Internet Zugang Nextcloud auf Synology

[Fusion]

Na ja, irgendwas zwischen mir und deiner DS filtert den Verkehr. Und wenn die 95.x IP die öffentliche deiner Fritzbox ist, dann irgendwo von Fritzbox bis DS.



Entweder Portfreigaben nochmal löschen und neu setzen, oder die Fritzbox komplett zurück setzen und schauen, dass keine Automatik mehr von der DS darauf zugreift (Stichwort : Externer Zugriff > Router-Config)

Und noch zur Sicherheit:
http(s)://nas-ip, oder
http(s)://nas-ip/nextcloud
im lokalen Netz funktionieren aber einwandfrei?

 

[ralle2k]

Also es scheint am Inet Anbieter zu liegen. Was nun? Alles über IPv6 machen? Da kenne ich mich nicht so aus.

 

[luddi]

Also es scheint am Inet Anbieter zu liegen. Was nun? Alles über IPv6 machen? Da kenne ich mich nicht so aus.

@ralle2k Sag mal, warum ignorierst du denn meine Beiträge? Den Hinweis hatte ich dir bereits von Anfang an gebeben.
Post #6, #10, #12. Und dein Post #19 zeigt der 2. Screenshot bereits deutlich "DS-Lite-Tunnel".

Das ist typisch für einen Vodafone Kabelanschluss.

 

[ralle2k]

Ja sorry du hast recht. Ich habe mich nur gewundert dass ich ja dennoch eine IPv4 Adresse über dyndns bekommen (95.90.240.240). Aber anscheinend ist die nicht direkt an der FB verfügbar weil Kabelnetz. :-/

Läßt sich das ganze denn nun auch über IPv6 einrichten oder muss ich auf ein VPN zurückgreifen?

 

[Andy+]

Da ist jetzt einfach Testen und Suche im Internet angesagt.

Du kannst auch eine DNS von AVM nehmen, um Deine FB wenigstens in die Lage zu versetzen, eine IP4/6 in die Weiterleitungen eintragen zu können. Ob diese externe IP dann verwendbar ist, ist ja erstmal gleich:

 

[Andy+]

Sofern bei Dir IPv6-Adressen angezeigt werden, kannst Du folgendes machen. Gehe in die Netzwerkeigenschaften Deiner Synology:









Unten links steht dann eine IPv6-Adresse für Deine Synology "2003 ........." und diese kopierst Du und setzt diese in Deinen Browser in die Adresszeile ein

https://[2003.........]:5001

und dann mal sehen, was passiert. In jedem Fall aber die Klammern [ ] verwenden.

 

[Andy+]

Anhang anzeigen 53802

.... und mit der dort gezeigten Adresszeile solltest Du Deine FB aus dem Internet erreichen können.

 

[ralle2k]

Mit IPv6 brauche ich ja keine Portfreigaben an der FB mehr. Habe ich das richtig verstanden?

Ich kann meine DS auch mit der direkten IP im Browser ansprechen,



Wie kann ich denn das über einen dns Namen hinkriegen? Der Synology Dienst macht das doch eigentlich oder?


Der DDNS Name löst aber nur die IPv4 Adresse auf. Damit komme ich nicht dran.

 

[Fusion]

Nein, nicht ganz. Du brauchst weiterhin Portfreigaben. Das sind aber keine Dienstweiterleitungen (NAT, IP-Port auf andere IP-Port) sondern Freigaben in der Firewall der Fritzbox. Die Anfrage kommt ja schon mit der richtigen Ziel-IP an der Fritzbox vorbei, freigegeben werden muss sie aber trotzdem. Andernfalls wären ja alle Geräte mit IPv6 direkt über Router hinweg erreichbar. Das wäre eine Sicherheitskatastrophe.

Rein netzwerktechnisch ist ja alles in Ordnung, wenn du die DS schon via IP im Browser erreichst.

Wieso löst der dynDNS nur ipv4 auf? Ich sehe da beide IP Adressen stehen. Die ipv6 deiner DS und die carrier-NAT IP beim Provider die du dir mit anderen Kunden teilst.

Ja, das sollte auch per dynDNS gehen.
ABER. Jetzt kommt es darauf an mit welchem Externen Client man das testet.
Z.b. Bekommt man bei 92-Telefonica oder Vodafone oder Telekom (anpassbar, nur in den default APN Einstellungen) im Mobilnetz keine IPv6 zugeteilt. So ein Client wird immer versuchen die nicht erreichbare ipv4 versuchen.

In so einem Fall und falls einem ipv4 egal ist nutze ich den ddns updater 2 aus der community und z.b. dynv6.com als Anbieter. Dann mache ich eine dynDNS die nur einen AAAA/ipv6 record besitzt und lasse den von der DS aktualisieren. Weil wo kein 'Sackgassen' IP Eintrag existiert kann auch keiner aufgerufen werden und in Timeout laufen. Der zugreifende Client braucht eben unbedingt ebenfalls eine IPv6.

Noch ne Anmerkung :
Wenn sowohl ipv6 wie auch ipv4 verfügbar sind an einem Gerät wird dieses immer ipv6 priorisieren bzw die Anfragen dort vor der Anfrage via ipv4 raus schicken.
Normal gewinnt ipv6 das Rennen wenn es auf beiden Seiten verfügbar ist.
Allerdings kann es auch passieren, dass die Antwort für ipv4 schneller zurück ist (weil diese Anfrage z.b. Direkt schon beim Provider Router hängen bleibt) und er dann einen nicht funktionierenden Zugang probiert.

 

[Andy+]

..... Wie kann ich denn das über einen dns Namen hinkriegen? Der Synology Dienst macht das doch eigentlich oder?.....

In Nextcloud musst Du im array die in Frage kommenden IP´s und DNS eintragen (Annahme, dass volume1 stimmt)

/volume1/web/nextcloud/config/config.php

z.B.

array (
0 => 'ds-ip-intern',
1 => 'dns-von-synology.myds.me',
2 => 'wasinderfritzboxsteht.myfritz.net',
3 => 'weiteredyndns.org',
4 => '[2003.........]',
x => '..................',
),

und damit stehen dort alle gelistet, die Reihenfolge spielt keine Rolle.

 

[Fusion]

Das von @Andy+ bezieht sich auf die Meldung in deinem Screenshot zu 'trusted domains', nicht auf den Zugang per dynDNS an sich. Darauf hat die nextcloud config ja keinen Einfluß.

 

[ralle2k]

Ja das mit den trusted domains habe ich eingetragen. Danke dafür. ;-)

@Fusion.. danke für die ausführlich info

Ich muss nochmal zurückkommen auf meine IPv6 Adresse der DS, die mit *9d07 endet. Diese ist, obwohl die FB keine Portfreigebe (Firewall) aktiv hat erreichbar. Das wundert mich schon,, da ich das auch als Sicherheitsrisiko sehe oder ist das anders gesichert?



Mein FB hat die IPv6 c2fd


Warum der Synology Dienst einem Browser nicht die V6 Adresse gibt, damit ich dran komme wundert mich auch. Es sind wie du schon sagst beide eingetragen. Woran kann das liegen, wo doch IPv6 bevorzugt behandelt wird?




Ich habe jetzt mal dynv6 ausprobiert und die Fritzbox trägt die Adresse auch ein. Das ist ja aber nicht das was ich will, da ich ja die DS Adresse zum Namen mappen will. Dazu brauche ich dann den ddns update 2, der auf der DS läuft und dessen IP einträgt korrekt? Wo bekomme ich den her?

 

[Fusion]

Von wo testest du den ipv6 Zugriff? Von extern?
Wenn ja, dann muss noch eine Port 443 Freigabe existieren. Von intern ist es ja nicht gesperrt bzw hat die Fritzbox nix damit zu tun.

Die Fritzbox bzw jedweder Client kennt erst mal nur seine eigene ipv6 und benutzt diese zur Aktualisierung einer dynDNS. Bei Ipv4 kein Problem, weil hier ja nur der Anschluss erreicht werden muss und die Trennung via Port erfolgt.
Bei ipv6 erfolgt die Trennung aber nach IP. Also muss entweder der dynDNS Client auf dem Zielgerät laufen (ddns updater 2 gibt es in den community repositories für das Paketzentrum) oder der Router muss eine Prefix / Präfix Aktualisierung vornehmen. Das geht mit myfritz, aber auch mit dynv6.com, wenn man sich die Doku durchliest.
Vereinfacht wird hier ein ipv6 Eintrag für einen dynDNS Namen angelegt und der Router aktualisiert immer nur die vordere Hälfte der ipv6 die das Netz spezifiziert. Der hintere Teil der den Host identifiziert bleibt unverändert.

Wenn ein Client nur ipv6 kann müsste auch synology.me das korrekte Ziel liefern. Wo es dran liegen könnte, wenn der Client ipv4/ipv6 hat habe ich ja schon geschrieben, ohne Anspruch auf Vollständigkeit.

 

[Andy+]

Für die Adressen (IPv4 oder IPv6) ohne Portangabe ist es grundsätzlich immer so, dass http://-Adressen automatisch auf Port 80 und https://-Adressen automatisch auf Port 443 durchgeleitet werden. Zeigen diese beiden Ports auf Deine DS, ist klar, dass Du in jedem Falle die DS erreichst, auch ohne Eingabe eines dieser Ports.

 

[ralle2k]

Muss das ganz nachher nochmal aus einem anderen Netz heraus testen.

Ich habe jetzt den DDNS updater 2 installiert. Aber das Ding startet nicht. Perl Abhängigkiet hatte ich auf Aufforderung mit installiert.

 

[Fusion]

Z.b. Mal hier durchschauen.
https://www.synology-forum.de/threa...usfuehren-immer-abgebrochen.85514/post-709704

 

[Andy+]

Vielleicht kannst Du mal einen Stand mitteilen, ob nun alles geht soweit und vlt. welche Rolle der DDNS Updater einnimmt. Ich z.B. setze diesen auch ein, um mehrere DNS betreiben zu können, damit ich über Reverse Proxy unterschiedliche Adressen hinterlegen kann, ohne einen Port angeben zu müssen.

Nur mal als Hinweis dazu: In der Systemsteuerung > Anwendungsportal > Reiter Anwendung können für bestimmte Anwendungen auch Aliase definiert werden, damit kein Port verwendet werden muss.

 

[ralle2k]

Ich bin jetzt mal außerhalb meines Heimnetzes und versuche FB und DS zu erreichen.

1.) Myfritz IPv6 Adresse geht nicht. Warum auch immer, obwohl es konfiguriert ist. -> Seltsam


2.) Komme per Quickconnet von Synology auf die Admin Oberfläche von der DS (IPv6) -> gut



3.) Nextcloud erreiche ich nicht. Aber habe auch die Portfreigabe aktuell nicht drin und kann sie nicht ändern, da ich die FB nicht erreiche :-(

 

[ralle2k]

OK, mein Inet Zugang ist v4.. Muss ich mal schauen wie ich das hier umstelle



hab aber nochmal auf dem Router nachgesehen. Da habe ich auch ne V6 Adresse. Welche benutzt denn jetzt mein Laptop?

 

[Fusion]

Wenn dein Router dir sagt, dass du am WAN eine ipv4/ipv6 hast und der Test nicht ist was faul und ich würde mindestens noch einen anderen IP Test benutzen.
Bzw wo kommt dieser WAN Screenshot her? Von der Fritzbox stammt der jedenfalls nicht.

Ipv4
LAN Geräte haben eine private ipv4 und 'verstecken' sich (NAT) hinter der Router ipv4 am WAN Anschluss. Anhand eines Ports entscheidet der Router wohin unaufgeforderte Verbindungen von extern landen werden.
Ipv6
Wenn ipv6 am Anschluss, im Router und auf dem Client aktiv ist hat jedes Gerät eine eigene ipv6 bzw mehrere (das ist normal) für verschiedene Zwecke. Clients 'verstecken' sich hier NICHT (kein NAT) mehr hinter der IP des Routers.
Zusätzlich zu seiner öffentlichen Adresse bekommt der Router ein prefix (Subnetz) welches er im LAN weiterverteilt. Clients im Netz bilden aus dem Prefix und ihrer Host ID eine eigene IPv6, die global erreichbar ist, wenn der Router eine Portfreigabe / Firewall-Freigabe für dessen Host ID hat.

Wenn du also eine IP test machst sollte im Idealfall die WAN ipv4 des Routers (die dieser selbst anzeigt) mit der des vom Test festgestellten übereinstimmen. Egal von welchem Gerät im LAN/WLAN du den Test ausführst.
Für IPv6 muss der Test die global erreichbare IPv6 des Gerätes anzeigen auf dem du den Test machst, nicht die vom Router.