Zugrif von extern über Link

[Nasty81]

Ok ich habe jetzt folgende Anleitung genommen: https://www.youtube.com/watch?v=TE9FBKlWIz4&feature=youtu.be
Zur Portfreigabe dieses Video: https://www.youtube.com/watch?v=BCVCYR1wJpc

In der Systemsteuerung unter Externer Zugriff wirdr alles als "Normal" angezeigt.
Die Portfreigabe in der Fritz Box ist wie in dem Video gemacht worden.
Auf der Synology Webseite im neu eingerichteten Konto steht auch die IP dran, unter der mein NAS von außen nun erreichbar sein soll.

Ist es aber nicht.

Wie prüfe ich, wo der Fehler liegt?
Selbst wenn ich auf die IP klicke bzw auf die DDNS Adresse, öffnet sich ein neuer Tab im Browser aber es kommt ein "Seiten-Ladefehler".
"Fehler: Netzwerk-Zeitüberschreitung

Der Server unter xxx.diskstation.me braucht zu lange, um eine Antwort zu senden.

Die Website könnte vorübergehend nicht erreichbar sein, versuchen Sie es bitte später nochmals.
Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die Netzwerk-/Internetverbindung.
Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird, stellen Sie bitte sicher, dass Firefox auf das Internet zugreifen darf.
"

 

[Nasty81]

Nachtrag: in der Fritzbox selbst habe ich den Eintrag zu DDNS nicht aktiviert. Das ist in dem Video aber auch nicht erwähnt, dass das sein müsste. Aber ineinem anderen. Ich ging davon aus, dass der Assistent alles selbst regelt....! So hat es den Anschein ja auch im Video.

Ist die Frage: muss man da noch was händisch einstellen und den DDNS in der Fritzbox aktiveren?

 

[laserdesign]

Hallo,

ich finde es ganz schön belastend wenn du hier ständig auf irgendwelche Videos verweist um zu verstehen fast du da machst.
Ich habe keine Lust und Zeit mir diese Dinge anzuschauen. Also beschreibe hier im Forum Dein Vorhaben und was du bisher gemacht hast, zusätzlich sind Fehlermeldungen oder Screenshots fürs debuggen sinnvoll.

Ein DDNS-Account ist am Sinnvollstem im Router einzutragen, da er als erstes den WAN-IP-Wechsel mitbekommt.
Weiterhin müssen für die Dienste, die du aus dem www benutzen möchtest, ein Portforwarding in dem Router eingerichtet werden.

Dann kannst du im Browser deiner Wahl mit

http://ddns:port

den Dienst erreichen, mehr ist nicht zu machen.
Vorraussetzung bei diesem Weg, ist eine routbare IPv4 Wan-IP die von deinem ISP an deinem Router vergeben wird.

 

[Fusion]

Es reicht, wenn ein Gerät im Netzwerk für das IP Update für die DDNS Adresse sorgt, welches das ist ist prinzipiell egal. Solange es nur eine DDNS-Adresse ist und der Router den gewählten Anbieter unterstützt würde ich den Router bevorzugen.
Mit Assisstenten ist das immer so ne Sache, wenn alles klappt ist gut, wenn es nicht klappt, weiß man nicht woran es gescheitert ist. Deshalb ist die vorwiegende Meinung, dass man Portweiterleitungen etc lieber selber von Hand vornehmen sollte. Man weiß dann welche Einstellungen man getätigt hat und hat vermutlich noch was dabei gelernt, auch wenn die Einstiegshürde dadurch ein klein wenig höher liegt.

Wenn die Synology Webseite die externe IP deines Routers aufführt und du trotzdem nicht auf deine DS kommst können das immer noch diverse Ursachen sein.
Deshalb bitte konkret die Einstellungen und Tests nennen die du vornimmst, damit man sehen kann was Sache ist.
Bei Formulierungen "wie im Video" oder allgemeinen Begriffen wie "IP des Routers" bleibt immer noch Raum für Spekulationen und Fehler.
Also z.B. Router (192.168.178.1), oder bei Bezug auf ein Video trotzdem die konkreten Daten nennen, z.B. wie im Video Portweiterleitung von Port 443 auf die DS (IP der DS) eingerichtet.
Daran lässt sich dann direkt an deinen Angaben sehen, ob die zum bisherigen Verlauf des Threads und alten schon genannten Werten passen.
Nur wenn Inkonsistenzen und ähnliches auftauchen müsste man sich dann selbst das Video ansehen, ob etwas falsch erklärt oder übernommen wurde.
Ich weiß, wir sind alle freiwillig hier, aber so was ist ein nicht unerheblicher Zeit und Motivationsfaktor, abgesehen davon, dass je nachdem von wo man gerade antwortet selbst keinen Zugriff auf externe Links und/oder Videos nehmen kann.

Bezüglich Fritzbox noch ein beliebter Stolperstein. Port 443 wird im Normalfall für die Remote-Verwaltung der Fritzbox selbst benutzt. Das kann man in den Einstellungen ändern und woanders hin verlegen. Dann ist der auch wieder frei für eine Portweiterleitung
xxx.diskstation.me braucht zu lange
- entweder immer noch falsche IP
- Portweiterleitung 80 nicht korrekt eingetragen/vorhanden
- bei Aufruf der url aus dem eigenen LAN muss xxx.diskstation.me noch im DNS-Rebind-Schutz der Fritzbox als Ausnahme hinzugefügt werden, sonst wird der Aufruf blockiert.

 

[Nasty81]

Portfreigabe habe ich selbst eingerichtet, wie gesagt wie im Video beschrieben sieht das bei mir so aus:



Andere Ports wurden nicht freigeben, im Video wird gesagt sei nicht notwendig.

 

[Fusion]

Dass du Videos verlinkst als Quellangabe ist völlig ok. Da hat niemand was dagegen, solange du eben die dich betreffenden Daten/Einstellungen auch nennst. Andernfalls ist man sich nie sicher.
Redet man in einem Thread z.B. von einer Fritzbox und IP 192.168.178.1, das Video benutzt aber einen Router mit 192.168.0.1, dann kann ich leider nicht davon ausgehen, dass der Schreiber die 178 meint, wenn er explizit sagt "wie im Video". Wenn er es aber konkret als Angabe mitliefert sieht man sofort, dass etwas faul ist.

Ähnlich wie bei dir jetzt hier.
Wenn du nur Port 5000/5001 weiterleitest, dann kann auch nur
xxx.diskstation.me:5000 oder bzw http://xxx.diskstation.me:5000
https://xxx.diskstation.me:5001 (mit Zertifikats-Warnmeldung)
überhaupt zum Ziel durchkommen.

Ergänzung:
Ein xxx.diskstation.me bzw. http://xxx.diskstation.me klopft nämlich an Port 80 an, welches der Standard-Port für http ist.
Das wird dann von der Fritzbox blockiert.
Port 5000/5001 ist im Standard die normale DSM-Benutzeroberfläche. Willst du nur einzelne Dienste nutzen, z.B. File Station, dann bitte unter Systemsteuerung > Anwendungsportal > File Station > https Port einen anderen nehmen, z.B. 7710 (darf zwischen 1024 und 65535 frei gewählt werden) und nur diesen als Portweiterleitung im Router eintragen

 

[laserdesign]

kann man so machen, aber aus Sicherheitstechnischen Gründen würde das keiner so machen.

und jetzt wie weiter, wo ist das Problem??
Erkläre doch mal in zusammenhängen Worten dein Vorhaben und wo dein Problem ist.

Wenn du wie vorne beschrieben auf die Filestation kommen möchtest sind das aber die falschen Ports.

 

[laserdesign]

- bei Aufruf der url aus dem eigenen LAN muss xxx.diskstation.me noch im DNS-Rebind-Schutz der Fritzbox als Ausnahme hinzugefügt werden, sonst wird der Aufruf blockiert.

ist nach meiner Erfahrung nicht notwendig, da die Fritzbox loopback-nat beherrscht, oder meinst du etwas anderes??

 

[Nasty81]

Ja ich möchte auf die Filestation kommen. Später will ich andere Dinge machen, spielt jetzt erstmal keine Rolle.

Ein Benutzer soll von extern über das Internet sich einloggen können. Einloggen und dann auf die freigegebenen Ordner zugreifen können.
Das heißt er bekommt von mir die Adresse wo er sich einloggen können sollte.

Ok wenn Port 5000 und 5001 nciht richtig sind, welche dann?

Danke

 

[Fusion]

Ich hab meinen Post oben gerade noch dazu ergänzt.

@laserdesign - die Fritzbox beherrscht NAT-Loopback, allerdings sollte das im Normalfall ausgeschaltet sein. Unter dem Punkt DNS-Rebind-Schutz kann man dann Ausnahmen eintragen, für die NAT-Loopback erlaubt ist.
Falls es bei dir auch so funktioniert und du es nicht via telnet oder ähnlichem aktiviert hast, dann hast du entweder noch eine Fritte bei der dies anders gehändelt war, die Doku von AVM ist falsch, oder die Funktion hat ein Bug.

 

[laserdesign]

wurde alles schon in Beitrag #4 beschrieben, oder liest du nicht mit.

 

[Fusion]

Damn, hab ich mich wiederholt.

Stimmt, hatte ich alles schon geschrieben in Post #4
http://www.synology-forum.de/showth...tern-über-Link&p=672804&viewfull=1#post672804

 

[laserdesign]

@Fusion,

Falls es bei dir auch so funktioniert und du es nicht via telnet oder ähnlichem aktiviert hast, dann hast du entweder noch eine Fritte bei der dies anders gehändelt war, die Doku von AVM ist falsch, oder die Funktion hat ein Bug.

vielen Dank für die Erklärung.
Habe es bei mir gerade noch einmal getestet und der Zugriff funktioniert bei mir ohne den entsprechenden Eintrag.
Meine Fritzbox 7490 ist nicht gemoddelt und läuft mit der aktuellen Firmware, seltsam.

 

[Nasty81]

Nope funktioniert nicht. Innerhalb des Netzwerkes ja, da komm ich dann über Alias usw in das NAS rein und kann mich einloggen, von extern wird mir immer noch kein Login angezeigt....!

Ports in der Fritzbox sind freigeschalten:



Anwendungszugriff im NAS

 

[Fusion]

@laserdesign, ok, danke für den Test. Entweder habe ich diese Fritzbox-Einstellung dann grundlegend falsch verstanden ... muss ich nochmal nachlesen.
Was natürlich noch interessant wäre, ob sich dein Client gerade die schon bekannte DNS-Auflösung .... vergisses, quatsch, du hattest den Eintrag ja noch nie drin stehen. mmmh
Und DNS server oder Hosts File Anpassungen auf dem Client hast du auch nicht laufen?

 

[Fusion]

@nasty81 - kannst du mir deine DDNS und die aktuelle externe IP von deinem Router mal in einer PM schicken? Dann würde ich mal kurz von hier nachsehen, ob ich noch ein anderes Hindernis erkennen kann, oder ob es von hier funktioniert und an der Testmethode liegt.

P.S.
Nimm für deine Tests mal bitte die externe IP deines Routers
also z.B. https://externe.IP:7001
...178.24 funktioniert nur im LAN

Ergänzung 2:
Ist die Fehlermeldung immer noch dieselbe? Timeout?

 

[laserdesign]

@Fusion,

Und DNS server oder Hosts File Anpassungen auf dem Client hast du auch nicht laufen?

es läuft hier noch ein bind9, aber der löst nur eine lokale Domaine auf, hosts Datei gibt es nicht da keine windows clients

PS: irgendwie hast du mich jetzt ganz schön verunsichert

 

[Fusion]

@laserdesign - hosts Datei gibt es auch unter Linux und OSX Der bind9 löst also nicht den externen Namen der DS im internen Netz auf und trotzdem kommst du mit dem externen Namen ohne weiteren Eintrag in der Fritte drauf. mmmh. Ich notiers mir mal, wenn mir mal langweilig ist... Genug off-topic hier.

 

[laserdesign]

hosts Datei gibt es auch unter Linux und OSX Genug off-topic hier.

mein Fehler, hast natürlich Recht.
Schreib doch mal ob du Nasty's Problem lösen konntest.

 

[Fusion]

Das Problem ist wie vermutet ein DS Lite Internetzugang von M-Net.

Das bedeutet einfach gesagt, dass bei deinem Provider nochmal ein Router zwischen dir und den öffentlichen Netz sitzt auf den du keinen Einfluß hast (also auch keine Portweiterleitung dort eintragen kannst). Du sitzt also praktisch mit anderen M-Net Nutzern in einem LAN, genauso wie deine Geräte bei dir zu Hause alle hinter deinem Router hocken.

Dort bekommst du nur eine öffentlich IPv6 Adresse. Nur mit externen Clients die eine IPv6 haben und an einem IPv6 fähigen Anschluss hängen, kann man direkt auf dein Netz zugreifen (mit einer IPv6 Portfreigabe in der Fritzbox)

In deinem LAN hast du dann IPv6 und IPv4, je nachdem wie der Router eingestellt ist und was die Geräte unterstützen auch beides gleichzeitig.

Wenn du jetzt eine Anfrage an eine IPv4 Adresse im Internet schicken willst, wird die im Router in ein IPv6 Paket verpackt und darin an das DSLAFTR Gateway verschickt. Dieser packt das wieder aus und schickt die IPv4 Anfrage von sich aus weiter zum Ziel.

Nur Pakete die auf so eine ausgehende Anfrage als Antwort kommen kann der AFTR zuordnen und an den richtigen Kunden zurück liefern.

Kommt eine unvorhergesehene Anfrage wird diese verworfen.

Zum Thema DS Lite / Carrier Grad NAT gibt es z.B. bei Unitymedia ein schönen Thread
http://www.unitymediaforum.de/viewtopic.php?f=53&t=25148
Ist halt nicht ganz leicht verdaulich.

Zum Thema DS-Lite und M-net gab es auch hier im Forum schon Threads
z.B. http://www.synology-forum.de/showthread.html?53321-Möglichkeiten-bei-DS-Lite

Mögliche Vorgehensweisen:
- M-net kontaktieren, ob Dual Stack oder IPv4 Anschluß geschaltet werden könnte anstelle von DualStack-Lite, eventuell gegen Aufpreis
- Externer Zugriff nur von IPv6 Clients (obwohl es IPv6 seit ca. 20 Jahren gibt ist es noch nicht in der breiten Masse angekommen, weil es viel zu lange ignoriert wurde)
- Beschäftigung mit Port-Mapper Diensten, die eine IPv4 bereitstellen und von dort über den IPv6 Tunnel in dein Netz geleitet werden.