Automatische Blockierung eigene WAN-Adresse wird blockiert

[stefan19773]

Hallo,
ich nutze eine DS720+ aktuell läuft DSM 7.1.1-42962 Update 5 als OS.
Auf Grund eigener Dummheit, musste ich meine NAS komplett zurücksetzen
und alles wieder neu Installieren und Konfigurieren.
Soweit läuft wieder alles, jedoch macht die die "Automatische Blockierung"
in letzter Zeit Kopfschmerzen, ich nutze auf der NAS den MailPlus Server.
Auch hier läuft alles super, aktiviere ich jedoch die "Automatische Blockierung"
werde ich mit meiner WAN Adresse 93.236.2.... nach gewisser Zeit Blockiert.
Setze ich die Aktuelle WAN Adresse als Whitelist, läuft es bis ich eine neue
IP-Adresse erhalte, dann geht Spaß von vorne los.
Firewall hab ich zum testen Aktiviert und auch Deaktiviert, aber ohne Erfolg.
Benutzername und Passwörter auf den Clients die auf den MailPlus Server zugreifen
sind korrekt eingegeben. Leider bin ich nun am Ende mit meinem Latein...

Kennt jemand das Prob. oder hab ich etwas übersehen????


Danke im Voraus
Stefan

 

[plang.pl]

Steht was im Protokoll Center?

 

[stefan19773]

ja, im Protokoll erscheint immer diese Meldung, mit der Aktuellen IP-Adresse




dies IP-Adresse erscheint auch in der Blacklist, entfern ich sie dort und füge sie
zur Whitelist hinzu, läuft alles bis ich eine neue IP-Adresse bekomme.

 

[plang.pl]

Und was ist, wenn du sie blockiert lässt?
Merkst du, dass irgendein Gerät nicht mehr zugreifen kann?

 

[stefan19773]

Mit allen Geräten kann ich keine Mails abrufen und auch nicht mehr auf die NAS zugreifen.

 

[plang.pl]

Dann stimmt aber bei dir irgendwas routingtechnisch nicht. Kann ich aber nicht genau sagen, betreibe selbst keinen Mailserver.
Normalerweise solltest du ja, wenn du aus dem Heimnetz zugreifst, nicht mit der öffentlichen IP an deinem NAS ankommen, sondern mit der privaten IPv4 des Endgeräts

 

[stefan19773]

Ich greife nicht nur lokal auf den Server sondern auch Extern über meine domain.
Ich habe alles so eingestellt das ich generell, Extern auf den Mailserver zugreifen kann, um nachzuvollziehen ob es auf läuft.

 

[luddi]

Benutzername und Passwörter auf den Clients die auf den MailPlus Server zugreifen
sind korrekt eingegeben.

Wenn das der Fall sein sollte, würde mich das Log interessieren. Da müsste doch zu finden sein welcher User vergeblich versucht sich anzumelden. Damit lässt sich natürlich noch nicht auf das Gerät in deinem Netzwerk schließen aber zumindest wäre das ein Indiz für eine fehlerhafte Anmeldung, auch wenn behauptet wird, dass alle Benutzer und Kennwörter auf allen Clients korrekt eingegeben worden sind.

Einfach nochmal in Ruhe nachschauen welcher User bzw. welcher Client das verursacht.

 

[Benares]

Mich wundert etwas, dass ausgerechnet die Public-IPv4 des Routers gesperrt wird. Ich hätte eher gedacht, dass da, trotz NAT, eher die IPv4 des Endgeräts gesperrt wird, das sich falsch anmeldet.

 

[luddi]

Das kann schon passieren, wenn man von intern über die public Domain zugreift.

 

[Benares]

Mmh, darüber muss ich mal nachdenken

 

[luddi]

@Benares
Schau ich habe einmal so getan als würde sich "benares" an meinem System anmelden während der Zugriff über die Public Domain erfolgt während ich mich im lokalen Netzwerk befinde.

 

[Benares]

Und 91.50.... ist wirklich die Public-IPv4 deines Routers? Interessant
Again what learned

Edit: Also ist @stefan19773s Problem eher ein interner Client, der die externe IP/DDNS-Name nutzt und mit falschen Credentials zugreift?

 

[ctrlaltdelete]

Sehe ich auch so

 

[luddi]

Und 91.50.... ist wirklich die Public-IPv4 deines Routers?

Ganz genau!

ein interner Client, der die externe IP nutzt und mit falschen Credentials zugreift?

Davon gehe ich stark aus.

Again what learned

Prinzipiell ist das auch nicht überraschend, denn selbst wenn ich vom lokalen Netzwerk via Public Domain zugreife erfolgt erst eine DNS Anfrage und man bekommt die IP-Adresse der Domain zurück.
Nun wird über den Router versucht zu dieser die IP-Adresse zu verbinden und der Router bemerkt, dass es sich um seine eigene öffentliche IP-Adresse handelt und schickt die Anfrage somit nach intern (wegen der Portfreigabe auf 443) an das NAS.
Somit ist dem NAS auch nur die öffentliche IP-Adresse bekannt von welcher der Zugriff erfolgt.

 

[plang.pl]

Bei einem Router mit NAT-Loopback läuft das dann ja anders ab, oder?

 

[Benares]

Es geht wohl nur um NAT-Loopback. Mir war nur nicht klar, dass dann die externe IPv4 des Routers gesperrt wird und damit alle Clients gesperrt werden, die über diesen Weg reinkommen.

 

[plang.pl]

Also ich war der Meinung, dass in dem Falle die Anfrage von der internen IP kommt, weil die Anfrage ja gar nicht erst nach extern geht. Man braucht in dem Falle ja auch keine Portweiterleitungen

 

[Benares]

Doch, die braucht man! Hast du mal probiert von intern über DDNS (also externe IP) auf einen internen Dienst zuzugreifen ohne Portweitleitung?
Das geht m.W. über das Default-GW an die externe IP und dann wieder über NAT-Loopback/Firewall zurück ins interne Netz.

 

[luddi]

Ja es geht tatsächlich um NAT-Loopback und dabei wird auch die externe IP-Adresse an den aufrufenden Server übermittelt.
Das kenne ich auch nur wie @Benares anmerkt, dass man zwingend die Portweiterleitung benötigt um hierüber zugreifen zu können.