Netzwerk Überwachung

  • Hallo Zusammen,


    ich habe ein Problem mit meinem eigenen DDNS. Die Verbindung zu meinem DDNS Anbieter DNS24.CH funktioniert nicht. Ich würde gerne einen virtuellen Server öffentlich per URL für mich frei schalten.


    Mir wurde von DNS24 mitgeteilt, das keine Anfrage bei Ihnen im LOG zu finden ist.


    Ich würde gerne herausfinden, wie der Datenverkehr verläuft. Auf meinem UPC Modem sind detailierte Auswertungen nicht möglich. Dazu würde ich ein Sniffer wie WireSharks benötigen, um eine Analyse durchführen zu können. Ich habe aber nichts gefunden.

    Hat irgendjemand eine Idee was für ein Tool, Software oder ähnliches verwendet werden könnte.


    Ich bin auf der aktuellsten QTS Version und habe ein TVS-863


    Besten Dank

    Wolfgang

  • sag doch erst mal genauer wie du den DDNS Service konfiguriert hast, und wo? Also in der NAS oder seinem Router? Auch wichtig zu wissen ist welchen Internetanschluss du hast, d.h. ob deine öffentliche IP IPv6 ist oder IPv4.

    Sag auch welche Ports du wie weiterleitest.


    Du kannst einen RaspberryPi als Packetfilter in die Leitung hängen, die Frage ist nur ob das nötig ist und du nicht evtl. den DNS nur falsch konfiguriert hast.

  • Das UPC Modem/Router ist UPnP fähig und mein QNAP hat die Ports (NAT) entsprechend freigeschaltet. Ich hatte zu Beginn nur eine IP6 Adresse für das Modem habe es aber auf IP4 umstellen lassen, da UPC nur ein DS-Lite zulässt und entsprechend sind keine Portweiterleitungen möglich bzw. es gibt Probleme damit.

    Das DDNS habe ich im NAS konfiguriert siehe das Beispiel (myqnapcloud funktioniert).

    pasted-from-clipboard.png

    Die DDNS Konfiguration ist folgende:

    pasted-from-clipboard.png

    und die Fehlermeldung lautet:

    pasted-from-clipboard.png

    Anbei der Screenshoot from NAS

    pasted-from-clipboard.png

    Anbei die NAT Tabelle auf dem Modem/Router

    pasted-from-clipboard.png

    Danke fürs erste.

    Eine PI hätte ich auch müsste mich allerdings schlauf machen, wie und was für ein Sniffer ich installiere. Linux ist nicht meine Stärke.

  • Schalte UPNP aus, da deine NAS offen ist wie ein scheunentor und du keine Kontrolle davor hast.

    Du brauchst nur den https Port 443, welcher von deinem Router auf deine NAS weitergeleitet werden muss. Falls du das mit dem Zertifikat noch nicht konfiguriert hast, kannst du auch übergangsweise, in der Testphase auch noch den unverschlüsselten http Port 80 weiterleiten, den du auch für das SSL Zertifikat temporär freischalten musst.


    Dann würde ich an deiner Stelle myQNAPCloud deaktivieren, sonst weißt du ja wieder nicht von welcher Richtung überall Zugriffe auf deine NAS kommen.


    Nutzt du VPN? Ich verstehe deine Portkonfiguration nicht so ganz.

    Ganz grob für den Webserver:

    https: 443 extern auf den SSL Webserverport

    http: 80 extern auf den unverschlüsselten Webserverport

  • Meine Konfiguration bestand aus diversen Versuchen auch mit dem VPN.

    Ich habe jetzt den UPNP ausgeschaltet und 443 und 80 einmal zum NAS durchgeroutet. Was allerdings nichts geholfen hat.

    Ich bekomme immer noch die gleiche Fehlermeldung.

    myQNAPCloud will ich im Moment nicht abschalten, da diese funktioniert und ich sehr viel von ausserhalb zugreife. Wenn ich in der App myQnapCloud die Webkonnektivität überprüfe werden mir zwei https und zwei http angezeigt.

    pasted-from-clipboard.png

    Die zwei die jetzt manuell geroutet habe, sind im Status OK. Ich frage mich einfach warum werden vier angezeigt. Für was benötigt myQnapCloud diese und wie ist es dann bei einem anderen DDNS Provider? Ich habe diesen schon angefragt betreffend Ports, aber die Antwort ist nicht vor Montag zu erwarten. Ich habe eher die Befürchtung, das die Anfrage schon nicht zum Modem/Router durchkommt.

  • Habe so etwas noch nie ausprobiert, aber was passiert wenn du die URL zur Erneuerung der IP mal in einem Browser eintippst, mit den passenden Werten?


    8080 ist die WebGUI http

    8081 ist vermutlich der Webserver https

    80 Webserver http

    443 WebGui https

    Kannst du unter den Einstellungen der NAS anpassen. (Applications - Webserver und System - General Settings)


    Kommst du mit der IP deines Anschlusses auf deine NAS? Also mal ohne den DNS Service zu nutzen, einfach die IP deines Internetanschlusses im Browser eintippen. Wenn die Weiterleitung funktioniert müsstest du auf deine NAS kommen.

  • Wenn ich das richtig verstanden habe, aktualisiert der QNAP DDNS Client nicht die aktuelle WAN IP beim DDNS Provider?


    Dann hat das eigentlich nichts mit den Portweiterleitungen zu tun, da der Aktualisierungsdienst dafür keine benötigt. Vermutlich wird der Fehler in der DDNS Konfiguration zu suchen sein. Alternativ könnte man dann auch einmal ausprobieren, ob der Router den DDNS Dienst übernehmen kann. Der muss ja nicht zwingend im NAS laufen.


    Unabhängig davon: Wie UpSpin geschrieben hat das Scheunentor schließen!

  • Der direkte Zugriff funktioniert über alle 4 Ports. Ich komme auf mein Anmeldebildschirm.


    Mein Problem mit dem NAS auf dem Modem/Router ist, das mir nur 2 DDNS Provider angeboten werden und ich aber einen in der Schweiz habe. Auf dem NAS kann ich den selber konfigurieren.


    dns24-dynamic-dns-howto.pdf


    Ich habe die Beschreibung angehängt und so wie ich es sehe, habe ich die URL korrekt eingetragen, mit der ein Update beim Provider durchgeführt wird. Gemäss Provider gibt es keine LOG Einträge von meiner öffentlichen IP-Adresse. Also gehe ich einmal davon aus, das es weder einen positiven noch einen negativen Versuch gab.

    Wenn die Anfrage über einen der 4 freigeschalteten Ports läuft müsste das Modem diese weiterleiten. Die waren während meiner Versuchsphase "sprich" Scheunentor offen.

  • Um die URL zu prüfen, müsstest du diesen auch in einem beliebigen Internetbrowser am PC aufrufen können. Dafür musst du die Platzhalter natürlich um die richtigen Anmeldedaten ersetzen. Hast du an der Position Benutzername %USER% denn wirklich wie gefordert die User ID hinterlegt ?


    Und noch einmal: Für die Aktualisierung des DDNS benötigt man keinerlei Portfreigaben

    Einmal editiert, zuletzt von phoneo ()

  • Ich habe es geschafft mit cURL einen Eintrag bei DNS24 zu platzieren. Leider mit viel Aufwand und vielen Fehlermeldungen. Die Beschreibungen bei DNS24 waren auch nicht korrekt.


    Naja, soweit so gut. Von meinem PC command line kann ich die dynamische Adresse anpassen. Allerdings funktioniert es von meinem QNAP aus nicht.


    Ich konnte jetzt zumindest belegen, das es prinzipiell funktioniert.


    Mein nächster Schritt wäre jetzt zurück zum QNAP und zu prüfen, warum es hier nicht funktioniert.


    Update: ich habe auch gerade die aktuellsten QTS Version aufgespielt.

  • Wenn du per Browser nun einen Aktualisierung per URL bei deinem Anbieter vornehmen kannst, würde ich als nächsten Schritt genau diesen Link, also ohne die Platzhalter, sondern mit den konkreten Angaben, in die URL Eingabemaske der DDNS Konfiguration beim QNAP eintragen und schauen, ob der QNAP das brav immer wieder updatet.


    Übrigens: Wie sieht es denn da mittlerweile mit der Webkonnektivität aus?

    Die Problematik dürfte mit den Einstellungen Netzwerk/Virtueller Switch zu tun haben. Ggf müsstest du von den Einstellungen mal ein paar Screenshots hochladen.

  • Das Einfache zuerst. Die Webkonnektivität ist jetzt ok. Da ich auf dem Router die Ports weiterleite. Da ich Zugriff nur über https erlaube wird auch bei http automatisch darauf umgeleitet. Das funktioniert.


    Ich konnte auch mit der Eingabe als Klartext über den Browser zumindest eine Bestätigung bekommen, das der Zugriff ok ist.


    Ich habe dies auch so im QNAP versucht, allerdings ohne Erfolg.


    Im Moment sieht es aus, als das Problem beim QNAP liegt.

  • Ok, möglich, dass für die Wekkonnektivität Portweiterleitungen exisitieren müssen, für einen DDNS Dienst ist es meiner Meinung nach nicht nötig. Begründung: Die Kommunikation im Falle einer DDNS Konfiguration geht immer aktiv vom Klienten im Heimnetzwerk aus. Jede Kommunikation, die aus dem Heinnetzwerk aus nach extern gestartet wird, passiert die Firewall im Router ohne Portfreigabe. Insbesondere alles was über Port 80 läuft. Es sei denn, du hast im Router spezielle Regeln erstellt, die dies bewusst verhindern. Ich gehe aber davon aus, dass du für deine Tests per cURL die Aktualisierungsnachricht abzusetzen, auch keine Portfreigaben einrichten musstest. Dies nur zum Verständnis.


    Zurück zu deinem Problem mit dem QNAP DDNS. Wenn weitere Konfigurierungsfehler auszuschließen sind und tatsächlich ein Fehler in der Firmware vorliegen sollte, könntest du dies über den Helpdesk an QNAP melden. Wireshark einzurichten, und sich die Nachricht mal anzuschauen ist auch kein Hexenwerk. Ein entsprechender Screenshot der den Fehler nachweist, könnte die Bearbeitung beschleunigen.

  • Ich habe soeben noch den NO-IP Dienst ausprobiert. Dieser ist bereits fix vorgegeben und funktioniert einwandfrei.


    Wireshark habe ich bereits auf meinem PC installiert, aber soweit ich es gesehen habe, protokolliert er die Daten nicht. Könnte nach den allerletzten Erkenntnissen aber auch daran liegen das eventuell QNAP gar nicht erst ins Netz geht.

    Da ich aber im Moment nicht im selben Netzwerk bin, kann ich es auch mit dem NO-IP nicht testen.


    Das muss bis heute Nacht oder Morgen warten.


    Alternative wäre eine App oder Tool für das QNAP selber.

  • Du könntest ein Tool wie tcpdump (Alternative zu wireshark) auf dem NAS einrichten. Das ist im Paketinstaller entware-ng auch für die QNAP Kisten enthalten. Dafür müsste man aber fit im Bereich der Kommandozeile sein, bzw, sich da einarbeiten. Stichwort: PUTTY Terminalsoftware.


    Übrigens gibt es in meinem QTS auch einen DDNS Dienst unter Systemsteuerung --> Netzwerkzugang --> DDNS-Dienst

    Allerdings nicht mit der freien Konfigurierbarkeit so wie du es wünscht.


    Ob es eine APP (qpkg) gibt, könntest du unter https://qnapclub.eu/de

    prüfen.

  • Ich habe in der Zwischenzeit ein Ticket eröffnet und auch eine Antwort erhalten.



    Bin jetzt noch am klären, welche Version.

    Die letzte Version 4.3.5 hat es auch nicht gebracht. Warte mal auf den nächsten Vorschlag.

  • Hallo Miteinander, fürs erste einmal Danke für Eure Unterstützung. Der QNAP Support konnte mir bisher nicht helfen und ich musste Ihnen diverse Screenshots schicken, damit sie es nachvollziehen können und eventuell an R&D von QNAP weiterschicken können.

    Wer auch immer das bei Ihnen ist.

    Versuche jetzt noch den Netzwerkverkehr vom NAS zum Router zu monitoren. Hoffentlich bekomme ich es hin.

  • Bin noch am Testen wie ich am Besten den Netzwerkverkehr vom NAS zu meinem Router mit TCPDUMP aufnehme.

    Hat jemand von Euch zufällig ein entsprechendes Script zu Handen, welches ich nur anpassen muss auf meine Bedürfnisse?


    Im Moment sehe ich hauptsächlich nur den Datenverkehr zwischen meinem Laptop und allen anderen Geräten im Netz.

    Ich habe ein paar Vorschläge ausprobiert über SSH, aber ich bin mir nicht sicher ob es Versionsunterschiede von TCPDUMP sind oder ob es was anderes ist, was zu keinem Ergebnis führt.


    Mein Betriebssystem ist Windows 10, die SSH Verbindung läuft über Putty, QNAP ist TVS-863+ mit der QTS Version 4.3.5.0760 (20181114), TCPDUMP ist über die EntWare installiert.


    Das Ziel für mich wäre wenn ich von der src (NAS) zu dst (Router) den Verkehr in ein File schreiben könnte. Die Parameter -w -c sind mir klar und funktionieren, wenn auch nicht wie gewünscht vom NAS zum Route und zurück. Das Beispiel unten habe ich kopiert. Die Angaben src und dst scheinen nicht zu funktionieren genau so wenig wie das "and".


    tcpdump -nnvvS src 192.168.0.10 and dst 192.168.0.1


    Ich erwarte diese Woche einen Feedback vom QNAP Support und hoffe Ihnen mit einem DUMP helfen zu können, wenn sie die Problematik nicht gefunden haben.

    Danke für Eure Hilfe.

  • Versuche jetzt noch den Netzwerkverkehr vom NAS zum Router zu monitoren.

    ...

    Im Moment sehe ich hauptsächlich nur den Datenverkehr zwischen meinem Laptop und allen anderen Geräten im Netz.


    Ist klar, dazu ist der Switch ja da, dass er nur diejenigen Pakete an den Ports weiterleitet, wo auch die DST sitzt ...

    Wenn du Wireshark (oder tcpdump) auf dem Rechner startest siehst du nur die Pakete vom/zum Rechner, was anderes lässt der Router (=Switch) nicht durch.


    Welchen Switch hast du? Bei meinem (Netgear) kann ich direkt am Router ein Monitoring einstellen und er erzeugt mir ein .cap File, dass ich mit dem Wireshark analysieren kann.

  • Bei mir funktioniert folgendes /opt/sbin/tcpdump -w /share/Public/testdump -s 0

    Die geschriebene Datei lässt sich dann in Wireshark öffnen und auswerten.