eingeschränkter Zugriff per dyndns aus dem lokalen Netz

Status
Für weitere Antworten geschlossen.

DaFabi

Benutzer
Mitglied seit
11. Jul 2018
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

mein Problem ist, dass wenn ich versuche aus dem Heimnetzwerk per DynDNS-Adresse auf meine NAS-Dienste zuzugreifen ist das teilweise nur eingeschränkt möglich. Ich habe bereits einiges dazu gelesen und bin natürlich auch schon auf die bekannten Probleme, verursacht durch NAT-Loopback gestoßen. Ich vermute zwar, dass dies die Ursache ist. Aber:

Der Zugriff, über die beschriebene Methode ist nicht gänzlich gesperrt, sondern eben nur manchmal. Was sich doch nicht damit vereinbaren ließe, dass es ein NAT-Loopback Problem ist.
Denn manchmal ist es möglich über die DynDNS aus dem lokalen Netz auf die Diskstation zuzugreifen und manchmal timen jegliche http-requests aus. Alle weiteren beschriebenen Aktionen geschehen ausschließlich auf diesem Weg. Wenn ich beispielsweise auf dem iPhone Moments verwenden möchte und zeitgleich am Windows PC auf die Calendar App zugreifen möchte, funktioniert weder das eine noch das andere. Am PC allein kann ich sonst eigentlich immer auf alles drauf... Mir ist so als würde es erst Probleme mit NAT-Loopback geben, wenn viele Zugriffsversuche von verschiedenen Geräten auftreten. Danach lässt sich eine geraume Zeit lang keine der laufenden Anwendungen mehr von intern über DynDNS ansprechen. Die iOs Apps verursachen, aber die meisten Probleme, manchmal geht alles wie es sein soll und manchmal funktioniert leider gar nichts...

Meine Setup ist:

- eine ds 718+ mit aktiver Firewall
- Regel an Lan1 sind:​
- Zugriff auf alle Anwendungen, die von außen erreichbar sein sollen, mit geographischer Einschränkung von De und At aus.​
- Für den gesamten vom DHCP-Server(Fritzbox) vergebenen lokalen Adressbereich sollen alle Ports geöffnet sein.​

- eine Fritzbox 7490 als Router
- in der die gewünschten Ports extern auf die DS mit fester IP intern zeigen​
- die den DynDNS-Part übernimmt​

- iOs und Android Geräte/ Windows PC/ MacBookPro

Testweise habe ich einmal im DNS-Rebind-Schutz der Fritzbox meine Domain zu den Ausnahmen hinzugefügt, auch das hat nichts gebracht. Spricht wieder gegen die Theorie, dass es ein Problem mit NAT-Loopback gibt.

Woran kann es liegen? Wie kann ich es sonst noch beheben?

Danke

Ps: von einem DNS-Server auf dem NAS habe ich auch schon gelesen, diese Lösung scheue ich jedoch noch, da ich weder das Problem eindeutig identifizieren konnte, noch habe ich abgesehen von einer gefundenen Anleitung keine Ahnung von der Einrichtung von DNS-Servern
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Da gibt es nichts zu "beheben", das Problem ist so wie es ist und es wird sich auch nicht einfach ändern lassen. Die einzige Lösung für "dieses" Problem - da Du explizit den DDNS-Dienst erwähnst - wäre ein lokaler DNS-Server, welcher für die DDNS-Adresse nicht die "korrekte" (öffentliche) IP ausgibt, sondern statt dessen die "lokale" des NAS.

Die "vernünftigste" Lösung wäre allerdings, wenn Du schlichtweg so tust, wie Du tun sollst: Wenn Du im heimischen Netz bist, sprich das Gerät gefälligst auch über den internen Namen oder die interne IP an :p
 

DaFabi

Benutzer
Mitglied seit
11. Jul 2018
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Danke blurrrr für die schnelle Antwort.

Da du meinst ein lokaler DNS-Server würde das Problem beheben, gehst du also auch von einem Problem mit NAT-Loopback aus. Darf ich da kurz eine Verständnisfrage einwerfen, wird das Problem nun von dem DNS-Rebind Schutz der Fritzbox verursacht? Oder gibt es da noch andere Problemquellen? Und, falls der DNS-Rebind Schutz verantwortlich sein sollte, wieso werden die Verbindungen dann manchmal "erlaubt"?

Ja die von dir angesprochene "vernünftigste" Lösung mag wohl tatsächlich am vernünftigsten sein, jedoch leider definitiv nicht am komfortabelsten.
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Hast du nur IPv4 oder auch IPv6 in deiner DynDNS?
Ich finde es auch komfortabler wenn ich den Handy Apps nicht im internen Netzwerk immer eine neue Anmeldung zuweisen muss.
 

DaFabi

Benutzer
Mitglied seit
11. Jul 2018
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Mein Anschluss hätte sowohl als auch, aber mein DynDNS-Dienst (Strato) kann meines Wissens nach nur IPv4
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Du kannst, um sicherzugehen, auf deinem PC mal im Kommandofenster nslookup meinedomain.de eingeben oder einfach hier http://ping.eu/nslookup/ deine domain eingeben und schauen was da angezeigt wird. Wenn auf der Seite etwas von meinedomain.de has IPv6 address XXXX:XXXX:XXXX... steht dann wäre auch eine IPv6 dabei, dann könnte man dies als eventuelle Ursache noch identifizieren.

Achso und der DNS Rebind Schutz sollte nur in der FritzBox sein, sofern du nicht noch woanders eine Firewall (außer der DS) installiert hast.
 

DaFabi

Benutzer
Mitglied seit
11. Jul 2018
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Nein gibt mir nur eine IPv4 zurück.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Es "ist" ein Problem mit dem NAT-Loopback. Fragst Du intern nach der IP für die DDNS-Adresse wirst Du als Antwort Deine "öffentliche" Adresse bekommen (also von innen quasi einmal raus und direkt wieder rein), so funktioniert das nunmal. Die einzige Möglichkeit von "intern" ohne weitere Probleme auf den "externen" DDNS-Namen zugreifen zu können, wobei sich das Ziel sowieso "intern" befindet, ist die Auslieferung einer (schlicht ausgedrückt) "falschen" Antwort im internen Netz, welche direkt auf das interne Ziel verweist. Tendentiell läuft sowas unter der Begrifflichkeit "split-dns" - je nachdem "wo" man sich grade befindet, gibt es eine "andere" Antwort. Meist ist es so: von intern eine interne Adresse, von extern eine externe Adresse. Wäre mit dem Konstrukt das gleiche...

Allerdings komme ich nicht darum herum auch noch darauf hinzuweisen, dass es ggf. mit Mobilgeräten zu Problemem führen könnte aufgrund des DNS-Cache. Bist Du mit dem Handy im WLAN und spricht das Ding via DDNS an, wird die lokale IP ausgeliefert. Soweit ok. Antwort landet im Cache. Verlässt Du nun das Haus und der Cache des Handys hat noch die alte Antwort, wird Dein Handy ggf. versuchen die "lokale" IP des Gerätes anzusprechen. Andersrum wäre es ebenso. Warst unterwegs, DNS-Antwort mit externe IP liegt im Cache, Zuhause - gleiches Problem wie vorher. Könnte man - sofern Probleme auftreten - aber ggf. mit einem TTL-Anpassung mildern (sowohl beim DNS-Server der Syno, als auch beim DDNS-Anbieter).

"jedoch leider definitiv nicht am komfortabelsten.

Hast Du schon mal versucht Deine Haustür innen von aussen aufzuschliessen? Ist auch so verdammt schade, dass das Gerät nicht einfach alles von alleine macht und Du am besten nur zugucken musst. Jepp. Ist traurig. Ist nicht schön... aber...: "isso" :p;)

EDIT: Eine mögliche Lösung wäre noch der Quickconnect-Dienst (der erkennt automatisch, ob Du intern oder extern bist), dann hast Du es auch bequem :eek:
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
nachdem der Provider plötzlich 'aus Sicherheitsgründen' den Loopback gesperrt hat, habe ich zumindest in meinem heim PC eine hosts Datei angelegt, da kann ich jetzt immer mit der ddns Domain angeben.
Auf Mobile Geräten halt dann zwei Zugänge gespeichert, eines mit ddns für draussen und eines mit der lokalen IP für zu hause
 

DaFabi

Benutzer
Mitglied seit
11. Jul 2018
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Interessant woher weißt du, dass der Provider den Loopback gesperrt hat? Ich habe das Problem nämlich auch noch nicht schon immer (ja manchmal gab es hin und wieder kleine Probleme), aber seit kurzem ist es schon sehr extrem unzuverlässig geworden. Ich dachte die FritzBox kommt wohl mit der kürzlich auch gestiegenen Anzahl an Geräten ins Schwitzen und kann die Loopbacks nicht mehr richtig erkennen und bearbeiten. Denn eigentlich müsste die 7490, laut Web, eben in der Lage sein mit dem Loopback richtig umzugehen.

Ein weiteres Manko, das beim wechseln auftritt ist, dass ich für Anwendungen die extern zur Verfügung stehen sollen im internen Netz immer Zertifikatswarnungen bekomme.

dass das Gerät nicht einfach alles von alleine macht

Ich scheue nicht die "Arbeit" Dinge umzustellen zu müssen, aber wenn man vergisst zu wechseln, können eben manche Dinge nicht mehr im Hintergrund geschehen. Dadurch wird der eigentliche Sinn und Nutzen vieler Anwendungen reduziert. Es ist auch nicht nur Faulheit...

Mit Quickconnect muss ich zugeben habe ich mich noch gar nicht befasst, aber ich werde aus weiteren Gründen bei meiner DDNS bleiben.

EDIT: Ich werde mich mal noch weiter mit einem lokalen DDNS-Server beschäftigen
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268

DaFabi

Benutzer
Mitglied seit
11. Jul 2018
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Hallo hab jetzt den DNS-Server aufgesetzt und konfiguriert. War alles halb so wild.
Einzig der Dual Stack Betrieb meines Routers machte mir dann noch Probleme, weil im Netzwerk damit ein IPv4 DNS-Server (das NAS) und ein IPv6 DNS-Server (Standard des Routers) vorhanden waren und die einen Geräte dann (wie gewollt) den DNS des NAS kontaktiert haben, während andere wiederum auf den IPv6 Server zurückgegriffen haben. So war das ganze natürlich nicht gedacht, da der IPv6 DNS des Routers ja wieder ein Loopback verursachte. Ich habe mich als einfachste Methode dazu entschieden den IPv6 Betrieb des Routers ganz zu deaktivieren, da ich daraus meines Wissen keinen Nutzen ziehe... (DDNS synct eh nur die IPv4) und sonst wären mir keine anderen Anwendungen bekannt.
Oder habe ich im Bezug auf IPv6 etwas vergessen/übersehen?
Ansonsten Danke für den Rat

EDIT: Die damit erreichte Funktionalität sollte meiner Meinung nach zum Standard Nutzererlebniss bei der Verwendung von DDNS gehören. Denn beispielsweise Evernote was von der NoteStation ersetzt werden soll funktioniert logischerweise auch außerhalb und innerhalb gleich.(ist ja beides eigentlich immer außerhalb...) Ein zusätzlich verbundener Aufwand beeinträchtig wie bereits erwähnt die Funktionalität und den Nutzen, dieser Anwendungen.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat