DSM 6.x und darunter DDNS / PPPoE

[baeumer]

Hallo,

erstmal dickes Lob an Synology! Meine DS 207+ wird durch die Updates immer besser. Die neuen Funktionen der Beta 0914 sind super.

Nun aber zu meinem Problem:
Ich habe die Automatische Blockierung und die Firewall aktiviert. Momentan macht mein Router (Netgear DG834GB) sowohl PPPoE als auch DDNS.
Ich greife über das iPhone auch von außen auf die DS zu, dank der neuen Funktionen in der 0914 (va. Photo. und File-Funktion) mancht das viel sinn.
Bei Attacken erhalte ich in der Blockierungsliste die IP 192.168.0.1, die der Router ist, da dieser ja PPPoE und DDNS macht).

Ich schaffe es nicht, daß die DS PPPoE und DNS sinnvoll macht: Wenn ich am Router PPPoE Relay aktiviere, kann ich an der DS zwar PPPoE starten, dann findet DDNS aber den Service von dyndns.org nicht mehr. Ist PPPoE an der DS deaktiviert, wird DDNS gefunden, aber die "externe" IP ist die des Routers (192.168.0.1). Am Router selbst habe ich es nicht geschafft, PPPoE abzuschalten und dann über die DS den Internetzugriff zu ermöglichen.

Das ganze klingt sehr kompliziert. Einfach gesagt: Kann ich PPPoE und DDNS an der DS aktivieren und den Router nur als Modem, DNS-Server und WLAN-Modem laufen lassen? Wenn ja, wie?

Vielen Dank und weiter so mit der Weiterentwicklung. Ich bereue keinen Euro an der DS 207+!

 

[itari]

Wenn du einen Router hast, der dich mit dem Internet verbindet, dann solltest von PPPoE die Finger lassen. Dein Router kann einfach mehr ... und die DS muss nicht dort die Firewall spielen, wo es der Router bereits anderweitig erledigt. Am besten ist es ja, wenn die DS-Firewall gar nicht erst aktiviert werden muss.

Itari

 

[baeumer]

Ich weiß aber nicht, wie gut die Firewall des Routers ist und dachte, die DS kann das besser. Nachdem ich die 0914 eingespielt hatte und die Anzahl der falschen Logins auf 3 begrenzte, bekam ich prompt nach wenigen Minuten eine Mail, jemand habe sich vergeblich einloggen wollen. Abgewehrte Attacke? Komischer Weise war diese eine fremde IP (200.122...). Attacken von außen müßten doch die IP des Routers haben, oder? Gibt es da ein Schlupfloch?

Ich bin sehr vorsichtig geworden, da ich, als ich die DS im Netz über DDNS freigegeben hatte, mehrfach Virenattacken hatte (Windows-Virus in einem Freigabeordner der DS, Verseuchte EXE-Datei Hauptordner jedes Freigabeordners der DS).

Mit Firewall und Begrenzung falscher Logins fühle ich mich sicherer...

 

[itari]

Ein Router ändert nicht die Absender-IP-Adresse eines Datenpaketes. Ein Router ist sozusagen 'transparent'. Es ist selbstverständlich richtig, die Firewall der DS zu verwenden und damit die Dinge auszusprerren, die der Router noch durchlässt. Was ist sagen wollte, war nur, das man den Router (und seine Firewall sowie seine Network-Address-Translation (Nat)) nicht wegnehmen sollte, da dieser ja bereits Schutzwirkungen hat.

Wäre so als würde man den elektrischen Gartenzaun abstellen wollen (Router) und sich durch ein zusätzlichen Riegel an der Wohnungstür (Firewall der DS) besser gesichert fühlen. Beides zusammen macht richtig Sinn.

Itari

 

[baeumer]

Ich hatte selbst getestet, mit welcher IP mein iPhone an der DS ankommt. Dazu hatte ich die Anzahl der falschern Logins auf 1 gesetzt, ein falsches Login bei Zugriff von außen eingegeben und in der Blockierungsliste die IP nachgesehen: Es war die des Routers (192.168.0.1).

Am Router mußte ich den DMZ-Standardserver auf die IP der DS setzen, da sonst der Router selbst als Standardseite für externen Web-Zugriff über dyndns aktiviert wird. Liegt es daran, daß dann eine interne IP für externe Zugriffe erscheint?

Vielen Dank nochmal für die immer so schnellen und kompetenten Antworten.

 

[itari]

Am Router mußte ich den DMZ-Standardserver auf die IP der DS setzen, da sonst der Router selbst als Standardseite für externen Web-Zugriff über dyndns aktiviert wird. Liegt es daran, daß dann eine interne IP für externe Zugriffe erscheint?

Ja.

Normalerweise sollte der Router von außen ja auch gar nicht erreichbar sein, denn Router-Hacking ist ja nicht selten. Und die Disk-Station gehört auch nicht in die DMZ ... die DMZ wird ja vom Router nicht wirklich geschützt. Schau mal, ob du es einrichten kannst, dass der Router nur mit der internen IP (192.168.x.1) administriert werden kann und dass der Port 80 von außen auf die DS umgelenkt wird.

Itari

 

[baeumer]

Du hattest recht: Hab noch mal mit iPhone und abgeschaltetem WLAN probiert. Ich hatte den gedanklichen Fehler gemacht, daß ich dachte, wenn ich die externe dyndns-Adresse nehme, daß der Zugriff dann von außen erfolgt, auch wenn ich im WLAN bin. Jetzt hatte ich tatsächlich eine externe IP mit dem iPhone. Soweit so gut.

Das mit der DMZ kann ich nachvollziehen und macht mir schon lange Bauchschmerzen. Aber ich bekomme es nicht hin, externe Zugriffe zur DS zu leiten, wenn DMZ aus ist. Wenn ich dyndns-adresse:5000 eingeben, kann nicht geladen werden, wenn DMZ aus ist. Und ich weiß auch nicht, wie ich Port 80 weiter leiten kann und der Router einen anderen Port bekommt. Einzig habe ich "Fernsteuerung" gefunden, wo ich einen weiteren Port einrichten kann (habe 5002 getestet). Das hilft aber nicht wirklich weiter.

DMZ aus, PPPoE-Relay am Router ein und PPPoE an DS ein hilft auch nicht, um z.B. Port 5000 der DS anzusteuern.

Hast DU noch eine Idee?

 

[itari]

Und ich weiß auch nicht, wie ich Port 80 weiter leiten kann und der Router einen anderen Port bekommt. Einzig habe ich "Fernsteuerung" gefunden, wo ich einen weiteren Port einrichten kann (habe 5002 getestet).

'Fernsteuerung' gehört aus gemacht !!!

Ansonsten wird die Port-Weiterleitung wohl bei dir über die 'Firewall'-Regel hergestellt. Schau dir mal die Inbound Services an (Seite 5-6 in deinem Handbuch - hab gerade Mal in dem Handbuch für deinen Router geschnuppert). Dort stellst ein, dass du http auf die IP-Adresse deiner DS lenken möchtest ... setzt sinnvollerweise voraus, dass du der DS eine feste IP gegeben hast.

Itari

 

[baeumer]

Danke, aber noch eine kleine Frage

Vielen Dank, das hat viel weitergeholfen.
Ich habe die Firewall modifiziert und nur einige Ports freigegeben, tatsächlich werden die Anfragen an die DS weitergeleitet, auch ohne DMZ.
Aber eine kleine Frage noch: Ich möchte mit FTP on the go (iPhone-App) über FTP auf die DS von außen zugreifen. Dabei kommt jetzt (Firewall modifiziert) die Meldung "FTPS not be established. Connect using a normal connection?" Wenn ich YES eingeben, kommt eine Verbindung zustande. Die Ports TFTP (69), SSH (22), SFTP (115) und FTP (21) habe ich freigegeben, trotzdem die Meldung.

Welcher Port kann es denn noch sein, der freigegeben werden muß? Brauche ich den Port 5000 oder 5001 außer für Managment der DS auch für andere Dienste? Diese Ports kann ich nicht freigeben.

 

[itari]

Schön ... zum FTP brauchst eigentlich nur die Ports freigeben, wie sie auch im DS-Manager unter 'FTP' eingestellt sind. Bei mir steht dort:

FTP Service aktivieren

Portnummer Einstellung des FTP-Service: 21

Portbereich des passiven FTPs: Standardportbereich verwenden (55536-55663)

Für den FTP muss auch noch Port 20 freigegeben werden (/etc/services):

ftp-data        20/tcp
ftp-data        20/udp
ftp             21/tcp
ftp             21/udp          fsp fspd

Also 20,21,55536-55663 wären das dann wohl zusammengenommen, welche durch deinen Router gehen sollten.

Auf keine Fall 5000/5001 freigeben, wenn es nicht unbedingt sein muss ...

Itari

 

[baeumer]

Danke, ich hatte Port 20+21 freigegeben. Ich werde dann ohne FTPS auskommen, wird auch so gehen. Auf 5000+5001 verzichte ich lieber...

 

[itari]

FTPS ist was anderes als SFTP ... FTPS sollte mit 20,21 gehen

Itari

 

[baeumer]

Jetzt habe ich noch ein anderes Problem: Wenn ich die wesentlichen Ports freigebe (http und ftp), kann ich nach einer Weile über die von dyndns freigegebe Adresse meine DS nicht mehr ansprechen. Kann es sein, daß dyndns über einen Port die DS "anpingt"? Wenn ja, mit welchem Port? Wenn ich DMZ anstelle, habe ich das Problem nicht mehr, also scheint ein wichtiger Port nicht freigegeben zu sein.

 

[baeumer]

Rückmeldung

Bis jetzt läufts einiger Maßen stabil.

Gelegentlich ist die DS nicht von außen ansprechbar (nur die wichtigen Ports freigegeben, DMZ abgeschaltet). Wo anders hatte ich gelesen, daß dyndns Port 80 zum "pingen" braucht. Ich weiß nicht, warum dyndns manchmal die Verbindung zur DS nicht mehr findet. Dann richte ich die IP bei dyndns neu ein und es geht wieder.