Keine Ports offen trotz Portfreigabe an Internet Box 2

@tzhscmie

Danke für Deinen Hinweis, dass UDP-Traffic nicht über den Booster gehen kann.

Habe ich wieder einmal etwas dazu gelernt.

Da für meinen Open VPN Server der Upload der Swisscom Internet Verbindung entscheidend ist, und da der Booster bei meinem Abo im Upload eh nur einen bescheidenen Zusatztraffic von max. 2-3 mBit/sec bringen kann, und der aktuelle UDP-Setup bisher perfekt funktioniert, werde ich es vermutlich vorläufig bei UDP belassen.

Wenn mir aber wieder einmal ein wenig übermütig wird, werde ich vielleicht dann doch nochmal versuchen, ob ich die theoretischen letzten 10 Prozent auch noch rauskitzeln kann.

Vorerst Schlechte Nachrichten.

Ich versuchte die VPN Verbindung wie im Router erklärt einzurichten. Eigentlich wie alles bei SC simpel auszuführen und mit guten Anleitungen. Leider kam weder mit noch ohne Inet-Booster eine VPN Verbindung zustande. Wenn ich die SC DDNS im Browser eingebe, dann kommt ohne Inet-Booster das Web Interface von meinem NAS. Mit Inet-Booster kommt eine Fehlermeldung.

Ich werde die ganze Sache abblasen und wieder mit der IBS weiterfahren bis ich eine bessere Lösung gefunden habe. Einmal mehr bestätigt sich "Never touch a running system!"

Gruess Marcel

Hast ne PN.

Gruess Marcel

Mit dem Internetbooster wird einerseits nur TCP verteilt über Kupfer und Mobil übertragen und zwar mit einem zwischengeschalteten SOCKS-Proxy. Das läuft aber nur für TCP-Verbindungen die vom LAN ins Internet aufgebaut werden. Alle anderen Verbindungen können nur auf der Kupfrleitung stattfinden.

Eine Zusätzliche Komplikation entsteht weil die im Internet als Absender-IP-Adresse sichtbare Adresse für den Kupferanschluss eine andere ist als diejenige des SOCKS-Proxy-Servers.

Alle Portweiterleitungen (egal ob TCP und/oder UDP) wirken siche exklusiv auf neu aufgebaute Verbindungen aus dem Internet aus und diese sind wie oben beschrieben nur auf den Kupferanschluss möglich.

Ich hoffe meine kurzen Ausführungen hier sind trotz allem verständlich.

Hallo Richie

Der von Dir geschilderte Sachverhalt ist auf das Protokoll "Multipath TCP" zurück zu führen - richtig?

Was ich nicht verstehe, inwiefern auch UDP davon betroffen ist. Auf den ersten Blick ging ich davon aus, dass dieses Protkoll einfach über die Festnetz IP normal abgewickelt wird.

Weiterführende Infos (*RT(F)M*) bzw. Empfehlungen zu Hintergrundwissen nehme ich gerne an.

Grüsse

RAL9004

Hallo zämme

Ich habe nun mit Marcel via PN kommuniziert und die verwendeten IPs genauer angeschaut. So wie ich das sehe, propagiert der DynDNS von Marcel die IP-Adresse des Bonding Backend Servers (von welchem der MPTCP Traffic ins öffentliche Internet ausgeht). Da haben wir dasselbe Problem wie bei einem Anschluss via CGNAT. Eingehende Verbindungen funktionieren nicht ohne Weiteres. 

Wie auch im Post von Shorty7777 erwähnt, vermutet er dass der DDNS client die falsche IP zurückschickt, nämlich diejenige der abgehenden Verbindung, welche bei aktivem Bonding/Internet-Booster halt diejenige des Bonding-Servers ist, der die Traffic Aufteilung mittels MPTCP "koordiniert". Wenn ich Bonding (Internet-Booster) verwende, so habe ich im Internet immer eine Absender-Adresse des Bonding Backend Servers. Somit sieht ein "fremder" DDNS Dienst immer diese IP, die nicht für eingehende Verbindungen genutzt werden kann.

Der Swisscom-eigene DDNS nutzt die globale IP-Adresse des xDSL-Interfaces. Ich habe das kurz geprüft und konnte bei aktivem Bonding damit von "aussen" aufs WebGUI zugreifen.

Shorty7777 schreibt, dass er sowohl den Swisscom-eigenen, als auch einen anderen DynDNS Dienst verwendet. Aber er hat ein OpenVPN mit UDP. Das wird nicht "bondet", wie es hier schon mehrfach erklärt worden ist.

@tzhscmie

Der Fall war schon in der Bonding Testphase bekannt, und ist genau so, wie du das hier ausführlich beschrieben hast. Wenn du nähmlich auf mydyndns die IP anschaust, bestätigt das deinen Verdacht.

Mit Swisscom DdNS kein Problem.

Gruess swissbeetle

Guten Morgen liebe Community

Nach einigen Problemen ist eine vorübergehend akzeptable Lösung gefunden. Wie bereits im Thread erwähnt, muss (Leider) alles über Swisscom-Dienste betrieben werden um im Inet-Boosterbetrieb die DDNS aufzulösen.

Heute Früh habe ich es nochmal Probiert so wie im Thread beschrieben .

Ich habe DDNS und VPN von Swisscom eingerichtet und anschliessend versucht zu verbinden. Die Verbindung konnte nicht hergestellt werden.

Das Problem lag aber an der Synology NAS Webstation App. Diese benötigte ich bisher um das Verschlüsselungszertifikat beim bisherigen DDNS Zugriff auflösen zu können. Wenn ich im Browser die neu erstellte SC DDNS eingab, wurde ich sofort auf diese Webstation-Seite vom NAS geleitet. Somit kam die VPN-Anmeldeanfrage garnicht bei der IB2 an.

Ich stoppte die Webstation im Synology DSM und griff per Browser nochmal auf die SC DDNS zu. Sogleich wurde die Router-Login Seite angezeigt und auch die VPN-Anmeldung klappte problemlos.

Die Ports an der IB2 bleiben verschlossen wenn man den VPN-Dienst aktiviert. Das macht zwar alles etwas sicherer aber halt auch sehr unflexibel.

Wie ich Dateien vom NAS nun an Dritte freigeben kann muss ich noch probieren. Das kann ich nicht einfach so lösen weil der Browser-Login vom NAS nicht per SC DDNS erreicht werden kann und jedes zugreifende Gerät nur per VPN drauf kommt.

Ich werde heute von Auswärts einige Zugriffstests machen um die Stabilität und Verfügbarkeit zu prüfen.

Vielen Dank für die Hilfe

Gruess Marcel

Ich bin nun auf der Baustelle und stelle fest, dass über den SC VPN unter Windows das NAS nur per IP (\\192.168.1.xxx) zu erreichen ist. Der "\\Gerätename" schlägt fehl. Dieses Problem hatte ich bei Verbindungen zum VPN-Server vom Synology NAS nicht.

Heute Abend werde ich den Internet-Booster deinstallieren und das ganze System wieder wie gehabt laufen lassen. So habe ich zu viele Synology-Dienste auf die ich verzichten muss. Dann lieber 10-20% langsamerer Zugriff.

Gruess Marcel

Hello Marcel

Ja, das geht natürlich nicht, weil DNS Auflösungen nun auf deiner Internet-Box gemacht werden. Als dein VPN-Server noch die Synology war, endete die VPN-Connection dort und auch DNS Anfragen gingen zur Synology DS. Was aber gehen sollte ist "\\gerätename.home\" sofern du den in der Internet-Box richtig eingetragen hast (die IB hat einen eigenen DNS-Server).

Du kannst natürlich auch mit dem Swisscom DynDNS die VPN-Verbindung deiner Synology brauchen. Ich nutze u.A. auch den Swisscom DynDNS Dienst, habe aber eine eigene VPN-Lösung. Man muss dazu einfach den Port, auf welchem dein VPN-Server auf der Synology lauscht, in der Internet-Box zur Synology weiterleiten.

Ich sehe aber dein Problem, dass du nun nicht mehr einfach die Freigabe-Links brauchen kannst, da die Synology diese offensichtlich anhand des dynDNS-Namens generiert. Darüber weiss ich allerdings nicht genau Bescheid. Vielleicht weiss jemand, ob man in der Synology diesen Hostnamen vorgeben kann, damit es wieder stimmt. Dann hättest du wieder die volle Funktion.