Synology DynDNS mit ipv64

[Ganer]

Hallo,

ich bin ein ziemlicher noob was DynDNS und Domains betrifft, wollte mir aber gern einen DynDNS für meine Syno einrichten (kann ja nicht so schwer sein...). Auf der suchen nach einem kostenlosen Dienst habe ich mich für ipv64 entschieden. Zum einen, weil dieser relativ neu ist, zum anderen, weil ich den Eindruck hatte, dass er bei erfahrenen Syno-Benutzer beliebt ist, da er viele Möglichkeiten bietet.

Ich habe als bei ipv64 eine Domain registiert. Soweit so gut.

Auf der Seite von ipv64 gibt es auch ein Tutorial für unterschiedliche Szenarien: https://ipv64.net/dyndns_helper?domain=

Die Einrichtung an meiner FritzBox 7590 hat auf Anhieb und ohne Problem mit dem angegebenen Tutorial geklappt. Bei der Syno bin ich allerdings am verzweifeln:

Den Service-Anbieter habe ich über "Anbieter anpassen" neu angelegt. Als Query-URL habe ich entsprechend des Tutorials bei ipv64 "https://ipv64.net/update.php?hostname=__HOSTNAME__&key=__PASSWORD__&ip=__MYIP__" eingetragen, was auch akzeptiert wurde.

Da die Syno darüber hinaus auch zwingend Host-Name, Nutzername und Kennwort wissen will, habe ich dort meine bei ipv64 registrierte Domain eingetragen und bei Nutzername und Passwort wahlweise meine Login-Daten für ipv64 als auch "none" eingetragen. Den Verbindungsversuch quitiert mir die Syno aber immer mit "Die IP-Adresse [aktuell zugewiesene ipv4 des ISP] kann nicht über DDNS-Dienst bei [mein Domain-Name] registriert werden."

Da ich nicht mehr weiter komme, wollte ich hier in diesem klasse User-Forum nach Rat fragen. Hat jemand eine Idee, was ich falsch machen?

Ich betreibe eine Synology DS923+ hinter einer FB7590. DSM ist 7.2.1 - 69057 Update 4. Firewall der DS ist mit default-Einstellungen aktiviert - Ports sind nicht weitergeleitet.

Vielen Dank im Voraus für eure Hilfe

 

[plang.pl]

Der DDNS muss nur an einer Stelle aktualisiert werden. Bei IPv4 am Router oder der DS. Bei IPv6 muss es die DS machen.
Zum Thema möchte ich noch den Synology DDNS Dienst ins Rennen werfen. Kostenlos, einfach und integriert im DSM. Zudem hat man Wildcard DNS und was noch wichtiger ist, auch ein Wildcard Zertifikat, ohne irgendwelche Zusatz Apps. Bei IPv64 musst du zwingend acme.sh einsetzen, um ein Wildcard-Cert zu bekommen. Grundsätzlich finde ich Dennis (den Betreiber) aber auch recht sympathisch.

 

[Ganer]

O.k., danke erstmal.

Ich muss zugeben, dass ich recht wenig verstanden habe. Vielleicht erst nochmal zum "Sachverhalt": Ich hatte zunächst versucht die ipv64 DDNS auf der DS - erfolglos - zum Laufen zu bringen, bevor ich es probeweise auf der FB versucht habe.

Könntest du mir denn eine Art Kurz-Tutorial schreiben, wie ich die DynDNS über ipv64 auf der DS zum Laufen kriegen? Oder würdest du sagen, dass ich das als Noob erstmal sein lassen sollte (= Synology DDNS nutzen), weil zu kompliziert und (erstmal) ohne weiteren Nutzen?

Die Idee von mir war, erstmal ein DDNS mit LeTsEncrypt-Zertifikat zum Laufen zu kriegen und perspektivisch BitWarden mit Vault auf der DS einzurichten.

 

[plang.pl]

Naja mehr Nutzen hast du erstmal nicht. Mit Synology DDNS ist es schon einfacher. Aber mit IPv64 hättest du halt einen in Deutschland ansässigen Dienst.
Ich kann dir da leider kein Tutorial geben, ich nutze das selber nicht. Ich habe eine Domain bei Netcup.
Willst du das auch nutzen, um von extern zuzugreifen? Eventuell wäre dann ja VPN die bessere Lösung. Da muss man den File-Server nicht ins Internet hängen. Wenn nur intern (oder via VPN), dann hast du den Synology DDNS easy mit 2,3 Klicks inklusive Zertifikat eingerichtet.
Der Vorteil hierbei: Den Dienst kannst du direkt auf die interne IP biegen. Das geht mit allen anderen Anbietern nicht. Das heißt, für die interne Nutzung musst du bei anderen Diensten zwingend deine Infrastruktur ins Internet stellen. Oder du betreibst einen eigenen DNS-Server. Ich mache letzteres. Aber es macht halt alles komplizierter. Wenn man darauf keine Lust hat, ist m.E. der Synology DDNS die einfachste Lösung, die genauso gut funktioniert. Du musst nur bei der Erstellung die IP von extern auf intern stellen (hier ein Screenshot: https://www.synology-forum.de/threads/ddns-intern-nutzen.127599/)

 

[plang.pl]

Ich hab Bitwarden bei mir auf diese Weise am Laufen (mit meiner Netcup Domain).
PN ist raus.

 

[Ganer]

Also, dass der Zugriff von Außen über VPN (in meinem Fall über die Fritz-App) der deutlich einfachere und auch sichere Zugang ist, ist mir klar (= ich habe seit der Anschaffung meine ersten Syno vor knapp 10 Jahren gelernt, dass man mit Port-Weiterleitung auf alle Fälle verantwortungsvoll und restriktiv umgehen sollte).

Ich muss also nicht zwingend über DDNS ein Zugriff haben. Die Idee war bzw. ist, zum einen mein Laien-Wissen in diesem Bereich etwas zu erweitern und evtl. auch Dienste einrichten zu können, die zwingend DDNS benötigen (wie z.B. einen BitWarden Vault auf meiner DS, den ich auch vom Handy aus nutzen kann).

Aber nochmals danke für deine Anregungen. Je nachdem, ob hier noch weitere Posts kommen, versuche ich dann auch (erstmal) eine Einrichtung über den Synology DDNS. Hierzu gibt es ja ausreichend Tutorials im Netz.

 

[plang.pl]

"Nur" die Einrichtung des Zertifikates ist nicht das Problem. Das Problem ist Folgendes:
Der DDNS (also die IPv64 Domain) löst immer auf die externe IP deines Routers auf. Somit musst du zwingend Portweiterleitungen schalten, um das nutzen zu können. Nur der Synology DDNS kann auf der DS so eingerichtet werden, dass er auf die interne IP der DS auflöst. Hier habe ich mal beschrieben, wie man jede Domain mit einem eigenen DNS-Server so umbiegen kann, um sie intern zu nutzen: https://www.synology-forum.de/threa...e-unbound-um-domain-lokal-aufzuloesen.127925/
Das erfordert aber einen erheblich höheren Aufwand, insbesondere für Laien. Wenn du aber gewillt bist und nicht unter Zeitdruck stehst, bin ich mir sicher, dass Du das auch hinbekommst.

 

[Ganer]

bin ich mir sicher, dass Du das auch hinbekommst

Vielen Dank für die Blumen.

Der DDNS (also die IPv64 Domain) löst immer auf die externe IP deines Routers auf. Somit musst du zwingend Portweiterleitungen schalten, um das nutzen zu können.

Ich war bereits darauf gestoßen, dass ein (bei mir noch nicht eingerichtetes) Zertifikat nicht ohne weiteres auf eine interne IP auflöst, ich also eine interne Verbindung im Browser erstmal weiter als unsicher angezeigt bekommen würde. Oder meinst du es jetzt so, dass ich auch dann einen / mehrere Port(s) weiterleiten muss, damit die DS sich überhaupt mit der Domain verbinden kann (also: unabhängig von einem eventuellen Zertifikat? Falls ja, welche(r) Port(s) wären das denn?

 

[Ganer]

Hier habe ich mal beschrieben, wie man jede Domain mit einem eigenen DNS-Server so umbiegen kann, um sie intern zu nutzen

Auf dein Tutorial war ich bereits gestoßen und wollte das perspektivisch auch mal ausprobieren. Aber ich glaube bis dahin dauert es bei mir noch ein bisschen. Also: Mit Ad Guard.

Aber ich probieren nachher mal DDNS mit dem Synology-Service aus. Je nachdem, ist das zum jetzigen Zeitpunkt für mich in der Tat ausreichend.

 

[plang.pl]

nicht ohne weiteres auf eine interne IP auflöst,

Genau, ein Zertifikat gilt nur für die Domain. Du musst also auch mit der Adresse zugreifen, für die das Zertifikat ausgestellt ist

 

[Benares]

Ich hab jetzt hier nicht alles gelesen, will aber mal sagen, wie das bei mir läuft.

Ich aktualisiere meine Domain bei ipv64.net auf der Fritzbox mit

https://ipv64.net/update.php?key=[MeinKey]&domain=[MeineDomain]&ip=<ipaddr>&ip6=<ip6addr>&ipv6prefix=<ip6lanprefix>

(Werte in [] jeweils ersetzen)
Auf der DS mach ich gar nichts.

ipv64.net kennt dadurch die IPv4 und IPv6 meiner Fritzbox sowie den IPv6-Prefix und die Fritte hält das auf Stand. Für die IPv6 meiner internen Geräte hab ich bei ipv64.net je einen AAAA-Record mit festem Interface-Identifier und wechselndem Prefix angelegt. In der Hilfe ist das alles beschrieben.

Damit lässt sich fast jedes Konstrukt abbilden, mit nur einem DDNS-Updater auf der Fritte.

 

[Ganer]

Ich aktualisiere meine Domain bei ipv64.net auf der Fritzbox

Das habe ich bei mir auch problemlos zum Laufen bekommen.

Wenn ich diesen Weg gehe, dann müsste ich doch z.B. die Ports 5000 und 5001 von der FB auf die DS weiterleiten und wenn ich dann "https://[Meine Domain].ipv64.net:5001" eingebe, würde ich auf der Anmeldeseite des DSM landen. Habe ich das so richtig verstanden?

Falls ja: Wie kriege ich denn dann ein Zertifikat für die DS ausgestellt, damit eine SSL-Verbindung auch aufgebaut werden kann?

 

[plang.pl]

Das Zertifikat bekommst du mit acme.sh. Bitte nicht den 5001er Port ins Netz hängen. Lieber nach extern einen anderen vergeben oder alles mit Reverse Proxy über 443 leiten.

 

[Benares]

Schau mal hier. Ich verwende die ipv64-Namen allerdings nie direkt, sondern ggf. nur als CNAMEs in meinen eigenen Domains. Die Erstellung/Verlängerung der Zertifikate läuft dann darüber. Ich verwende dafür auch acme.sh, in Docker auf der Syno.

 

[Ganer]

Bitte nicht den 5001er Port ins Netz hängen

Hätte ich wohl auch nicht gemacht, sondern nach außen einen anderen freien Port genommen, hinter welchem erstmal keine DS vermutet wird

 

[Ganer]

Das Zertifikat bekommst du mit acme.sh.

Danke für den Link. Ich werde mir das Video nachher mal anschauen. Ich befürchte allerdings, dass dies (zumindest zur Zeit) meine Fähigkeiten übersteigt. Mit dem internen Netzwerk hinter meiner FB komme ich halbwegs klar. Bei allem, was vor der FB liegt (inkl. DDNS) bin ich (noch) ein ziemlicher Noob und versuche hier Funktionsweise und Zusammenhänge erstmal überhaupt zu verstehen

 

[Benie]

Auf dein Tutorial war ich bereits gestoßen und wollte das perspektivisch auch mal ausprobieren

Schau Dir mal diesen Thread an, ohne Dich auf eine Richtung drängen zu wollen.

Aber mit einer DynDNS und einem Wildcard Zertifikat von Synology, einfacher geht es nicht. Alle Ports sind hiermit dicht und die DS ist über VPN einfach zu erreichen. Bitwarden/Vaultwarden einfach ohne Port einzurichten.

https://www.synology-forum.de/threa...imnetz-datenschutzfehler.131591/#post-1139136

 

[Benares]

Man sollte die Schritte m.E. besser gedanklich sauber trennen, sonst verwirrt es nur.
1.) Domain und DynDNS damit man DNS-auflösbare Namen für die IPs hat
2.) Zertifikate für diese Namen
3.) Schritte um die Zertifikate auch netzintern nutzen zu können

 

[Ganer]

Man sollte die Schritte m.E. besser gedanklich sauber trennen

Danke für den Hinweis und die Strukturierung

 

[Ganer]

Aber mit einer DynDNS und einem Wildcard Zertifikat von Synology, einfacher geht es nicht

Ich bin mittlerweile auch zu dem Ergebnis gekommen, dass ich auf den Synology DDNS-Dienst umsteigen werden, weil die Einrichtung von IPV64 auf der DS meine Fähigkeiten übersteigt und für das, was ich vorhabe, auch keinen wirklichen Mehrwert bietet.