DSM 6.x und darunter Verbindung via quickconnect OK, aber nicht über MeinDiskStation.synology.me???

[martinho22]

Hallo zusammen,

ich rätsele seit einiger Zeit herum: Seit Jahren betreibe ich zu Hause eine DiskStation und habe auch mit den Zugriff von außen via Quickconnect oder direkt - ich bin also kein Newbie.
Jetzt habe ich im Büro eine eigene Diskstation eingerichtet:
- Zertifikat erstellt, Quickconnect und "Externer Zugriff" eingerichtet sowie die Portfreigabe bzw. -weiterleitung (443, 6690 und weitere - vorübergehend sogar 5001) auf der FritzBox eingestellt und jetzt sollte es losgehen... Web Station für die Standard-https-Anfrage ist natürlich auch aktiviert (ngingx, Apache 2.4, PHP 5.6 und PHP7)

PROBLEM:
Via https://quickconnect.to/MeineDiskStation komme ich sofort von außen auf die Diskstation, ABER via https://[I]MeineDiskStation[/I].synology.me (mit oder ohne Port :5001 oder auch andere Ports) kommt nicht durch: Der Ladebalken beim Browser startet zwar, bleibt dann aber stehen. Nach einiger Zeit kommt die Meldung "Seite konnte nicht geladen werden".

MÖGLICHE (dreckige) LÖSUNG:
Da ja Quickconnect funktioniert, wäre die unschöne Lösung sich darüber immer zu verbinden. Allerdings kann ich keine Ports übergeben, da beim Aufruf die URL umgeändert wird in z.B. https://[I]MeineDiskStation[/I].de4(oder .de7).quickconnect.to. Wie könnte ich hier Portnummern übergeben?

Viel lieber wäre mir natürlich die saubere Lösung mit dem normalen Aufruf https://[I]MeineDiskStation[/I].synology.me:MeinPort

Wer kann helfen?

Die DS mit den Problemen ist eine DS916+ an einer FritzBox 7390, installiert ist die aktuelle DSM6.15

 

[martinho22]

ERGÄNZUNG:
- Eines ist in der Büroumgebung anders als bei der funktionierenden DiskStation zu Hause: Offenbar benötigt der Internetanschluss das IPv6-Protokoll. Könnte das ein Grund sein?
- Was macht eigentlich der "Quickconnect Relay Dienst"? Wenn der ausgeschaltet ist kann auch via Quickconnect nicht mehr auf die DS zugegriffen werden.

 

[Kurt-oe1kyw]

matinho22, ich würde im Augenblick etwas warten und eventuell erst morgen weitermachen.
Es dürfte heute in den frühen Morgenstunden zu massiven Ausfällen bei synolgoy gekommen sein. Als erstes habe ich die Status Dienste bei Synology abgefragt, die standen alle auf grün/OK und sollten laufen, lt Anzeige Synology Status auf deren Servern. Jedenfalls konnte ich heute in der Zeit von 4 Uhr früh bis etwa 10:00 Uhr alle meine Dienste auch nicht erreichen, als ich mich - wohlgemerkt vom externen Netzwerk ! - in das Synology-Konto einloggen wollte war nicht einmal das möglich! Ich bekam als Antwort vom Synoserver "Bad gate error 502" - wie gesagt, nicht bei mir zu Hause, sondern direkt am Synology Server! Ich wollte nachsehen ob die Verbindung zu meiner DS steht, aber nicht mal der Aufruf der Kontoseite war möglich.
Nach 10 Uhr war der Spuk vorbei, der Zugriff auf das syno-konto möglich und ab dem Zeitpunkt haben auch die Dienste wieder funktioniert.
Jetzt im Augenblick läuft es wieder, aber die hatten definitiv ein massives Problem heute Nacht bei Synology!

 

[martinho22]

Danke Kurt, aber offen gesagt habe ich das Problem schon etwas länger - also sagen wir 14 Tage...

 

[Kurt-oe1kyw]

ah ok sri, dann muss ich jetzt an dieser Stelle passen. Warten wir was die Netzwerkspezialisten hier aus dem Forum dazu meinen.

 

[Fusion]

QuickConnect ohne Relay oder myds.synology.me setzt eine direkte Erreichbarkeit via IP (Port) voraus.

Wenn dies durch den Internetanschluß (DS Lite oder Carrier Grade NAT z.B., oder fehlende Portweiterleitung im Router), oder Firmen-Firewall oder anderes blockiert ist funktioniert nur der Weg via QC relay.
Die Verbindung wird dabei von der DS aus aufgebaut über die Synology Server zum zugreifenden Gerät.
Über diesen Umweg fließen dann auch alle Daten. Pro Nutzer ist dies nach letzten Erfahrungen zudem auf 150KByte/s begrenzt.

 

[martinho22]

Danke Fusion, das bedeutet für mich - sofern ich Dich richtig verstanden habe - dass irgendwo noch die Firewall hakt und jedenfalls die Portweiterleitung von der Fritzbox auf die Dickstation noch nicht wirklich funktioniert, richtig? Wie würdest Du vorgehen? Was soll ich checken?

 

[Fusion]

Die Punkte hatte ich ja schon genannt wo es haken könnte.

Hier nochmal ein paar Stichwörter (das Thema betrifft eigentlich das gesamte Netzwerk-Konzept deiner DS, was wie wo erreichbar ist etc. zu viel für hier)
Was für einen Internetanschluß habe ich?
habe ich öfentliche IPv4/IPv6 Adressen, Fritzbox Übersichtsseite, Abgleich mit wieistmeineip.de
Portweiterleitungen IPv4 / Portfreigaben IPv6 an die NAS, testweise 80/443/5001 (wenn die Webstation nicht installiert ist werden Anfragen an 80/443 automatisch an 5000/5001 (oder die Ports in Sys-Steuer > Netzwerk > DSM Einstellungen ändern) weitergeleitet, müssen dann auch offen sein)
Die Firewall auf der DS erstmal aus lassen
Gibt man in den DSM Einstellungen eine benutzerdefinierte Domain für den DSM an (bsp. dsm.dyndns.de) die auf deinen Anschluß zeigt ist der DSM auch via 80/443 erreichbar.

 

[martinho22]

OK - mir schwant etwas. Ich bin gerade leider nicht im Büro, daher kann ich es erst morgen ausprobieren. Ich hatte aber gestern einen Screenshot von den Portweiterleitungen in der Fritzbox gemacht:


Bei jeder eingestellten Postweiterleitung macht er eine für IP4 und eine für IPv6 auf.
Da hatte ich mich schon gewundert, dass die IPv6 nicht auf "grün" sind, hatte mir aber gedacht, dass im internen Netz vom Fritz-DHCP ja auch nur IP4 Adressen vergeben werden. Nach außen ist die Fritzbox meine ich mit IPv6 verbunden. Ich hatte auch versucht die Fritzbox-Konfiguration (die Art wie sich IPv6 verbindet) zu verändern, immer mit dem Ergebnis, dass ich keinen Zugang zum Internet mehr hatte. - Aber davon kann ich erst morgen Screenshots senden.

Ich hatte auch mal den Haken für den 2. Punkt (oben im Bild - Firewall für IPv6-Präfixe....) gesetzt - ohne zu wissen, für was das gut ist. Das hat aber auch nicht zum gewünschten Ergebnis geführt

 

[Fusion]

Die Firewall für delegierte Präfixe öffnen...ist nur interessant wenn hinter der Fritzbox noch ein weiteres routing Gerät sitzt welches unabhängig von der fritzbox eigenständig IP-Adressen an nachgeordnete Geräte vergibt
IPv6 setzt sich aus dem Präfix und dem Host-Teil zusammen, das Präfix können sich alle Geräte eines Netzes "teilen".

Zumindest Drive und Hyper Backup müssten ja von außen via IPv4 erreichbar sein, weil da keine weitere Umleitung von Ports mehr erfolgen (egal was auf der DS eingestellt ist), wenn der Rest alles passt.

 

[martinho22]

Hello again. Ich habe jetzt die FritzBox gecheckt.
Hier erstmal die Übersicht:


Die angegebene IPv6-Adresse habe ich mit der Angabe auf wieistmeineIP.de verglichen. Sie stimmen NICHT überein. Vielleicht interessant zu erwähnen: wieistmeineIP.de zeigt gelegentlich auch eine IP4 Adresse an, machmal wird anzeigt, dass keine IP4 Verbindung besteht. Wie auch immer: Der Hauptanschluss ist wohl über IPv6.

Im "Heimnetzreiter" werden ja alle Heim-IP-Adressen sowohl IP4 und IP6 angegeben. Was muss ich einstellen um die Anfrage von Außen an die Fritzbox zur Diskstation zu routen?
Liegt der Schlüssel bei diesen Einstellungen hier?



Hier noch das Bild von den Heimnetzangaben:

 

[martinho22]

Oder muss ich hier ran? - Sorry Netzwerk ist nicht meine Stärke und bislang hat die Synology / Fritzbox Kombination immer selbst für ordentlichen Durchgang gesorgt.

 

[Fusion]

Das bestätigt ja jetzt erstmal was ich schon befürchtet habe.
Du bist per DS-Lite unterwegs (Carrier grade NAT, IPv4-NAT). Also aus dem Internet nur via IPv6 direkt erreichbar.
Zu dem ganzen Thema https://www.unitymediaforum.de/viewtopic.php?t=25148

Ist jetzt das erste Ma,dass ich das im Zusammenhang mit 1und1 sehe.
Was ist das denn für ein Anschluß?

 

[martinho22]

Eigentlich ist es ein ganz normaler VDSL50 Anschluss. Telefonsteckdose rein in die Fritzbox und los...
Danke für den Link - jetzt muss ich erstmal Wissen reinfahren ;-).

Aber wenn Du schreibst "Das bestätigt ja jetzt erstmal was ich schon befürchtet habe." meinst Du damit, dass es hart wird hinzubiegen oder dass es - zum jetzigen Zeitpunkt - unmöglich ist?

 

[martinho22]

OK - ich habe jetzt gerade den Abschnitt "CGN" durchgelesen und verstehe jetzt Deine Frage nach dem Anschluss besser: Ja - wir sind hier definitiv ein CGN Haus -> ehemalige Fabrik zu vielen kleinen Büros und Ateliers umgebaut und jeder braucht einen Internetanschluss. Wir haben uns wenigstens auf der Etage zusammengeschlossen, aber ich kann mir vorstellen das wir für 1&1 den idealen Testfall darstellen.....

 

[Fusion]

Ist die Frage von wem 1und1 hier das Produkt weiter verkauft. Als Telekom Reseller kommen eigentlich nur DualStack IPv4/v6 Anschlüsse von der Telekom.
Aber je nach Gegend verkauft 1und1 sicher auch Anschlüsse (Vorleistungs-Produkt) von Telefonica, oder....
Als erstes würde ich mal bei 1und1 nachhaken.
Nehme an die Fritzbox wurde per Automatik eingerichtet?
Dann erstmal dort nachhaken, ob man einen vollwertigen Dual Stack (anstatt Dual Stack Lite) bekommen kann, oder alternativ (als leichter Rückschritt) natives IPv4 (dann ohne IPv6 Erreichbarkeit, deshalb Rückschritt)

Nein, (fast) nichts ist unmöglich. Es ist nur komplizierter bzw. ungewohnt, wenn man sich noch nie mit dem Thema beschäftigt hat.

Erstmal bist du ja via IPv6 erreichbar. Dafür kannst du auch Portfreigaben anlegen.
Musst eben aber IPv6 auch im Heimnetz > Heimnetzübersicht> Netzwerkeinstellungen > IPv6 Adresse aktiv haben
und die Endgeräte müssen IPv6 auch aktiv haben. Dann geht eine Portfreigabe auf eine Interface-ID (wie die Fritzbox den Host-Teil der IPv6 nennt).

Um dann nicht per IP sondern mit Namen zugreifen zu können muss auch dein dynDNS Dienst IPv6 unterstützen (Synology tut dies normal, prüfen via https://account.synology.com)

Und der von außen zugreifende Client muss ebenfalls IPv6 können.

Man braucht IPv4 also nicht unbedingt.
Nur wenn eben externe Clients ohne IPv6 unterwegs sind (wie z.B. im Mobilfunknetz von Vodafon und Telefonica, auch bei T-Mobile muss man selbst den APN umstellen um IPv4/v6 zu bekommen)

Per IPv4 bist du auch erreichbar, aber nur indirekt, so wie deine Geräte im LAN hinter der Fritzbox sitzen sitzt du mit deinem Anschluß in einem Provider-LAN.
Dort hast du natürlich keinen Zugriff auf die Porteinstellungen im Provider Router.
Das Thema findet sich in dem Thread unter Hindernis 4.

 

[martinho22]

Hey Fusion - erstmal vielen vielen Dank für Deine Hilfe.
Ich sehe ich habe jetzt erstmal einiges zu lesen zu tun und zu checken.

Eines habe ich gleich getan -> mein dynDNS-Dienst (ich nutze den von Synology) unterstützt schon mal IPv6. Unter IP werden beide (IP4 und IPv6) angezeigt...mit dem Hinweis das normalerweise nur eines gezeigt wird, aber wir wissen ja jetzt woran es liegt.

Wenn ich soweit bin, werde ich mich wieder melden und berichten....

 

[martinho22]

Hallo Fusion, hallo Forum,
da die Internetprovider ja auch immer günstiger und leistungsfähiger werden, lässt sich das Problem vielleicht sogar ganz einfach lösen. Ich habe wie gesagt einen VDSL 50 Privattarife bei 1&1. Inzwischen bieten die aber zum selben Preis von meinem alten Vertrag einen Businesstarif mit fester IP-Adresse an. Regelmäßiger Tarifwechsel lohnt sich eh und das könnte ja auch die Lösung sein.
Leider kann man einen Tarifwechsel zu den Businesstarifen nur wochentags einrichten lassen. Ich werde das kommende Woche versuchen und werde hier weiter berichten...

 

[martinho22]

[PROBLEM GELÖST!!!]

Hallo zusammen, hallo @Fusion,
ich hatte ja versprochen zu berichten, wie es mir ergangen ist und ja - jetzt habe ich endliche eine ganz einfache Lösung gefunden:
Wie im letzten Post beschrieben, habe ich mir überlegt auf einen 1&1 Business-Tarif umzuschwenken, weil ich dachte, da sei eine feste IP dabei. ACHTUNG: Dem ist nicht so! Die feste IP bezieht sich nicht auf den eigentlichen Anschluss, sondern auf einen 1&1-Cloudspeicherplatz. Nur beim teuren Glasfaseranschluss (ab 199,- Monat) ist eine echte IP dabei, die auf Deinen Anschluss verweist.

Zum Glück (im Nachhinein) war der Wechsel nicht ganz trivial. Da ich mir dachte, dass ich bei einem Tarifwechsel auch gleich auf 100 Mbit upgraden könne, wurde mir vom Callcenter mitgeteilt, dass erst diese Änderung vorgenommen werden müsse und erst dann könne ich auf Business wechseln. Gleichzeitig würde meine Hardware erneuert werden (HURRA - auf den 1&1 HomeServer Speed+ der einer FitzBox 7590 entspricht -> auf den ich allerdings wg. Lieferschwierigkeiten noch heute warte). Der Schaltungstermin dauerte ca. 3 Wochen, was mir genügend Zeit gab mich tiefer in die "DS-Lite"-Problematik einzulesen (siehe Link von "Fusion" weiter oben).
Seit dem 7.3. habe ich jetzt eine tolle Internetanbindung mit ca. 85 Mbit im downstream und 32 Mbit im upstream, aber mein Problem, den Synology Server zu erreichen, war weiterhin nicht wirklich gelöst.
Das eigentliche Problem ist, dass man wenn man einen alten* IPv4 Anschluss hat, nicht auf Geräte, die hinter einem IPv6 Anschluss stehen, zugreifen kann. ( *alt bezieht sich auch auf alle mobile Devices, die nach wie vor mit IPv4 arbeiten). IPv4 und IPv6 lassen sich nicht vermischen oder ohne Spezialtricks verbinden. Die Lösung ist ein richtiger DS (Dual Stack) Anschluss, der DUAL sowohl IPv4 und IPv6 zur Verfügung stellt. Aber bei dem angebotenen "DS-Lite"-Anschluss, ist die IPv4 Adresse leider von außen nicht erreichbar. Es gibt Anbieter wie "http://feste-ip.net" die sich explizit diesem Problem angenommen haben. Ich war kurz davor diesen Service auszuprobieren, als ich die perfekte Lösung in einem anderen Forum gefunden habe. Und diese Lösung ist super einfach:

- Rufe den 1&1 Kundendienst an und bitte den/die MitarbeiterIn "DS-Lite" bitte zu deaktivieren.
(...dabei ist es nicht unbedingt erforderlich, dass der/die ServicemitarbeiterIn weiß, was er/sie da tut...)

Das wars! In der Nacht wurde mein Anschluss auf einen echten Dual Stack Anschluss umgeschaltet und meine DiskStation ist jetzt sowohl über IPv4 als auch IPv6 wieder erreichbar.
Nachwort: Ich habe in den Tagen sehr oft mit dem 1&1 Kundendienst gesprochen. Die wenigsten Mitarbeiter haben je von "DS-Lite" gehört, aber jeder Techniker sieht in seinem Kunden-Interface den Butten den er drücken muss, um DS-Lite auszuschalten. Der Mitarbeiter, der bei mir DS-Lite ausgeschaltet hat, kannte sich offenbar zwar besser aus, war aber völlig aus dem Häuschen, dass die Umstellung so einfach ging. Klar - 1&1 hat natürlich keine Lust darauf, dass das jeder macht - dann hätten sie ja erneut das Problem dass es zu wenige IPv4 Adressen gibt und die meisten User, die einfach nur schneller surfen wollen, sind ja auch mit DS-Lite super bedient.

Viele Grüße
Martinho