DDNS Ausfall?

[SoniX]

Hallo,

wir haben in unserer Firma folgende Konfiguration:

DDNS mit firmenname.synology.me
DDNS in Systemsteuerung sagt Verbindung normal. Externe Adresse wird auch korrekt erkannt.

Weiters nutzen wir Reverse Proxy für diverse Dienste wie Chat, File, Photo, etc.

Das NAS läuft, ist über SMB als auch über IP Adresse erreichbar.
Der Zugriff funktioniert sowohl von intern mit internen IP als auch von extern mittels externer IP Adresse auf Port 5001 und auch 443.

Aber jeglicher Zugriff auf firmenname.synology.me ist tot; ebenfalls natürlich auch der Reverse Proxy welcher darauf aufbaut.

Das ist natürlich doof, weil wir den Zugriff über DDNS laufen haben und so alle unsere Anwendungen auf dem Handy und Verknüpfungen am Desktop nichtmehr funktionieren.

Wo kann man denn den Status von synology.me einsehen?
Direkt aufrufen kann man die Domain ja nicht und DSM sagt die Verbindung sei in Ordnung.

Funktioniert DDNS bei euch?

Danke für die Info.

Edit: Habe gerade die Seite gefunden wo der Status einsehbar ist. https://www.synology.com/de-de/support/synology_service
Allerdings wird dort alles auf Betriebsbereit angezeigt. Warum funktioniert aber DDNS nichtmehr?

Edit: Ich musste gestern das Active Insight Paket deaktivieren. Das hatte bei uns für durchgängig hohe Last gesorgt und ohne Ende auf die Platten geschrieben. Heute dann hat das NAS ein QuickConnect Update gemacht. Das sollte aber beides nichts mit DDNS zu tun haben.

 

[plang.pl]

mittels externer IP Adresse auf Port 5001

Den Port 5001 ins Netz zu hängen ist keine gute Idee. Insbesondere nicht als Firma. Nur, dass du es mal gehört hast.

Auf einem PC kannst du mit dem Kommandozeilentool "nslookup" prüfen, ob der DDNS auch tatsächlich auf die korrekte IP auflöst. Das musst du für den DDNS selbst und für die Subdomains einmal testen. Wenn der auf die korrekte ext. IP auflöst, dann liegt es nicht am DDNS. Denn für mehr als die Auflösung ist der nicht zuständig.

 

[luxdunkel]

Hallo,

ich habe seit Dienstag die selben Probleme, hier die Antwort des Supports:

Hallo,

Vielen Dank, dass Sie sich an den Synology Support gewendet haben. Wir schätzen Ihre Geduld und Ihr Verständnis.

Wir haben das von Ihnen erwähnte Problem untersucht, und unser Entwickler hat bestätigt, dass unser Server gestern Opfer eines Angriffs wurde. Um unsere Systeme zu schützen und die Sicherheit unserer Dienste zu gewährleisten, blockiert unser Schutzmechanismus automatisch übermäßige Anfragen. Dadurch kann es bei einigen Benutzern vorübergehend zu Schwierigkeiten bei DNS-Anfragen gekommen sein.

Wir entschuldigen uns aufrichtig für eventuelle Unannehmlichkeiten, die Ihnen dadurch entstanden sind.

Wenn Sie weitere Fragen oder Bedenken haben, können Sie sich gerne an uns wenden. Wir sind hier, um Ihnen zu helfen.

 

[Ulfhednir]

Verwendet ihr den reinen DynDNS zum Login oder habt ihr einen DNS-Record (CNAME) gesetzt, womit die DynDNS auf eine Subdomain verweist?
Wenn ja: Dann könntest du einen Fallback über einen anderen DynDNS-Provider einrichten und den CNAME auf den neuen DynDNS umbiegen.

 

[alexhell]

Bei sowas frag ich mich, wieso Synology nicht von sich aus seine Nutzer informiert. Da würde ich mir grundsätzlich überlegen, ob ich nicht lieber einen anderen Anbieter nehme. Wenn sie sowas nicht im Griff haben, dann sollen sie es nicht anbieten.

 

[metalworker]

Als Firma würde ich euch empfehlen entweder eine Feste IP zu bekommen.
Oder alternativ DDNS über euren Hosting Provider wo eure Domain liegt.
Die meisten bieten das auch an.

 

[luxdunkel]

ich verwende keinen DNS-Record. Ein klein wenig ärgert es mich, dass bis heute nichts im Vorfallprotokoll bei Synology steht. Ich überlege mir jetzt, eine feste IP zu beantragen. Was passiert dann mit der Adresse name.synology.me? Kann ich sie weiter behalten?

 

[metalworker]

Theoretisch kannst dir behalten . bleibt ja bestehen dann.
Aber ich würde da nen richtigen DNS Record nehmen .

 

[SoniX]

Hallo!

WOW, Das ist ne Menge Antwort und Input für solch kurze Zeit. SAGENHAFT!

Habe gerade mit nslookup nachgesehen; wird korrekt aufgelöst.
Natürlich ist das Problem jetzt auch komplett verschwunden und jeglicher Zugriff funktioniert wieder. -.-

Um auch auf eure Antworten einzugehen:

Ich hätte es liebend gerne über unsere Domain laufen, aber da hat der externe Dienstleister seine Finger drauf und rückt die Zugangsdaten leider nicht raus. Von dem wegzukommen erweist sich aber leider als schwieriger als gedacht; da gibt es Firmeninterne Blockaden und dann müssten wir auch den Exchangeserver umziehen.

Ich weiß; Port 5001 ist offen. Ist mir bewusst.
VPN wäre natürlich angebracht, allerdings auch hier Firmeninterne Blockaden. Derjenige welcher den VPN verwaltet will keine Zugänge rausgeben, aber da unsere Mitarbeiter Zugriff benötigen musste ich es ohne VPN realisieren. Ich habe es zumindest maximalst abgesichert mit 2FA, Ländersperren, Account und DoS Schutz etc; alle Schutzmaßnahmen die möglich sind, sind auch aktiv. Leider klappts nur mit Port 443 nicht....

Nein, nur DDNS über den Synology Dienst, kein Fallback. Und leider kein Zugriff auf auf die Domain DNS. Zuhause habe ich einen Fallback integriert, da bräuchte ich nur den DNS Eintrag ändern. Hier aber leider nicht möglich.

Ja, eine Info seitens Synology wäre schon toll. Vorallem hatte deren Statusseite ja auch keine Fehler angezeigt obwohl welche vorhanden waren.

Eine fixe IP hätten wir sogar ;-)
Aber das merken sich die Mitarbeiter nicht... darum wird über DDNS zugegriffen.
Und da kein Zugriff aufs unsere Domain, kann ich die IP leider nicht hinterlegen :-/

Ich bin nicht ganz glücklich mit unserer Lösung. Das würde sauberer gehen. Ich musste das beste aus der Situation machen um einen möglichst guten Kompromiss aus Arbeitsfähigkeit und Sicherheit herstellen. In Summe funktioniert es, aber könnte besser sein.

 

[Kachelkaiser]

Firmeninterne Blockaden

Muss bei sowas immer den Kopf schütteln. Kleine Fürsten, die ihr Fürstentum ganz alleine regieren wollen. Sind die dann auch mit im Boot, falls sicherheitstechnisch was passiert oder eher vorne beim fingerpointing dabei???

Hilft dir jetzt nicht weiter, aber der Drang zum Meckern war einfach zu groß. Sorry

 

[metalworker]

eiei das klingt ja aber auch übel.
Bist du bei euch der IT Verantwortliche ?

Grundlegen geht Sicherheit immer vor Komfort .
Und Ports öffnen nur weil einer keine VPNs erstellen will ?

Aber doof natürlich wenn du da nichts ändern kannst.

 

[Kachelkaiser]

Bist du bei euch der IT Verantwortliche ?

einer ja.

 

[metalworker]

ich meinte Sonix ;-)

 

[Kachelkaiser]

ah sorry. Lasst mich einfach liegen

 

[SoniX]

Sagen wir so: Ich habe es inoffiziell übernommen.

Als ich in die Firma kam, bestand die EDV aus einem QNAP NAS mit einer Platte welches im Eck am Boden lag (tatsächlich lag und nicht stand).
NAS und Platte schon überaltert (5+Jahre), keine Updates drauf, kein RAID, kein vernünftiges Backup, nichts.

Ich habe dann umgestellt auf eine 923+, RAID-1, mehrstufiges (verschlüsseltes) Backup (3-2-1), Useraccounts, USV, neue Verkabelung, etc.
Daraus hat sich dann auch ergeben dass ich einen Admin Account aufs NAS habe und zum Glück zumindest das administrieren kann.
Natürlich alles vom Chef genehmigt, weil auch der mit der bisherigen Lösung unzufrieden war.
Den IT Verantwortlichen haben wir aber übergangen, dieser verwaltet offiziell bis heute. Und bei diesem liegt halt Router, VPN, etc.

Man kann dem IT Verantwortlichen zugute halten dass er sehr auf Sicherheit bedacht ist. Das ist auch der Grund warum er keine VPN Zugänge erstellen will (außer für sich selbst). Aber wir haben mehr als die Hälfte externe Mitarbeiter und die brauchen immer wieder Zugriff auf Daten. Zuvor war das alles sehr kompliziert mit Anrufen und Verzögerungen verbunden. Wobei das mit der bedachten Sicherheit so eine Sache ist wenn die Daten da ungesichert auf veralteten Geräten am Boden rumliegen... ich konnte das nicht ansehen.

Wobei es mit einem VPN auch nicht so einfach wäre. Wir bräuchten einen VPN Server (Derzeit läuft das auf der Firewall mit bescheidener Performance), die Geräte der Benutzer müssten durchgängig damit verbunden sein (Chat App soll ja durchwegs erreichbar sein), auch ein VPN braucht einen offenen Port, das System und der VPN Server wollen auch gewartet sein. Wir müssten auf dem Server dann auch die User bzw Zertifikate (getrennt vom NAS) verwalten. Alles halt auch zusätzlich Arbeit und auch mögliche Fehlerquellen.

Man wird sehen wo die Reise hingeht.

 

[plang.pl]

keine VPN Zugänge erstellen will (außer für sich selbst)

Aber stattdessen auf zig Portweiterleitungen zu setzen erhöht die Sicherheit ja auch nicht

 

[metalworker]

also mal ehrlich , wenn der Admin keine vernünftigen Backups und Updates macht , dann gehört dem alles aus der Hand genommen.

Und mit VPN geht vieles besser.
Du kannst dann auch in der Firewall einstellen wohin die VPN Clients dürfen und wohin nicht.

Was habt ihr denn für eine Firewall im Einsatz ?


Rede mit deinem Chef und sage Ihm auch das du es nur machen kannst wenn du auch alles in der Hand hast .
sonst würde ich da an deiner stelle für nichts Verantwortung übernehmen