht?
Hallo Silke,
Ich glaube nicht, dass die deutsche DS Dich blockiert. Es kann auch sein, dass die DS einfach nicht "antwortet". Das kannst Du nicht wirklich auseinander halten.

Das Backup von Deutschland nach Italien initiiert ja wohl die deutsche DS. Da ist die Konfig des deutschen Routers nebensächlich, da ja die deutsche DS die Verbindung aufbaut und damit die Verbindung vom LAN des deutschen Routers über das WAN zum Router in Italien aufgebaut wird. Dazu braucht es kein Portforwarding im deutschen Router.
Ich vermute aber eher, dass die deutsche DS ein Problem hat und evtl. immer noch ein Backuptask läuft, der Deinen Zugriff blockiert.
Läuft das Backup über VPN? Evtl. könntest Du den entsprechenden Port auf Deinem Router in Italien schließen, so dass der in's Leere läuft? Keine Ahnung ob das was bringt, aber Versuch macht kluch!

Gruß
Thomas
 

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo Thomas,
nochmals Danke für Deine Antwort, das hilft mir schon mal, zu wissen, daß das Portforwarding beim Backup irrelevant ist.

Ja, das Backup wird von der deutschen DS initiiert auf die DS nach Italien, jede Nacht um 4 Uhr. Als ich es über eine bestehende VPN-Verbindung von Italien aus eingerichtet und gestartet habe, schienen es 27GB zu sein, aber in Italien über die Filestation sehe ich immer nur 1,2GB als angekommen. Alle Folder sind da, aber viele sind einfach leer. Keine Ahnung, ob das Backup noch läuft und da es mit den 27GB so lange dauert (genau das will ich ja abschalten!), sich dann aufhängt, weil es beim nächsten Start noch gar nicht fertig ist. Oder ob die Daten von der Source-DS verschwunden sind.

Ich denke mittlerweile auch, daß mich gar nicht der Router blockiert, sondern die deutsche DS. Ich kann zwar für meinen Router keine offenen Ports sehen, aber das kann auch daran liegen, daß ich die Funktion "Antwort auf Port-Ping" beim Router gar nciht eingeschaltet habe.

Hier in Italien auf der DS (Destination) habe ich NW-Backup aktiviert und Port 873 auf der Firewall der DS freigegeben, sowie zum Testen auch im Router. Im Router hier ist außerdem der Port 1723 auf die DS umgeleitet.

Jetzt hatte ich mir schon überlegt, einfach hier in Italien die Funktion NW-Backup (also sozusagen den Destination Server) abzuschalten, so daß dann eigentlich kein Backup mehr auf diese DS laufen dürfte. Meinst Du das? Oder soll ich lieber erstmal nur Port 1723 auf dem Router schließen? Den brauche ich im Moment eh nicht, weil ich nur prüfen wollte, ob eine VPN-Verbindung zu dieser DS aufgebaut werden kann (anderer Router) und das klappt (habe ich bereits von einem externen Netzwerk getestet).

Das Dumme ist, daß ich diesen Ärger mit einem Backup habe. Ein Backup soll ja meine Daten sichern für Notfälle... Und nun sind sie wunderbar unsicher.... Echt total blöd. Naja, glücklicherweise habe ich die Daten auf 2 lokal getrennten PCs und auf 2 lokal getrennten DS. Das Backup sollte noch eine Extra-Sicherung sein.

Viele Grüße
Silke
 

JuSu

Benutzer
Mitglied seit
30. Sep 2011
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
Hallo solmar,

ich konnte Deinen Ausführungen entnehmen, dass Du bei Unitymedia auf der deutschen Seite angemeldet bist.
Könntest Du evt. in das DS-Lite Problem via IPv6 hineinfallen?

Ich selbst bin auch bei Unitymedia mit einer IPv4 Adresse, die sich sehr selten ändert.
Der Zugriff von extern via OpenVPN (oder PPTP) ist bei mir ebenfalls sehr instabil, was ich mir nicht erklären kann. Der Support von UM antwortet nur mit Textbausteinen, die nicht weiterhelfen.
Habe noch keine Lösung gefunden und bin für jeden Hinweis dankbar.

Gruß
JuSu
 

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo JuSu,

Nein, eigentlich nicht. Ich habe sowohl in Italien als auch in Deutschland mit der IP geprüft, ob ich IPV6 habe, weil es damit Probleme gibt. Das war vor 2 Wochen, aber ich hatte kein IPV6 und ich glaube nicht, daß es gerade geändert wurde. Das wäre ja ein ganz dummer Zufall (auch wenn es bei meinem letzten Zugriffsproblem vor 1 Monat ein solcher Zufall war: Probleme bei Synology, während ich vom Ausland auf die DS zugegriffen habe und der DDNS-Dienst hat die IP nicht aktualisiert, also DS dann offline. Als ich wieder zu Hause war, hatte ich immer noch dieselbe IP, mußte nur den DSM starten und alles war wieder ok....)

Viele Grüße
Silke
 
Zuletzt bearbeitet:

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
@ JuSu,

Ja, Unitymedia ist nicht wirklich hilfsbereit. Man bekommt nur Standardmails, die gar nichtzum Problem passen, das man geschildert hat. Hatte imap-Probleme und Mail-Weiterleitungsprobleme zu Strato (es wurden nicht alle mails weitergeleitet, sie blieben einfach bei UM). Lösung wurde nie gefunden, nutze nun die Weiterleitung nicht mehr.

Bezüglich des VPN hat seit der Einrichtung vor 2 Wochen alles gut funktioniert, auch vom Ausland aus. Habe mir die Netzwerk-Laufwerke der deutschen DS lokal auf dem ital. PC eingebunden und konnte Daten transferieren in beide Richtungen, Datenübertragung war zwar langsam, aber ok.

Das aktuelle Problem ist erst aufgetreten als ich über VPN den DSM geöffnet und das Backup eingerichtet habe.

Viele Grüße
Silke
 

Quertz

Benutzer
Mitglied seit
21. Jan 2013
Beiträge
65
Punkte für Reaktionen
0
Punkte
0
Hallo Silke,

was wirklich schief läuft wirst Du evtl. erst herausfinden, wenn Du wieder vor Ort in DE bist.
Ein SSH-Zugang kann wirklich Wunder wirken. Zur Not rebootet man die DS dann über die Konsole neu.
Außerdem kommt man per SSH und Putty von einem Windows-PC auch auf das Webinterface des Routers von der LAN-Seite. Nicht so komfortabel, wie mit einem echten VPN aber immerhin....
SSH-Tunnel ist dazu das Stichwort.


LG
THomas
 

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo Thomas,

Ja, man lernt immer erst, wenn etwas schief geht. Werde mich mal mit ssh beschäftigen. Sollen ja nur alternatve Lösungen sein, wenn die Hauptlösung (VPN) versagt.

Außerdem werde ich bei meinem Router in DE das Remote Management einrichten. Dann kann ich das Routermenu von extern aufrufen. Habe heute in der BDA gelesen, daß der Router das unterstützt, muß man halt wissen und einrichten (und wissen, daß man es braucht).

Habe mich bereits damit abgefunden, daß ich bis zu meiner Rückkehr warten muß. Die war erst für September geplant, muß ich aber dann wohl früher machen, so lange möchte ich nicht im Ungewissen sein.

Habe jetzt auf der ital. DS das Netbackup deaktiviert. Somit dürfte heute nacht das Backup nach Italien scheitern und morgen früh prüf ich noch mal, ob ich auf die DS komme.

Schönen Abend an alle und danke für Eure Hilfe.

Silke
 

JuSu

Benutzer
Mitglied seit
30. Sep 2011
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
@solmar

Meines Wissens muss für PPTP neben dem Port 1723/TCP auch noch das Protokoll GRE freigegeben werden. Bei einer Fritzbox gibt es dafür einen extra Eintrag.
PPTP ist allerdings als nicht mehr sicher anzusehen.

Die Alternative hierfür ist OpenVPN. Dazu ist der Port 1194/UDP (ggf. auch TCP) freizuschalten.
Daneben halte ich mir immer noch den HTTPS:5001 Port auf der DS für den Direkteinstieg offen, damit man auch im Notfall noch darauf zugreifen kann.
Zusätzlich kann ich meine Fritzbox noch fernkonfigurieren - darüber könnte man dann den SSH Zugang zur DS bei Bedarf freischalten, der ansonsten geschlossen ist. Ich habe jede Menge Anfragen aus China auf Port 22 - den mache ich nur in Notfällen auf.

Nichtsdestotrotz habe ich unter Unitymedia erhebliche Probleme einen VPN Zugriff zu stabil zu erzielen. Der Link hält ein paar Minuten, solange man auf die Daten aktiv zugreift - bei fehlender Aktivität (ca. 20s) wird man ausgesperrt. Ich habe noch keine Ahnung warum das so ist. HTTPS:5001 geht immer (auch HTTPS:7001 (FileStation)).

Gruß
JuSu
 

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
@solmar

Meines Wissens muss für PPTP neben dem Port 1723/TCP auch noch das Protokoll GRE freigegeben werden.

Wenn ich wieder zu Hause bin, muß ich prüfen, ob bei meinem Router das GRE freigeschaltet werden muß und ob die Probleme deshalb enststanden sind. Wäre aber seltsam, denn der VPN-Zugriff von extern hat ja mehrere Tage problemlos funktioniert und ich habe Daten in beide Richtungen übertragen können.

@solmar

Die Alternative hierfür ist OpenVPN. Dazu ist der Port 1194/UDP (ggf. auch TCP) freizuschalten.
Daneben halte ich mir immer noch den HTTPS:5001 Port auf der DS für den Direkteinstieg offen, damit man auch im Notfall noch darauf zugreifen kann.
Zusätzlich kann ich meine Fritzbox noch fernkonfigurieren - darüber könnte man dann den SSH Zugang zur DS bei Bedarf freischalten, der ansonsten geschlossen ist. Ich habe jede Menge Anfragen aus China auf Port 22 - den mache ich nur in Notfällen auf.

So ein ähnliches Szenario muß ich mir auch einrichten. Anfangs hatte ich alle diese Ports offen, aber dann immer wieder gelesen, daß gerade bei VPN ein Port reicht. Die Ports sind alle nohc auf dem Router konfiguriert, habe sie alo inaktiv gesetzt. Sehr ärgerlich, denn nun komme ich nicht mehr von außen auf die DS.

@solmar

Nichtsdestotrotz habe ich unter Unitymedia erhebliche Probleme einen VPN Zugriff zu stabil zu erzielen. Der Link hält ein paar Minuten, solange man auf die Daten aktiv zugreift - bei fehlender Aktivität (ca. 20s) wird man ausgesperrt.

Was meinst Du mit "ausgesperrt"? Daß Du nicht mehr auf die DS kommst (wie ich) oder nur, daß die VPN-Verbindung getrennt wird?

Viele Grüße
Silke
 

solmar

Benutzer
Mitglied seit
24. Mai 2013
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo Silke,
Ich glaube nicht, dass die deutsche DS Dich blockiert. Es kann auch sein, dass die DS einfach nicht "antwortet". Das kannst Du nicht wirklich auseinander halten.

Das Backup von Deutschland nach Italien initiiert ja wohl die deutsche DS. Da ist die Konfig des deutschen Routers nebensächlich, da ja die deutsche DS die Verbindung aufbaut und damit die Verbindung vom LAN des deutschen Routers über das WAN zum Router in Italien aufgebaut wird. Dazu braucht es kein Portforwarding im deutschen Router.
Ich vermute aber eher, dass die deutsche DS ein Problem hat und evtl. immer noch ein Backuptask läuft, der Deinen Zugriff blockiert.
Läuft das Backup über VPN? Evtl. könntest Du den entsprechenden Port auf Deinem Router in Italien schließen, so dass der in's Leere läuft? Keine Ahnung ob das was bringt, aber Versuch macht kluch!

Gruß
Thomas

Hallo Thomas,
ich habe am Freitag nun auf der ital. DS die Funktion Netbackup deaktiviert und den Inhalt des Ordners gelöscht.
Habe jetzt gestern und heute früh geprüft: Netbackup-Ordner sind leer. Die deutsche DS hat also kein Netbackup mehr gemacht.

Allerdings komme ich über VPN immmer noch nicht drauf. Fehler 678 Remote antwortet nicht, genau wie vorher. Muß also tatsächlich vor Ort nachschauen.

Viele Grüße
Silke
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat