DSM 6.x und darunter Kein Zugriff über DDNS (myds.me)

[maf86]

Ich versuchs mal irgendwie in worte zu fassen:
Ich hab bei meinem synology nas ein ddns eingerichtet, um extern darauf zugreifen zu können etc.
Feste IP hab ich dem NAS zugewiesen, ports 5000 und 5001 sind im Router auch freigegeben, sicherheitszertifikat ist auch erstellt und gehostet hab ich das ganze direkt bei synology.
Wenn ich jetzt aber eine sichere Verbindung zum NAS aufbauen will (xxxx.myds.me:5001) kommt eine Netzwerk Zeitüberschreitung.

Ich kann zwar auf das NAS zugreifen, aber eben nicht über die freigegeben ports, was verhindert dass ich "drive" nutze bzw von extern darauf zugreifen kann....

Es funktioniert weder aus dem Netzwerk selbst, noch aus einem externen.

Kennt jemand das Problem und kann mir weiterhelfen?
Vielen Dank schon mal

 

[Kurt-oe1kyw]

Willkommen im Forum.
Wenn du in dein Synology Konto schaust, kannst du dort deine DS mit deiner Seriennummer sehen und ist in der Spalte DDNS der von dir ausgesuchte Name korrekt eingetragen und die Ampel auf "grün" und kannst du in der Spalte IP deine korrekte, öffentliche IP vom Router sehen?

 

[maf86]

Willkommen im Forum.

Vielen Dank

Ja ist alles zu sehen, auch auf grün, Name ist auch korrekt und die IP stimmt auch...

mein ausgwählter Name ist in der Spalte DDNS auch anklickbar (als link), aber auch da kommt eine Zeitüberschreitung....

 

[Deus of the Wired]

Greifst du mit dem DDNS-Namen von innerhalb deines eigenen LANs auf die DS zu oder von außerhalb?
Wenn von innerhalb, ist das von hinten durch die Brust ins Auge. Noch dazu kann es sein, daß bei Verwendung einer FRITZ!Box deren DNS-Rebind-Schutz zuschlägt.

 

[maf86]

Ja von innerhalb, allerdings klappt es von einem externen Netwerk auch nicht.
Ist keine Fritzbox, sonder ein TP-Link

 

[zaphod_b]

Servus,

eine Frage und eine Idee dazu: Kann es sein, dass Du einen DSL-Anschluss mit DS-Lite (Dual Stack Lite) hast? Wenn das der Fall ist, hast Du - möglicherweise - erst mal verloren. Ich habe, zumindest was ich der Beschreibung entnehmen konnte, ein Problem bei mir derzeit nämlich auch so ähnlich:

Fritzbox an DDNS-Dienst angebunden
Zugriffsversuch von Außen über die DDNS-URL (per VPN, in meinem Fall) auf die NAS oder wasauchimmer.

Egal, was man macht, durch DS-Lite wird ein erfolgreicher Verbindungsversuch "nach Hause" verhindert... Das Problem ist, dass man mit DS-Lite quasi keinen richtigen IPv4-Anschluss mehr hat, sondern die eigenen, internen IPv4-Pakete durch einen IPv6-Tunnel nach außen gegeben werden. "Draußen" hat man dann quasi keine vernünftige, bekannte IPv4 mehr, sodass genau diese Verbindungen in Richtung zu Hause nicht mehr funzen... Such mal nach "DS-Lite" bzw. "Dual Stack" zu dem Thema. Es ist zum Heulen.

Was mir dazu noch einfällt (hab ich selbst alles mangels Zeit noch nicht versucht):

1) Probier mal, Dich von der Syno aus direkt mit dem DDNS zu verbinden, am besten gleich in der IPv6-Variante, eventuell funzt das ja. Dazu musst du aber auf der DS auch IPv6 aktivieren.
2) Eventuell gleich die komplette Heimelektronik auf IPv6 umstellen (halte ich aber für utopisch)
3) Den Internetanbieter bearbeiten, dass er auf "echten" Dual Stack (beide IP-Varianten) umstellt (halte ich ebenfalls für utopisch)
4) Einen anderen Anbeiter mit einer noch echten IPv4-Anbindung suchen (mittlerweile schwer zu finden und wahrscheinlich teuer)

Gruß

Zap

Tante Edit: Es gibt Checks im Netz, die Dir sagen können, ob Dein Anschluss einer mit DS-Lite ist, einfach bei der Suchmaschine Deiner Wahl suchen.

 

[maf86]

Servus,

eine Frage und eine Idee dazu: Kann es sein, dass Du einen DSL-Anschluss mit DS-Lite (Dual Stack Lite) hast? Wenn das der Fall ist, hast Du - möglicherweise - erst mal verloren. Ich habe, zumindest was ich der Beschreibung entnehmen konnte, ein Problem bei mir derzeit nämlich auch so ähnlich:

....

Tante Edit: Es gibt Checks im Netz, die Dir sagen können, ob Dein Anschluss einer mit DS-Lite ist, einfach bei der Suchmaschine Deiner Wahl suchen.

Ja den Tipp hab ich grad auch von einem Kollegen bekommen, und wenn man mal kurz die Suche anschmeißt, dann sieht man überall Beschwerden über ds lite...
Ich hab leider keine Erfahrung mit QuickConnect, aber das funktioniert doch mit IPv6 oder?
Gibts da irgendwelche Nachteile bzw. Themen zu beachten?

Leider finde ich grad keinen richtigen "Check" um zu überprüfen, ob ich nun v4 oder v6 habe. Hast du da einen Link an der Hand?

1) Probier mal, Dich von der Syno aus direkt mit dem DDNS zu verbinden, am besten gleich in der IPv6-Variante, eventuell funzt das ja. Dazu musst du aber auf der DS auch IPv6 aktivieren.
2) Eventuell gleich die komplette Heimelektronik auf IPv6 umstellen (halte ich aber für utopisch)
3) Den Internetanbieter bearbeiten, dass er auf "echten" Dual Stack (beide IP-Varianten) umstellt (halte ich ebenfalls für utopisch)
4) Einen anderen Anbeiter mit einer noch echten IPv4-Anbindung suchen (mittlerweile schwer zu finden und wahrscheinlich teuer)

Eine Möglichkeit ist noch, das ganze mal bei mir im Netzwerk daheim zu probieren (aktuell noch im Büro, deswegen werden Punkte 2,3,4 etwas schwer...)

 

[Deus of the Wired]

Ja von innerhalb, allerdings klappt es von einem externen Netwerk auch nicht.

Das ist schon mal die erste Hürde. Wenn du in deinem eigenen LAN zu Hause bist, willst du die Daten ja nicht zum Router, zu deinem Provider, durch dessen Peeringwolke, wieder zurück zu deinem eigenen Anschluß schicken – was nebenbei auch durch deinen Upload begrenzt wird, der bestimmt nicht so hübsch schnell wie dein Heimnetzwerk ist – und letztlich zur DS schicken, sondern gleich zur DS ohne diesen Umweg durch das halbe Internet. Veranschaulichung Sprich die DS deshalb mit ihrer lokalen IP an, wenn du im heimischen LAN etwas mit ihr machst. Du kannst dir in deiner hosts-Datei auch eigene Namen festlegen, die auf lokale IPs zeigen, z. B.

192.168.0.23 dsdaheim

Außerhalb dann eben den DDNS-Namen benutzen.

Für die Funktionalitätsprüfung der Ports kannst du einen der Dienste nutzen, den zaphod_b angesprochen hat, z. B. http://canyouseeme.org/

Die Problematik mit DS-Lite bzw. IPv6 und CGN ist noch im Hintergrund vorhanden. Das umgeht man sonst mit einem kostenpflichtigen Anbieter wie feste-ip.net, der einen 4to6- bzw. 6to4-Tunnel aufbaut.

Synology bietet mit dem Dienst QuickConnect allerdings auch die Möglichkeit, die Synology-Server sozusagen als Mittelsmann einzubinden und über sie die Kommunikation mit der DS laufen zu lassen. Dann fällt sogar die EInrichtung von Portweiterleitungen weg. Nachteil ist, daß man Synology dann vertrauen muß, nicht in die Verbindungen zu gucken.

https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/connection_quickconnect

https://www.synology-forum.de/archive/index.html/t-91593.html

Um entscheiden zu können, was du brauchst, müssen wir wissen, ob an deinem Anschluß v4, v6, DS oder DS-Lite mit CGN zum Einsatz kommt. Welchen Anbieter hast du und wie heißt der Tarif? Was steht oben in der Mitte, wenn du https://www.wieistmeineip.de/ aufrufst?

Ist keine Fritzbox, sonder ein TP-Link

Diesen WAN-Loopback-Filter haben auch manche andere Hersteller eingebunden. Ist für den größten Teil der Anwender ein Sicherheitsgewinn, führt bei einem kleinen Teil der Anwender aber zu Problemen wie du sie gerade hast. Welches Modell genau benutzt du in welcher Revision? Das Typenschild auf der Unterseite gibt Auskunft.

 

[maf86]

Das ist schon mal die erste Hürde. Wenn du in deinem eigenen LAN zu Hause bist, willst du die Daten ja nicht zum Router, zu deinem Provider, durch dessen Peeringwolke, wieder zurück zu deinem eigenen Anschluß schicken – was nebenbei auch durch deinen Upload begrenzt wird, der bestimmt nicht so hübsch schnell wie dein Heimnetzwerk ist – und letztlich zur DS schicken, sondern gleich zur DS ohne diesen Umweg durch das halbe Internet. Veranschaulichung Sprich die DS deshalb mit ihrer lokalen IP an, wenn du im heimischen LAN etwas mit ihr machst.

Das war auch nur zum Einrichten gedacht, Zugriff vor Ort dann direkt über Kabel.


http://canyouseeme.org/
bestätigt mir, dass die Ports zu sind (nicht nur 5000, 5001, sondern auch 80, 443 etc.)


Anbieter ist die Telekom, genaueres kann ich leider nicht checken, da ich hier auch nur eingemietet bin und der Vermieter sonstwo im Ausland sitzt und nicht einmal auf dringende Anfragen reagiert...
Router wäre der TP-Link WDR4300 v1

Ich denk ich lese mich einfach mal in das Thema QC ein, probier ein bisschen rum und hoffe, dass die Lösung darüber dann befriedigend ist.

 

[Deus of the Wired]

Kannst du einen Screenshot des Portforwardingmenüs des TP-Link-Routers posten?

Telekom ist ehrlich gesagt der einfachste Anbieter in solchen Sachen. Die machen es seit Jahren vorbildlich mit richtigem DS. Zum Testen z. B. https://www.wieistmeineip.de/ aufrufen – oben in der Mitte sind felder für IPv4 und IPv6, die bei Vorhandensein ausgefüllt werden.

Der TP-Link WDR4300 v1 ist verbreitet und okay. Allerdings ist das ein reiner Router ohne Modem. Ein DSL-, DOCSIS- oder LTE-Modem muß also noch irgendwo stehen und Verbindung zum TP-Link haben. Laut Anleitung beansprucht der TP-Link Port 80 und 443 erst mal für sich, bietet aber eine Umverlegung an. Das solltest du wahrnehmen. Seite 114 im verlinkten Handbuch erklärt den Vorgang. Seite 67 – 69 erklärt Forwarding.

 

[maf86]

So nach einer Woche voller Notfälle widme ich mich nun wieder dem Problemkind, sry für die Verzögerung.

Also laut wieistmeineip.de ist IPv6 nicht vorhanden, nur IPv4.
Den Screenshot füge ich an...

 

[Tuvok42]

Die IP-Adresse (in der Spalte IP Adress) gehört deiner Syno? Wenn Ja: Firewallfreischaltung in der Syno überprüft?

 

[Deus of the Wired]

Wenn die unkenntlich gemachte lokale IP aus dem Screenshot immer der DS zugewiesen wird, ist das erst mal okay so. Prüfe die fünf Ports mit einem Portcheck wie http://canyouseeme.org/

 

[Andy+]

Entferne mal die feste IP und vergebe das über DHCP, das könnte bereits das Problem erledigen.

 

[maf86]

Wenn die unkenntlich gemachte lokale IP aus dem Screenshot immer der DS zugewiesen wird, ist das erst mal okay so. Prüfe die fünf Ports mit einem Portcheck wie http://canyouseeme.org/

Ports sind nicht erreichbar...

Entferne mal die feste IP und vergebe das über DHCP, das könnte bereits das Problem erledigen.

du meinst über die Netzwerkeinstellungen / Netzwerkschnittstelle?
Dort hab ich dhcp bereits aktiviert, ändert aber nichts an der ip adresse....

Die IP-Adresse (in der Spalte IP Adress) gehört deiner Syno? Wenn Ja: Firewallfreischaltung in der Syno überprüft?

Firewall der Diskstation ist nicht aktiviert.

 

[Deus of the Wired]

Ports sind nicht erreichbar...

Dafür gibt es drei Möglichkeiten:

1. Auf den Ports laufen keine Dienste
2. Die DS nutzt eine andere IP als die, an die die Ports vom TP-Link-Router geforwardet werden
3. Die Firewall der DS verwirft Pakete

1. Darf als ausgeschlossen betrachtet werden.
2. Welche IP hat deine DS? An welche IP werden die Ports geforwardet? Das Unkenntlichmachen der lokalen IP in Heimnetzen bringt wenig bis gar nichts.
3. Hast du selbst ausgeschlossen.

Feste IP hab ich dem NAS zugewiesen

Wie? Im TP-Link-Router über static DHCP? In der DS selbst ihr eine statische IP gegeben? Nutzt du eine DS mit mehr als einem RJ-45-Port?

 

[Kurt-oe1kyw]

du meinst über die Netzwerkeinstellungen / Netzwerkschnittstelle?
Dort hab ich dhcp bereits aktiviert, ändert aber nichts an der ip adresse....

Mal langsam.
In deinem Netzwerk musst du dich schon entscheiden welches deiner Geräte den DHCP Dienst übernimmt und somit leitet. Im Normalfall der Router.
Wenn du eine fixe IP verwendest MUSS diese sich zwingend ausserhalb vom automatischen DHCP Bereich befinden, sonst führt das zu Kollisionen im Netzwerk.
Wenn du DHCP in der DS aktivierst dann versucht die DS die IP Adressen in deinem Netzwerk zu verwalten und ebenso der Router. Das geht nicht gut.

 

[maf86]

Dafür gibt es drei Möglichkeiten:

1. Auf den Ports laufen keine Dienste
2. Die DS nutzt eine andere IP als die, an die die Ports vom TP-Link-Router geforwardet werden
3. Die Firewall der DS verwirft Pakete

1. Darf als ausgeschlossen betrachtet werden.
2. Welche IP hat deine DS? An welche IP werden die Ports geforwardet? Das Unkenntlichmachen der lokalen IP in Heimnetzen bringt wenig bis gar nichts.
3. Hast du selbst ausgeschlossen.



Wie? Im TP-Link-Router über static DHCP? In der DS selbst ihr eine statische IP gegeben? Nutzt du eine DS mit mehr als einem RJ-45-Port?

Ich habe der diskstation mit dhcp über den router eine feste IP zugewiesen



und das Port forwarding geht auf diese IP




ich hab eine ds718+ mit zwei Anschlüssen, bin aber nur über die 1 am Router angeschlossen

 

[Hemacher]

Hallo

ich habe leider ein ähnliches Problem mit der Erreichbarkeit meiner Synology DDNS Adresse außerhalb des Netzwerks.
Im Forum habe ich schon einiges dazu gelesen, aber ich wollte bei Euch noch mal nachhaken, ob ich wirklich alles korrekt verstanden versucht habe...

Mein Internetanschluss ist bei Unitymedia 400k Leitung DSL-Lite (leider ist die Umschaltung auf eine Feste-IP nur möglich in Verbindung mit einem Geschäftskundentarif)
Dieser würde monatlich 1-2? mehr kosten allerdings habe ich dann "nur" noch eine 200k Leitung.
Ich nutze eine Fritz Box 6490 Cable (auf dem freien Markt gekauft) und durch Unitymedia freischalten lassen.
Mein NAS ist eine DS218+

Über Synology habe ich mir eine Adresse ...myds.me geholt und diese auch in der DS eingerichtet. Lampe leuchtet grün und die so lange ich im internen Netz bin erreiche ich die DS darüber auch.
Meine DS bekommt von der Fritzbox eine Feste IPV4 zugewiesen 192.168.178... diese ist auch schon mehrere Tage unverändert. Auch über die Eingabe der IP komme ich auf die Box aus dem internen Netz.
Von außerhalb des Netzwerks erreiche ich DS nicht über meine DDNS Adresse.
Quick Connect funktioniert für Photostation & Filestation.
Ich habe mir nun auch einen TS3-Server auf der DS installiert und würde für die Erreichbarkeit außerhalb des Netzwerks nun meine DDNS-Adresse benötigen.
Auch der Zugriff auf Photostation und Filestation wäre laut meiner Recherche über DDNS schneller als über den Quick-Connect umweg.

Welche aktuellen Lösungsansätze gibt es aktuell?
Kann ich über über die myfritz Adresse etwas erreichen und wie ist hier der aktuelle weg?
Oder bleibt mir wirklich nur die Umstellung auf Geschäftskundenanschluss?

Im Voraus besten Dank für Euer Feedback!