Synology 2 Faktor ausgesperrt und offline, warum nur?

[swasabiman]

Hallo zusammen

Ich bin nur hier, habe mich angemeldet weil ich mir einen rt1900ac zugelegt habe. Bisher habe ich jahrelange Erfahrung mit Sync NAS Systemen und setze sie sowohl beruflich als auch privat ein.

Nun zu meinem Problem.

Gestern Abend hatte ich das Frontend des Routers geöffnet und beobachtete beim tbbt gucken (Amazon) die live Traffic. Dann meldete sich das Frostend ab (nehme an Timeout Abmeldung erreicht) und ich wollte mich neu anmelden. Dabei bemerkte ich das ich offensichtlich offline war. TV stoppte und BrowserTab meckerten.

Ein Anmelden war nicht mehr möglich, da meine OTP angeblich alle falsch, habe 2 mal versucht (Sperre bei 5 konfiguriert). Also klickte ich auf "Telefon verloren". Eine E-Mail sollte mir zugestellt werden, aber wie wenn ich offline bin :S

Heute früh habe ich dann meine alte Fritzbox konfiguriert und lasse nun eine Adresse per DHCP an den WAN Port des Sync Routers verteilen. Netz wieder online, der Router scheint also noch zu arbeiten \o/

Ich erreiche auch das Frontend, kann mich aber immer noch nicht anmelden, die 2 Faktor schlägt fehl. Also erneut auf "Telefon verloren" geklickt, mir wird ein Notfallcode geschickt, wird behauptet :S Es kommt aber nichts. Das Netz funktioniert zur Zeit wie gewohnt, routing OK, Mails gehen rein/raus, soweit alles gut. Kriege aber keine Notfallcodes und kann den Router nicht administrieren.

Jemand eine Idee, ausser Reset?

Hoffnungsvolle Grüße, Stephan

 

[jahlives]

bei OTP ist eine synchrone Zeit zwischen Client und Server (in deinem Fall Router) extrem wichtig. Es ist nicht so wichtig, dass die Zeit absolut korrekt ist, aber sie muss synchron sein unter den OTP Teilnehmern. Als erstes würde ich also mal gucken ob die Zeit wirklich sync ist. Die Notfallcodes sollten eigentlich raus, aber vielleicht hat der Provider, wo du deine Emailadresse hast, die Zustellung abgelehnt. Vielleicht weil du eine dynamische IP hast und das mögen viele Provider nicht

 

[swasabiman]

Zeiten stimmen, zumindest taten sie das gestern noch. Wenn der Router in Frontend seine Zeit und nicht die des verbundenen Client anzeigt, stimmt sie auch noch. OTP am NAS mit selber OTP App funktionieren auch noch. Mails werden nicht geblockt etc, da per MX auf eigenen Server, da kommt aber nichts an (Testmails etc. kamen in der Vergangenheit - auch gestern (dyndns reg schlug einmal fehl) - an).

 

[jahlives]

also wenn die Mails an den eigenen MX gehen, dann kannst du ja mittels Logfiles und ev tcpdump gucken ob dein Router überhaupt versucht sich zu verbinden. Greppe mal deine aktuelle externe IP durch die Maillogs deines MX. du kannst von deinem Client her auch versuchen mittels telnet eine SMTP Verbindung an deinen MX zu öffnen und dann den SMTP Dialog durchspielen. Du schrebst auch, dass du eine Fritzbox und den Syno Router hast. Kannst du also ein Problem wegen dem doppelten NAT ausschliessen?
Ob das OTP am NAS selber geht spielt keine Rolle, da du das Problem ja am Syno Router hast und nicht am NAS

 

[swasabiman]

Zum NAS: Ja stimmt, aber ist dieselbe Zeit und dieselbe App am gleichen Handy, daher erwähnte ich es. Die Krücke mit der Fritzbox baute ich nur um dem Syno Router den Mailversand zu ermöglichen. Mein MX geht auf einen google App Work Account. Er ist so administriert das er alles annimmt, die Mails würden maximal in SPAM gehen.

Die Fritzbox ist mit LAN 2 an WAN des Syno Routers angeschlossen und gibt genau eine Adresse per DHCp raus. Die hat laut FritzBox auch der Syno Router erhalten.

Habe gerade versucht ob das Syno NAS Mails versenden kann, es geht. Hängen ja beide am selben GW, sollte also auch dem Router möglich sein.

 

[jahlives]

Hängen ja beide am selben GW, sollte also auch dem Router möglich sein.

jein ;-) Die DS hängt am LAN des Syno Routers und der Syno Router am LAN der Fritte. Von dem her nicht derselbe Gateway. Die werden also aller Wahrscheinlichkeit nach auch unterschiedliche DNS Server bekommen. Ich nehme an dein NAS braucht den Syno Router für DNS oder? Dann wäre die Frage: was bekommt der Syno-Router als Resolver und antwortet dieser Resolver? Frag mal auf beiden Resolvern den MX zu deiner Maildomain ab. Wenn der Syno Router diesen nicht auflösen kann, kann er auch keine Mails verschicken

 

[swasabiman]

Ja, stimmt, für das LAN ist der Syno Router das GW, für den Syno Router die Fritzbox.

Die Syno Geräte (NAS & Router) nutzen beide 8.8.8.8. Die "Fritte" hat Telekom DNS Server per Automatik.

Ich kann aktuell den Syno Router nicht administrieren, das ist ja mein Problem. Er akzeptiert die verlangten OTP nicht und verschickt aber keine Notfall Kennwörter.

 

[jahlives]

könnte es nicht sein, dass der Syno Router (weil er von der Fritte ne IP via dhcp bekommt) eventuell auch einen DNS Server geliefert bekommt? Häng mal einen Client ebenfalls auf die LAN Seite der Fritte und bezieh ne IP via DHCP. Dann schaust du dir die erhaltenen DNS Settings an. Vielleicht liefert die Fritte via dhcp sich selber als Resolver?

 

[swasabiman]

Ja, die Fritte gibt sich selbst als DNS Resolver per DHCP raus. Leider kann ich das auf der Fritte nicht einstellen, DNS ist keine DHCP Option.

Ich werde wohl damit leben müssen den Syno Router zu resetten, wüsste nur zu gern was zu dem Verhalten führte.

 

[jahlives]

und löst die Fritte den MX deiner Emaildomain korrekt auf?

 

[swasabiman]

Ja, tut sie. Habe ich auf einem direkt angeschlossenen Notebook versucht, funktioniert einwandfrei.

Habe einen 4 Sekunden Reset gemacht. Leider werden die Protokolle dabei gelöscht (Anregung Alarm!)

Bleiben leider die Fragen weshalb der Router aus heiterem Himmel:

1. nicht mehr administrierbar ist aber dennoch weiter DHCP verteilt
1. keine PPOE Einwahl mehr macht, aber erkannte das er an der WAN Schnittstelle eine "normale" DHCP Netzwerkverbindung hat
2. Die bisher funktionierenden OTP nicht weiter akzeptiert
3. keine Mails versenden konnte nachdem er eine Router/Router Verbindung hatte

Und wenn ich jetzt die paar Clicks die durch den Softreset verloren gingen nachhole, wie kann ich dem Teilchen trauen und OTP wieder aktivieren?
Ich schaue mir die Optionen zu den Benachrichtigungen mal genauer an. Denn ohne online zu sein, scheint es erstmal keinen Weg zu geben OTP zu resetten oder eine 8 stetige Notfall OTP zu bekommen. Ohne OTP möchte ich aber keine Dienste online verfügbar haben.

Ich glaube auch nicht an einen Zufall, was den Ausfall der Funktionen PPOE Einwahl und OTP angeht. Glaube eher das es ein Firmware Fehler ist und die Syno einfach "struwwelig" war.

Konfiguriert war ausser 2 Port-Forwarding nichts. WLAN war deaktiviert, es gab nur 2 automatisch erstellte Firewall Regeln (für die DS router App). Keine angeschlossenen Speicher, keine weiteren User, keine Drucker, keine weiteren Pakete aus dem Synology Fundus. Ich halte generell auf Routern und Firewalls "weniger für mehr". Für alles "spannende" habe ich eine Syno NAS.

Ich hätte gerne weiter an der Ursache weiter geforscht, mir lief aber die Zeit davon.
Daher vielen Dank für die schnelle Unterstützung und die hilfreichen Tips zur Diagnose

Liebe Grüße, Stephan

Nachtrag, kleiner Workaround für worst case: Lasse die Protokolle nun zusätzlich auf USB Stick archivieren, checke später ob sich auch dort ankommen . Damit OPT Notfallkennwörter demnächst auch ankommen wenn der Router nicht mehr online möchte, werde ich auf dem Syno NAS einen Mailserver installieren der die E-Mail des Routers weiter verteilt. So kann ich spätestens daheim im LAN auf die Information zugreifen.