DDNS via IPv6

[Stieni-08]

Hallo in die Runde!

Da der Zugriff auf mein Synology Nas über QuickConnect echt unfassbar langsam ist, möchte ich den Fernzugriff auf mein Nas via DDNS verwirklichen. Allerdings habe ich kein Vorwissen und benötige leider eine art Schritt für Schritt Anleitung.


Eine DDNS Adresse habe ich mir bei Synology schon gesichert. Allerdings bietet mein Internetanbieter Teutel keine IPv4 Adressen für Privatkunden an, daher müsste ich alles via IPv6 einrichten. Auch weiss ich nicht, welche Ports ich freigeben muss.

Vielen Dank im Voraus!

Georg

 

[JudgeDredd]

bei IPv6 werden keine Ports freigegeben/weitergeleitet, es wird lediglich in der Firewall die IP und der Port erlaubt.
Wie das im Detail bei Dir aussieht, kann man, ohne zu wissen welche Routing Hardware Du verwendest nicht beantworten.

 

[Stieni-08]

Alles klar, welche Informationen benötigst du?

Ich hab ne FritzBox 5590 Fiber.

 

[JudgeDredd]

Das ist schonmal eine gute Information und die richtige Stelle, allerdings kann ich nur die Theorie darlegen und nicht im Detail der Konfiguration helfen, da ich keine Konsumerhardware verwende. Aber da wird es bistimmt Andere Helfer geben, die es für Dich detaillierter wissen. Du kannst aber mal schauen, ob man dort IPv6 Freigaben machen kann und ob Deine DS bereits über eine öffentliche IPv6 verfügt (nicht fc00:: fd00:: fe80:: ). Die DNS Bekanntmachung ist dann eher der letzte Schritt.

 

[Stieni-08]

Ja, in der FritzBox kann man IPv6 Portfreigaben einrichten und ja, meine DS hat Bereits eine öffentliche IPv6 Adresse. Sie beginnt mit: 2a01:

 

[JudgeDredd]

Prima, dann sind die Services Deiner DS bereits jetzt (abgesehen von den Firewall ) theoretisch erreichbar.
z.B. im Browser mit der Syntax https://[2a01:.....]:5001/
Um den letzten Schritt zur Erreichbarkeit zu vollziehen, müsstest Du nun die Portfreigabe in der Fritzbox eintragen.
Für das Beispiel empfehle ich dies ausdrücklich NICHT, aber es ist letztendlich natürlich Deine Entscheidung welche Portfreigaben Du erlaubst.

Danach kannst Du von ausserhalb Deines Netzwerkes dies über die obige Syntax in einem Browser testen. Dazu muss der Client ebenfalls über eine öffentlich IPv6 verfügen (in DE ist dies mittlerweile auch über Mobilfunk gegeben. Dies gilt aber möglicher Weise nicht für alle Winkel dieses Planeten )

Wenn auch dieser Test erfolgreich war, kommt der finale Schritt Deiner IP-Adresse einen DNS Record zu geben.

 

[Stieni-08]

im Browser mit der Syntax https://[2a01:.....]:5001/

Hat leider nicht geklappt...

Warum empfiehlst du die Portfreigaben nicht?

Gibt es eine andere Lösung? eventuell über VPN. Wenn QuickConnect nicht so langsam wäre, dass ich in der Schule 20 Minuten auf meine PowerPoint warten muss, würde ich dies ja weiter nutzen...

 

[Benares]

https mit IP und Zertifikat geht leider nicht. Zertifikate gelten meist nur für Namen.

 

[JudgeDredd]

Hat leider nicht geklappt...

Kann man diese Aussage evtl. noch etwas spezifizieren ?
- Bekommst Du einen TimeOut oder evtl. nur eine Zertifikatswarnung ?
- als IPv6 Adresse hast Du exakt die Deiner DS/RS verwendet ? (nicht die vom Router)
- Hast Du die Freigabe korrekt in der Fritzbox eingetragen ?
- existieren auf der Strecke evtl. weitere Firewalls ? (z.B. auf der DS/RS selbst)
- erfolgte der Versuch tatsächlich aus einem anderen Netz (nicht von einem Client der das gleiche Präfix verwendet)

Warum empfiehlst du die Portfreigaben nicht?

Der freigebene Service auf Port 5001 ermöglicht das anmelden zur Administration der DS/RS. Dies ist nur so sicher, wie auch das Webfrontend programmiert wurde. Da Du dies nicht selbst warst, könnten SIcherheitslücken vorhanden sein.

 

[Heimi75]

Eine Lösung wäre, lediglich den Port 443 in Richtung Diskstation freizugeben und alles andere via den eingebauten, zwar rudimentären, aber dafür absolut ausreichenden Reverse Proxy zu machen.
Dafür müsstest Du aber zwingend eine *.synology.me Adresse machen, denn nur mit denen (jedenfalls bei den Anbietern, die die DS von Haus aus bietet) sind Reverse Proxy möglich.
Siehe auch diese Anleitung, ist hier sehr gut erklärt.
Ich habe so eine grosse Anzahl Freigaben gemacht, aber ausser dem Port 443 war nach aussen hin nichts freigegeben.

 

[Lambrone]

Ja, es ist möglich, ein Let's Encrypt Zertifikat für eine Synology DiskStation mit nur IPv6 und DDNS zu verwenden. Es ist wichtig, dass der AAAA-Eintrag (IPv6) Ihres DDNS-Hostnamens korrekt auf die öffentliche IPv6-Adresse Ihrer Synology DiskStation verweist.

Schritte zur Konfiguration:

1. 1. DDNS einrichten:
   Stellen Sie sicher, dass Ihre Synology DiskStation über einen DDNS-Dienst (z.B. Synology DDNS) mit einem FQDN (voll qualifizierter Domainname) konfiguriert ist.
2. 2. IPv6-Adresse überprüfen:
   Überprüfen Sie, ob Ihre DiskStation eine öffentliche IPv6-Adresse hat und diese korrekt über Ihren DDNS-Anbieter mit Ihrem FQDN verknüpft ist.
3. 3. Let's Encrypt Zertifikat beziehen:
   Rufen Sie in der Synology DSM (DiskStation Manager) Systemsteuerung unter Sicherheit > Zertifikat ein neues Zertifikat von Let's Encrypt ab. Geben Sie dabei Ihren DDNS-Hostname als Domainnamen und Ihre E-Mail-Adresse an.
4. 4. Zertifikat verwenden:
   Nach der erfolgreichen Registrierung können Sie das Zertifikat für HTTPS-Verbindungen zu Ihrer Synology DiskStation verwenden.
   

Wichtige Hinweise:

• Stellen Sie sicher, dass Ihr Router IPv6 unterstützt und korrekt konfiguriert ist, damit Ihre DiskStation eine öffentliche IPv6-Adresse erhält. Port 80 und 443 in der Fritz!box öffnen.
• In der DS Firewall Port 80 und 443 öffnen
• Certificat Anforderung ausfüllen (Lets Encrypt) DS Hostname und gültige Email Adresse. DDNS Hostname = Name des sie beim Provider notiert hatten. (z.B. DDNS Hostname. Besispiel.de)
  
  
• Wenn Sie Probleme beim Abrufen des Zertifikats haben, überprüfen Sie die DNS-Einstellungen Ihres DDNS-Anbieters und stellen Sie sicher, dass der AAAA-Eintrag korrekt auf Ihre IPv6-Adresse verweist.
  
  
• Synology DDNS unterstützt sowohl IPv4 als auch IPv6, sodass Sie Ihre DiskStation auch dann über DDNS erreichen können, wenn Sie nur eine IPv6-Adresse haben.
  
  
• Let's Encrypt-Zertifikate sind standardmäßig 90 Tage gültig, werden aber von Synology DSM automatisch verlängert, solange die DNS-Konfiguration korrekt ist.

 

[Stieni-08]

Hallo in die Runde!

Vielen Dank für eure zahlreichen Antworten, ich bin nun ein ganzes Stück weiter.
Es scheint bei mir an den Portfreigaben zu scheitern! Wenn ich die Ports in der Fritzbox Freigebe, werden diese auch freigeschaltet, allerdings aktiviert / nutzt meine DiskStation keinen der Ports. Ich bekomme die Fehlermeldung: Fehlgeschlagen.

Ich hoffe, ihr habt da Ideen!
Vielen Dank!

Anbei ein paar Screenshots.

 

[JudgeDredd]

Hallo Stieni-08,
- warum nutzt Du die "Routerkonfiguration" ? davon war nie die Rede ?
- die IPv4 Adresse brauchst Du nicht unkenntlich machen. das ist die CGNAT (100.64.0.0/10) von Deinem ISP
Welche Services Deiner DS/RS möchtest Du denn überhaupt erreichbar machen, davon hängt ja der Port ab.
Machs es doch erstmal der Reihe nach wie vorgeschlagen.

 

[Hagen2000]

Bei DDNS scheint noch IPv4 freigegeben zu sein, dort sollte die Externe Adresse(IPv4) auf „Deaktivieren“ gestellt werden.

 

[Lambrone]

Im Register DNS (Synology) ist der aktuelle DDNS Provider zu Parametrieren.

 

[Stieni-08]

Im Register DNS (Synology) ist der aktuelle DDNS Provider zu Parametrieren.

Schuldigung, ich verstehe nicht, was Sie meinen.

 

[Stieni-08]

Hallo Stieni-08,
- warum nutzt Du die "Routerkonfiguration" ? davon war nie die Rede ?
- die IPv4 Adresse brauchst Du nicht unkenntlich machen. das ist die CGNAT (100.64.0.0/10) von Deinem ISP
Welche Services Deiner DS/RS möchtest Du denn überhaupt erreichbar machen, davon hängt ja der Port ab.
Machs es doch erstmal der Reihe nach wie vorgeschlagen.

Ich möchte Synology Drive, Surveillance, photos und einen Docker container hauptsächlich nutzen.

 

[JudgeDredd]

Auswendig weiß ich leider nicht welcher Service, welche Ports nutzt. Das müsstest Du schon selbst wissen.
Ich habe mal gegoogelt und für Photo, sollte es 80 (http) oder 443 (https) sein. Fang doch mit denen beiden mal an und sag bescheid ob es damit klappt, dann ist der rest ja nur noch Fleißarbeit.

 

[Stieni-08]

So, die Anforderungen von Lambrone vom Sonntag habe ich nun erfüllt.

Kann man diese Aussage evtl. noch etwas spezifizieren ?
- Bekommst Du einen TimeOut oder evtl. nur eine Zertifikatswarnung ?
- als IPv6 Adresse hast Du exakt die Deiner DS/RS verwendet ? (nicht die vom Router)
- Hast Du die Freigabe korrekt in der Fritzbox eingetragen ?
- existieren auf der Strecke evtl. weitere Firewalls ? (z.B. auf der DS/RS selbst)
- erfolgte der Versuch tatsächlich aus einem anderen Netz (nicht von einem Client der das gleiche Präfix verwendet)



Der freigebene Service auf Port 5001 ermöglicht das anmelden zur Administration der DS/RS. Dies ist nur so sicher, wie auch das Webfrontend programmiert wurde. Da Du dies nicht selbst warst, könnten SIcherheitslücken vorhanden sein.

Ich bekomme eine Fehlermeldung (Siehe Screenshot).
Ja, das ist die IP meines Nas und die Ports 80 und 443 sind in der FritzBox für ipv6 freigegeben. Die Ports habe ich nun auch in der Firewall meiner DS freigegeben.

 

[Stieni-08]

Ach ja, die Routerkonfiguration ist nun aufgeräumt, ich hoffe, so wars richtig.