Kein Fernzugriff (https) auf Synology DSM mehr möglich seit Wechsel auf IB2

@Skoal82 

Suchen in speziellen NAS-Forums

@Black Mamba 

Das Problem hat zu 99,999% nichts mit dem NAS und auch nichts mit dem Zugangsgerät (probiert mit PC, Laptop und iPad) zu tun, sondern liegt an irgend einer Eigenheit des Swisscom Router (IB2).

Bekannte mit anderen ISPs (und somit anderen Routern) haben problemlos Zugriff auf den DSM. Auch ich habe mit meinen Geräten problemlos Zugriff, sobald ich mich nicht über den Swisscom Router sondern über den 4G Hotspot des Smartphone verbinde.

@Skoal82 

Hast du IB2 schonmal neu gestartet ?

Welche Firmware ist auf der IB2 drauf ?

Welchen Router hattest du vor der IB2 ?

Ist die IB2 ein Occasionsgerät? Wurde vor der IBN an deinem Anschluss geresettet ?

@Dani (CH) 

Bingo! IPV6 auf der IB2 deaktiviert und nun funktioniert alles wieder. Habe ich durch die Deaktivierung von IPV6 irgendwelche unmittelbaren Nachteile?

---

@Skoal82  schrieb:

irgendwelche unmittelbaren Nachteile?

---

Nein

@POGO 1104da bin ich aber voll und ganz anderer Meinung, nicht alle destinations im Internet sind via IPv4 erreichbar,  also somit würde ich schlicht und ergreifend sagen Deine aussage ist falsch!

Statt des vorgeschlagenen Workarounds könnte mal versuchen, die Firewalleinstellung auf der IB auf "Standard" zu setzen.

Sollte dies nicht zum Erfolg führen, wäre gut zu wissen wie der Output von "nslookup ***ds.myds.me" aussieht.

@ChristianEb es geht auch nicht um "alle destinations" sondern um "unmittelbare Nachteile". Die gibt es offenbar (noch) nicht beim ganz normalen Benutzen des Internets.

Ich stelle aktuell auch noch keine Nachteile fest beim Deaktivieren von IPv6.

Also ich kenne mehrere Websites, die IPv4-Traffic bewusst deutlich tiefer priorisieren oder ausbremsen. Oder gewisse Features einfach nicht anbieten.

Und dann soll es noch so Leute geben, die ähnliches bei ihren Gäste-WLANs einrichten 😇

Die beste und sicherste Lösung wäre natürlich sowieso der Zugriff auf das „Eltern-NAS“ via eine VPN-Verbindung.

Natürlich sollte der Direktzugriff technisch auch funktionieren, aber empfehlen kann man das eigentlich nicht wirklich...

@PowerMac sicher gibt's die. Die Frage ist, ob ich als "normaler" Internetkonsument a) überhaupt auf solche Seiten komme und b) einen bemerkbaren Nachteil durch das Deaktivieren von IPv6 habe, wenn ich da drauf bin.

Erst wenn beides gegeben ist, wird Bewegung in die Geschichte kommen. Bis es soweit ist, ists halt einfacher IPv6 abzustellen als eine aufwändige Fehlersuche zu betreiben 😉

a) wenn du z.B. LinkedIn oder Facebook benutzt: ja.

b) 15...40% langsamer fällt vielleicht nicht gross auf, aber in diesem Forum wird ja mitunter auch der sehr viel weniger bemerkbare Unterschied zwischen 2.5G und 10G heiss diskutiert.

Klar, die IPv6-Checkbox wegmachen ist eine billige Methode zur Symptombekämpfung, wenn man mit der Suche des eigentlichen Fehlers überfordert ist. Aber Probleme hat man damit noch nie nachhaltig gelöst.

@PowerMac oh, klar, beide werden ab und zu benutzt 😉 Habe aber noch nie festgestellt oder das Gefühl gehabt, dass ich da ohne IPv6 benachteiligt werde 😉

"Überfordert sein" in diesem Zusammenhang, ist das was Schlechtes? Warum funktionieren Services mit der IB3 nur, wenn man IBv6 deaktiviert? Konfigurationsfehler im Heimnetz? Noch unvollständige Implementation von IPv6 auf der IB3, oder irgendwo im Netz? Macht da Synology auch noch Probleme?

Ich habe mittlerweile noch etwas herumprobiert und eine bessere "Lösung" gefunden: Nach dem Leeren des DNS-Cache auf der IB2 konnte ich IPV6 wieder aktivieren und der Fernzugriff auf den DSM funktioniert trotzdem noch. 🙂

Zum Thema VPN:
Das Backup Synology NAS zu Synology NAS über das Internet mittels Hyperbackup-Job läuft automatisiert nach Zeitplan einmal wöchentlich in der Nacht. Dabei wird eine verschlüsselte rsync Verbindung verwendet. VPN wäre zwar wohl noch etwas sicherer, auf die Schnelle habe ich jedoch keine Lösung gefunden, damit die Diskstation automatisiert nur das Backup über VPN macht und ansonsten ganz normal im lokalen Netzwerk läuft.
Den HTTPS-Zugriff auf die DSM-Benutzeroberfläche brauche ich eigentlich nur gelegentlich zur Fern-Administration des NAS. Dafür möchte ich nicht unbedingt extra eine VPN-Verbindung einrichten, zumal die entsprechenden Ports eh schon für gewisse Synology Smartphone-Apps geöffnet sind.

Zur IB2, respektive Swisscom Routern allgemein:
Das ist nicht das erste mal, dass ich bei Anwendungsfällen, die etwas vom 0815-Benutzerschema abweichen, seltsame Probleme mit diesen Routern hatte. Zum Beispiel klappt der Fernzugriff auf den auf dem Synology NAS installierten Plex Server trotz geöffneter/weitergeleiteter Ports nicht zuverlässig. Jeweils nach ein paar Stunden oder Tagen läuft der Fernzugriff jeweils nicht mehr und muss deaktiviert und neu aktiviert werden. Da ich jedoch von Ausserhalb eh nur testweise auf den Plex Server zugreifen wollte, lasse ich dieses Feature halt nun einfach deaktiviert.😉

@Skoal82 

Nur noch so als Denkanregung:

Mit einer VPN-Verbindung hättest Du Deine Fernzugriffs-PLEX-Probleme gleich mitgelöst.

Dieses Anwendungsspezifische Port-Öffnen wird dann nämlich schlichtweg überflüssig.

Und immer mehr Löcher als nötig in die Security bohren, halte ich auch für das falsche Konzept.

Auf meiner Internet Box ist z.B. genau ein Port offen, nämlich UDP 1194 für den verschlüsselten generellen Zugang aus dem Internet ins Heimnetz via einen Open VPN Server.

Mit der dann möglichen VPN-Verbindung, bist Du richtig konfiguriert, virtuell komplett im Heimnetz, egal von wo in der Welt Du Dich via Internet oder Mobilnetzt Du Dich dann auch einloggst.

Das könntest Du mit Deiner Syno auch mal probieren, einfach zusätzlich noch den Open VPN Server einrichten.

Also ich weis nicht was bei Dir "normal" ist...

Aber rein mein konsum wärend eines "normalen" Tag ist aktuell ca 40% v6 rest v4 aber wen man v6 nicht mal aktiviert hat kann man das auch nicht feststellen....

@ChristianEb 

Dir ist aber schon klar, dass 99,999 Prozent aller Seiten im Internet sowohl unter IPv4 wie auch unter IPv6 erreichbar sind?

Bei den Seiten, wo das nicht zutrifft, sind sie dann üblicherweise nur über eine klassische IPv4-Adresse erreichbar.

Seiten, welche tatsächlich nur über IPv6-Adressen erreichbar sind, wollen vermutlich gar nicht gefunden werden und sind mit dem Ziel der öffentlichen Zugreifbarkeit sicher äusserst selten.

---

@kaetho  schrieb:

[...] "Überfordert sein" in diesem Zusammenhang, ist das was Schlechtes? Warum funktionieren Services mit der IB3 nur, wenn man IBv6 deaktiviert?

---

Offenbar darum, weil da irgendetwas noch nicht richtig konfiguriert wurde.

---

Konfigurationsfehler im Heimnetz? Noch unvollständige Implementation von IPv6 auf der IB3, oder irgendwo im Netz? Macht da Synology auch noch Probleme?

Alles mögliche Ursachen, ja. Die gilt es herauszufinden. Gröber fehlerhafte IPv6-Implementationen irgendwo im Netz habe ich seit über 10 Jahren eigentlich keine mehr angetroffen, in den meisten Fällen betreiben die Transitprovider bei IPv6 sogar sauberere Konfigurationen als beim veralteten, viel zu langsam sterbenden Auslaufmodell IPv4.

Beim vorliegenden Problem deutet zudem einiges darauf hin, dass es schliesslich gar nichts mit IPv6 zu tun hatte.