NAS von überall (weltweit) erreichbar, nur nicht aus eigenem LAN

[RalfPeter]

Hallo Zusammen,

sicher ist mein Problem schon mal aufgetaucht. Aber trotz Suche habe ich keine Lösung oder einen Ansatz gefunden. Seid nachsichtig, wenn es das Thema schonmal oder so ähnlich gab und stubst mich drauf ...

Zur Ausgangslage: mein 2tes NAS (rein zum Backup, DS116j) steht entfernt bei einem Freund. Es ist an eine Fritzbox 7590 angeschlossen (DS-Lite). Es sind Freigaben für die Ports 5000, 5001, 6281 für IPV6 eingerichtet und aktiviert. Das NAS hat eine IPV6 (nachgeprüft in der Netzwerkschnittstelle) erhalten. Diese IPV6 wurde für eine gemietete Domain bei Strato als DynDNS eingetragen. Die Firewall des NAS ist deaktiviert (zum Test).

Was funktioniert: ohne WLAN / LAN kann die DSM des NAS (Port 5001) vom Handy / Tablet über mobile Daten erreicht werden. Sowohl per IPV6, als auch per Domain. Von einem entfernten PC (außerhalb des eigenen Netzwerks) ist das NAS ebenfalls erreichbar (sowohl über mobile Daten, als auch aus dem WLAN / LAN des entfernten PC / Handy).

Was nicht funktioniert: wenn ich aus meinem WLAN / LAN auf die DSM des (in einem entfernten Netzwerk befindlichen) NAS zugreifen möchte (per Browser, Chrome, Firefox, Safari probiert), kommt es zur Zeitüberschreitung. Rufe ich eine andere IPV6 / IPV6 only Website, kann ich darauf zugreifen. Lediglich diese eine IPV6 scheint in meinem eigenen Netzwerk nicht erlaubt zu sein. Ein ping vom PC auf die Domain liefert die korrekte IPV6 des entfernt angeschlossenen NAS zurück.

Es ist bestimmt eine Kleinigkeit, ich habe aber keine Idee, wonach ich suchen muss. Danke für einen Tipp bzw. Hilfe.

 

[Benares]

Wurdest du vielleicht blockiert, weil du dich zu oft falsch angemeldet hast? (s. Systemsteuerung, Sicherheit, Schutz, Freigabe-/Blockierungsliste)

 

[Ronny1978]

Port 5001

Das würde ich von außen schnell ändern. Nie die Standardports nach außen öffnen. Du schreibst Zugriff von innen / außen. Wie IP oder DynDNS oder Qickconnect? Beschreibe und mal die Wege. Von außen sicherlich per DynDNS. Bitte dann in die Einstellungen schauen, wie schon @Benares geschrieben hat. Kontoblockierung oder IP Sperrliste prüfen.

Sonst den internen Weg noch einmal näher beschreiben.

Danke

 

[RalfPeter]

@Benares: das habe ich nachgesehen. Die Blockierungsliste ist leer. Nicht ein einziger Eintrag tummelte sich da. Das hatte ich auch schon vermutet.

@Ronny1978: ja den Port werde ich noch ändern. Derzeit ist ja das NAS leer. Den Zugriff habe ich per IPV6 und DynDNS Domain mit dem Handy mobile Daten gemacht, sowie PC außerhalb meines Netzwerkes (von einem Freund aus aufrufen lassen), der über das eigene LAN im Internet ist. QuickConnect benutze ich derzeit als Umweg, damit ich das NAS einrichten kann.

 

[RalfPeter]

Ich versuche präziser zu sein.
Extern meine ich: nicht aus dem eigenen WLAN / LAN, also mobile Datenverbindung oder ein PC / Handy / Tablet außerhalb meines LAN (entweder auch per mobile Daten oder in einem eigenen entfernten Netzwerk)
Intern: PC / Handy bei eingeschaltetem WLAN / LAN
War das hilfreich?

 

[RalfPeter]

Wer in meinem LAN könnte genau eine IPv6 blockieren? Sowohl am Handy, als am PC, als auch am Tablet ist das NAS (das ja bei einem Freund in einem eigenen LAN ist und eine öffentliche IPV6 hat, beginnt mit 2a00: ) NICHT erreichbar, wenn die Geräte mit meinem LAN verbunden sind. Handy und Tablet erreichen das NAS mit der IPv6, wenn sie über mobile Datenverbindung mit dem Internet verbunden sind.

Die Testseite : https://test-ipv6.com/ ist immer (egal LAN / WLAN / mobile Verbindung) erreichbar und liefert folgendes Ergebnis:

 

[RalfPeter]

Im entfernten LAN (in welchem das NAS aufgestellt ist) gibt es eine weitere Synology, mit demselben IPV6 Präfix und eigener domain. Auch diese ist für mich erreichbar, egal ob WLAN / LAN / mobile Daten.

Nur diese eine IPV6 scheint blockiert zu werden. Aber von wem? :-(

 

[CoffeeJunk]

Da wäre noch die Frage welches Gerät macht die DynDns Auflösung? Machst du das mit deiner Fritzbox oder benutzt du den DynDNS von der Synology?

 

[Benares]

Hab ich das jetzt richtig verstanden? Alle Geräte in deinem LAN/WLAN erreichen das eine NAS nicht und ein anderes NAS im gleichen Remote-LAN geht?
Und nslookup löst definitiv die richtige IPv6 des NAS auf und keine IPv4?

 

[RalfPeter]

Ja, im Remote LAN sind 2 Synology, mit jeweils eigener IPv6 (ist ja DSLite). Ein Nas ist erreichbar per Domain und IP, das andere eben nicht

 

[RalfPeter]

Die Zuordnung IPV6 zu domain habe ich als AAAA Record eingetragen. Die ist ja mehr oder weniger stabil.
Weder Fritte noch dsm können Ddns für Strato mit nur IPV6

 

[RalfPeter]

@Benares: wenn ich im Browser die IPv6 eingebe wird ja hoffentlich nicht jemand diese in eine IPV4 übersetzen wollen.
Die IPV6 habe ich aus den Netzwerkschnittstelle des dsm herauskopiert

 

[Benares]

Statische IPv6 gibt's kaum, zumindest nicht bei den gängigen Providern, die ändern öfter den Präfix (also die oberen 64-Bit). Ist der immer bei beiden NASen immer identisch? Da das Problem nur bei Zugriff aus deinem LAN heraus auftritt, tippe ich eher auf Probleme mit der Namensauflösung.

 

[RalfPeter]

@Benares: Also das IPV6 Präfix und die zugehörigen IPv6 Adressen im remote LAN haben sich seit 320 Tagen nicht verändert (auf einer Synology läuft ein ddns_updater Container, die Gui zeigt das ja an).
Warum Namensauflösung? Wenn ich die IPV6 direkt im Browser eingebe, muss doch keine Namensauflösung erfolgen? Wenn ich am Handy die IPV6 eingebe, komme ich auf das NAS wenn ich per mobiler Datenverbindung anfrage, aktiviere ich das WLAN im Handy nicht mehr. LAN am PC geht nur auf das eine NAS, das welches vom Handy nicht erreichbar / erreichbar ist nie erreichbar.
Das muss etwas ganz banales sein, ich komme nur nicht drauf ...

 

[Benares]

Da hast du Recht. Ich komm auch nicht drauf, was das bewirken könnte.

 

[RalfPeter]

Kann denn der Provider eine IP sperren? Der Befehl ping löst die IP richtig auf (für beide NAS, die je eine eigene Domain haben). Aber Daten können nur bei dieser einen IP nicht übertragen werden.
Ein tracert erreicht das NAS auch, nur der Rückweg existiert nicht.
Beide Netzwerke inkl. Fritzboxen (Quelle bei mir und das remote Netzwerk) wurden 10 min stromlos gestellt. Keine Änderung.
Es macht mich verrückt, dass ich keine Lösung finde.

 

[Benares]

Ob auch ping6 geht ist eine Sache der Portfreigabe, da gibt es eigens ein Kreuzchen dafür.

 

[RalfPeter]

Den Haken in der Fritzbox für "ping6" habe ich jetzt mal im Remote Netz für beide NAS setzen lassen.

 

[Hagen2000]

Ein tracert erreicht das NAS auch, nur der Rückweg existiert nicht.

Das ist möglicherweise ein Fehlschluss - woher willst Du wissen, dass das Paket dein Netz überhaupt verlässt? Die Tatsache, dass der ping die richtige Adresse anzeigt, heißt lediglich, dass die DNS-Abfrage funktioniert hat. Alternativ kannst Du den ping ja auch direkt mit der IPv6-Adresse aufrufen.

Die FRITZ!Box unterstützt das Erstellen eines Netzwerkmitschnitts, den man dann mit Wireshark auswerten kann. Wenn du den Fehler durch Überlegen nicht findest, bleibt dir wohl nichts anderes übrig, als solche Traces zu erstellen.

Ist dein eigener Router auch eine FRITZ!Box?

 

[RalfPeter]

Ja beide Router sind Fritten. Eine ist Glasfaser (DS-Lite) im remote Netzwerk. Die lokale Fritte ist Kabel mit IPv4 und IPv6 Präfix.
Wie erstelle ich ein solches Protokoll?