Zugriff nur mit externer IP möglich

[Jabberwacky]

Hi,

seit ich meine DS918+ vor Jahren in Betrieb genommen habe, musste ich am Handy zumeist das WLAN?ausschalten, um bestimmte Dienste zu nutzen - insbesondere IMAP. Von den Laptops aus hat es aber geklappt.

Seit heute habe ich denselben Effekt auch an den Laptops, was wesentlich störender ist, als das Problem am Handy. Ich muss mir also für die Laptops einen Hotspot am Handy machen, um meine z. B. Mails abzurufen, obwohl ich zuhause bin.

Ich habe keine Ahnung, warum sich das Verhalten geändert hat - ich habe nichts verändert und es wurde auch kein DSM-Update installiert. Ich habe gerade testweise das aktuelle Update auf DSM 6.2.2-24922 Update 6 inklusive aller Paketaktualisierungen (außer Virtual Machine Manager) installiert, ohne Erfolg.

Das Problem besteht mit folgenden Diensten:

• MailStation
• Moments (nur die Vorschaubilder funktionieren, das Laden der Bilder und Videos aber nicht)
• ssh
• CalDAV
• CardDAV

Andere Dienste wie DSM, WebDAV oder WebStation erreiche ich zuverlässig (auch vom Handy aus im lokalen WLAN).

In allen Fällen (auch für den Mailserver) nutze ich <xy>.synology.me, um die IP-Adresse aufzulösen. Die (lokalen) IP-Adressen der Problem-Geräte stehen nicht in der Liste der blockierten IPs (unter Sicherheit --> Konto). Auch bei deaktivierter Firewall besteht das Problem.

Es wäre toll, wenn jemand eine Idee hat, woran das liegen könnte, denn am Laptop im Home Office ist es schon extrem störend. Ein Detail, das das Szenario noch etwas undurchschaubarer macht: CalDAV und CardDAV konnte ich bis gestern auch am Handy im WLAN problemlos erreichen (die anderen Dienste inkl. ssh konnte ich am Handy im WLAN?noch nie erreichen, sondern nur mit externer IP).

Vielen Dank!

Stefan

 

[Thorfinn]

Hast du mehrere vLAN und dazwischen ein Firewall?
Wieviel DHCP Server sind in deinem Netz?

BTW: Bist du dir des Sicherheitsrisikos ssh von aussen zuzulassen bewusst?

 

[Jabberwacky]

Danke für deine Antwort! Ich konnte das Problem am Laptop beheben. Ich hatte übersehen, dass ich in der Liste der blockierten IPs natürlich die externe IP (auf die xy.synology.me zeigt) prüfen muss. Die stand da tatsächlich drin.

Bleibt die (weniger wichtige) Frage, warum ich am Handy für vieles das WLAN ausschalten muss, zum?Beispiel E-Mails und Moments (eben die gelisteten Dienste in meinem ersten Posting). Hier ist es auch egal, ob ich xy.synology.me nutze, oder QuickConnect. Die Bilder können nur geladen werden, wenn ich das Intranet verlasse (und über mobile Daten mit einer externen IP verbinde). Nur die Vorschaubilder werden im Intranet angezeigt. Am Fernseher funktioniert die Video Station auch gar nicht über xy.synology.me, nur wenn ich die lokale IP eintrage, klappt es (da ist es aber auch egal, der Fernseher verlässt die Wohnung nicht

ssh brauche ich nur für git. Da git ssh als Sicherheits-Zugang nutzt, bleibt mir leider keine andere Möglichkeit. Falls ich da was übersehe, wäre ich natürlich an einer Möglichkeit interessiert. Aber git und git-lfs sind für mich beruflich essentiell, das muss immer gehen.

 

[the other]

Moinsen,
mal blöde gefragt: klappt es im WLAN mit dem Zugriff, wenn du statt hostname die IP angibst?

 

[Jabberwacky]

Über die IP kann ich mich nicht verbinden, weil dann das Zertifikat nicht passt. Außerdem möchte ich natürlich nicht ständig eine neue Adresse eintragen, je nachdem ob ich außer Haus bin oder nicht.

Noch ein Nachtrag zu ssh: Für git bräuchte root natürlich keinen ssh-Zugang, sondern nur diejenigen Benutzer, die Zugriff auf die git-Repositorys benötigen. Diese können sich interessanterweise nicht über Terminal einloggen (nur root), aber die ssh://xy.synology.meort/volume1/git/meinrepo.git funktioniert trotzdem für alle Benutzer (wenn der Public Key des Benutzers in den authorized_keys seines Synology-Users hinterlegt ist). Sprich, wenn es eine Möglichkeit gäbe, den ssh-Zugang von root auszuschalten, nicht aber den der anderen Benutzer, wäre mein System sicherer.

 

[the other]

Moinsen,
na, mit Zertifikat auf hostname only ist dann natürlich doof. Dazu aber nochmal ein paar blöde Fragen :
Warum nicht Zertifikat auf (feste) IP UND hostname für den Server?
Warum zwingend im Heimnetz https?
Hast du denn einen >eigenen< DNS Server, der die hostname auflöst oder gehst du auch aus dem eigenen Netz via Quick connect bzw. Bla. Synology. Blub?
Wenn du von extern einfach via vpn zugreifen würdest, müsstest du keine doppelten (mal hostname, mal IP) Einträge machen, dann reicht es mit einer Variante Immer, egal ob WLAN zu Hause, fremdes WLAN oder Mobilfunk. Wie greifst du von extern zu?
Zu ssh:
Afaik kann und sollte root der Zugang deaktiviert werden. Dann legst du stattdessen ein neues Administrator Konto an, damit sollte es klappen, wenn alles mit der Firewall stimmig ist.
Mit git kenn ich mich nicht aus, daher halte ich da mal meine Klappe.
Außer: brauchen die git User ssh oder sftp? Gehen di alle über die Secure Shell da ran oder als sftp server Zugriff?

 

[heavy]

Welchen Router hast du? Stichwort Rebind schutz