Hallo Zusammen,

ich betreibe hinter meiner Fritzbox einen kleinen Synology Server, auf den ich von unterwegs zugreifen kann.
Diesen erreiche ich über die DDNS-Unterstützung von Synology.

Nun steht eine Vertragsverlängerung bei meinem Internetanbieter an und ich frage mich, ob ich mir das Geld für die Bereitstellung der dynamischen IP4v-Adresse sparen kann? Benötigt die Synology überhaupt eine solche dynamische IP4v?

Mein Verständnis ist, dass die Diskstation immer, wenn sich die IP-Adresse ändert, bei dem DDNS-Host meldet und dann die neue IP durchgibt, oder sehe ich das falsch? Dann ist es doch eigentlich egal, wie oft die IP-Adresse wechselt, oder?
Oder fehlt ohne IP4v die Möglichkeit für die Synology, überhaupt seinen Standort herauszubekommen?

Für helfende Tipps wäre ich dankbar.
Grüße
doescher

Eine dynamische IP ist der Standard, wenn du darauf verzichten möchtest, dann brauchst du eine statische IP, und wenn eine der beiden Varianten Geld kostet, dann die feste Adresse (hängt aber vom Provider ab). Grundsätzlich funktionieren beide. Es müssen nur die Einstellungen entsprechend angepasst werden.

Meinst du eine statische oder fixe IP Adresse? Für die muss man fast immer extra bezahlen. Oder hast du einen Vertrag der auf IPv6 basiert?

Letztendlich ist das aber egal, wenn du die DDNS Funktion von Synology verwendest funktioniert sowohl dynamisches IPv4 als auch IPv6. Wie du richtig vermutest, erfolgt die Aktualisierung ganz automatisch und es ist egal wie oft sich deine IP Adresse ändert.

Bei meinem Anbieter habe ich immer eine statische, dynamische gibt es gar nicht.

Bist du sicher, dass deine IP dynamisch ist?

Ohne Angabe, wer dein Anbieter ist und was für einen Vertrag du da hast... Ist das normalerweise genau umgekehrt: Konsumer bekommen immer eine dynamische Adresse, besonders dann, wenn sie noch eine v4 Adresse bekommen weil die sind ja knapp bzw "alle" wenn sie öffentlich sein soll.
Was doescher da wirklich hat, wer weiß das schon. Das seine Synology im eigenen privaten Netz eine feste statische IPv4 hat, dürfte dagegen gesichert sein. Wie er das NAS "ins Internet" gehängt hat, verrät er auch nicht

Wer nimmt denn bitte Geld für die Bereitstellung einer dynamischen IPv4-Adresse? Das ist eigentlich der Standard - bei jedem Verbindungsaufbau oder in anderen Intervallen, die nicht Deinem Einfluß unterliegen, bekommst Du eine neue IPv4-Adresse. Bezahlen mußt Du üblicherweise für eine statische IPv4-Adresse, also eine, die sich nicht ändert - dann brauchst Du aber auch keinen DDNS.

Was allerdings sein kann ist, daß Dir Dein potentieller neuer Provider gar keine öffentliche IPv4-Adresse mehr zur Verfügung stellt. In dem Fall hast Du dann einen sogenannten "Dual Stack light"-Anschluß, der eigentlich ein IPv6-Anschluß mit einer IPv4 aus dem RFC 1918-Range (i.A. 10.x.x.x, 172.16.x.x-172.23.x.x oder 192.168.x.x) ist. Damit hast Du von außen dann absolut gar keine IPv4-Connectivity mehr, auch nicht per DDNS. Wenn das also für Dich ein wichtiger Punkt ist, ist Dual Stack light ein K.O.-Kriterium.

Alternativ kannst Du auch gleich richtig auf IPv6 umsteigen. Ob das für Dich ein praktikabler Weg ist, hängt von verschiedenen Parametern ab, unter anderem von der Art, wie Du auf Deine Synology zugreifst, und wer Dein Mobilfunk-Provider ist: Telekom kann seit Ewigkeiten IPv6, Vodafone konnte es bei meiner letzten Recherche immer noch nicht (was übrigens ein Armutszeugnis erster Güte ist und mich bis auf weiteres davon abhält, einen Wechsel zu Vodafone auch nur entfernt in Betracht zu ziehen). Wenn also alle von Dir genutzte externen Anbindungen IPv6-fähig sind, ist das der einfachste und beste Weg, dann kann Dir auch Dual Stack light egal sein.

Welcher Anbieter ist das? Würde mich wirklich mal interessieren.

wenn ich die Sicherheit ausschalte, hab ich bei er Telekom Monate lang die selbe IPV4

bei Vodafone musst ich extra eine IPV4 beantragen

Wie bereits gesagt geht es mit Sicherheit nicht um dynamische vs. feste IP-Adresse. Eine feste IP kostet in der Regel immer Aufpreis bzw. ist bei eh schon teureren Business-Tarifen inbegriffen. Wofür du zahlst ist sehr wahrscheinlich eine EIGENE dynamische IPv4-Adresse, wenn du das nicht verlängerst hängst du mit DS-Lite rum. Einfach gesagt, du teilst dir mit anderen zusammen eine IPv4-Adresse. Damit wird DynDNS im IPv4-Bereich dann nicht mehr funktionieren. Also bitte weiter verlängern wenn du auf deine Geräte zuhause kommen möchtest.Das ist trotzdem eine dynamische IP, da du bei Neuverbinden wieder eine andere bekommst. Bei einer statischen bekommst du immer die gleiche zugeteilt.

Danke für Eure Antworten.
Ehrlich gesagt war ich heute auch erstaunt, als ich im Vertrag von der »Überlassung einer dynamischen IPv4 Adresse« las. Aber ich hatte noch etwas im Hinterkopf, das M-Net irgendwie keine IPv4 mehr hat oder so ähnlich...
Auf die Synology greife ich per Portfreigaben, die ich in der Fritzbox eingerichtet habe, zu.

Das wird wahrscheinlich der Punkt sein, warum ich die 5 Euro extra bezahlen muss. Na ja, dann ist das wohl so.
Danke für Eure Hilfe.

Und genau das ist der Grund warum dein Anbieter DS-Lite einsetzt. So können eine IPv4-Adresse mehrere Kunden gleichzeitig nutzen. Otto-Normal wird auf seine Geräte zuhause nicht zugreifen brauchen und daher ist es egal. Aber sobald du von außen auf zuhause zugreifen möchtest geht das bei DS-Lite nurnoch über IPv6.
Und die hast du höchstwahrscheinlich im IPv4-Bereich angelegt (Portweiterleitung ist da das passendere Wort). Mit einer DS-Lite Adresse bei Zugriff von außen ist beim NAT-Server des Providers Schluss, dieser weiß schließlich nicht an wen die Anfrage muss wenn man von Richtung Internet kommt.
Und das ist zum Beispiel auch ein Grund warum die Telekom etwas höhere Preise verlangt. Bei denen gibt es (aktuell) immer echtes DualStack (eigene dynamische IPv4-Adresse + eigenes IPv6-Netz). Aber das wissen viele nunmal nicht was da alles so hinter steckt.

Genau. Deswegen ist es für mich dann okay, die Option so zu belassen.
Danke!

Igitt, sowas macht man doch nicht. Portweiterleitungen von draußen... da kann ja fast jeder rein. Wer das anständig macht, macht das per VPN. Was aber bei Anschlüssen ohne IPv4 nicht mehr direkt mit einer Fritzbox geht. Dazu braucht es zB einen entsprechenden Server "hinter" der Fritzbox... Mit anderen Worten. Alle Anbieter, die keine IPv4, und sei die auch nur dynamisch, haben, verkaufen einem kaputtes Internet

Das ist aber keine statische IPv4-Adresse, sondern eine dynamische, die sich nicht oft ändert. Das klang bei becreart aber anders.

Nicht nur M-Net nicht. IPv4 ist aus. Kommt auch nicht wieder rein. Deswegen machen die Provider ja derart widerlichen Schweinkram wie Dual Stack light.
Ich hoffe, Du weißt, was Du tust. Wenn nicht, ist das eine freundliche Einladung zum Daten-GAU.

Das hoffe ich auch
Aber so wie ich es nun verstehe, brauche ich die IPv4 Option auch für den Zugriff über VPN.

Salt Fiber

Dumme Frage: mein VPN-Login wäre
Benutzer: l8$M#cDEqFoW5o5LMQMAgC8TMw1Jjb#!WycE*TNs6dyD1*7@l0
Pass: jESB3#4zG5YzXxN^9u0Ct$$0Y4@f$TMkYf1CqkBj&L@4zo&req

Worin besteht der sicherheitsrelevante Unterschied, wenn ich ohne VPN aber mit Portweiterleitung auf einen "Dienst" treffe, der genau die gleichen Benutzer/Pass-Login-Daten erfordert?

Deswegen habe ich ja nicht geschrieben "Oh Himmel, mach das nicht, Du wirst störben", sondern "Ich hoffe, Du weißt, was Du tust"

Dazu zählt zum einen natürlich die Wahl geeigneter Paßwörter, was Du ja auch korrekterweise anmerkst.

Aber Du hast auch schon einen interessanten Schwachpunkt eingebaut: So, wie Du es beschreibst, ist das VPN in der Tat nicht sehr viel besser als ein exponierter Service des NAS. Aber nicht, weil die Absicherung des Dienstes mit einem guten Paßwort so gut ist, sondern weil die des VPN so (relativ) schlecht ist, auch wenn es eine Stufe an Sicherheit mehr bietet, denn den Service dahinter kann man ja noch zusätzlich absichern. Portscans bringen zudem nicht mehr ganz so viel, wenn man nur den Port des VPN findet.

Ich würde möglichst kein VPN nutzen, dessen Authentifizierung nur aus einem PSK besteht. Wenn man das ganze Zertifikat-basiert macht und nicht gerade eine externe CA nutzt, ist das ganze gleich eine Größenordnung sicherer (und ein gutes PSK obendrauf schadet auch nicht, ebensowenig wie 2FA). Zertifikatsbasierte Authentifizierung kann man für den Hausgebrauch z.B. mit dem auf OpenVPN basierenden pivpn relativ einfach aufsetzen.

Dienste auf irgendwelchen zugekauften Komponenten direkt öffentlich zu exponieren ist generell keine so gute Idee. Synology macht den Support älterer Systeme noch recht ordentlich, aber in vielen Fällen werden Sicherheitslücken von den Herstellern solcher Geräte spät, schlecht oder gar nicht gefixt. Dann hast Du ein verletzliches Gerät gewissermaßen mit dem nackten Hintern im Internet stehen. Dagegen hilft ein ordentliches VPN auch - sogar das der Fritzbox schon, auch wenn das wirklich minimalistisch ist. Und unter der Annahme, daß der Router dann halt ordentlich gewartet und regelmäßig aktualisiert ist.

becreart
Witzbold. Der größte Teil der MTN-Leser sitzt im Internet-Entwicklungsland de , da helfen deine Erfahrungen in der Schweiz nicht wirklich weiter. Hierzulande war eine dynamische IP (v4) lange Zeit die Regel. Wie das jetzt mit den knappen Adressen und der zunehmenden Verbreitung von IPv6 aktuell aussieht entscheidet jeder Provider für sich, aber statische haben höchstens Firmen auf ausdrücklichen Wunsch bekommen.

Danke!

Schade, dass es irgendwie nicht recht lohnt, dafür in die Schweiz umzusiedeln. Andererseits habe ich das Problem erfreulicherweise auch nicht, meine IPv4 und IPv6 sind alle statisch. Aber gut zu wissen.

Naja, die zunehmende Verbreitung von IPv6 ist ja eher die Lösung als das Problem.

Dafür bringt sie das neue und viel üblere Problem, daß einige Schlaumeier meinen, man müsse unbedingt an IPv4 festhalten und dann eben IPv4 durch IPv6 tunneln, anstatt es einfach richtig zu machen. Und ja, ich schreibe "einfach" - ich benutze seit mehr als 10 Jahren IPv6 und habe immer nur Probleme mit den diversen Krücken, mit denen das tote IPv4-Pferd am Umfallen gehindert wird. NAT, DS-lite etc.pp sind einfach nur die Pest.

Sorry, das mußte jetzt mal raus

Wie wärs denn stattdessen ein Raspberry Pi davor zu schalten? Also auf dem Pi sftp Einrichten, den Dienst nach außen freigeben (natürlich mit login/passwort), dazu fail2ban einrichten, und bei einem erfolgreichen login eine Pushnachricht ans Handy schicken.
der sftp Dienst gibt dann ein Verzeichnis frei welches per smb zum eigentlichen NAS zeigt.

So ist jedenfalls meine Vorgehensweise.

Tausche ssh/sftp-Login/Password gegen private-/publickey, sperre den Paßwort-Login ganz (/etc/sshd_config: "PasswordAuthentication no", am besten auch noch "PermitRootLogin no") und es ist ziemlich solide.

das klingt als es für dich total einfach, aber jemand der das noch nicht gemacht , dürfte daran verzweifeln

Ich glaube dem threadersteller hilft das nicht

Btw bei meinem Telekom-Router ist ein vpn-server integriert, den muss ich nur einschalten und mittels config Datei auf dem anderen Gerät einrichten ... das geht sehr einfach und erlaubt einfachsten Zugriff von überall (sogar mit den gewohnten IP Adressen )

Naja, bevor ich das bei mir so eingerichtet habe, hatte ich das auch noch nicht gemacht.
Hatte mir da einige Anleitungen angeguckt. Aber ein gewisser Grad an Vorkenntnissen sollte schon vorhanden sein, da hast du Recht.

Ich habe dafür keine IPv6 Adresse 🤔

Autsch. Wir schreiben das Jahr 2021 ... da hat wohl jemand bei Salt eine Zeitmaschine: Genügend IPv4-Adressen vorhanden und IPv6 gibt's nicht

Also laut meinem Modem…

Das sollte es am besten wissen

Ihr habt mir sehr geholfen, auch wenn einige Empfehlungen über meine Fähigkeiten gehen wie z.B. den Raspberry-Pi zu verwenden. Andere wie den VPN werde ich nun endlich angehen...
Ich habe heute ein Angebot von M-Net angenommen, bei dem eine IPv4 standardmäßig dabei ist. Argumente hatte ich dank diesem Thread genügend.
Vielen Dank!
doescher