DSM 6.x und darunter Neue Anmeldung bei Ihrem Synology NAS

[geimist]

Sagt mal: geht es nur mir so? Ca. seit dem Jahreswechsel (habe gerade nicht auf dem Schirm, ob es da ein Update gab) bekomme ich jedes Mal beim Anmelden von einer neuen IP die Meldung "Neue Anmeldung bei Ihrem Synology NAS" - und das nicht nur einmal, denn das Browserplugin für die Downloadstation nutzt einen anderen User und da gibt es gleich wieder eine Mail. Und da sich meine öffentliche IP jeden Tag ändert, bekomme ich immer ganz viele freundliche Nachrichten.

Das kann doch auch nicht im Sinne des Erfinders sein, oder?
Wie ist das bei euch?

Das System konnte nicht erkennen, dass Sie diesen Browser bzw. dieses Gerät bereits einmal mit Ihrem Konto verwendet haben. Das kann passieren, wenn Sie sich zum ersten Mal auf einem neuen Computer, Telefon oder Browser anmelden, den Inkognito-Modus oder den privaten Modus Ihres Browsers verwenden oder Ihre Cookies löschen, oder wenn eine andere Person auf Ihr Konto zugreift. In dieser Anleitung können Sie nachlesen, warum Sie diese E-Mail erhalten haben.

 

[Fusion]

Ist bei mir nicht so.
Vermutlich eine Einstellungssache, eventuell vom Kontoschutz?
Und was hat deine öffentliche IP damit zu tun? Angemeldet wird doch mit interner/Externer Client IP?
Oder benutzt du intern Domainnamen und der Loopback (kein lokaler DNS) sieht dann so aus wie die Anfrage vom WAN interface des Routers?

 

[geimist]

Auf dem mobilen Gerät nutze ich z.B. für das Downloadstation-PlugIn nicht die lokal NAS-IP, sondern den Domainnamen. Entsprechend erfolgt die Anmeldung aus Sicht der DS nach einem IP-Wechsel von einer anderen IP.

Interessanterweise verhält sich das NAS an einem anderen Standort genauso.

Im Sicherheitsberater ist der Haken gesetzt; für die Benachrichtigung: "Nicht normale Anmeldeaktivitäten wurden festgestellt". Ich finde in meinem Fall die Interpretation von 'nicht normal' sehr unzutreffend …

 

[Synchrotron]

Na ja - ständig von wechselnden IPs anmelden kann man als kleines dummes Anmeldeprogramm schon komisch finden. Soviel ich weiß, nutzen professionelle Hacker auch wechselnde IP. Macht also Sinn, das als Merkmal zu verwenden.

Besser so, als wenn sich irgendwelche Script Kids auf deiner Syno austoben, und du bekommst es nicht mit.

 

[geimist]

Ich glaube nicht, dass Synology so stumpf prüft. Ich zitiere mich nochmal selbst:

Das System konnte nicht erkennen, dass Sie diesen Browser bzw. dieses Gerät bereits einmal mit Ihrem Konto verwendet haben. …

Besser so, als wenn sich irgendwelche Script Kids auf deiner Syno austoben, und du bekommst es nicht mit.

Bei soviel false postives fallen echte Warnmeldungen leider nicht mehr auf! Es wird also genau das Gegenteil erreicht.

 

[Synchrotron]

Nun ja, meine FB schickt mir auch jedes Mal eine Warnung, wenn ich mich vom iPhone aus anmelde. Da die Mail innerhalb von Sekunden kommt, weiß ich weshalb und dass ich sie ignorieren kann.

Käme eine, wenn ich sie nicht erwarte, würde ich sie nicht ignorieren, weil die vorherige Handlung fehlt.

Klar wäre es besser, wenn die Heuristiken genauer wären. Nur je genauer, um so größer ist das Risiko, dass ein Ereignis durchrutscht. Sind halt Consumergeräte, kein Palantir-Server der NSA.

 

[Alexander Supp]

Diese unsinnige Meldung bekomme ich ebenso, seit dem ich ein Galaxy S20 Plus mit Android 10, neuester Release-Stand habe.
Interessant sind die Daten zu Other und zu Android (alle auf 0.0.0 und somit unsinnig). Habe jetzt im Handy von Firefox nach Chrome gewechselt, da ich nicht sicher bin, ob Firefox irgend etwas löscht, was evtl. gebraucht wird. Mal sehn wie es weitergeht.
Interessant ist noch die IP-Adresse der Version 6. Könnte sein, dass diese eine Rolle spielt und bei IP V4 alles glatt läuft.
Die Message im Detail:

Hallo Alexander,
Ihr Konto wurde verwendet, um sich über Other 0.0.0 auf Android 0.0.0 auf Ihrem Synology NAS DS718Plus anzumelden.
Alexander

Android 0.0.0
2020/09/05 14:26:30
2003:e0:a704:5400:7cad:ac78:834a:9f17
Deutschland*
Other 0.0.0
DS718Plus
(Habe die Bildchen rausgenommen)

Ich finde diese Message extrem nervig.

 

[the other]

Moinsen,
wie sehen denn die Settings unter Systemsteuerung>Sicherheit>Konto aus? Kontoschutz aktiv? Ich hab die Meldung nie bekommen, habe aber auch alle (festen) IPs der zugreifenden Clients eingefügt....

 

[Alexander Supp]

Alle Listen sind leer. IP ändert sich ja ständig. Hab das ja nur beim Handy.

 

[the other]

Moinsen,
nur am Rande: warum ändert sich die Handy IP ständig? Haben alle anderen ne feste IP? War wie gesagt auch nur n Versuch, denn hier hab ich wie gesagt diese MEldung noch nie bekommen....

 

[Alexander Supp]

Na ja, meine Fritzbox 7590 hat über viele Monate die gleiche IP. Beim Handy müsste ich die Telekom fragen, warum ich beim Wechsel der Region manchmal auch eine andere IP bekomme. Ständig, bedeutet natürlich nicht, dass ich alle Tage oder Stunde eine neue IP bekomme.
So genau habe ich mich mit den IP-Regeln nicht beschäftigt. werde es auch so schnell nicht machen bei dem IP V6-Geraffel.
Sehe eben aber, dass ich eine V4 und eine V6-Adresse für eine Maschine zur gleichen Zeit habe.

 

[the other]

Moinsen,
naja, wählst du dich zu Hause denn auch immer über das Mobilnetz ein?
Ich nutze hier daheim immer WLAN, da kann ja ICH die IP festlegen, die das Handy bekommt.
Von extern nutze ich ausschließlich VPN, damit meldet sich das Handy dann auch immer unter derselben IP an und gut ist...

 

[the other]

Moinsen erneut,
naja, im Heimentz spielt die IPv6 Nummer keine Rolle (idR), da kannst du entspannt bei den IPv4 (192.178.164.8 und so wieter) bleiben. Diese kannst du in der Fritzbox den MAC Adressen der Clients fest zuordnen, dann bekommen die IMMER genau diese IP. Erleichtert die Übersicht und ist in manchen Anwendungsfällen sogar unverzichtbar.
Ändert aber glaube ich nix an der Ausgangsproblematik, ist eher ein kleiner Ausflug in die Organisation des eigenen Netzwerkes zu Hause...
Ich vermute auch, dass es irgendeine Einstellung im NAS ist, die euch da warnt. Und eigentlich auch ganz sinnig, bei euch dann eben nervig. Weiß aber leider auf Anhieb auch keine Abhilfe...
Das mit den fest vergebenen IPs würde ich dir trotzdem empfehlen...

 

[Alexander Supp]

Gute Frage. Natürlich habe ich WLAN und bin automatisch eingeloggt. Aber alle Apps von Moments über DS xxx gehen über MeineID.synology.me.
Keine Ahnung, ob die erste Verbindung die Vermittlung meiner lokalen IP über das Netz regelt.

 

[the other]

Moinsen,
damit gehen alle Anfragen dann erst nach extern, dann zu den Synology Servern,die die Adresse verwalten, dann wieder zu dir durch den Router und endlich zum NAS...ich sach mal, ja, kann man machen. Der user blurrr hatte dazu neulich ein schönes Gleichnis niedergeschireben: du willst Kuchen, der steht in der Küche. Statt nach nebenan zu gehen, gehst du aus deinem Haus, einmal zum Dorfende, fragst da, wo dein Kuchen steht, bekommst die Antwort und nimmst den Kuchen durchs Küchenfenster, bevor du wieder nach Hause gehst...Kuchen haste so oder so.

Du könntest jetzt kurzfristig in den Apps noch eine weitere Anmeldeinfo hinterlegen, für den Zugriff von INTERN: dazu gibst du als Ziel eben nur die FESTE IPv4 deines NAS ein, nach Wunsch https oder http und danach geht es eben DIREKT in die Küche zum Kuchen.
Noch schöner: wenn du dir irgendwann mal VPN einrichtest, dann sparst du dir die doppelte App Einrichtung, denn für deine Geräte ist es dann so als wärst du daheim, auch wenn du in Timbuktu sitzt und WLAN dort nutzt...

hier blurrs Beitrag in Auszügen:

Im Grunde genommen dreht es sich allerdings erstmal nur um diesen internen und externen Bereich:

Intern: Deine Gerätschaften haben eine "interne" IP (aus einem "privaten" Adressbereich, welcher "nicht" im Internet weitergeleitet wird), welcher sich normalerweise (bei den SoHo-Netzwerk/-Geräten) im Bereich 192.168.x.x bewegt (hat Dein Computer just in diesem Moment vermutlich auch und alle Geräte in Deinem privaten Netzwerk). Dazu gibt es noch einen Geräte-"Namen" (NetBIOS), bei den Synology-Diskstations ist dieser normalerweise vordefiniert "Diskstation", heisst kurzum, dass Du "intern" das Gerät über "Diskstation" oder "192.168.x.x" ansprechen kannst. Damit ist das Thema der "internen" Kommunikation auch im groben erstmal abgehakt. Vergleichen wir das einfach mal mit Deinem "Haus"

Extern: Hier hast Du zum einen die öffentlichen IP-Adress-Bereiche (also die "nicht" privaten) und zum anderen das Thema DNS. Zum Thema DNS sei hier gesagt, dass es sich hier dann um den - allgemein geläufigen - Aufbau handelt im Sinne von host.domain.tld bzw. subdomain.domain.tld. Sobald Du etwas "externes" ansprechen willst, ist automatisch ein "Gateway" involviert (ein Übergangsgerät, was zwischen Deinem lokalen und anderen Netzen vermittelt (Routing)). Vergleichen wir das einfach mal mit einer "Haustür", gehst Du hindurch, stehst Du auf der (öffentlichen) Strasse und kannst auch andere Häuser mit entsprechenden Haustüren erreichen.

Das ist jetzt natürlich alles nur SEHR rudimentär beschrieben und auch SEHR stark vereinfacht...

Bei Dir war es nun so: Du bist Zuhause an Deinem PC und möchtest auf Dein NAS Zuhause zugreifen. Beide Geräte sind im gleichen Netzwerk. Theoretisch kannst Du Dein NAS einfach über die lokale (private) IP ansprechen, oder über den lokalen Namen (NetBIOS). Ziehen wir jetzt wieder Bezug zu den Häusern, willst Du innerhalb Deines Hauses ja eigentlich nur von einem Raum zum anderen (Computer -> NAS) und musst Dein Haus somit ja garnicht verlassen. Soweit alles klar denke ich...

Was nun passiert ist: Du willst nun also zu Raum2 (192.168.x.x), hast aber angegeben, dass Du gerne zu Haus XY (host.domain.tld) willst. Ergo musst Du quasi erstmal Dein Haus verlassen (Gateway!), auf die Strasse gehen und erstmal schauen, wo Haus XY überhaupt ist, nur um dann von extern wieder durch das Fenster zu langen.

 

[Alexander Supp]

Ja, natürlich hat bei mir jedes Gerät in der Fritzbox eine fest vorgegebene IP im V4-Format. Sonst verlier ich ja die Übersicht. Das alles im Mesh (1750E, 1220E, 1260E), da meine 7590 unglücklicherweise unten in einer Hausecke platziert ist.

 

[Alexander Supp]

Schön mit dem Kuchen. Aber das ist nicht ganz so. Nach der ersten Verbindung regelt sich das mit dem Datenverkehr. Dieser geht dann direkt. Sonst würde ja Moments meine Handyfotos erst nach Asien schicken und die kämen von dort wieder zurück in die NAS. Bei meiner Methode ist es mir wurscht, ob ich zu Hause mit WLAN, bei meiner Tochter im WLAN oder unterwegs bin. Es funktioniert immer, wenn ich WLAN habe.
Ich habe VPN eingerichtet, blicke aber nicht durch, ob das immer funktioniert und schon gar nicht wie es funktioniert.
Danke jedenfalls für die gute Info.

 

[the other]

Moinsen,
na klar funktioniert es immer mit WLAN und mit Mobilfunknetz...
Aber da das ein DDNS Dienst ist, muss dieser ja erst via deren Server die myID.synology.me auflösen....das macht nicht dein Handy. Und auch nicht die lokale DNS-Lösung....das kann nur extern passieren.
Es bleibt afaik dabei: auf diesem Weg gehst du eben wirklich immer über zB Asien oder wer weiß wo der Server von xxx.synology.me steht.

 

[Alexander Supp]

Ja klar, aber nicht mit den Daten die dann vom Handy auf meine NAS nebenan gehen. Die gehen dann eben nicht über synology.me. Sonst würde meine Datensicherung bei uns im Nest (Much im Bergischen) Tage dauern.
Übrigens: Habe eben mal in meine Fritzbox geschaut. Habe ein VPN eingrichtet. Habe darüber auch schon agiert. Aber eben noch keine "Datenverarbeitung" bewusst betrieben.

 

[the other]

Moinsen,
nein nicht über synology.me, aber sie gehen von intern nach extern und kommen dann auf der externen WAN Adresse deines Routers von außerhalb rein und gehen zum NAS.
Sei es drum.
Wie gesagt, das Stück Kuchen bekommst du zum Glück so oder so...