- Connect Box: IP und Port Filter funktionieren nicht wie gewünscht Beitrag #1
RamBo-ZamBo
- Beiträge
- 3
- Punkte Reaktionen
- 0
Hallo zusammen,
wie viele von euch versuche ich eine Synology Diskstation mit meinem DS-lite Anschluss zu betreiben. Mit Quickconnect funktioniert das auch soweit, dennoch möchte ich auch eine DDNS Adresse, allein schon um ein Let's Encrypt Zertfikat zu erhalten. Ich benutze synology.me als DDNS-Anbieter, welcher auf die IPv6 Adresse der Diskstation verweist. Im eigenen Netz funktioniert das gut, von extern (ja, der externe Anschluss ist IPv6 fähig!) ist die Diskstation jedoch nicht erreichbar. Offenbar lässt die Firewall der Connect Box die Anfragen nicht durch. Wenn ich die Firewall komplett deaktiviere, geht alles. Das möchte ich jedoch vermeiden um mein Netzwerk zu schützen.
Daher möchte ich in der Connect Box nur die benötigten Ports 80, 443, 5000 und 5001 von der Firewall ausnehmen und zwar nur für meine Diskstation, nicht für andere IPv6 Geräte. Das habe ich über das Menü 'Erweiterte Einstellungen -> Sicherheit -> IP und Portfilter' versucht. Wenn ich dort folgende Regel einrichte, funktioniert mein NAS wie gewünscht:
'Quell IPv6 Adresse: Alle; Ziel IPv6 Adresse: IPv6 Adresse des NAS; Protokoll: Alle; Quellport: Alle; Zielport: Alle; Erlauben: Ja'
Laut http://www.ipv6scanner.com/ sind dann diverse Ports offen, andere geschlossen, aber kein einziger ist "filtered", also vom Router geblockt. Auch das möchte ich aber nicht, weil ich effektiv nur die 4 genannten Ports brauche und maximale Sicherheit für meine Diskstation anstrebe.
Wenn ich aber für jeden Port eine Regel erstelle (als Protokoll habe ich TCP gewählt) und dann den Portscan durchführe, sind die Ports noch immer "filtered". Die Diskstation ist auch nicht erreichbar. Die Regeln scheinen also nicht zu wirken. Auch für Protokoll ICMPv6 habe ich eine Regel erstellt, ebenfalls kein Effekt.
Frage: Mache ich etwas falsch oder ist die IP und Portfilter Funktion bei der Connect Box fehlerhaft? Muss ich vielleicht weitere Protokolle freigeben?
Zusatzfrage: Ändert sich die IPv6 Adresse meiner Diskstation mit der Zeit? Wenn ja, muss ich dann die Regeln wieder manuell ändern, oder kann ich bspw. meinen DDNS Hostnamen eintragen?
Frohe Pfingsten!
wie viele von euch versuche ich eine Synology Diskstation mit meinem DS-lite Anschluss zu betreiben. Mit Quickconnect funktioniert das auch soweit, dennoch möchte ich auch eine DDNS Adresse, allein schon um ein Let's Encrypt Zertfikat zu erhalten. Ich benutze synology.me als DDNS-Anbieter, welcher auf die IPv6 Adresse der Diskstation verweist. Im eigenen Netz funktioniert das gut, von extern (ja, der externe Anschluss ist IPv6 fähig!) ist die Diskstation jedoch nicht erreichbar. Offenbar lässt die Firewall der Connect Box die Anfragen nicht durch. Wenn ich die Firewall komplett deaktiviere, geht alles. Das möchte ich jedoch vermeiden um mein Netzwerk zu schützen.
Daher möchte ich in der Connect Box nur die benötigten Ports 80, 443, 5000 und 5001 von der Firewall ausnehmen und zwar nur für meine Diskstation, nicht für andere IPv6 Geräte. Das habe ich über das Menü 'Erweiterte Einstellungen -> Sicherheit -> IP und Portfilter' versucht. Wenn ich dort folgende Regel einrichte, funktioniert mein NAS wie gewünscht:
'Quell IPv6 Adresse: Alle; Ziel IPv6 Adresse: IPv6 Adresse des NAS; Protokoll: Alle; Quellport: Alle; Zielport: Alle; Erlauben: Ja'
Laut http://www.ipv6scanner.com/ sind dann diverse Ports offen, andere geschlossen, aber kein einziger ist "filtered", also vom Router geblockt. Auch das möchte ich aber nicht, weil ich effektiv nur die 4 genannten Ports brauche und maximale Sicherheit für meine Diskstation anstrebe.
Wenn ich aber für jeden Port eine Regel erstelle (als Protokoll habe ich TCP gewählt) und dann den Portscan durchführe, sind die Ports noch immer "filtered". Die Diskstation ist auch nicht erreichbar. Die Regeln scheinen also nicht zu wirken. Auch für Protokoll ICMPv6 habe ich eine Regel erstellt, ebenfalls kein Effekt.
Frage: Mache ich etwas falsch oder ist die IP und Portfilter Funktion bei der Connect Box fehlerhaft? Muss ich vielleicht weitere Protokolle freigeben?
Zusatzfrage: Ändert sich die IPv6 Adresse meiner Diskstation mit der Zeit? Wenn ja, muss ich dann die Regeln wieder manuell ändern, oder kann ich bspw. meinen DDNS Hostnamen eintragen?
Frohe Pfingsten!