Kein DynDNS-Zugriff bei IPv4 (Horizon Box <—> Fritzbox <—> Synology)

[MacAir13]

Hallo zusammen,

bei dem folgenden Setup bekomme ich keinen DynDNS-Zugriff auf (u. a. Selfoss) die Synology DS214 mit aktueller Firmware:



Vorab: IPv6 ist nicht das Problem, da der Horizon HD Recorder laut Unitymedia-Hotline über eine IPv4-Anbindung läuft, wie auch der folgende Screenshot bestätigt:



Zugriff via QuickConnect funktioniert. Bevor der Horizon HD Recorder hinzugefügt wurde, hat der Zugriff von außen grundsätzlich, also das Setup insgesamt, prima funktioniert. Also ist offenbar - vermutlich nicht weiter überraschend - die Horizon Box das Problem, und zwar in beide Richtungen. In der Horizon Box habe ich folgende Weiterleitungen eingetragen:



Nachdem ich einige Einstellungen verändert habe, bekam ich folgende Fehlermeldung bei der NAS bzgl. UPnP:



Der DDNS Status ist normal:



Hier sind noch die Einstellungen zu den Portweiterleitungen auf der FritzBox (aktuelle Firmware 06.23):




Habe schon einiges (u. a. durch Recherche der hier vorhandenen Themen) versucht, aber bevor ich das Problem weiter verschlimmbessere oder gar meine Energie in die Lösung einer Konstellation investiere, für das es keine Lösung gibt, wende ich mich nun an die versammelte Expertengemeinde...

 

[Fusion]

Kannst du trotzdem bitte mal http://www.wieistmeineip.de/ipv6-test/ aufrufen und das Ergebnis posten? Oder auch mal http://ipv6-test.com/
Nur um die Aussagen vom Support zu verifizieren.

Falls der Anschluß nicht das Problem ist.
Hast du
Horizon - Port-Weiterleitung auf Fritzbox
Fritzbox - Port-Weiterleitung auf Synology
? Läßt sich aufgrund deiner Maskierungen der IPs nicht eindeutig sagen.

uPnP würde ich mal überall ausschalten wo du es findest, also Synology und Fritzbox. Wenn du eh alle Einstellungen von Hand vornimmst, ist das nur eine weitere Fehlerquelle, wenn dir da ein Gerät per uPnP an der Konfiguration rumpfuscht. Lass die Router-Config in der Syno lieber weg und mache alles selbst in der Fritzbox und Horizon.
Edit: Die Fehlermeldung kommt vermutlich daher, weil in der Fritzbox das Häkchen (Änderungen via uPnP gestatten) nicht gesetzt ist.

Stimmt die externe IP im DDNS Fenster mit der Ausgabe überein, die du z.B. via wieistmeineip.de oder einen der obigen Links zu sehen bekommst?

 

[JudgeDredd]

IPv6 ist nicht das Problem

Da wäre ich mir nicht so sicher ...

laut Unitymedia-Hotline über eine IPv4-Anbindung läuft

Natürlich macht er das, da Du sonst ja keine IPv4 Seiten aufrufen könntest.

, wie auch der folgende Screenshot bestätigt:

Der Screenshot bestätigt mal rein gar nichts, das ist nur die IP der Fritzbox vom Horizon

Des Pudels Kern ist (wie bereits auch Fusion schon vermutet), ist Deine IPv4 eine öffentliche ?
Also bitte mal wie von Fusion erbeten, einen Screenshot

 

[MacAir13]

Kannst du trotzdem bitte mal http://www.wieistmeineip.de/ipv6-test/ aufrufen und das Ergebnis posten? Oder auch mal http://ipv6-test.com/
Nur um die Aussagen vom Support zu verifizieren.

Gerne.

Falls der Anschluß nicht das Problem ist.
Hast du
Horizon - Port-Weiterleitung auf Fritzbox
Fritzbox - Port-Weiterleitung auf Synology
? Läßt sich aufgrund deiner Maskierungen der IPs nicht eindeutig sagen.

Bei der Horizon habe ich unter lokale -IP-Adresse die Adresse der Horizon Box eingetragen (muss ich nochmal verifizieren, da ich dort immer zwei IP-Adressen angezeigt bekomme), bei der FritzBox leite ich auf die Syno weiter.

uPnP würde ich mal überall ausschalten wo du es findest, also Synology und Fritzbox. Wenn du eh alle Einstellungen von Hand vornimmst, ist das nur eine weitere Fehlerquelle, wenn dir da ein Gerät per uPnP an der Konfiguration rumpfuscht. Lass die Router-Config in der Syno lieber weg und mache alles selbst in der Fritzbox und Horizon.

Wo kann man UPnP bei der Syno ausschalten? Unter Systemsteuerung, Routerkonfiguration habe ich die Konfiguration bei der Syno wieder gelöscht.

Edit: Die Fehlermeldung kommt vermutlich daher, weil in der Fritzbox das Häkchen (Änderungen via uPnP gestatten) nicht gesetzt ist.

Ok, das macht Sinn.

Stimmt die externe IP im DDNS Fenster mit der Ausgabe überein, die du z.B. via wieistmeineip.de oder einen der obigen Links zu sehen bekommst?

Ja, die oben gezeigte IP-Adresse ist auch die, die unter Systemsteuerung, DDNS als externe Adresse genannt wird.

 

[Fusion]

Das ist die einzige IP die es verdient gehabt hätte teilweise maskiert zu werden, weil es jene ist, unter der dein Anschluß gerade erreichbar ist.

Der Anschluß sieht soweit also in Ordnung aus. Public IP wird auch vom Syno-DDNS korrekt erkannt und gesetzt.
Wenn du die Router-Konfiguration in der Syno gelöscht hast sollte das reichen. Gibt glaube nichts extra auszuschalten hinsichtlich uPnP.

Dein Anschluß ist ja, wenn sowohl die Horizon wie auch die Fritzbox als Router konfiguriert sind:
PublicIP - Horizon - localIP-H, WANIP - Fritzbox - localIP-F
Über diese Stufen muß die Portweiterleitung laufen.
localIP-H ist die interne IP der Horizon
WANIP ist die "public IP" der Fritzbox
localIP-F ist die interne IP der Firtzbox.

Also z.B:
92.223.x.x - PublicIP im Internet für deinen Anschluß.
192.168.1.1 - localIP-H für interne IP der Horizon
192.168.1.2 - WANIP für die Fritzbox
192.168.2.1 - localIP-F für interne IP der Fritzbox
192.168.2.x - IPs für alle Geräte im lokalen Netz der Firtzbox, inklusive der Syno

Daten müssen also über das Zwischennetz, zwischen Horizon und Firtzbox, nach Innen kommen.
Weiterleitungen in der Horizon müssen also auf die 192.168.1.2 zeigen.
Weiterleitungen in der Fritzbox müssen auf die 192.168.2.x (IP deiner Syno) gehen.

 

[MacAir13]

(...)
Dein Anschluß ist ja, wenn sowohl die Horizon wie auch die Fritzbox als Router konfiguriert sind:
PublicIP - Horizon - localIP-H, WANIP - Fritzbox - localIP-F
Über diese Stufen muß die Portweiterleitung laufen.
localIP-H ist die interne IP der Horizon
WANIP ist die "public IP" der Fritzbox
localIP-F ist die interne IP der Firtzbox.

Also z.B:
92.223.x.x - PublicIP im Internet für deinen Anschluß.
192.168.1.1 - localIP-H für interne IP der Horizon
192.168.1.2 - WANIP für die Fritzbox
192.168.2.1 - localIP-F für interne IP der Fritzbox
192.168.2.x - IPs für alle Geräte im lokalen Netz der Firtzbox, inklusive der Syno(...)

Wie bringe ich die WANIP der FritzBox in Erfahrung? Habe danach gesucht, aber die Ergebnisse bringen mich nicht weiter.

Merkwürdig ist, dass die Horizon Box offenbar nur Weiterleitungen mit einer lokalen IP-Adresse akzeptiert, die mit 192.168.192. beginnen. Versucht man testweise etwa 192.168.1.2 oder 192.168.178.1 zu speichern, wird diese Adresse nicht übernommen.

 

[JudgeDredd]

Bevor der Horizon HD Recorder hinzugefügt wurde, hat der Zugriff von außen grundsätzlich, also das Setup insgesamt, prima funktioniert.

Kurze Zwischenfrage ... warum hängst Du die Fritte denn dann nicht nach vorne ?

 

[MacAir13]

Kurze Zwischenfrage ... warum hängst Du die Fritte denn dann nicht nach vorne ?

Weil es keine FritzBox Cable ist und ich kein anderes Kabelmodem als die Horizon Box habe.

 

[Fusion]

Die WAN-IP für die Fritzbox ist eigentlich im zweiten Bild deines ersten Postings zu sehen, wenn sie nicht maskiert wäre.
Die IPs waren auch nur ein Beispiel. Es geht nur darum, dass die Weiterleitungen auf die richtigen Ziele gehen, und dass die IPs zwischen Horizon und Fritzbox und die des LAN der Fritzbox nicht identisch sind.

Je nachdem welche Funktionen du brauchst, könnte man vielleicht auch ganz auf die Fritzbox verzichten.

 

[MacAir13]

Die WAN-IP für die Fritzbox ist eigentlich im zweiten Bild deines ersten Postings zu sehen, wenn sie nicht maskiert wäre.
Die IPs waren auch nur ein Beispiel. Es geht nur darum, dass die Weiterleitungen auf die richtigen Ziele gehen, und dass die IPs zwischen Horizon und Fritzbox und die des LAN der Fritzbox nicht identisch sind.

Hatte Deine Zahlen als Beispiele verstanden und sie lediglich verwendet, um zu testen, ob diese - wie meine anderen Dummies - ebenfalls nicht von der Horizon gespeichert werden. Offenbar lassen sich dort nur IP-Adressen beginnend mit 192.168.192. speichern.
Habe nun die IP-Adresse aus dem zweiten Bild (zweite Zeile) meines Eingangsposts in der Horizon Box als lokale IP-Adresse eingetragen und lande nun auf der WebStation der Syno, wenn ich die IP-Adresse direkt in den Browser eingebe. Passt das?

Je nachdem welche Funktionen du brauchst, könnte man vielleicht auch ganz auf die Fritzbox verzichten.

Das wäre tatsächlich eher eine Notlösung, da die Horizon Box gewisse Funktionen nicht bietet, die ich weiterhin gerne über die FritzBox nutzen würde (unabhängig von der Syno).

 

[Fusion]

Du meinst du gibst jetzt die PublicIP ein und landest auf der Webstation?
Wenn alle Geräte noch so verbunden sind wie vorher sollte das passen. Es wird ja <http://pubicIP> auf Port 80 angefragt (wenn nicht extra spezifiert über ort). Erreicht wird die Webstation, die ja offensichtlich nur auf der Syno läuft. Demnach muß die Anfrage ja über die Horizon auf die Fritzbox und weiter zu Syno gekommen sein und die Antwort in die andere Richtung.
Scheint also, als ob die doppelte Router-Kaskade jetzt funktioniert.
Ist zugegeben manchmal verwirrend mit PublicIP1-Router1-LAN1 -> PublicIP2-Router2-LAN2. Geht aber ganz gut mit der Überlegung, was INNEN und was AUSSEN ist für jeden Router einzeln.

Zum Schluß noch ein paar Anregungen, die off-topic sind (weshalb ich sie nicht vorher eingestreut hatte):
- Für meinen Geschmack hast du zu viele Ports nach außen offen
- 80/5000, Logins werden im Klartext übermittelt, unnötiges Risiko, wenn man keinen zwingenden Grund dafür hat.
-> 443/5001 verwenden via https. Zusätzlich anstatt 5001 auf einen anderen Port wechseln zwischen 1024 udn 65531. Ebenso überlegen, ob man den DSM wirklich von außen erreichbar braucht. Je nach Anzahl und Art der Clients könnte man auch nur VPN offen haben und alle anderen Dienste dann nur "innerhalb" des VPN nutzen und sie dadurch nicht direkt nach außen erreichbar sind. Bei VPN eher auf OpenVPN setzen anstatt auf PPTP (ist leichter knackbar)
- Für was brauchst du die MySQL Freigabe in der Fritzbox?

Je nachdem welches Einsatzszenario du für deine Syno hast, würde es vielleicht Sinn machen diese in das Netz zwischen Horizon und Fritzbox zu hängen. Damit könnte man sie zum Inneren LAN2 hin abschotten.

Nur als Denkanstöße...

Edit: Den https Port deiner Fritzbox würde ich auch noch auf einen anderen Port legen, sonst landen Anfragen auf <https://publicIP> auf deiner Fritzbox-GUI anstatt auf der Syno.

 

[MacAir13]

Besten Dank erstmal an dieser Stelle für die Unterstützung (genauso wie für die Anregungen)! Meine ursprüngliche Frage hat sich damit geklärt! Top.

VPN-PPTP habe ich gelöscht, war ohnehin ein Überbleibsel der UPnP-Zeit. Die Idee nur VPN zu öffnen klingt gut, für die Umsetzung muss ich mir aber erstmal hier die entsprechenden Themenstränge durchlesen.

Wie lässt es sich einstellen, dass die 80/5000 Logins nicht im Klartext übermittelt werden?

Unter Externer Zugriff, Erweitert, DSM (HTTPS) habe ich den 5001-Port bereits ersetzt, also brauche ich ihn auch nicht mehr als Weiterleitung, oder?

Die MySQL-Datenbank benötige ich für Selfoss. Das lässt sich übrigens nun dank der vorgenommenen Änderungen wieder via Smartphone (von außen) aufrufen, allerdings komme ich nicht über das WLAN auf Selfoss. Hängt das mit der nicht vorhanden Loopback-Funktion der Horizon Box zusammen?

 

[Fusion]

80/5000 sind per Definition unverschlüsselt. Eben für webserver und DSM ohne Verschlüsselung. Weil ich das für den Webserver noch nachvollziehen kann (je nach Szenario liefert man ja nur reine html Seiten aus, ohne sicherheitsrelevante Inhalte), für den DSM gibt es aber eigentlich keinen Grund den nach außen verfügbar zu machen (einfach keine Portweiterleitung dafür setzen).
Verschlüsseln läßt sich nur via https/ssl. Für webserver eben normal 443, DSM auf 5001.
Unter Netzwerk, DSM-Einstellung kannst du die Verwaltungsports wählen.
Unter Externer Zugriff , Erweitert trägst du nur eine Portnummer (und ddns hostname) ein, wenn du keine 1:1 Portweiterleitung benutzt (also z.B. <https://publicIP/DDNS:58273> wird auf <https://syno-lan-ip:5001> weitergeleitet). Die Syno muß das wissen, damit z.B. Links die per Filestation geteilt werden das richtige Format haben. Andernfalls würde der Link z.B. auf <https://publicIP/DDNS:5001/path/to/file> lauten. Der ist ja aber in diesem Fall von außen nicht zugänglich, weil du den Port 5001 nicht weitergeleitet hast.
Externer Port und Weiterleitung sind zwei paar Schuhe und müssen beide gesetzt sein (außer, wenn du public:5001 auf privat:5001 weiterleitest).
--> Einfach mal im DSM in den Einstellungsfenstern oben rechts auf das Fragezeichen klicken. Online Hilfe ist ganz passabel geschrieben in der Zwischenzeit.

Ob die Loopback Funktion in der Horizon vorhanden ist, weiß ich gerade nicht. Aber daran könnte es liegen, ja.
In Selfoss kannst du vermutlich nur EIN Ziel einstellen? ddnsort?
Selfoss ist doch ein web-basierter news-reader, aggregator, oder?
Wenn der auf der Syno läuft, braucht er vermutlich lokal (localhost) auf der Syno Zugriff auf mysql, aber nicht von extern. Hätte ich jetzt mal intuitiv gesagt von der Erfahrung mit anderen Diensten, die auf mySQL speichern (z.B. owncloud, openfire, ...). Sollte man mal nachforschen...

Ich habe mir inzwischen wegen solchen Dingen anders geholfen.
Mein Router unterstützt zwar Loopback, aber ich habe trotzdem den sauberen Weg über einen internen DNS Server auf der Syno genommen und habe damit intern wie extern identische URLs für den Zugriff auf Dienste. Der zweite Grund war, dass ich damit auch das Gemeckere im Browser vermeide hinsichtlich des SSL-Zertifikats (das auf ddns-URL lautet), wenn ich zur Vermeidung von Loopback intern per LAN-IP auf die DS zugegriffen habe. Ich habe jetzt DSM https Port auf z.B. 34521 eingestellt, externer Port ist leer, Weiterleitung im Router ist 34521 -> 34521. Damit kann ich jetzt das https-DSM immer und überall (LAN, WLAN, Internet) mit <https://syno-ddns:34521> erreichen. Noch besser ist natürlich nur per VPN auf den DSM zuzugreifen. Andere Dienste, z.B. Audio Station kann man ja immer noch via Applikationsportal auf einem separaten Port verfügbar (incl. Portweiterleitung im Router versteht sich) machen, um diese auch ohne VPN und ohne seinen DSM Port zu verraten nutzen zu können.
Eine geteilte Dateiverknüpfung via File Station lautet leider immer auf den externen DSM Port. Ich glaube Synology wollte für diesen Fall mit DSM 5.2 oder später mal Abhilfe schaffen und das noch weiter trennen.
Sicher wäre nur überhaupt keine Dienste nach außen anzubieten und nur per VPN ins LAN zu gehen und die Diskstation nur so zu nutzen. Dabei muß man natürlich auf einige Funktionen und Komfort verzichten und wird deshalb in der Praxis einen Kompromiss eingehen (wer will schon bei Bekannten einen VPN-Client installieren, nur um z.B. Photos zu zeigen). Oder wie einige hier seine Daten in kritisch und unkritisch teilen und 2 Diskstations betreiben, von denen nur eine auch von extern erreichbar ist.

 

[MacAir13]

(...)
Selfoss ist doch ein web-basierter news-reader, aggregator, oder?
Wenn der auf der Syno läuft, braucht er vermutlich lokal (localhost) auf der Syno Zugriff auf mysql, aber nicht von extern. Hätte ich jetzt mal intuitiv gesagt von der Erfahrung mit anderen Diensten, die auf mySQL speichern (z.B. owncloud, openfire, ...). Sollte man mal nachforschen...
(...)

Genau, Selfoss ist ein web-basierter news-reader / aggregator und bekommt über die Syno Zugriff auf mysql. Ursprünglich konnte ich über den ddns hostnamen (http://xxx.myds.me/selfoss) gleichermaßen von außen und aus dem eigenen WLAN auf Selfoss zugreifen. Das funktioniert nun aber nur noch von extern. Aus dem eigenen WLAN muss ich hingegen über die IP-Adresse meiner DS (192...xxx/selfoss) zugreifen, ohne dann aber Zugriff von außen zu haben.
Der DDNS Status wird weiterhin als "normal" angezeigt.

 

[Thorndike]

Genau, Selfoss ist ein web-basierter news-reader / aggregator und bekommt über die Syno Zugriff auf mysql. Ursprünglich konnte ich über den ddns hostnamen (http://xxx.myds.me/selfoss) gleichermaßen von außen und aus dem eigenen WLAN auf Selfoss zugreifen. Das funktioniert nun aber nur noch von extern. Aus dem eigenen WLAN muss ich hingegen über die IP-Adresse meiner DS (192...xxx/selfoss) zugreifen, ohne dann aber Zugriff von außen zu haben.
Der DDNS Status wird weiterhin als "normal" angezeigt.

Das ist ein erwartungskonformes Verhalten. Intern verhindert DNS Loopback den Zugriff und extern ist deine interne IP nicht bekannt. Bei Fritzboxen kann man laut Anleitung allerdings einzelne Domains in der Konfiguration doch freischalten, bei einem kurzen Test hat es bei mir nicht funktioniert aber da ich es nicht brauche habe ich das nicht weiter verfolgt.