IPV6-Zugriffe von außen trotz nicht vorhandener Portweiterleitung?

[jojo12345]

Möchte hier nochmals allen besonders auch @Jim_OS , @the other und @Peter_Lehmann für die zahlreichen und ausführlichen Kommentare danken.
Vielleicht kann es ja auch sein, dass der DynDNS von Synology sich da etwas verstolperte hatte?

Egal, die DS blockt ja im Zweifelsfalle. Mich hat nur das wie einfach etwas ratlos gemacht.

 

[Peter_Lehmann]

Vorm Schlafen gehen noch mal kurz reingeschaut ... .

@Jim_OS:
Auch wenn ich zufällig deinen Beitrag zitiert habe, sollte das keinesfalls eine Kritik sein.
Ich versuche "lediglich" immer etwas Werbung für die bewusste Beschäftigung mit IPv6 zu machen. Und vor allem, die unbegründete Angst bei so machem Nutzer etwas abzubauen. Wir wissen ja alle, was neu und unbekannt ist, macht uns Menschen erst mal Angst.

@jojo12345:
Ich kann deine Ratlosigkeit 100pro nachvollziehen! Und ich finde sie auch völlig berechtigt und es geht mir in derartigen Fällen auch genau so.
Meistens kommt dann der erlösende AHA-Effekt.
Ich konstruiere mal ein simples Beispiel, welches eine mögliche Ursache sein könnte.
Deine DS ruft per ntp einen Zeitserver auf. Dazu benutzt sie den eingetragenen Hostnamen eines derartigen Servers. Deine Fritz!Box, welche ja mit gewisser Wahrscheinlichkeit IPv6 "spricht", löst über den eingetragenen DNS-Server den Hostnamen in seine IPv6 auf und ruft diese IPv6 auf. (Bei mir laufen ca. 60% aller Aufrufe über IPv6!) Der Zeitserver antwortet und da die Anfrage aus dem eigenen Netz kommt, wird die Antwort auch vom Router an deine DS weitergeleitet => und stößt dort auf eine Firewall, welche (warum auch immer) eine eingehende IPv6-Verbindung blockiert - und dich dann mit einer völlig korrekten Meldung schockert.
Wie gesagt, ein konstruiertes Beispiel.
Ich weiß nicht was bspw. dieses "QuickConnect" genau macht (weil es mich nicht interessiert). Aber im Prinzip könnte jede ausgehende Verbindung derartiges auslösen.

Wenn du dich wirklich damit richtig befassen willst, dann empfehle ich dir, dir mal die entsprechenden Netzwerktools die es für dein Betriebssystem gibt, anzusehen. Damit kannst du dann von einem anderen Internetzugang aus auf die IP deines Routers oder (besser noch) auf den DynDNS-Namen deiner DS einen richtigen "Angriff" fahren. Damit lassen sich ganz schnell geöffnete Ports erkennen und hinterfragen. Es gibt auch öffentliche Testserver mit denen man das machen kann.
Und damit du keine "Dummheiten" machst: das darfst du natürlich nur auf dein eigenes Netz.

So, Gute Nacht!

vy 73 de Peter

 

[Synchrotron]

@Peter_Lehmann QuickConnect routet eine gesicherte Verbindung zur DS über einen Synology-Server.

Vorteil vor allem für Anwender, die sich nicht ad hoc mit DDNS und VPN befassen wollen: Es besteht über QC eine Fernverbindung über eine gesicherte Einwahl auf die DS. Synology sichert diesen Weg ab - und man kommt immer noch nur auf die Anmeldeseite der eigenen DS, zum Einloggen mit hoffentlich „guten“ Userkennungen.

Persönlich finde ich, du solltest das Thema hier nicht laufend so „runter reden“. Du brauchst es nicht, na gut. Aber für die große Masse unserer Mitbenutzer ist QC ein guter, mit ordentlicher Sicherheit funktionierender Zugriffsweg. Ich wüsste nicht, dass es über QC schon mal einen erfolgreichen Massenangriff auf die DS-Population gegeben hätte.

QC ist allemal besser, als sich aus Not irgendwas einzurichten, und am Ende sein Heimnetz ohne es zu wissen öffentlich gemacht zu haben. Und selbst der geneigte fortgeschrittene Anwender weiß es bisweilen zu schätzen, gelegentlich einen weiteren, unabhängigen Zugangsweg zur DS zu haben.

Fazit: Wer neu in das Thema DS einsteigt, sollte ruhig einen QuickConnect Zugang anlegen. Wer dafür und für die DS-User die üblichen Sicherheits- und Passwortregeln beachtet, und möglichst für Admin-Konten noch 2FA aktiviert, geht mit QC kein Sicherheitsrisiko ein.

Und wer nicht mag, der lässt es halt bleiben.

 

[jojo12345]

@Synchrotron

Danke. Muss aber zu dem Thema noch hinzufügen, dass ich den QC damals, als ich mit der DS angefangen habe, eingerichtet habe und nicht wirklich nutze. Könnte man auch abstellen.

Wenn überhaupt gehe ich eigentlich von draußen ins Heimnetz nur über den Fritz-VPN-Tunnel.

@Peter_Lehmann

Habe ja die laienhafte Theorie mit dem DynDS daher, dass der erste Zugriffsversuch mit meiner QuickConnetc ID und die weiteren mit einem anderen Namen erfolgt sind. Was wäre wenn da eben etwas bei der Aktualisierung von DynDS bei Synolgy kurzfristig ducheinander geraten wäre?

Etwas so: <meine QC ID> wird dem <andere ID> zugeordnet, welche einen erfolglose Verbindung versucht, dann wird die <andere ID> mit meiner IP verknüpft und versucht weitere Anmeldungen, bis sie blockiert wird. Das würde dann automatisch vom DynDS-Server verursacht worden sein, ohne dass ein böser Mensch mit <andere ID> etwas gemacht hat. ????

 

[ottosykora]

QC ID ist Kontoname auf dem QC Server. Hat allein nichts mit DynDNS zu tun. quickconnect.to ist die Adresse