Kein Zugriff mehr auf Synology NAS per DDNS über o2online Kabelinternet

[MartinP_Do]

Wo es hier um ein Synology NAS geht - bitte checken, ob betroffen, ggfs. Update ...

https://www.heise.de/news/Synology-...reifern-Ausfuehren-von-Schadcode-7316623.html

 

[Edding]

Hey, Too long didnt quote

Hey wüsstest du eine einfach möglichkeit die API unter Windows zu nutzen um das Prefix zu Updaten ?

 

[boba]

Es gibt neben der Fritzbox sicherlich auch Update-Clients für Windows, die das tun.

 

[JackOh]

Also ich habe das Problem jetzt mit dynv6.net und Feste-IP.net gelöst und komme von allen externen Geräten auf alle Geräte in meinem Heimnetzwerk drauf.

Ich hätte hier aber noch eine andere Frage: in der Synology DS müsste ich ein Let's encrypt Zertifikat installieren, da manche Apps sonst Ihren Dienst verweigern. Vor dem IPv6 Problem habe ich bei der Erstellung des Zertifikats die DDNS-Addresse angegeben, mit der auch die NAS erreichbar war. Mit IPv6 kann ich ja keine DDNS-Addresse mehr in der Synology NAS hinterlegen.

Habt Ihr eine Idee, wie man das machen kann?

 

[Edding]

Also ich habe das Problem jetzt mit dynv6.net und Feste-IP.net gelöst und komme von allen externen Geräten auf alle Geräte in meinem Heimnetzwerk drauf.

Ich hätte hier aber noch eine andere Frage: in der Synology DS müsste ich ein Let's encrypt Zertifikat installieren, da manche Apps sonst Ihren Dienst verweigern. Vor dem IPv6 Problem habe ich bei der Erstellung des Zertifikats die DDNS-Addresse angegeben, mit der auch die NAS erreichbar war. Mit IPv6 kann ich ja keine DDNS-Addresse mehr in der Synology NAS hinterlegen.

Habt Ihr eine Idee, wie man das machen kann?

Hey, dynv6 ist ist ja cool. Die machen genau das, was ich für mich privat programmiert habe. Die unterstützen sogar nsupdate via tsig key. So muss das sein, so sieht ein ordentlicher dynamic dns Provider für ipv6 aus.

Du hast in deinem Screenshot auf der dynv6 Webseite den prefix falsch angegeben. Das ist aaaa:xxxx:yyyy:zzzz:: und nicht etwas mit :: am Anfang.

Das Prinzip ist das folgende:
Du legst bei denen zunächst eine Domain an, z. B. mit Namen "jackoh". Das ergibt jackoh.dynv6.net. Dort gibst du deinen Prefix an, das ist der von Vodafone vergebene Prefix, der so aussieht wie 2a02:908:xxxx:yyyy:: - das ist die erste Hälfte der ipv6 Adressen, die für alle deine ipv6 Geräte gleich ist.
Dann legst du für jeden deiner via ipv6 zu erreichenden Geräte einen Record an, und zwar vom Typ AAAA. Für deinen synology legst du z.B. einen Record mit Namen syno an, und als data gibt du die zweite Hälfte der ipv6 Adresse deiner synology an (den Hostanteil), also sowas wie ::eeee:ffff:gggg:hhhh - an der Stelle den :: am Anfang. Den findest du auch in der Fritzbox als Hostanteil für die synology.
Das ergibt dann als Ganzes den Hostnamen syno.jackoh.dynv6.net mit ipv6 Adresse 2a02:908:xxxx:yyyy:eeee:ffff:gggg:hhhh.

Die haben in den instructions sogar exakt die in der Fritzbox einzutragenden Update-Befehle aufgeführt was du da eintragen musst, also das, was die Fritzbox aufruft, wenn sich von Vodafone-Seite aus der Prefix ändert.
Auf der synology brauchst du nichts zu installieren.

Dort steht wie das geht

 

[JackOh]

Dort steht wie was geht? Ich würde gerne erfahren, welche Update-Url in das Feld Query URL in der DDNS-Einrichtung in der Synology NAS lauten muss und welche Daten in den DDNS-Eintrag.

 

[Edding]

Dort steht wie was geht? Ich würde gerne erfahren, welche Update-Url in das Feld Query URL in der DDNS-Einrichtung in der Synology NAS lauten muss und welche Daten in den DDNS-Eintrag.

Du brauchst nur 1mal das Prefix erneuern zu lassen z.b. über die Fritzbox und das war es.
Die AAAA Records setzt du fest auf der dynv6 seite und trägst dort nur den Host-Identifier ein also die letzten 64bit.
Das prefix wird dann immer wieder durch den eintrag in der fritzbox erneuert.

in deinemBeispiel ist die zone xyz.dynv6.net, der AAAA record den du machst lautet ds

Beispiel
Wenn deine ipv6 Adresse der Diskstation z.b. 2001:d8b:cad:f4d3:3333:3a3e:1111:1234 (Bold ist das Prefix und Underlined der Host-identifier) wäre dann kopierst du ::3333:3a3e:1111:1234 in den AAAA record von ds rein.

Pass aber auf das du nicht den Host-Identifier der Temporäre IPv6 Adresse nimmst.
Am einfachsten geht das wenn du dir die FE80::Host-Identifier des gleichen interfaces anschaust, die sollte mit einer der Öffentlichen gleich sein.


In der Fritzbox machst du Folgendes:

Set up dynv6
Go to Internet → Freigaben → Dynamic DNS then enable the Option Dynamic DNS benutzen select the provider Benutzerdefiniert and copy the following values into the form:
Update-URL
https://ipv6.dynv6.com/api/update?hostname=<domain>&token=<username>&ipv6prefix=auto
Domain = xyz.dynv6.net
token= dein token

 

[JackOh]

Ich habe jetzt das DDNS in der NAS komplett deaktiviert

Let's encrypt konnte ich in der NAS mit dieser Anleitung einrichten: https://www.synology-forum.de/threa...er-ds-lite-anschluss-nutzen.85244/post-707682

Dennoch wird die aufgerufene Addresse https://xyz.feste-ip.net:12345/ der DS vom Browser als Sicherheitsrisiko erkannt. Die Bitwarden Desktop App (Win) meldet "Failed to fetch".

Woran kann das liegen?

 

[Edding]

Ich habe jetzt das DDNS in der NAS komplett deaktiviert

Let's encrypt konnte ich in der NAS mit dieser Anleitung einrichten: https://www.synology-forum.de/threa...er-ds-lite-anschluss-nutzen.85244/post-707682

Dennoch wird die aufgerufene Addresse https://xyz.feste-ip.net:12345/ der DS vom Browser als Sicherheitsrisiko erkannt. Die Bitwarden Desktop App (Win) meldet "Failed to fetch".

Woran kann das liegen?

Ich würde tippen das es an der Domain liegt, das Lets-Encrypt wird auf die xyz.dynv6 ausgestellt sein, da passt feste-ip.net nicht zu.

 

[JackOh]

Also ich habe es auf das Record ds.xxxxx.dynv6.net in der Synology NAS per LE ausgestellt. Es funktioniert ja, aber es heisst immer noch, dass die Website unsicher ist.

 

[syhm]

Das Zertifikat ist ausgestellt auf ds.xxxxx.dynv6.net. Wenn du nun über https://xyz.feste-ip.net:12345/ drauf zugreifst wird der Browser zurecht meckern das der Hostname nicht mit dem Zertifikat übereinstimmt. Ich verstehe noch nicht ganz was genau nicht klappt. Dynv6 unterstützt sogar die Aktualisierung des Prefix über die FRITZ!Box, mir ist sonst kein anderer Provider bekannt der das macht. Edding hat dir beide Punkte bereits genannt. Richte dies doch in der Fritzbox so ein wie von Edding beschrieben -> https://www.kabeluser.de/threads/40835/post-496768