DSM 6.x und darunter Router-Wechsel auf Fritzbox macht Probleme mit der 1813+

[Syndrome1977]

Hallo,

da ich seit der Routerumstellung vom Speedport auf die Fritzbox 7490 Probleme mit der Erreichbarkeit sowohl Zuhause als auch unterwegs habe, wende ich mich mal wieder vertrauensvoll an das Forum, das mir schon so oft helfen konnte ...Vielen Dank dafür schonmal vorab .

Meine bisherige Konfiguration umfasste einen alten Speedport W723V Typ A Router der Telekom an welchem die Diskstation 1813+ hing.

Intern liess sich über die ip`s 192.168.2.100 102 105 sowie 107 jeweils die Diskstation erreichen.
Extern über einen DynDNS Account damit der Diskstation eine einfache Webadresse zugeordnet werden konnte.

Soweit so gut.

Seit Umstellung auf die FritzBox 7490 lässt sich weder intern über die oben beschrieben ip`s der Server erreichen als auch extern über die Webadresse.
Folgendes habe ich getan:

- Provider Zugang eingerichtet (Internet funktioniert)
- DynDNS Anbieter eingetragen
- Port 5001 weitergeleitet

Seltsamerweise kann ich die Diskstation jedoch intern erreichen wenn ich in der FritzBox über den Reiter Übersicht unter Heimnetz die Diskstation über den anklickbaren link auswähle...der Link führt mich anschliessend zu einer kryptischen Adresse welche wohl die Fritzbox generiert.
Im Anschluss sehe ich die Startseite des DSM und kann mich einloggen.

In den Protokollen auf der DSM Oberfläche sehe ich die Fehlermeldung `failed to get external ip`. Somit scheint der externe Zugriff nicht zu funktionieren
In der Systemsteuerung sehe ich wenn ich den externen Zugriff auswähle die Fehlermeldung `Netzwerkfehler aufgetreten. Prüfen Sie Ihre DNS und Netzwerkeinstellungen`.


Sorry für diese doch recht allgemeinen Einrichtungsfragen, leider habe ich im forum nichts passendes dazu gefunden und noch nie eine FritzBox besessen...warscheinlich habe ich schlicht und einfach etwas vergessen im Router einzustellen was es im Speedport nicht gab.
Ich hoffe Ihr könnt mir mal wieder helfen und entschuldigt die etwas primitive Schilderung meines Problems.

Vielen dank und viele Grüsse

 

[frankyst72]

Seit Umstellung auf die FritzBox 7490 lässt sich weder intern über die oben beschrieben ip`s der Server erreichen als auch extern über die Webadresse.

Fritzboxen verwenden normalerweise den Adressbereich 192.168.178.x, wenn Du nichts verändert hast. Hatte Deine DS eine fest zugewiesene IP-Adresse? Wenn ja, ändere die Fritzbox auf den ursprünglichen Adressbereich 192.168.2.x ab.
Alternativ kannst Du auch mal mit dem "Synology Assistant" nach der DS suchen und die IP auf die aktuellen Gegebenheiten abändern. -> https://www.synology.com/de-de/support/download

Erst mal solltest Du das interne Problem lösen, wenn das alles wieder läuft, kümmere um den Zugriff von extern.

 

[Syndrome1977]

Vielen Dank für die schnelle Unterstützung.
Es war tatsächlich der Adressbereich.
Mein Speedport lief unter der 192.168.2.1, die Fritz-Box hingegen unter 192.168.178.1.
Hatte ich wirklich komplett übersehen und auf dem Server diesen sogleich auf die 192.168.178.1 geändert.

Intern läuft jetzt alles, meine Protokolle melden nun auch, dass die IP über DynDNS ordnungsgemäss registriert wurde.
Auch bei den externen Verbindungen gibts jetzt keine DNS Fehlermeldung mehr.

Sieht also alles ganz gut aus...leider lässt sich der Server trotzdem extern nicht erreichen.
Vielleicht hat ja noch jemand eine Idee woran das liegen könnte?!

 

[Fusion]

Zitiat: und auf dem Server diesen sogleich auf die 192.168.178.1 geändert.
Meinst du damit das Gateway auf dem NAS?
Laufen jetzt Fritzbox und NAS im 192.168.178.x Netz?
Wohin zeigen die Portweiterleitungen in der Fritzbox?
Hast du es von extern mit der WAN IP der Fritzbox probiert? Manchmal dauert es mit der dynDNS Adresse länger bis diese auf die aktuelle IP verweist (also auch der DNS Server den du anfragst diese Zuordnung kennt und nicht nur der dynDNS Anbieter).

 

[Syndrome1977]

Ja, Fritzbox und NAS laufen auf dem 192.168.178.x Netz.
Portweiterleitungen 5000-5001 sind offen
http Verbindungen werden automatisch auf https umgeleitet.

Habs mittlerweile zum laufen bekommen...warscheinlich hat es mit der dynDns Adresse einfach länger gedauert.

Vielen Dank für die schnelle Hilfe.

Leider habe ich nun ein anderes Problem...d
Die Intrusion Prevention gibt in Abständen von ca. 15min die Meldung aus dass von der Quell-Ip 108.61.190.139 auf die 192.168.178.x Adresse des Servers Verbindungen stattfinden. Als Signaturbeschreibung gibt die Intrusion prevention die Meldung `ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 129` Die Verbindungen kommen stets von der gleichen Ip.
Als ich diese in der Diskstation in meine Blockierliste eingetragen hatte, kamen diese Verbindungsversuche von der IP 136.243.177.133. Bei diesen Adressen handelt es sich wohl um feste IP-Adressen.

In den Protokollen des Servers sehe ich keinerlei Zugriffsversuche. Und es werden wirklich nur die Ports 5000 und 5001 weitergeleitet.

Hat jemand eine Idee was da los ist?

 

[Fusion]

Was da los ist? Internet is los... und du hängst mit bekannten Ports im Netz. So einfach....

Die 5000 würde ich gar nicht aufmachen und auf die https Umleitung verzichten. Ja, dann muss man https vorne ranschreiben, aber .... wayne.
Wenn du den DSM Port unbedingt brauchst, dann mach statt einer Weiterleitung eine Umleitung z.B. 12345 > 5001 oder ähnlich. Du kannst zwischen 1024 und 65535 fast frei wählen.
Als zweites würde ich überlegen, welche Dienste du von wo nutzen können willst und dann sieht man, ob es nicht eine alternative Methode gibt via VPN oder anderen Ports etc.

 

[Syndrome1977]

Ok...gut zu wissen. Hat sich dann jemand in die Diskstation eingeloggt ohne das ich es dort sehen kann oder betrifft dies generell Verbindungen über meinen Router?
Beim Speedport gab es extra den Menupunkt Ports umleitung, leider kann ich bei der Fritzbox nur eine Portweiterleitung einstellen.
Wäre super wenn ihr mir schreiben könntet, wie das in der Fritzbox funktioniert.

 

[Syndrome1977]

ok...ich glaub ich habs soweit geschafft.
In der Diskstation für HTTP sowie HTTPS neue ports eingerichtet und diese in der Fritzbox weitergeleitet.
Mal beobachten ob die Intrusion Prevention noch Zugriffe von aussen bemerkt.

Seltsamerweise erhalte ich weiterhin seltsame interne Meldungen von der angeschlossenen IP Kamera mit der Beschreibung `ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted`...Hab die Kamera sicherheitshalber mal deaktiviert

 

[Fusion]

Bei der Fritzbox läuft das alles über "Portfreigabe". Eine Umleitung heißt dann nur, dass externer und interner Port verschieden sind, während die bei einer Weiterleitung 1:1 nach innen gehen. Beim Speedport ist das aus welchen Gründen auch immer in zwei Kategorien geteilt.

Bezüglich Kamera, das heißt vermutlich nur, dass die Kamera/WebUI das Passwort nicht gut / gar nicht gesichert überträgt.
Das ist zwar unschön, aber könnte ich im lokalen Netz gerade noch tolerieren.

 

[Syndrome1977]

Ok, ich glaube, ich habe jetzt soweit alles verstanden ...Vielen dank nochmals.
Trotz Portänderung hatte ich nach ca. 1h wieder Zugriffsversuche...erst seit ich meinen Domainnamen bei DynDNS geändert hatte, kamen bis jetzt keine Anfragen mehr. Mich wundert, das nicht mehr Personen Probleme damit haben...
Mal weiter beobachten...Hmmm...da die Kamera auch extern erreicht werden soll ist dann das aber schon ein Sicherheitsrisiko, oder?

 

[Fusion]

Hast du mal die detaillierten Meldungen?

Hast du jetzt nur beliebige Ports weitergeleitet für DSM und sonst keinen?

"Probleme" sind das nicht wirklich, das ist ganz normales Verhalten im Internet. Da sucht ständig irgendwer nach offenen Ports oder Mail-Relays und verwundbaren Systemen etc.
Und die wenigsten hauen sich Intrusion Prevention drauf, was vermutlich auch gut ist, weil man zu fast jeder Meldung erst Hintergrundwissen aufbauen muss um daraus wirklich nutzen zu ziehen.
Wichtig ist, dass man sich bewusst ist, welche Dienste man nach außen anbietet, gute Passwörter verwendet und ein gutes versioniertes Backup.

Bezüglich Kamera kann dir vielleicht wer anders helfen, müsste mich da auch erst schlau lesen.

 

[Andy14]

Bin da auch nicht der Experte ;-)
Aber deine Kamera scheint über http und nicht https erreichbar zu sein und das Passwort wird dabei in BASE64 übertragen.
https://de.wikipedia.org/wiki/Base64
Ist zwar nicht direkt lesbar (ASCII) aber wenn du dich z.B. in einem offenen WLan mit deiner Kamera verbindest könnte jemand das Passwort mitlesen.

 

[Syndrome1977]

So...nachdem gestern Nacht aus welchen Gründen auch immer Ruhe mit den externen IP Adressen war hatte ich heute 37! Quell Ips von extern die auf die Ip meines Servers zeigten. Hier wie bei nahezu allen externen IPs wird bei utrace die Hetzner AG angegeben.
Nachdem ich auf dem Server sowie im Router alle Verbindungen nach aussen abgeschaltet hatte und somit keine Verbindung mehr darauf möglich sein kann wurden mir trotzdem wieder quell ip`s von der Hetzner AG mit meinem Server als Ziel IP über die Intrusion Prevention gemeldet.

Die Meldungen dabei sind immer die gleichen und lauten `ET TOR Known Tor/Relay/Router (Not Exit] Node Traffic Group 509` lediglich die Zahl hinter Group ist jeden Tag eine andere.

Ich habe auf dem Server unter Netzwerk/DSM Einstellungen bei den DSM Ports den 5000 sowie 5001 auf eine beliebige Nr umgestellt und diese im Router weitergeleitet. Sonst sind keine Portweiterleitungen von mir erstellt worden. Ausserdem habe ich die DynDNS Domain geändert.
Wie gesagt, diese Verbindungsversuche von extern gingen ja weiter obwohl ich im Router die von mir erstellte Portweiterleitung gelöscht hatte.Auch das Setzen der domain auf Offline bei DynDNS brachte keine Veränderung. Trotzdem weitere Verbindungsversuche.

Für die Passwortvergabe auf der Diskstation verwende ich ausschliesslich Passwörter die Gross- und Kleinschreibung, Sonderzeichen, Zahlen und mehr als 8 Zeichen beinhalten. Des weiteren noch zusätzlich die 2-Stufen Verifizierung und habe die accounts Admin und Guest deaktiviert.
Einlogversuche auf dem Server selbst haben zu keinem Zeitpunkt stattgefunden.

Mein WLAN ist WPA2 geschützt somit sollte das auch passen mit der Kamera nachdem was Andy14 geschrieben hatte.

 

[Fusion]

Wenn du keine Portfreigabe im Router hast und auch die DS nicht via Automatik ala EZ INternet oder ähnliches per uPnP Freigaben im Router einträgt, oder ein anderes Gerät in deinem Netz dies tut, dann ist eine direkte Kontaktaufnahme von außen nicht mehr möglich.
Also entweder ist doch noch was offen, oder die Meldungen werden durch etwas anderes im LAN/WLAN verursacht.

 

[Syndrome1977]

Nein, das Fenster für Portfreigaben im Router ist komplett leer. EZ Internet nutze ich nicht. Quickconnect ebenfalls deaktiviert...
Ich hab auch wirklich keine Idee mehr was das verursacht...dachte als erstes, dass das Problem in einer Schwachstelle im Router zu finden ist...da ich sowieso weg vom Speedport wollte und schon lange auf die FritzBox umsteigen wollte, schien dies mir ein geeigneter Zeitpunkt zu sein (die 7490 gibts seit der Einführung vom neuen Fritzrouter auch 100 Euro günstiger)...dieser Faktor scheidet nun schonmal aus.

Ich bin vom Server ausgegangen da er bei allen Ip`s die von aussen zugreifen die Zieladresse war.
Bin ratlos woher das kommt...

Hast du eine Idee was die Fehlermeldung bedeutet?

P.S. was wirklich seltsam ist...die Zugriffe kommen die ganze Zeit ca. alle 15 Minuten...nachdem ich die 5000 und 5001 auf beliebige Ports erneut wie gestern geändert habe gab es seit 01:33 keinerlei Zugriffe mehr...kann natürlich auch Zufall sein...aber gestern wars genauso...
Was ebenfalls wirklich eigenartig ist, sobald ich die IP Kamera einschalte erhalte ich alle paar Minuten diese Fehlermeldung mit dem unverschlüsselten Passwort mit der Server-IP als Quelle und der Kamera-IP als Ziel obwohl ich selbst nicht darauf zugreife...diese Meldungen treffen bis grade eben ein (im gegensatz zu den externen zugriffen)...und nochwas...das klingt jetzt wirklich dubios...die Surveillance Station im DSM ist zwar korrekt installiert und der Dienst auch gestartet aber der Link auf dem Desktop verschwunden...und auch übers Hauptmenu nicht mehr auffindbar...Hab den Dienst auch schon gestoppt und neu gestartet, deinstalliert und neu installiert...mit dem gleichen Ergebnis...so langsam wirds wirklich gruselig...

Vielleicht schaut mir Hr. Hetzner ja die ganze Zeit zu...lach...naja Ich beobachte mal weiter...Teste grad mein neues Philips hue System und die Lichtstimmung `Winter in Colors` trägt ihr übriges zur Entspannung bei :-D...von demher alles gut ...dann hat er wenigstens was zum gucken

 

[Fusion]

http://www.synology-forum.de/showthread.html?74641-Intrusion-Prevention

 

[Syndrome1977]

Lese ich das richtig, dass dies etwas mit der externen erreichbarkeit der FritzBox zu tun hat?...Dies ist nämlich bei mir aktiviert.
Dies würde jedoch nicht die gleichen Probleme mit dem Speedport erklären. Dieser war von aussen nie erreichbar.

Ausserdem sind die fehlenden Zugriffsversuche nachdem ich den 5000er und 01er erneut umgeleitet habe schon verdächtig.

 

[Fusion]

Das lese ich da nirgends...

- mache einen Portscan von außen, dann sieht man was erreichbar ist und was nicht
- das IDS scheint deutlich mehr Infos in den Logs zu liefern als dein "ET TOR Known Tor/Relay/Router (Not Exit] Node Traffic Group". Die Details könnten hilfreich sein

 

[Syndrome1977]

Portscan von aussen hat leider auch keinen Erfolg gebracht...kein Port geöffnet.
Ich bekomme über das IPS in regelmässiger Abfolge leider als einzigen Text `ET TOR Known Tor/Relay/Router (Not Exit] Node Traffic Group` sowie `ET POLICY Outgoing Base64 HTTP Password detected unencrypted` gemeldet...und eben die jeweiligen IPs dazu...mehr Infos sehe ich leider nicht, die ich auslesen könnte.

Nachdem heute Nacht Ruhe war, gleich nach dem Einschalten wieder fremde IP. Diesmal gehört die Adresse domainfactory.com. Vereinzelt kommen auch andere IP`s...die meisten Zugriffsversuche kamen jedoch immer von der Hetzner AG

 

[Fusion]

Das war ein voller Portscan 1-65535? Und die Weiterleitung auf 5001 hast du auch grad zu, oder?
Dann kann die Anfrage ja nicht mehr von außen kommen, die da bemängelt wird.

Testweise vielleicht mal die Fritzbox Fernverwaltung ausschalten. Alternativ kannst da auch VPN auf der Fritz oder DS nutzen und dann aus dem VPN auf die Fritte zugreifen.

Hab gerade keine Lust mir das Intrusion Paket drauf zu knallen. Vielleicht meldet sich noch jemand der das auch benutzt und ein Ticket bei Synology würde ich auch mal aufmachen.