Toggle sidebar

2FA failed, admin ausgesperrt, DNS

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

S

SoniX

Benutzer
Registriert
14. Okt. 2010
Beiträge
821
Reaktionspunkte
62
Punkte
48
Hallo,

das Problem betraf zwar unseren Router, aber meine Frage bezieht sich allgemein auf 2FA.

Was tun im Fehlerfall?

Wir hatten vorige Woche plötzlichen Internetausfall. Kurz gecheckt, DNS Auflösung tot, IP Adressen pingen funktionierte. Also wollte ich mich in den Router einloggen, was aber fehl schlug.

Was war passiert? Der DNS Server hatte wohl einen Aussetzer, der Router konnte nichtmehr auflösen, dadurch auch die Systemzeit nicht synchronisieren und damit kam ich als Admin mit 2FA nichtmehr rein.

DNS als single Point of failure. Das darf so nicht sein. Ich musste einen Reset machen. Auf dem Router hat das noch geklappt, aber was bei der Diskstation wenn dort 2FA ausfällt und der Reset Knopf in den Settings deaktiviert ist?

Wie würdet ihr mit so einem Problem umgehen? Ich mag das nicht nochmal haben...

Und allgemein würde ich am liebsten die Resetknöpfe komplett deaktivieren, auch wenn sie mir da der letzte Ausweg waren. Aber bei unseren Mitarbeitern ist schnell wer da der meint es besser zu wissen und sich mit dem Knopf Adminzugang verschafft.

Liebe Grüße
SoniX
 
2FA mit TimeBaseCode kann nicht funktionieren wenn die Systemzeit nicht synchron ist. Der Standard dafür sind 30 sec, d.h. sobald die Uhrzeit des Devices mehr als 30 sec auseinanderliegen kann kein Login mehr durchgeführt werden. Beide Geräte müssen die gleiche Uhrzeit haben. Was mich verwundert ist das du hier etwas vom DNS Server schreibst. Die Zeitsync läuft über NTP. Im Router empfehle ich für Deutschland den Pool als ntp server einzutragen:
https://www.ntppool.org/de/zone/de
Sobald die Internet Verbindung steht, sollte auch die Zeit wieder stimmen. Aus deinem Beitrag kann ich leider die Netzwerktopologie nicht erkennen. Ist das ein Router mit integriertem Modem? Wenn ja, dann dort den ntp Server eintragen und bei den einzelnen Geräten dann den Router als Zeitserver hinterlegen. Selbst wenn keine Verbindung zum Internet vorhanden ist, gibt der Router dann die korrekte Zeit aus, so lange man ihn nicht zwangsweise neu startet, denn dann fällt er auf ein Standardatum und Uhrzeit zurück.
Es gab mal einige Module die man im Netzwerk oder an den Server anklemmen konnte, die holten sich die Zeit per GPS oder DCF77, da kann man sich einen kleinen Raspberry zusammenbauen der das güsntig übernimmt, sollten es noch mehr Zeitkritische Anwendungen geben.
 
  • Like
Reaktionen: Ronny1978
Na das könnte den Hergang ja schon schön aufdröseln.
Internetzugang klappte nicht mehr. Modem und Router wurden neu gestartet. 2FA ging nichtmehr.

ntp ist eh hinterlegt als Zeitserver.... nur ohne Namensauflösung (oder anderen Internetproblemen), kann der nicht erreicht werden und nach dem Neustart ist die Zeit weg (?) und dann ist man ausgesperrt. Das sollte ja nicht so sein.......

Ist einfach nur ein RT6600ax an einem DSL Modem.

Ja, intern hatte alles noch funktioniert.
Emails in Outlook empfangen auch noch teilweise, senden aber nichtmehr. Ping an den Provider DNS klappte, Namen wurden aber nichtmehr aufgelöst.
Aber letztendlich braucht man ja auch Internetzugang und deswegen musste das Problem gelöst werden.

Man hat ja eigentlich den Workaround sich den Code per email senden zu lassen, falls das Handy nicht verfügbar ist.
Nur ohne Internet kann das System auch keine mail senden -.-

Oh, ich wünschte wir hätten einen abschließbaren Schrank.....

Findest man in der Systemsteuerung, Aktualisieren und Wiederherstellen, System zurücksetzen.
Dort kann man den Haken setzen damit das Adminkennwort bestehen bleibt.
Klappt aber nur auf Diskstations, nicht beim Router. Der hat diese Option nicht.
 
SoniX schrieb:
..Ist einfach nur ein RT6600ax an einem DSL Modem.....
Zum Vergrößern anklicken....
Dann sollte man die Reihenfolge beachten, erst Modem neu starten, dann den Router. Zugangsdaten für den ISP sind im Modem hinterlegt? Erst wenn dort alles "Grün" ist den RT6600ax neu starten. So lange der Router nicht neu gestartet wird hält der intern die Zeit.
PS: Reset Taster oder was auch immer zu deaktivieren ist eine ganz schlechte Idee wenn man sich unbewußt selbst mal aussperrt war es das dann in den meisten Fällen. Wenn überhaupt kann man dann nur noch über einen Masterreset auf Werkseinstellungen kommen und muß alles neu konfigurieren. Hoffe es gibt wenigstens zeitnahe Backups.

Reset Taster kann man auch mit einem passenden Bügel und Vorhängeschloss sichern, sofern es keinen Serverschrank zum abschliessen gibt. Diese 19 Zoll Racks gibt es recht günstig, da kann man einen kleinen mit 4HE nehmen und die wichtigen Komponenten darin einschliessen. Da ist man mit unter 100€ dabei.
 
Zuletzt bearbeitet:
Hmm, ja okay. Da habe ich mich falsch ausgedrückt.

Aber besser als nichts. Ein kompletter Reset fällt schnell auf; das Ding kommt garnichtmehr online und kann auch nichtmehr auf die Daten zugreifen sofern verschlüsselt. Mal eben schnell den Admin zurücksetzen fällt wohl niemanden so schnell auf.
 
Für solche Fälle synchronisieren alle meine internen Geräte mit einem Raspberry 2 Zero mit RTC.
Dieser synchronisiert selbst 4x am Tag mit dem Zeitserver der PTB.

Ja, die Zeit mag nicht immer zu 100% der Atomzeit entsprechen, jedoch ist sie innerhalb des internen Netzes gleich.

Man könnte sogar um Tage daneben liegen,
Solange ALLE Uhren intern gleichermaßen Falsch gehen, macht das für die 2FA keinen Unterschied
 
Beim Router wird der Adminzugangs zurückgesetzt. So steht es bei Synology und so war es auch.
 
Skyhigh schrieb:
Für solche Fälle synchronisieren alle meine internen Geräte mit einem Raspberry 2 Zero mit RTC.
Dieser synchronisiert selbst 4x am Tag mit dem Zeitserver der PTB.

Ja, die Zeit mag nicht immer zu 100% der Atomzeit entsprechen, jedoch ist sie innerhalb des internen Netzes gleich.
Zum Vergrößern anklicken....

Das wäre wohl die einzig wirkliche Lösung um solchen Problemen aus dem Weg zu gehen; abseits von 2FA deaktivieren.
 
Was auch noch gehen würde, eine Art Notfall Zeitserver einrichten.

In manchen Routern kann man mehr als einen Zeitserver zum synchronisieren einrichten, da könnte man einen primären im Internet als Server 1 und einen lokalen als Fallback in Server 2 eintragen.

Auch möglich wäre eine DNS Umleitung, das alle Anfragen an eine bestimmte Adresse, beispielsweise ptbtime1.ptb.de an eine interne Adresse (die Synology kann als zeit-/NTPServer fungieren) umgeleitet werden.
Das alles ist aber in meinen Augen blöd zu Managen, weshalb ich mich für die Methode mit dem Raspi entschieden habe
 
Skyhigh schrieb:
Für solche Fälle synchronisieren alle meine internen Geräte mit einem Raspberry 2 Zero mit RTC.
Dieser synchronisiert selbst 4x am Tag mit dem Zeitserver der PTB.
Zum Vergrößern anklicken....
Die Überlegungen sind ja richtig und gut, aber wie bringst Du jetzt deine Smartphones, auf denen ja üblicherweise die TOTP-Apps laufen, dazu, deinen eigenen Zeitserver zu verwenden?
 
@Hagen2000
Per DNS Umleitung.
Solange sie im WLAN sind, werden die Domain Namen der Zeitserver auf die IP meines Raspis umgeleitet

Zusätzlich läuft auf den PCs noch die Software Ente Auth(Passwortgeschützt), in welchen ich die Codes ebenso generieren kann

Edit 1h später:
Zumal die Zeit des Raspi, sofern Internet verbunden ist, ja loocker innerhalb der Toleranz liegt.
Hier die Letzte Synchonisierung des Raspi mit dem Google Server gestern (ich mische die Adressen für NTP Abfragen durch)

ZeitSync.png

Das man theoretisch Tage daneben liegen kann, passiert hier natürlich nicht in wirklichkeit.
Der Raspi verliert, dank RTC Modul, auch während eines Stromausfalls die Zeit nicht.
Wer da noch einen drauf setzen möchte, könnte den Raspi mit einem GPS Modul ausstatten und die Zeit vom GPS Satelliten übernehmen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Hagen2000
Also, ich habe jetzt erstmal eine zweite WAN Verbindung eingerichtet. Wenn die erste ausfällt, sollte die zweite einspringen.

Interessant fand ich in dem Zusammenhang auch "Load-Balancing", aber da wir auf DDNS setzen, klappt das nicht. DDNS wechselt dann dauernd die IP. Und da es sowieso kein echtes Load-Balancing ist, bleibt es derweil eben ein Fail-over.

Den lokalen Zeitserver finde ich sehr interessant. Aber je mehr ich mich einlese, desto komplexer wird es. Das Problem ist, die Endgeräte dazu zu bringen den lokalen Zeitserver zu nutzen. Windows nutzt per default time.windows.com; Android nutzt time.android.com. Das müsste man pro Endgerät umstellen oder die Domains umleiten.

Was ich aber nicht verstehe. Wenn ich die Internetverbindung kappe, den Router neu starte, dann hat er trotzdem nicht die Zeit vergessen. Also war die Grundannahme sowieso falsch.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten