DynDNS, Synology NAS, FRITZ!Box

[DS218x]

Hallo,

Wenn ich meine Domain neu einrichte funktioniert es für ein paar Minuten/Stunden danach kommt aber die FRITZ!Box Seite zum erscheinen, wenn ich auf die Domain zugreife.
Ich möchte das man nur über https (Port 443) auf meine Seite zugreifen kann. Die Seite wird über .htaccess geschützt.

Die anderen Services und Ports funktionieren soweit wie z.B. DSM aber die Webstation macht Probleme. Wie bereits erwähnt möchte ich das man wenn man auf meine Domain geht das meine Seite angezeigt wird über https und nicht die FRITZ!Box Seite.

Warum wird man auf die FRITZ!Box Seite weitergeleitet?

Die DynDNS Verbindung steht erfolgreich im FRITZ!Box sowie in der Synology.

PS: DynDNS und Ports sind nur für IPv4 freigeschaltet. Vielleicht versucht der Server die IPv6 DNS aufzulösen?

Liebe Grüße
DS218

 

[Janüscht]

Wenn du nur IPv4 benutzt, solltest du im Netzwerk die IPv6-Option auch deaktivieren. Ansonsten müsstest du IPv6 auch richtig einrichten und freigeben. Bedenke, dass User mit IPv6-only keinen Zugriff auf deine Webseite erhalten. Das mag zwar sehr selten sein, ist aber dennoch möglich.

Was die ".htaccess" angeht, kann man das so machen oder über den reverse Proxy. Man muss aber auch den Port 80 freigeben! Die Umschreibung findet auf dem Server statt und nicht vor dem Router. Somit müssen beiden Ports 80 & 443 von außen erreichbar sein. Das heißt aber nicht, dass die Verbindung danach unverschlüsselt ist, dass es eine Umschreibung gibt.

Aktuelle Webbrowser bevorzugen "https" (oder kann man einstellen). Somit ist es für eine Vielzahl an Usern nicht nötig, dort Veränderungen vorzunehmen, und es reicht nur, den Port 443 zu öffnen. Der Nachteil ist natürlich, dass die Webseite nicht über http aufgerufen werden kann. Wenn man die komplette Adresse, also mit "https" eingibst, ist das Problem natürlich nicht, sondern, nur wenn du "deinedomain.de" eingibst.

Zum Schluss empfehle ich dir, für die "anderen Services" Subdomains zu nutzen und keine abweichenden Ports. Diese anderen Ports machen dein System auch nicht sicherer, aber bieten mehr Angriffsfläche durch die Öffnung. Ein Portscan ist sehr schnell durchgeführt. Lass alles über den Port 443 laufen, stelle die Firewall in der DS richtig ein incl. Geoblocking und nutze das Blocklist-Script von @geimist. Damit bist du bestens versorgt. Wer noch mehr mag und z.B. Docker-Container absichern will, kann fail2ban zusätzlich installieren. Das Script und die IP-Listen beruhen aber auf fail2ban-Logs, natürlich mit einer leichten Verzögerung.

Ich hoffe du kommst jetzt weiter...

 

[Benares]

Die DynDNS Verbindung steht erfolgreich im FRITZ!Box sowie in der Synology.

Greifst du wirklich von außen zu oder von innerhalb deines LANs/WLANs? Wenn innerhalb, dann ist es so, dass man auf der Fritzbox landet, wenn irgendwas mit der Weiterleitung nicht klappt. Warum das so ist, weiß ich auch nicht. Ich hatte das auch mal beobachtet und bei AVM nachgefragt. Die sagten, das wäre so.

DynDNS und Ports sind nur für IPv4 freigeschaltet. Vielleicht versucht der Server die IPv6 DNS aufzulösen?

Das kannst du leicht selbst herausfinden, indem du mit "nslookup <Name>" schaust, welche IPs aufgelöst werden. Nur IPV4, nur IPv6 oder beide?
Wenn eide, dann weißt du nie welche davon verwendet wird. Außerdem brauchst du, neben der Portfreigabe dafür, bei IPv6 die IPv6 der DS und nicht die der Fritte.

 

[DS218x]

So, jetzt funktioniert es wieder. Mal abwarten ob es auch so bleibt.
Vielen Dank für die lieben Antworten schon mal!

 

[plang.pl]

Und warum funktioniert es wieder? Was hast du geändert?

 

[DS218x]

1. IPv6 in der Synology deaktiviert.
2. IPv6 Übertragung in der DDNS deaktiviert. (Ich hatte vergessen am Update-URL &ipv4=<ipaddr>&ipv6=<ip6addr> zu entfernen.
Mein Hoster wird bei Synology nicht aufgelistet also habe ich mich daran gehalten -> https://www.ionos.de/hilfe/domains/...misches-dns-ddns-einrichten-bei-company-name/

Ich melde mich wieder, falls es immer noch Probleme gibt oder es doch geklappt hat.

 

[Janüscht]

Ich würde das updaten nicht über die Diskstation machen lassen, sondern über den Router. Diese bekommt am schnellsten mit, wenn sich etwas geändert hat. Andere DynDNS-Updater machen dieses nur in bestimmten festgelegten Intervallen. Der Router hingegen, wenn er eine neue IP bemerkt. Dazu ist es nötig, beim Provider die IP der Diskstation als Record zu hinterlegen. Andernfalls wirst du beim Wechseln des Präfixes deines Providers (ähnlich externe IPv4) wieder vor verschlossenen Türen stehen.

Lies einmal hier nach: https://www.synology-forum.de/threa...-von-vodafone-zu-o2-cable.129199/post-1109875

Das Beispiel beschreibt die Vorgehensweise bei Dynv6 und ist bei fast jedem Provider zu übertragen. Damit bist du langfristig besser aufgestellt und sicher.

 

[plang.pl]

Würde ich tatsächlich auch so machen. Zumindest bei IPv4.

 

[Janüscht]

Hier geht es aber um IPv6. Damit ist die Ausgangslage aber etwas anders, aber nicht unbedingt ein Problem, wenn man damit umgehen kann.

Dazu kommt noch der DynDNS-Updater und IPv6, das bekommt jeder Billigrouter hin, nur nicht Synology.

Andere Möglichkeiten gibt es nicht. Entweder einen Record erstellen oder den DynDNS Updater des jeweiligen Geräts nutzen. Beim letzten funktioniert aber die Synchronisierung nur in Intervallen und jedes Gerät muss einen Updater haben. Somit bleibt nur noch Variante 1 als praktikablere Lösung und alles über den Router und Provider machen lassen.

 

[plang.pl]

Aber bei IPv6 muss doch das Endgerät die IP publizieren und nicht der Router?

 

[Janüscht]

Wie wäre es einmal mit dem Text und Link in #7 gelesen?
Ich habe jetzt schon mehrfach beschrieben, wie es funktioniert.

 

[plang.pl]

LOL
Den Link hatte ich irgendwie übersehen. Ich muss da aber auch sagen, dass ich da raus bin. Mit IPv6 habe ich mich noch nicht beschäftigt und werde das wohl so schnell auch nicht tun.

 

[Janüscht]

Du hast doch eine Netcup-Domain, lege dort einfach einen AAAA-Record mit einem Fantasie-Wert an und überprüfe dieses mit nslookup.

 

[DS218x]

Eine Frage hätte ich noch.. wie sieht es mit VPN aus?

Ich möchte auch ein paid VPN verbinden mit der Synology aber dann funktioniert natürlich die DynDNS nicht mehr.

Geht das nicht oder kann man das irgendwo einstellen?

 

[Janüscht]

Mit einem DynDNS kommst du in der Diskussion rein, mit einem VPN willst du in der Regel raus. Somit sind das typischerweise 2 Sachen in unterschiedlichen Richtungen.

Mir fallen keine Beispiele ein, warum ich über ein VPN die Diskstation soll. Ganz im Gegenteil, denn du solltest so viele Länder ausschließen wie möglich. Am besten lässt du in der Firewall nur Deutschland zu und dann gibt es noch genügend Fallstricke, um das System angreifbar zu machen.

Du musst schon etwas mehr beschreiben, was du genau machen willst, dann kann man dir sagen, ob es geht oder nicht oder ob es sogar eine bessere Möglichkeit gibt.

 

[DS218x]

Ich möchte nur das ein paar Dienste über meine Subdomain erreichbar sind.
Auch möchte ich meine Synology mit gekauftem VPN verbinden um die IP zu verschleiern.
Dann funktioniert aber DDNS nicht mehr, weil die VPN IP die externe Adresse wird. Kann man das irgendwo einstellen?

 

[Janüscht]

Das mit dem Verschleiern halte ich für ein Gerücht.
Du kannst aber bei einem Record aber auch ein Ziel angeben, was aber nicht zielführend sein wird. Das Geld für ein VPN kannst du dir sparen, wobei die auch nicht wirklich etwas verstecken, sondern nur für Laien gedacht sind. Das kann man wegen Geoblocking gut verwenden bei sicherheitskritischen Sachen, aber nur bedingt.

Dazu kommt auch noch, dass du nicht eine IPv4 mit einer IPv6 erreichen kannst und umgekehrt. Dazu benötigst du einen Portmapper wie z.B. 6tunnel und einen VPS mit einer externen IPv6 (IONOS hat nur noch IPv4).

Eventuell überlegst du dein Vorhaben noch einmal.