Fernzugriff - Aber wie jetzt mit IPv6/FritzBox 6360 cable?

[majoderksen]

Hallo liebes Forum,
hab schon viel gelesen und gegooglet und viel probiert aber ich schaffe es einfach nicht über Internet gescheit auf meine NAS zuzugreifen.
Ich weiß auch nicht welche Art der Verbindung ich aufbauen soll...
Was ich genau will? Am liebsten wäre mir einfach eine Oberfläche wie bei der DS file App bei der man sich anmelden kann mit Benutzernamen und Daten runterladen oder streamen kann.
Ich verstehe soweit das IPv4 und IPv6 Problem und ich hab eine IPv4 über nen DS-Lite Tunnel. als Dyndns hab ich schon Fritzbox und den DDNS Service der DS ausprobiert ohne Erfolg.
Über Quickconnect mit der app kann ich jedoch drauf zugreifen.
Ich würde auch gerne den DDNS service der ds nutzen...hab ich registriert und einen link bekommen der wie folgt aussieht : benutzername.synology.me !
Das wäre super. Der Synology Support hat gesagt dass ich firewall und port freimachen soll und das ich das unter http://ping.eu/port-chk/ den port testen solle...
dort wird ja aber nur ipv4 getestet und natürlich klappt das net.
Warum funktioniert das über quickconnect?
Was muss ich für eine Verbindung aufbauen, die sicher und schnell ist (ftp http https ftps)?
Welche Ports muss ich dann weiterleiten?
und wie kriege ich meine Wünsche endlich mal realisiert xD ?
ich hoffe sehr dass ihr mir helfen könnt auch wenn ihr das wahrscheinlich schön des ofteren gelesen und getan habt.
Danke

 

[Bordi]

Hallo majoderksen,

Was muss ich für eine Verbindung aufbauen, die sicher und schnell ist (ftp http https ftps)?

Der Sicherheit zuliebe solltest du für die Fernwartung https und/oder ssh verwenden.

Welche Ports muss ich dann weiterleiten?

Das kommt darauf an welche Dienste du draußen empfangen willst. -> Liste der standardisierten Ports

Ich würde auch gerne den DDNS service der ds nutzen...hab ich registriert und einen link bekommen der wie folgt aussieht : benutzername.synology.me !
Das wäre super. Der Synology Support hat gesagt dass ich firewall und port freimachen soll und das ich das unter http://ping.eu/port-chk/ den port testen solle...

Das beste währe wohl auf deinem Router ein NAT 1:1 vorwarding einzurichten, und die Firewall deiner DS abzudichten.

 

[majoderksen]

hmm tut mir leid aber das sagt mir nichts^^ also NAT 1:1 forwarding /vorwarding..
das einzige was ich da finde ists wenns um online games geht...
was muss ich denn dann genau tun dafür?
hab es jetzt auch über myfritz.net versucht aber klappt auch net...vom lokalem rechner ja aber über mobiles internet nicht...wahrscheinlich loopback funktion.
hab eine weiterleitung eingerichtet an den port 5001 mit tcp protokoll.
aber was ich auch tue es klappt net :-(

 

[trininja]

Du schreibst ja dein eigentliches Problem schon in den Titel: IPv6. Port Forwarding hilft dir da nicht weiter.

Du solltest dir mal unter Freigaben in deiner 6360 ganz rechts den Reiter IPv6 anschauen. Wenn du dann mit MyFritz! arbeitest, sollte es dann gehen wenn du deine Syno in dieser IPv6 "Firewall" der 6360 freigibst, sei dir aber bewusst, das unter IPv6 kein NAT und auch kein sperren von Ports mehr im eigentlichen Sinne Funktioniert, lies dir hierzu auchmal meinen Beitrag hier durch: http://www.synology-forum.de/showth...nitymedia-IPv6&p=388520&viewfull=1#post388520.

Du solltest dann wenn du es nicht mehr brauchst ganz dringend diese Freigabe wieder sperren, da deine Syno in dem moment einen "Exposed Host" darstellt und offen für alle erreichbar ist, die deren IPv6 Adresse kennen und selber auch IPv6 haben. Wenn du aus einem reinen IPv4 Netz versuchst darauf zuzugreifen, wirst du es glaube ich kaum schaffen, da MyFritz! wohl zwar IPv6 routen kann, aber noch nicht als IPv6 Tunnelbroker funktioniert.

 

[Bordi]

hmm tut mir leid aber das sagt mir nichts^^ also NAT 1:1 forwarding ..(

Ist vom Prinzip her dass was trininja bereits beschrieben hat. Die Freigabe deiner DS. Daher ist es auch wichtig die Firewall deiner DS entsprechend einzustellen. ..UND es ist speziell wichtig das dir bewusst ist was du tust.

 

[trininja]

Ich muss mal kurz nochwas ergänzen, da ich IPv6 zwar habe, aber auf echtem DualStack sitze, habe ich mir das FritzBox IPv6 Menü noch nicht angesehen, zumindest noch nicht genau. Man kann dort anscheinend wie bei IPv4 den Port mit freigeben. Ergo scheint AVM hier bei den Fritten eine Art Firewall für IPv6 umgesetzt zu haben. Was die Sache vereinfacht, da du nur gezielt den Traffic für einen Port für IPv6 freigeben musst.

 

[Bordi]

Jo trininja,

..ist es nicht auch möglich die Routing/NAT/Firewall funktionen komplet auszuschalten (via telnet oder so)?
Das würde die möglichkeit eröffnen die Fritz als reines Modem zu nuzen. Direckt angeschlossen, müsste die DS einwahl, routing, firewall, dhcp, dynDNS ect übernehmen, und würde so zum Zentralen Netzwerkknoten. Mit WLAN Stick sogar zum Zentralen AP.

Der neue Netzwerkaufbau wäre dann:

Fritz -> DS -> Switch -> Computer & andere Clients

 

[trininja]

Bei ner Standard Fritte die du auf dem offenen Markt kaufen ist das evtl. möglich. Nicht bei den Kabelbetreiber Fritten, da diese spezielle Firmware haben. Im Grunde zwar ein normales Fritz!OS, aber angepasst und bearbeitet von eben dem Netzbetreiber. Alleine schon wegen dem DOCSIS 3 Standard muss die Firmware angepasst werden. Sobald du versuchst irgendwas zu ändern an der Fritte, versagt sie ihren Dienst. Die Teile haben ne interne Prüfroutine verpasst bekommen, die bei Abweichungen vom Standard die Modems deaktivieren.

Daher kannst du auch nicht die DS selber durchreichen, da du ja kein PPPoE hast, sondern DOCSIS. Es gibt zwar eine Möglichkeit, das du die LAN Ports der Fritte durchreichst als Bridge, ergo das erste anfordernde Gerät sich verbindet an dem Port und alles übernimmt, dies funktioniert aber nur bei den Geschäftskundenanschlüssen, da du dafür beim Anbieter dann eine Feste IP beantragst und dazu die MAC des angeschlossenen Gerätes weitergibst. Ansonsten funktioniert das Bridging der Fritte nicht. Ich habs schon versucht mit meinem Anschluss, es funktioniert einfach nicht. Ergo bleibt dir nur eine Möglichkeit: Exposed Host. Dazu darf dann aber nurnoch die DS an der Fritte hängen und du musst explizit die DS als Exposed Host aufbauen. Zwar hat die Fritte dann immer noch NAT laufen, aber bei einem Exposed Host wird ja der gesamte Anfragetraffic auf allen Ports an den EH weitergeleitet.

 

[Bordi]

Verd%**te Schweinerei! Ich wehre mich schon seit Jahren gegen diese "Entmündigung". Beharre auf Modems, und kaufe sie auch (ab Stange) falls ich mal zweifel habe. Gratis Mutli-kulti-router die angeblich alles können, und vom Anbieter angeboten, kontrolliert, (überwacht?!) & administriert werden? NICHT MIT MIR! Aber ja, so wie du "Exposed Host" beschreibst, kommt das auf das selbe hin, und ist vom Prinzip her genau das wonach ich gefragt/gesucht habe. Wichtig ist ja nur dass das Routing weg-fällt, und die Ports ohne umschweife und Blockaden direct weitergereicht werden. Ist halt nicht das selbe wie bei DSL & PPPoE, aber ist ja auch ein Kabelmodem, und die verwenden nun-mal DOCSIS. Jedenfalls sollten sie das! Also nicht nachteil -> Vorteil. Vorzugsweise in der Version 3.0!
Ist dann sozusagen ein Modem mit DHCP Signal. Eigentlich genau das was es braucht oder?

Fritte (Exposed Host) -> DS (Routing/Firewall/DHCP ect) -> Switch -> Private Netzwerk Clients

 

[trininja]

Die Cable Fritten sind alle DOCSIS 3.0.

Nicht die Fritte ist der Exposed Host, sondern die DS. Die Modems fragen halt beim Anbieter nach der Config, bekommen die oder auch nicht wenn schon vorhanden, bzw. nichts geändert wurde und melden sich dann automatisch an. Zugangsdaten gibts halt keine, da das Modem mit seiner MAC Adresse der Zugang ist. Also eindeutig identifizierbar. Man könnte also das Modem überall anschliessen wo man will und wo Kabel TV/Internet verfügbar wäre und es würde sofort einwählen und sich als dein Account ausweisen.

Das Modem bekommt automatisch die IP zugewiesen per DHCP, meistens dieselbe, die es hatte wenn das Modem mal rebootet wird. Meine IP hab ich seit über 2 Jahren nun.

Wenn du es wirklich knallhart willst, also die DS nicht nur als Exposed Host, sondern voll ins Netz hängen, dann wäre ein Geschäftskundenanschluss (Die auch nicht wirklich teuer sind, der Upload ist vor allem höher.) evtl. überdenkbar, weil du dann die Anschlüsse Bridgen kannst und die Fritte wirklich nurnoch als Modem fungiert und nichtsmehr mit NAT/Exposed Host zu tun hat.

 

[Bordi]

Die Cable Fritten sind alle DOCSIS 3.0.

Top! Besser geht's nicht.

Nicht die Fritte ist der Exposed Host, sondern die DS.

Die DS wird durch den Router zum Exposed Host?

.. dann wäre ein Geschäftskundenanschluss (Die auch nicht wirklich teuer sind, der Upload ist vor allem höher.)

Mach ich seit bald mehr als einem Jahrzehnt so. Geschäftskundenanschluss + Modem (kein Router!). Da ist auch Help-Desk Support anders (oft 24/7, mit eigener Kontaktperson, und Problemlösung innert 24h). Das nervtötende "Starten sie den Router neu" kommt da nicht, und ich bin mir als Kunde sicher dass ich nur & ausschließlich für den Internetzugang bezahle. Zusätzliche Dienste wie E-Mail ect werden mir überlassen, und sind nicht bez nur Optional im Paket enthalten.
Ist für mich das beste, hab so auch optimale Kontrolle. Der Nachteil ist halt das ich die Entwicklung für die Privaten Haushalte (Umgang mit deren Router) etwas verpasse. Für mich klingt Exposed Host wie eine 3/4 DMZ oder ein 1:1 NAT, das sich relativ einfach per Mausklick an der Fritzbox aktivieren lässt, ohne das man umfangreicheres technisches wissen braucht. Tatsächlich scheint die Konfiguration für den leihen aber noch einfacher zu sein? Wie auch immer, meine Idee war halt die, dass die Fritzbox als Router ausgeschaltet wird, und nur als Modem für die DS fungiert. Während die DS ihrerseits, zusätzlich die Aufgabe von Firewall, Router, DHCP Server, DynDNS Client ect übernehmen würde. Bedenkt man die Services welche die DS noch zusätzlich übernehmen könnte (Asterisk, E-MAIL, Shop, ect) eröffnend diese Lösung ganz neue Möglichkeiten. Doch Achtung: In den falschen Händen ist diese Lösung sicherlich riskant, aber dagegen lässt sich ja was tun, richtig?

Wollte ich das selbe wie majoderksen erreichen, und einen Server öffentlich setzen wollte, würde ich an meiner Firewall eine echte DMZ setzen, und dafür eine eigene DS einrichten. Zudem würde ich auf DynDNS verzichten, und gleich den DNS Server aktivieren und eine echte Domain einrichten. Sollte der eigene Internet Anschluss wegen übermäßigem Erfolg/Traffic nicht länger ausreichen, wäre ev auch ein "Serverhousing" denkbar.

Nur muss halt jeder selbst wissen, wie-viel er/sie für diese Freiheit bereit ist zu Bezahlen (in eigene Bildung & Arbeit wie auch Finanzieller Aufwand). Mir war es das bisher wert.

PS: Gibt es beim Anbieter die Möglichkeit den Router durch ein Modem zu tauschen?

 

[trininja]

Kommt drauf an, bei Kabel BW sind die Fritten Grundvorraussetzung für die Buisnessanschlüsse, da bei der 6360 die Ports 2-4 Bridgebar sind, heisst die Fritte macht nurnoch den Modempart und lässt jeden Traffic auf dem Port 2-3 (LAN Port) einfach ungefiltert durch. Da du als Buisnesskunde bei KBW ja Anspruch auf 3 feste IPs hast, ist das auch notwendig.

Exposed Host, DMZ, nenn es wie du willst, im Endeffekt und Grunde sind beides dasselbe, jeglicher Verkehr läuft zwar noch über den Routerteil, wird aber 1:1 durchgeschossen auf den Exposed Host/die DMZ. (Muss ja, da die Fritte ja erst weis das es sich um die DMZ/den Exposed Host handelt, wenn sie die Pakete mal in der Hand hatte.).

Wenn du eh schon Geschäftskundenanschluss hast, besorg dir doch anhand deiner DS MAC Adresse ne feste IP beim Anbieter und Bridge den Anschluss durch, dann hast du was du willst und die Fritte ist komplett aussen vor. Bei KBW geht das, bei UM sollte das nicht anderst sein. Zusätzlich dazu hast du ja eh mehr öffentliche IPs als normale Kunden zur Verfügung und kannst z.B. einen PC getrennt von der DS an die Fritte kleben und normal ins Internet, was auch zum testen von Routen ganz witzig ist, da du ja sozusagen dann 2 IPs hast und der PC, der direkt dranhängt erstmal jeden Traffic über den Anbieter laufen lässt bevor er an die DS rankommt. Vorteilhaft zum testen von Firewall Regeln und anderen Sachen.

 

[Bordi]

Jup! Zudem ist der Geschäftskundenanschluss auch im Netz bevorteilt. Der Anschluss geniesst bei hoher last höherer Prio als andere. Mit Fix-IP und eigen DNS geht's noch fixer. Ect usw.
Bei Kabel DE, und wohl auch bei anderen, kannst du das Modem übrigens beantragen.

Sei wie es sei, nicht ich habe den thread eröffnet, aber danke für die Aufklärung.

 

[rknas]

Es gibt noch eine Alternative. Feste-ip.net bietet einen preiswerten Dienst an. Ich habe dort einen Portmapper gebucht. Dieser funktioniert in Verbindung mit dem MyFritz account. Du zahlst dort mit credits. I Jahr Zugriff auf Deine DS kostet 5 Euro. Der Zugriff aus dem Internet erfolgt mit einem Link der im Portmapper erstellt wird. NameDeinerDS.feste-ip.net:Kundennummer . Ich habe eine DS212j. Der Zugriff funktioniert gut. Meine Freunde haben einen User mit dem sie down, bzw. uploaden können.