Photo Station Photo Station Freigabe Link nur im mobilen Internet zu öffnen

[blabblubb]

Hallo liebe Forums-Mitglieder,

ich habe ein kurioses Problem, wofür ich leider noch keine Antwort gefunden habe:

ich habe bei Photo Station für ein gemeinsamens Album einen Austausch-Link erstellt. Das Album ist passwortgeschützt. Wenn ich den Link am PC oder am mobilen Gerät im WLAN aber öffnen möchte, erscheint ein Seitenladefehler (Netzwerk-Zeitüberschreitung). Wenn ich aber über ein Smartphone über mobiles Internet darauf zugreife, kann ich das Album nach Passworteingabe ganz normal betrachten. Das funktioniert auf drei verschiedenen Geräten. Wisst ihr woran das liegen kann?

Noch zur Info: ich bin vor kurzem auf Kabel in Verbindung mit einer Fritzbox 6490 umgestiegen. Davor hatte die Linkfreigabe ganz normal funktioniert. Die anderen Dienste funktionieren mittlerweile auch wie gehabt. Die Ports habe ich wie bisher freigegeben und auch im externen Zugriff eingestellt. Als DDNS nutze ich QuickConnect.

Schon einmal vielen Dank für eure Hilfe!

Beste Grüße
Benedikt

 

[blabblubb]

Noch eine Ergänzung, zu dem was mir gerade aufgefallen ist, obiges Problem gilt auf für den externen Zugriff auf DSM, also www.name.synology.me:5001

 

[bohne]

Hallo blabblubb und herzlich willkommen im Forum.

Ersetze in Deinem Link „name.synology.me“ durch die IP-Adresse Deiner Synology und teste es.
wenn es dann funktioniert unterbindet die FB wahrscheinlich Anfragen aus dem Heimnetzwerk über eine öffentliche Adresse auf ein weiteres Gerät im Heimnetzwerk (DNS Rebind Schutz).
In der FB unter Netzwerk, Netzwerkeinstellungen kannst Du ganz unten Ausnahmen hierfür eintragen ( Erweiterten Ansicht muss aktiv sein).
Lese Dir aber bitte vorher auch die Hilfe dazu in der FB durch, besonders den Sicherheitshinweis).

 

[maulsim]

Als DDNS nutze ich QuickConnect.

obiges Problem gilt auf für den externen Zugriff auf DSM, also www.name.synology.me:5001

QuickConnect und DDNS sind eigentlich unterschiedliche Sachen. Quick Connect benötigt auch keine Portweiterleitungen/freigaben.
Wenn du aber eine DDNS hast, dann brauchst du natürlich Portweiterleitungen/-freigaben.
Im internen Netzwerk würde ich tendenziell, wie bohne sagt, auch tippen, dass es am Rebind Schutz liegt.

Noch zur Info: ich bin vor kurzem auf Kabel in Verbindung mit einer Fritzbox 6490 umgestiegen. Davor hatte die Linkfreigabe ganz normal funktioniert. Die anderen Dienste funktionieren mittlerweile auch wie gehabt. Die Ports habe ich wie bisher freigegeben und auch im externen Zugriff eingestellt.

Bei den Worten "Auf Kabel umgestellt mit FB 6490" klingeln bei mir noch die Alarmglocken hinsichtlich DS-Lite Anschluss.
Prüf also mal ob bei deiner Fritzbox im "Online-Monitor" sowas steht wie "Verbunden über DS-Lite". Dann hast du keine IPv4 mehr und kannst nur noch über IPv6 arbeiten.
Wobei es mich dann wundert, dass dein Zugriff auf den Sharing Link funktioniert (außer das Handy hat IPv6 im Mobilfunknetz).
Dann wäre noch die Frage, ob du wirklich www. davor gesetzt hast. Denn typischerweise wäre es einfach https://name.synology.me:5001. Das www. würde ja eine sub-sub Domäne machen.

 

[blabblubb]

Hallo bohne, hallo maulsim,

vielen Dank für eure Antworten!

Ersetze in Deinem Link „name.synology.me“ durch die IP-Adresse Deiner Synology und teste es.

Das funktioniert! Danke auch für deinen Hinweis zum DNS Rebind Schutz. Ich bin mir nur nicht sicher, ob ich das machen will. Was ich nur nicht verstehe, ich hatte vorher die FB 7580 und hatte das gleiche Album freigegeben. Da war dieser Schritt nicht notwendig.

Bei den Worten "Auf Kabel umgestellt mit FB 6490" klingeln bei mir noch die Alarmglocken hinsichtlich DS-Lite Anschluss.
Prüf also mal ob bei deiner Fritzbox im "Online-Monitor" sowas steht wie "Verbunden über DS-Lite". Dann hast du keine IPv4 mehr und kannst nur noch über IPv6 arbeiten.
Wobei es mich dann wundert, dass dein Zugriff auf den Sharing Link funktioniert (außer das Handy hat IPv6 im Mobilfunknetz).

Das Problem habe ich schon gelöst und auf Dual Stack umstellen lassen, bei dem zusätzlich IPv4 freigestellt wurde.

Dann wäre noch die Frage, ob du wirklich www. davor gesetzt hast. Denn typischerweise wäre es einfach https://name.synology.me:5001. Das www. würde ja eine sub-sub Domäne machen.

Nein, das hatte ich fälschlicherweise zusammengestückelt. So siehts tatsächlich aus: https://name.synology.me:5001 bzw. https://name.synology.me/photo/share/XXXX.

QuickConnect und DDNS sind eigentlich unterschiedliche Sachen. Quick Connect benötigt auch keine Portweiterleitungen/freigaben.
Wenn du aber eine DDNS hast, dann brauchst du natürlich Portweiterleitungen/-freigaben.
Im internen Netzwerk würde ich tendenziell, wie bohne sagt, auch tippen, dass es am Rebind Schutz liegt.

Ich meinte, dass ich QuickConnect beim externen Zugriff als DDNS eingetragen habe. Falls es hilft, würde ich stattdessen eine DDNS bei selfhost oder ähnliches registrieren.

Viele Grüße

 

[bohne]

Folgende Möglichkeiten fallen mir jetzt ein:

1. Im eigenen WLAN Zugriff über IP oder Namen der DiskStation.
2. Ausnahme für DNS Rebind Schutz in der FB hinzufügen.
3. DDNS erstellen und in der FB eintragen, entsprechende Portweiterleitungen in der FB einrichten.
Nachteil: offene Ports stellen ein Sicherheitsrisiko da.
Vorteil: Der Zugriff auf geteilte Alben oder Ordner für Freunde etc. ohne Benutzerkonto möglich (Link muss um DDNS angepasst werden).
4. DDNS erstellen und in der FB eintragen. VPN in FB und mobilen Endgeräten einrichten (keine Portweiterleitungen erforderlich).
Nachteil: Der Zugriff auf geteilte Alben oder Ordner für Freunde etc. ohne Benutzerkonto auf der DiskStation möglich aber nicht empfehlenswert!
Je nach mobilen Endgerät ist die VPN Verbindung manuell aufzubauen.
Vorteil: VPN stellt die sicherste Verbindung da. Durch VPN verhält sich das mobile Endgerät im fremden WLAN oder Mobilfunknetz genau so, als wäre es im heimischen Netzwerk. Du kannst also auf weitere Geräte im Heimnetzwerk, z.B. Drucker von unterwegs zugreifen.
5. Kombination aus Punkt 3 und 4.
6. DDNS erstellen und in DiskStation einrichten
Nachteil: Portweiterleitungen in FB erforderlich.
Vorteil: Der Zugriff auf geteilte Alben oder Ordner für Freunde etc. ohne Benutzerkonto einfach möglich, keine Link Anpassung erforderlich.
7. DDNS erstellen und in DiskStation einrichten. VPN Verbindung in DiskStation und mobilen Endgerät einrichten.
Nachteil: Portweiterleitungen in FB erforderlich plus die Nachteile aus Punk 4.
Vorteile: siehe Punkt 4.
8. Kombination aus Punkt 6 und 7.

Wie gesagt, das fällt mir jetzt ein, evtl. hat ja jemand noch eine andere Lösung.

 

[maulsim]

Ich meinte, dass ich QuickConnect beim externen Zugriff als DDNS eingetragen habe. Falls es hilft, würde ich stattdessen eine DDNS bei selfhost oder ähnliches registrieren.

Den Synology DDNS (xxxx.synology.me) kann man ruhig verwenden finde ich als DDNS. Du bräuchtest nicht zwangsläufig was bei selfhost oder so.
Was ich meinte ist, dass Quickconnect typischerweise eine URL nach dem Motto https://id.quickconnect.to oder so ähnlich erstellt. Das NAS baut dann eine Verbindung zu einem Synology Server auf. Die Daten laufen damit immer (ich weiß: nicht ganz korrekt) über den Synology Server. Daher braucht man auch keine Portweiterleitung/-freigabe. Verwendest du DDNS, dann ist in der Domain ja die IP deines Internetanschlusses (IPv4) und die globale IPv6 des NAS hinterlegt und die Verbindung wird über Portweiterleitungen/-freigaben direkt aufgebaut ohne Umweg über Synology Server.

Wenn die DDNS von extern nicht funktioniert, die Ports aber korrekt eingetragen sind, solltest du nochmal prüfen ob die korrekte IP bei der DDNS hinterlegt ist. Du kannst z.B. hier deine Domain (name.synology.me) eingeben: https://ping.eu/nslookup/ und bekommst dann die hinterlegte IPv4 und IPv6 Adresse angezeigt. Die IPv4 Adresse muss mit der IPv4 übereinstimmen, die in deiner Fritzbox im Onlinemonitor steht. Alternativ auf https://www.wieistmeineip.de/ angezeigt wird (Aufruf natürlich aus deinem Netzwerk). Die IPv6 Adresse deines NAS ist im DSM bei der Netzwerkschnittstelle hinterlegt und sollte mit 2a02: oder so anfangen nicht mit fe:...

Ansonsten denke ich hat bohne sehr schön die Möglichkeiten aufgelistet. Was man noch machen könnte, um den Rebind-Schutz bei Verwendung einer DDNS im internen Netzwerk zu umgehen, wäre einen eigenen DNS Server aufzusetzen. Dann würden alle Geräte ihre Anfragen zunächst an deinen eigenen DNS Server senden. Dort könntest du dann die Domain mit der internen IPv4 hinterlegen und dann würde die Fritzbox garnichts von der Kommunikation mitbekommen. Ist aber etwas mehr Aufwand, insbesondere, da du dafür sorgen musst, dass nur deine Domain name.synology.me aufgelöst wird und alle anderen "name1.synology.me", "name2.synology.me",... weiterhin online aufgelöst werden - also eine DNS Weiterleitung dann stattfindet.

 

[blabblubb]

Hallo bohne, hallo maulsim,

nochmals vielen Dank für eure ausführlichen Antworten und guten Hinweise. Ich hab leider aktuell noch keine Zeit gefunden, mich damit näher zu beschäftigen. Ich werd mich aber auf jeden Fall noch dahinter klemmen.

Viele Grüße

 

[blabblubb]

Hallo,

ich wollte mich noch einmal melden, nachdem ich mich mein Problem lösen konnte. Um es kurz zu machen, Dual Stack war entgegen der Freischaltung von Unitymedia nicht aktiviert. In deren System stand jedoch, dass es freigeschaltet war. Es hat auch mehrere Versuche und einen sehr motivierten und kompetenten Kundendienst-Mitarbeiter gebraucht, der zusammen mit einem Kollegen einen Vormittag an der Lösung gearbeitet hat, um der Ursache auf den Grund zu kommen und das Problem zu lösen.

Ich habe jetzt Punkt 6 vom obigen Post umgesetzt. Um die Gefahren der Portfreigabe weiß ich, aber für den Einsatzzweck scheiden leider die anderen Möglichkeiten aus.

Vielen Dank euch für die schnelle und fachkundige Unterstützung und einen schönen Sonntagabend!

 

[maulsim]

Schön zu hören, dass es nun geht. Ebenso schön zu hören, dass es solche Mitarbeiter bei Unitymedia auch gibt.

 

[bohne]

Ich schließe mich mauslim an, schön wenn es jetzt funktioniert.