ecoDMS von extern bei DSLite erreichen - ecoDMS Fernzugriff, MyFritzFreigabe oder Fritzbox VPN mit IPv4->IPv6 Portmapper?

    Hallo zusammen,


    erstmal möchte ich mich bei der super Community :qnap:hier bedanken, die mich schon mal auf den "richtigen" Weg gebracht haben (Letzter Thread).

    Habe myQnapCloud deaktiviert, keine Ports freigegeben und mir eine FritzBox Cable 6660 zugelegt, damit man mal bissl mehr konfigurieren kann.


    Eigentlich im Ansinnen, das VPN der FritzBox zu nutzen.


    Mein primärer Usecase ist, auf meinen ecoDMS Server auf meiner QNAP im Docker von extern zuzugreifen.

    Ist im Docker gemäß Anleitung konfiguriert, also mit Portmapping über die gleiche IP-Adresse


    1. Idee: Fritzbox VPN

    Hier habe ich jetzt rausgefunden, dass das leider nur mit externer IPv4 läuft.

    Option: über feste-ip.net ein Mapping durchzuführen. Habe leider nicht rausgefunden, welche Ports ich dafür müsste (und es geht ja nur TCP und kein UDP).


    2. Idee: MyFritzFreigabe auf die QNAP plus ecoDMS Webserver Port

    Habe ich inkl. IPv6 konfiguriert, aber leider ohne Erfolg. Die Fritzbox zeigt die Freigabe als aktiv an. Wenn ich es vom Mobilfunknetz (Vodafone - hat offensichtlich IPv6) versuche, öffnen sich bei "Gerät darf Ports selbstständig öffnen" noch die 80, 8080, 443.

    Aber der Webserver ist darüber nicht erreichbar.


    3. Idee: Nativen Fernzugriff von ecoDMS nutzen

    Funktioniert problemlos ohne eine einzige Portfreischaltung.

    Hier schickt der ecoDMS wohl selbstständig Daten an einen ecoDMS Server, worüber die Kommunikation geschleust wird.

    Nachteil: Theoretisch kann ecoDMS alles mithören.



    Jetzt die Frage an euch:

    A) Welche Vor- und Nachteile seht ihr bei den Lösungen? Welche würdet ihr präferieren?

    B) Falls 1) oder 2), habt ihr noch Ansätze, wie ich dabei weiterkommen könnte? :handbuch:


    Vielen Dank euch und ein schönes Wochenende! :beer:

    Zu 1:

    Diese Portmapper sind dafür da um von einem v4-only Gerät / Anschluss auf einen v6-only Anschluss / Gerät zuzugreifen.

    Das hilft dir also nicht, denn den VPN Server musst Du trotzdem auf v6 erstellen, was die Fritte halt nicht kann.


    Zu 2:

    Ist ja wieder ein Rückschritt auf Portfreigabe... Sollte funktionieren, ist aber nicht die erste Wahl.


    Zu 3:

    Kannst nur Du entscheiden, ich für mich will meine Daten allein für mich, deshalb habe ich ein NAS und keine Cloudlösung bei irgendeinem Provider.


    Außer einem entsprechenden Router der ein VPN auf v6 erstellen kann fällt mir da nicht viel ein. Woran es bei dir an Idee 2 scheitert kann man so schlecht sagen... Wird deine v6 denn an das LAN delegiert und hat der QNAP auch eine global scope v6 (zb 2003:...:..., also keine fe80) bezogen?

    Hi tiermutter !


    zu 1.: Du hast Recht, Mist.


    Zu 2:

    Jup, meine QNAP hat neben der fe80 eine 2a02:.... IPv6 bekommen.

    Ist denn diese Portfreigabe über eine MyFritzFreigabe irgendwie sicherer? Insofern, weil nur für genau eine IPv6 im Netzwerk anstatt für das ganze Netz?

    Oder gibt es noch einen Zusammenhang mit dem dahinterliegenden DynDNS Service?

    Eine Portfreigabe unter v4 geht auch an nur ein Gerät bzw. IP.

    Sicherer ist da erstmal gar nichts, außer der Tatsache dass halt sehr viel mehr v6 Adressen gibt und die Chance geringer ist von irgendwelchen Bots oder sonstigem auserwählt zu werden. Dennoch klopft bei mir seit Monaten eine IP aus China täglich an mehreren Ports an.


    Wenn der QNAP schonmal eine v6 hat funktioniert die Delegation schonmal, wie sieht es mit deinem Container aus? Kenne mich mit Containern nicht aus, aber die werden ja sicherlich auch über eine IP verfügen... Der braucht demnach auch eine entsprechende global v6 und dahin muss dann auch die Freigabe erteilt werden. Außerdem muss der Dienst der erreicht werden soll auch auf v6 lauschen, wenn der nur v4 spricht geht das natürlich nicht.

    Zitat von tiermutter

    Eine Portfreigabe unter v4 geht auch an nur ein Gerät bzw. IP.

    Sicherer ist da erstmal gar nichts, außer der Tatsache dass halt sehr viel mehr v6 Adressen gibt und die Chance geringer ist von irgendwelchen Bots oder sonstigem auserwählt zu werden. Dennoch klopft bei mir seit Monaten eine IP aus China täglich an mehreren Ports an.

    Oh man, heftig. Ja genau deswegen will ich die Lösung eigentlich nicht.

    Nur nochmal zum Mitschreiben des Sicherheitsrisikos: Wenn ein Angreifer meine IP hat und den offenen Port, kann er über den Port theoretisch über eine Lücke im QNAP OS (oder nur in dem Container?) eingreifen? Oder wo muss die Lücke sein?


    Zitat von tiermutter

    Wenn der QNAP schonmal eine v6 hat funktioniert die Delegation schonmal, wie sieht es mit deinem Container aus? Kenne mich mit Containern nicht aus, aber die werden ja sicherlich auch über eine IP verfügen... Der braucht demnach auch eine entsprechende global v6 und dahin muss dann auch die Freigabe erteilt werden. Außerdem muss der Dienst der erreicht werden soll auch auf v6 lauschen, wenn der nur v4 spricht geht das natürlich nicht.

    Habe vorhin mal im lokalen Netz ausprobiert, über [ipv6]:Port komme ich auch auf den Webserver des ecoDMS.

    Generell ist es (gemäß Anleitung) so konfiguriert, dass über NAT ein Portmapping ausgeführt wird und damit unter der NAS-IP mit dem entsprechenden Port der ecoDMS Server erreicht wird.

    Kann aber auch im Container "Bridge" konfigurieren mit virtuellem Switch, so dass der Container eine v6 bekommen sollte.


    Was wäre denn sonst noch ne Alternative?

    Externe IPv4 vom Dienstanbieter zu bekommen und FritzVPN konfigurieren?


    Und eine Portfreigabe plus Zugriff auf einen VPN-Server auf der NAS wäre genauso unsicher wie direkter Zugriff auf den ecoDMS Server per Portfreigabe?

    Wo genau eine Lücke sein muss kann ich dir bei so einer containersache nicht genau sagen, ich vermute mal dass sie auch hier bei dem zu erreichenden Dienst sein muss. Selbst ohne Sicherheitslücke kann jeder der deine IP (und Port; daher vermeidet man ja Standardports) hat aif diesen Dienst zugreifen und versuchen sich einzuloggen bzw den Dienst zu verwenden.

    Btw: der Segen von 340 Sextillionen v6 Adressen und der Unwahrscheinlichkeit auserwählt zu werden wird meist wieder ein Stück weit dadurch zerschlagen, dass die v6 häufig so dynamisch vergeben wird, dass du immer die gleiche bekommst, also wie statisch ist... Wer es einmal auf dich abgesehen hat wird dich anders als bei dynamischen v4 wiederum also sehr wahrscheinlich immer wieder unter der IP finden.


    Bei IPv6 gibt es kein NAT, den Zweck blicke ich aber vielleicht grad auch nur nicht. NAT64 wäre ebenso wie das Portmapping vorhin dazu da eine v4 in eine v6 zu übersetzen.


    Für mich klingt es sauber wenn der Container seine eigene global v6 bekommt, so wie es für jedes Gerät welches global erreichbar sein soll bei v6 vorgesehen ist.


    Kannst ja mal versuchen eine öffentliche v4 zu bekommen, manche Provider spielen da ja mit. :)


    Wie unsicher so eine Portfreigabe wirkt hängt halt vom Dienst an der dadurch erreicht wird. Ich mag mir nicht anmaßen zu sagen welcher der beiden Dienste sicherer oder überhaupt sicher ist... Ein VPN Server auf dem QNAP würde ich aber vorziehen. Die Krux dabei ist aber wieder, dass man scheinbar keinen VPN Server bei QNAP auf v6 erstellen kann, jedenfalls war das vor ein paar Monaten noch so. Wenn das immer noch nicht geht ist diese Lösung wieder raus :S

    Alternativ eine kleine VM die das kann, wäre mir aber zu doof.

    Der Gedanke bei v6 ist, das jeder immer eine private interne und eine public IP hat.

    Mit letzter kann man dann mit der Welt sprechen und ist einzigartig unterwegs, weil es so viele gibt kann man jedes Atom mit einer ausstatten wenn man will.

    Und der scheiß ist, das IPv6 Prefix vom Provider dynamisch vergeben wird und damit ändern sich immer wieder das /56,/59 Prefix das ich bekomme.

    Damit kann ich dann intern echt scheiße arbeiten, weil ich auf das Track Interface angewiesen bin.

    Wenn das dann nicht bei allen Dienste geht, ist es doof.


    Da blicke ich auch noch nicht ganz durch, wie ich das bei meiner Sense intern alles sauber geregelt bekomme.

    Dual Stack für die VPN Einwahl, war ein paar Clicks.


    Aber sauber ein Netz aus dem mir zugeteiltem /59er raus zu schneiden und meinen VPN Clients zu geben, muss sich mir erst noch erschließen.

    Aktuell verteile ich dann an meine Clients nur eine IPv4, was schade ist würde auch hier gern sauber beides vergeben.

    Du bekommst mal ein 56er und mal ein 59er Präfix vom Provider? 8| das ist ja voll Grütze, vor allem ist /59 ja eher untypisch.

    Wie eine Portweiterleitung bei dynamischen Präfix /v6 Adressen an einer sense funktioniert habe ich auch noch nicht getestet, aber brauche ich dank VPN auf der FW ja auch nicht, aber die Vergabe an die Clients ist mit Track Interface doch schon erledigt. Wenn die dann nicht direkt per Portweiterleitung erreicht werden müssen ist doch egal ob die dann jedesmal eine andere global v6 bekommen, oder nicht?

    Ich bekomme hier einen /59 vom Provider, das ist schon fix, aber jeder handhabt das halt anders. Habe hier ja Cabel und da gibts /56 im alten Kabel BW Bereich bis hin zu /59 im alten Unitymedia Bereich.


    Ich meine jetzt nicht die Portweiterleitung, das geht, da du ja einen Alias auf das IPv6 Objekt binden kannst, wie ich das verstanden habe.


    Aber im Mobile Client Bereich vom IPSec ist nur ein /120er was ich da eintragen kann für v6 und da weiß ich nicht wie ich ein Track Interface Netz auf dieses ganze binden kann, denn ich habe ja keinen statischen Netzbereich vom Provider.

    Hm, bei ipsec bin ich sowieso raus, wird jetzt aber auch sehr wirr im Kopf :S... Und ein bisschen OT. Aber gut zu wissen dass v6 allgemein noch nicht so tief in den Köpfen verankert ist :)

    Haha jetzt habt ihr mich tatsächlich etwas abgehängt. :) mit dem Track Interface müsste ich mich erst noch befassen.

    Was ist bei euch ne Sense? Kenne darunter nur das Erntegerät :D


    Habe heute bei VF angerufen und der Kollege an der Hotline meinte, er beauftragt eine externe IPv4 für mich - für Montag. Ich bin mal gespannt, weil es hat sich für mich nicht so super klar angehört, dass er wüsste, was er tut. Jetzt mal abwarten, weil das wäre ja ein super Glück - was ich bisher gelesen habe, sind die Provider damit ja sehr geizig.


    Ansonsten kann ich mal bei Gelegenheit noch ausprobieren, dem ecoDMS ne eigene IP zu vergeben.


    Danke euch und noch ein schönes Wochenende!

    Je nach Tarif kannst du Dual Stack bekommen.

    Teilweise musst du aber den Power Upload buchen.

    Dann hast du eine public v4 und v6 IP.


    Track Int besagt das intern ein Netz zuweise welches ich per IPv6 Prefetch delegation erhalten habe.

    Du bekommst bei v6 ja nicht mehr eine externe IP wie bei v4 sondern gleich einige Netze.

    Da passen dann pro Netz mehr Clients rein als im ganzen v4 Bereich überhaupt eine IP bekommen könnten.