Umstellung Glasfaser -> kein DDNS Zugriff mehr

[Dodger]

Hi,

ich habe gerade nach einigen Problemen mein Heimnetz nach dem Umstieg auf die Deutsche Glaasfaser neu konfiguriert.
Ein erster Test zeigt nun, dass die Verbing zur DS 212j über DDNS nicht mehr fuktioniert.
Lt. DS wurden zwei öffentliche IP Adressen zugewiesen (IPv4 und IPv6) und der Status ist "normal"
In der fritzbox sind automatische Portfreigaben für die DS aktiviert und der Port 5000 ist dort aufgeführt.
Trotzdem bekomme ich keine Verbindung.
innerhalb meines Netzes funktioniert alles prima...

Gruß
Dodger

 

[Fusion]

Deutsche Glasfaser setzt eigentlich nur DS Lite ein.
Ja, ipv4 und ipv6, aber nur die Ipv6 ist direkt öffentlich erreichbar.
Oft erkennbar ist das Carrier grade NAT an 100.x.y.z Ipv4, aber nicht immer, oder der Erwähnung von AFTR Gateway in der Fritzbox.

 

[Dodger]

lt. der Übersicht im NAS gibt es ja beide (IPv4 und v6).
Wenn ich nun von meinem PC im Heimnetz versuche, darauf zuzugreifen, dann müsste ich doch automatisch im v6 Bereich arbeiten, oder?

 

[Dodger]

In der FB sehe ich auch nichts von DS-Lite...

 

[Fusion]

Entweder anonymisierte Bilder oder man muss blind vertrauen... Dann müsste ja alles passen. Helfen kann man dann nicht groß.

Im unwahrscheinlichen Fall das du anders behandelt wirst als 99% der DG Kunden...

nslookup deine.dyndns.de liefert welche IPs zurück?
Stimmen IP in der Fritzbox mit 'wieistmeineip.de' überein was ipv4 angeht?
Bei ipv6 muss die IPv6 deines PC angezeigt werden.

 

[Dodger]

nslookup deine.dyndns.de liefert welche IPs zurück?

Server: fritz.box
Address: xxxxxxx:fe97:c40d

Nicht autorisierende Antwort:
Name: **************.familyds.org
Address: 94.31.xxx.xxx

Stimmen IP in der Fritzbox mit 'wieistmeineip.de' überein was ipv4 angeht?

nein

Bei ipv6 muss die IPv6 deines PC angezeigt werden.

IPv6 PC
xxxx:6020:501b:9700:e5d4:28a8:xxxx:xxxx

IPv6 FB
IPv6-Adresse:
xxxx:6020:1000:40::xxxx, Gültigkeit: 2900/2900s,
IPv6-Präfix:
xxxx:6020:501b:9700::/56, Gültigkeit: 2900/2900s

IPv6 NAS
xxxx:6020:501b:9700:211:32ff:xxxx:xxxx

 

[Fusion]

Sprich die 94.31.x.y, die öffentliche IP stimmt nicht mit der 'öffentlichen' ipv4 der Fritzbox überein?
Hat die Fritz eine 100.x.y.z?

Bei ipv6 bekommt deine Fritzbox eine IP und ein /56 Prefix zur Verteilung im LAN. Der PC und NAS bekommen daraus auch jeweils korrekt global routbare ipv6 Adressen zugeteilt.
Wenn jetzt eine dynDNS existiert (tut sie ja) welche auf die IPv6 der NAS auflöst (ebenfalls 2a00....4862) und entsprechende Portfreigaben im Router und der externe Client auch ipv6 spricht... Dann sollte dieser Zugriff ohne weitere Hilfsmittel gehen. Bsp https://[2a00....] für IP Zugriff auf https und Port 443 (inklusive eckige Klammern) .
Was nur mit Hilfsmitteln geht ist wenn der Client nur mit ipv4 unterwegs ist, oder überhaupt der Zugriff mit ipv4 erfolgen soll.

 

[Dodger]

Hat die Fritz eine 100.x.y.z?

ja, hat sie.

Dann sollte dieser Zugriff ohne weitere Hilfsmittel gehen. Bsp https://[2a00....] für IP Zugriff auf https und Port 443 (inklusive eckige Klammern) .

jepp, vom PC aus klappt der Zugriff über die öffentliche IP
http://[2a00:xxxx]:5000/

die URL funktioniert aber weiterhin nicht.

 

[Fusion]

Die 100.x.y.z ist eben eine carrier grade NAT Adresse.
Heißt vor deinem Router sitzt noch ein Router mit der 94.31.x.y. In diesem Router kannst du aber keine Portweiterleitung eintragen. Und bist deshalb via ipv4 nicht direkt erreichbar.
Also so wie deine DS z.b. mit 192.168.178.10 wenn du keinen Port in der Fritzbox öffnest.
So wie du deine Geräte in deinem LAN hast hat die DG eben viele Kundenrouter ebenfalls in einem LAN und die teilen sich eine öffentliche Ipv4.

Die ipv6 funktioniert auch von außen. Kann dir gern ein Screenshot schicken. Port 5000 bzw http für Test OK, später bitte nicht benutzen.

Wenn es mit url nicht geht hängt es vermutlich entweder daran, dass der zugreifende Client entweder kein ipv6 kann oder zufällig die Anfrage via ipv4 gewinnt, weil der Provider Router von 94.31.x.y schneller antwortet als deine DS, aber 94.31.x.y:5000 logischerweise ebenso dort hängen bleibt.
Am besten also dafür sorgen, dass die falsche Ipv4 gar nicht im dynDNS eingetragen wird.
Ich komme jedenfalls auch von außen mit einem ipv4/ipv6 Client auf die login Seite Mit URL:5000

Das wäre dann eher Fritzbox > Netzwerkeinstellung > DNS Rebind Schutz, dass du dort die Domain hinterlegen musst, wenn du es aus dem LAN probierst.

Zur Sicherheit nur den Satz: Beschäftige dich mit dem Thema und öffne erst Dienste nach Außen, wenn du besser Bescheid weißt. Gibt einige Threads hier zum Thema Sicherheit, VPN, Externer Zugriff etc.
Du bist am Ende verantwortlich...
(das blöde, die einfachste Lösung : Fritz VPN funktioniert immer noch nicht mit ipv6... Seit Ewigkeiten)

 

[Dodger]

Die ipv6 funktioniert auch von außen

Meine? Oder bei deinem eigenen System?
Das mit dem zusätzlichen Router der DG klingt plausibel...
Eigentlich hab ich nur den Port 5000 offen und vor der DG hab ich die Heimnetzverbindung der FB verwendet.
Sehr ärgerlich, das die nicht mehr geht....

 

[Dodger]

Gibt es eine Möglichkeit, die IPv4 im DDNS Menü der Synology rauszuwerfen? So dass die Verbindung nach extern ausschließlich über die IPv6 erfolgt?
Wenn ich sie einfach löschen, kommt eine Fehlermeldung...

 

[Fusion]

Natürlich deine ipv6 und deine dynDNS, meine eigene muss ich nicht testen...

 

[Fusion]

Vermutlich nicht bzw ich weiß es nicht. Die DS nimmt vermutlich immer alle IPs die sie erkennt.

Community Paket ddns updater 2 mit einem anderen dynDNS Dienst wäre eine Möglichkeit.

 

[Dodger]

Natürlich deine ipv6 und deine dynDNS, meine eigene muss ich nicht testen...

Jetzt bin ich echt schockiert!
Bis wohin muss man eine IPv6 denn unkenntlich machen, damit keiner mehr darauf zugreifen kann???
Ich dachte eigentlich, mit den Resten die ich gepostet habe, kann man nichts anfangen....

 

[Fusion]

Deshalb hatte ich dir ja eine PM geschickt VOR meiner ersten Antwort bezüglich dem kompletten dynDNS Namen.... Hast du wohl noch nicht gesehen.
Die IP war anonym genug.
Bevorzugt würde ich allerdings Block 4-7 anonymisieren. Dann erkennt man noch genug von einem /56 Prefix (1-3) und hat eindeutige Clients mit Block 8.

Jetzt musst vermutlich einen Mod fragen zum nachträglichen editieren.