Unitymedia NAS Zugriff mit DS-Lite und Connect Box

[SpaceRat]

Laut Diskussionen im WD-Forum kann das WD MyCloud Ex2 Ultra komplett IPv6.
Man kann es also per IPv6 freigeben und dann von außen drauf zugreifen (Natürlich nur per IPv6). Um von außen auch per IPv4 zugreifen zu können bräuchte man dann wieder die Relaisverbindung des NAS oder aber einen Port-Proxy.

Ebenfalls laut Ausagen aus dem Forum tut der Relaismodus - auch bei Unitymedia - einwandfrei.

 

[kleina]

Laut Diskussionen im WD-Forum kann das WD MyCloud Ex2 Ultra komplett IPv6.
Man kann es also per IPv6 freigeben und dann von außen drauf zugreifen (Natürlich nur per IPv6). Um von außen auch per IPv4 zugreifen zu können bräuchte man dann wieder die Relaisverbindung des NAS oder aber einen Port-Proxy.

Ebenfalls laut Ausagen aus dem Forum tut der Relaismodus - auch bei Unitymedia - einwandfrei.

Genau das habe ich in den Foren auch gelesen. Das war mit ein Grund warum ich die Ex2 Ultra gewählt habe. Leider funktioniert es bei mir nicht und auch der SUpport von WD konnte mir trotz einiger Bemühungen nicht weiterhelfen.

 

[harv]

Ist deine Box denn mittels v6 zum Relais verbunden? Das scheint ja die Voraussetzung zu sein. Wenn du das nicht weisst/feststellen kannst, frag doch mal in dem WD-Forum. Evtl. spielt ja auch die v6 Firewall der Connectbox da mit und muss entsprechend konfiguriert werden (hab das Ding nicht).

 

[kleina]

Ist deine Box denn mittels v6 zum Relais verbunden? Das scheint ja die Voraussetzung zu sein. Wenn du das nicht weisst/feststellen kannst, frag doch mal in dem WD-Forum. Evtl. spielt ja auch die v6 Firewall der Connectbox da mit und muss entsprechend konfiguriert werden (hab das Ding nicht).

Hi harv. Das weiß ich nicht, ich bin davon ausgegangen. Ich habe in den Threat im WD Forum geschrieben, warte aber momentan noch auf Antworten.

 

[F-orced-customer]

"Die Profis" sagen liegt an der ConnectBox:
https://community.unitymedia.de/questions/connect-box-ipv6-prefix-von-portfreigaben-aktualisieren

 

[SpaceRat]

"Die Profis" sagen liegt an der ConnectBox:
https://community.unitymedia.de/questions/connect-box-ipv6-prefix-von-portfreigaben-aktualisieren

Das sind Sicherheitsüberlegungen bzw. Schönheitsprobleme.

Der Relais-Modus ist davon unabhängig.

Im Relais-Modus baut das NAS eine Verbindung (über IPv4) zu einem Server von Western Digital auf, Clients verbinden ebenfalls zu diesem Server (Dem Relais).
Im Ergebnis gibt es also keine eingehende Verbindung zum NAS, sondern vielmehr eine vom NAS aus ausgehende zum WD-Relais und das geht auch unabhängig von IPv4-lite.

Als Alternative kann man das WD NAS per IPv6 öffnen, so daß eingehende Verbindungen über IPv6 erfolgen können und das sollte das WD NAS auch beherrschen.
Hierbei gibt es aber dann das Problem, daß die DisconnectBox nicht so schöne IPv6-Freigaben kann wie die Fratz!Büchse.
Man muß in einer ConnectBox entweder die ganze IPv6-Adresse des Ziels (NAS) eintragen oder gar keine.
Bei ersterer Variante ist die Freigabe dicht, sobald sich das Präfix ändern (*Würg*), bei zweiterer wäre dieser Port dann auf allen Geräten im LAN offen.
Öffnet man über die Variante "Adresse leer" also Port 443, dann ist der nicht nur auf dem NAS offen, sondern auch auf dem PC, dem Receiver, ...

 

[Andreas1969]

Das hört sich doch alles so an, als wenn es an der MTU des DSLITE Tunnels liegen würde. :kratz:

Gruß Andreas

 

[harv]

Kann man die WD dann nicht auf einen hohen Port legen, der definitiv von keinem Dienst auf irgendeinem Gerät genutzt wird? Wo kein Dienst, da kein Angriff. wenn die WD durch login/key oder sonstwas abgesichert ist, ist das doch auch nix anderes als wenn ich irgendwelche Server auf fixer IP betreibe. Und selbst 443 wäre doch kein Problem, solange TE nicht auf einem seiner Rechner einen https-Server betreibt.

 

[harv]

Das hört sich doch alles so an, als wenn es an der MTU des DSLITE Tunnels liegen würde. :kratz:

o mann, das hatten wir doch schon auf Seite 1 dieses threads!

 

[F-orced-customer]

Andreas hat eine besondere Beziehung zu DS-Lite :wut:

 

[harv]

Dann soll er auf Business wechseln. Dann regt er sich nur noch über den Preis auf :heul: :zunge:

 

[SpaceRat]

Kann man die WD dann nicht auf einen hohen Port legen, der definitiv von keinem Dienst auf irgendeinem Gerät genutzt wird?

Wenn das WD-NAS das Ändern des Ports für https erlaubt, dann ja.
Und wenn nicht, dann gäbe es Tricks auf der Shell des NAS, um das zu Erreichen.

Das ist übrigens tatsächlich auch die gängige Vorgehensweise bei Freigaben mit der DisconnectBox ...

Wo kein Dienst, da kein Angriff.

Richtig.

wenn die WD durch login/key oder sonstwas abgesichert ist, ist das doch auch nix anderes als wenn ich irgendwelche Server auf fixer IP betreibe. Und selbst 443 wäre doch kein Problem, solange TE nicht auf einem seiner Rechner einen https-Server betreibt.

Richtig, solange es keinen anderen https-Server im LAN gibt, kann man auch genäß o.g. Vorgehensweise bei Port 443 bleiben.
So wirklich sicher ist ein Login mit Benutzername/Kennwort aber nicht, nicht einmal mit https.

Der Login-Vorgang wird zwar verschlüsselt, aber da die Box über kein für den Browser vertrauenswürdiges Zertifikat verfügt, muß man so oder so erst einmal diese Warnung in den Wind schießen.
Und wovor diese Warnung wirklich warnt ist "Der Server auf der Gegenseite kann eigentlich jeder sein, incl. einem passwort-klauendem Proxy".

 

[MartinDJR]

Entschuldigung, dass ich diesen uralten Thread wieder aufmache, aber ich musste mir letztlich die AGBs von UM durchlesen und bin dabei auf was gestoßen:

Selbstverständlich darf das NAS, sofern auf der eingehenden Schnittstelle (LAN) des Routers unterstützt, soviele Bytes pro Paket senden wie es will - also z.B. insb. Jumbo Frames, welche je nach Hersteller knapp über 9000 Byte groß sein können.
Dafür ist Fragmentierung ja da.

Beim Durchlesen der AGB bin ich auf die Schnittstellenbeschreibung von UnityMedia gestoßen.

Dort steht explizit drin, dass der AFTR von UnityMedia nur TCP-Pakete bis zu 1420 Bytes Länge unterstützt bzw. unterstützen muss.

... und wenn ich schon beim Schreiben bin:

Könntest du mir das RFC zeigen, in dem steht, dass PCP ein verpflichtendes Feature ... ist?

Klar, http://www.unitymediaforum.de/viewtopic.php?p=355145#p355145 , https://tools.ietf.org/html/rfc6908#section-2.11

Dort steht wort-wörtlich:

Operators may use Port Control Protocol (PCP) ...

Und in RFC 2119 ist genauer erklärt, was unter den Wörtern "must", "may", "shall", ... zu verstehen ist:

MAY: This word, or the adjective "OPTIONAL", mean that an item is truly optional. One vendor may choose to include the item ...

Super, dass du genau die Stelle in den RFCs gefunden hast, in denen steht, dass PCP eben nicht verpflichtend, sondern optional ist!

 

[Andreas1969]

Super, dass du genau die Stelle in den RFCs gefunden hast, in denen steht, dass PCP eben nicht verpflichtend, sondern optional ist!

Solange die RFC nicht geändert wird und da nicht "must" drin steht, wird UM das auch nicht einführen.
Die machen eh nur das Nötigste, warum sollten die sich dann auch noch freiwillig mit PCP beschäftigen? :kratz:


Gruß Andreas

 

[hajodele]

Weiss man überhaupt von einem Provider, bei dem das läuft?

 

[Andreas1969]

Angeblich soll das bei VF/KD in der Testphase sein.
Das hat mir der AVM Support gesteckt.


Gruß Andreas

 

[addicted]

Nutzt mehr v6.


@MartinDJR: Wenn das NAS Jumbo Frames sendet, muss Dein Router die fragmentieren, bevor er sie an den AFTR sendet.

 

[MartinDJR]

@MartinDJR: Wenn das NAS Jumbo Frames sendet, muss Dein Router die fragmentieren, bevor er sie an den AFTR sendet.

Ursprünglich ging es darum, ob der Fehler auf UM-Seite oder auf NAS-Seite liegt, wenn IP-Pakete einer Länge von 1500 (was wohl bei den meisten NAS als "Standard" eingestellt ist) nicht durch den AFTR kommen.

Da in der Schnittstellenbeschreibung eine erlaubte Maximallänge von 1420 drinsteht, liegt der Fehler auf NAS-Seite, denn laut Gesetz müssen Gerätehersteller und Kunden sich an die Schnittstellenbeschreibung des Providers halten.

Angeblich soll das bei VF/KD in der Testphase sein.

Genau so, wie IPv6 im Mobilfunknetz bei VF schon seit mehreren Monaten in der "Testphase" sein soll?

 

[addicted]

Da in der Schnittstellenbeschreibung eine erlaubte Maximallänge von 1420 drinsteht, liegt der Fehler auf NAS-Seite, denn laut Gesetz müssen Gerätehersteller und Kunden sich an die Schnittstellenbeschreibung des Providers halten.

Dann liegt er höchstens beim Router. Das NAS muss sich an garkeine Schnittstellenbeschreibung halten, es kann ja nicht mal Docsis.

Die Paketgröße wird wohl durch den B4 so eingestellt wie es erlaubt ist, da gibt's doch erstmal nichts dran zu zweifeln, oder?

 

[Andreas1969]

Ursprünglich ging es darum, ob der Fehler auf UM-Seite oder auf NAS-Seite liegt, wenn IP-Pakete einer Länge von 1500 (was wohl bei den meisten NAS als "Standard" eingestellt ist) nicht durch den AFTR kommen.

Könnte das eventuell auch die Ursache für das VPN Problem bei einem DSLITE Anschluss sein? :kratz:

Gruß Andreas

 

[MartinDJR]

Könnte das eventuell auch die Ursache für das VPN Problem bei einem DSLITE Anschluss sein?

Kommt darauf an, was für VPN man verwendet:

Wenn man SSTP-basierendes VPN verwendet: Möglicherweise

Ob L2TP-basierendes VPN durch den AFTR durchgeht: Keine Ahnung

Bei GRE/PPTP-basierendem VPN: Das ist dafür bekannt, hinter NATs schlecht bis gar nicht zu funktionieren! Das gilt sowohl für AFTRs als auch für das Hotel-WLAN...