[gelöst]DS218 von außen erreichbar

  • coldjack 9. April 2023 um 10:12

    Hat den Titel des Themas von „DS218 von außen erreichbar“ zu „[gelöst]DS218 von außen erreichbar“ geändert.

    Lässt Du uns auch daran teilhaben, wie Du die Schwierigkeiten beseitigt hast?

    Anfragen wie deine kommen immer wieder, leider aber wenig Beschreibungen der konkreten Problemlösung.

    Hallo Zusammen,

    auch wenn der Thread gelöst ist, klinke ich mich mal hier ein, weil ich vor dem gleichen Problem stehe:

    ich bin jetzt von NetCologne DSL auf DG Glasfaser umgestiegen und habe eine Synology NAS.

    Speziell geht es mir um den Zugriff auf den Mailserver, der auf meiner Synology läuft. Und um Moments.

    Auf beide greife ich über meine URL zu, sprich meineDomain.synology.me und dann die entsprechenden Ports. In der Fritzbox sind diese sowohl für IPv4 als auch IPv6 freigegeben.

    Nachdem ich den Thread hier durchgelesen hatte, habe ich händisch im Synology DSM in der Systemsteuerung / Netzwerk / Externer Zugriff unter DDNS die IPv4 Adresse gelöscht und die IPv6 Adresse der NAS eingetragen.

    Jetzt funktioniert alles soweit.

    Das Puzzleteil, welches mir jetzt fehlt: ändert sich diese IPv6 Adresse überhaupt?
    Und falls ja, wird das jetzt automatisch an den Synology DynDNS Dienst weitergeleitet, falls das passiert? Weil ich die Adresse ja händisch eingetragen habe.

    Also irgendwie verwirrt mich das :D

    Über eine fixe Antwort würd ich mich sehr freuen und bedanke mich schon mal vorab!

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    besten Dank!

    Die zweite Frage hat sich eigentlich erledigt, weil das der Synology DynDNS Dienst ist... klar überträgt er eine geänderte IPv6 Adresse!

    Das klappt aber alles nur solang ich mich mit den Endgeräten in einem IPv6 Netzwerk befinde, richtig?

    Beispiel: ausländisches Handynetz mit IPv4, dann ist Ende?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    argh!

    Wie erreich ich denn den Mailserver über ein Endgerät, wenn ich mich in einem IPv4 Netz befinde?

    Portmapper von feste-ip.net ??? Und im Engerät dann die feste-ip Adresse anstatt der domain.synology.me als Serveradresse verwenden?

    Zitat von Ice86

    Wie erreich ich denn den Mailserver über ein Endgerät, wenn ich mich in einem IPv4 Netz befinde?

    Zum Beispiel per Tailscale.

    Tailscale macht ein VPN. Tailscale ist es dabei egal ob IPv4 oder IPv6.

    Es wird ein VPN von einem Gerät im Internet mit IPvX zu einem Gerät im Heimnetz mit IPvX aufgespannt und das Internetgerät ist, solange Tailscale auf beiden Geräten aktiv ist, "wie Zuhause". Tailscale nutzt Wireguard.

    Tailscale macht die Vermittlung. Tailscale ist gratis (für den Hausgebrauch).

    Zitat von Ice86

    Wie erreich ich denn den Mailserver über ein Endgerät, wenn ich mich in einem IPv4 Netz befinde?

    Hier im Forum sind mehrere Wege beschrieben, die auch ohne Datenkraken und Sicherheitslücken wie Tailscale funktionieren. Einfach mal ein bisschen stöbern. Tailscale mag bequem sein, aber die Bequemlichkeit ist sehr teuer erkauft.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von frank_m

    ...ohne Datenkraken und Sicherheitslücken wie Tailscale funktionieren.

    das sehe ich nicht so und einen Nachweis für eine solche Behauptung zu Tailscale habe ich auch noch nicht gesehen.

    Aber, es gibt viele Wege nach Rom und so kann sich jeder seinen Aussuchen. Mit viel und mit wenig Aufwand, mit viel und mit gar keinem monetärem Aufwand.

    Jedem das seine!

    Meinerseits nur ein Hinweis zu einer möglichen Lösung, welche bei mir seit längerem tadellos funktioniert.

    Zitat von Bracew

    das sehe ich nicht so und einen Nachweis für eine solche Behauptung zu Tailscale habe ich auch noch nicht gesehen.

    Die Sicherheitslücke ergibt sich zwangsläufig aus dem Adresskonzept, und bei Nutzung der Dienste kommt Tailscale zwangsläufig an Metadaten, anders ist es technisch ja nicht möglich. Es wäre daher an Tailscale, das Gegenteil zu beweisen. Aber genau das fehlt.

    Zitat von frank_m

    Es wäre daher an Tailscale, das Gegenteil zu beweisen.

    Hmmmm.....ich weiß nicht, wer hier wem was beweisen sollte, müsste, dürfte, könnte. Wir haben das bereits in anderen Threads diskutiert und offenbar kann keiner von uns beiden es dem anderen beweisen.

    Hier noch eine dritte Meinung dazu: https://turingpoint.de/blog/voteile-von-tailscale/ mit Zitat:

    Zitat

    Tailscale ist ein sicheres, cloudbasiertes Netzwerk für die Verbindung von Geräten überall auf der Welt. Es hilft Nutzern, sicher auf private Netzwerke, Firmen-Intranets und entfernte Systeme zuzugreifen, damit sie ihre Daten schützen und ihre Arbeitsabläufe reibungslos gestalten können. Es verwendet fortschrittliche Verschlüsselungs- und Authentifizierungsmethoden, um eine durchgängige Sicherheit zu gewährleisten.

    Die meisten User geben Ihre Daten bewusst oder unbewusst bereitwillig an Microsoft, Apple, Google, Facebook, TikTok, Tesla ... u.v.a.m. Welche übrigen alle behaupten die Daten sicher zu verwahren und nicht böse zu sein! (Google ehem. Motto "Don't be evil")

    Und so bahauptet auch Tailscale sicher zu sein "Secure remote access to shared resources".

    Ob diese Diskussion nun dem Fragesteller weiterhilft? Oder er verunsichert die Flinte ins Korn wirft ohne sein Problem zu lösen?

    Lassen wir ihn selbst entscheiden. Einen Tipp habe ich ihm jedenfalls gegeben, wie es gehen könnte.....

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Natürlich hat jeder Anbieter eine Datenschutzerklärung. Es lohnt sich, die zu lesen, auch bei Tailscale. Mehr Beweis braucht man nicht. Und nur, weil man bei anderen Anbietern seine Daten lässt, von deren Angebot man dann ggf. auch einen Mehrwert hat, heißt das ja nicht, dass man sie jedem in den Rachen werfen muss, der zufällig vorbeikommt. Man muss sich halt immer fragen: Was hab ich davon? Das Preis/Leistungsverhältnis passt bei solchen VPN Anbietern definitiv nicht, denn die bieten relativ wenig Mehrwert gegenüber datenschutz-gerechten Technologien und kriegen dafür Einblick in intimste Metadaten.

    Der verlinkte Artikel geht auf die genannten Aspekte überhaupt nicht ein, sondern ist lediglich eine Ansammlung von Buzzwords, von denen nicht mal erläutert wird, wo sie im Einzelnen bei Tailscale zum Einsatz kommen. Gerade solche Artikel waren bislang immer der sicherste Hinweis darauf, dass was "was faul ist im Staate Dänemark". Da gehen bei mir direkt immer alle Alarmglocken an.

    So, Wochenende mit Kindergeburtstag rum, jetzt wird sich der Problematik weiter gewidmet.

    Ich werd wohl den Weg mit nem Strato VPS gehen um sowohl aus IPv4 als auch IPv6 Netzen im Heimnetz erreichbar zu sein.

    Da hab ich auch noch ne Verständnisfrage, aber das spezifiziere ich später mal in Ruhe.

    Erstmal noch ein wenig Verständnis schaffen, weil mich bei dieser Lösung die Bezeichnung "VPN" etwas irririert...

    Eigentlich will ich ja zwei Sachen:

    Einmal ne VPN vom Endgerät aufbauen, so wie bis dato über MyFritz um im Heimnetz was machen zu können.

    Und einmal eine Domain für den Mailserver parat haben (für Roundcube auf Android und Outlook auf Windows), die die NAS immer ansprechen kann, ohne dass ich explizit vom Endgerät ne VPN Verbinding aufbauen muss.

    Wisst ihr was ich meine?

    Zitat von Ice86

    Einmal ne VPN vom Endgerät aufbauen, so wie bis dato über MyFritz um im Heimnetz was machen zu können.

    Wenn du einen VPS aufbauen willst, kannst du den VPN Server da installieren. Dann baust du von zu Hause einen permanenten Tunnel dahin auf, und die Endgeräte wählen sich ebenfalls dort ein. Ab da hast du denn einen Tunnel nach Belieben nach zu Hause.

    Zitat von Ice86

    Und einmal eine Domain für den Mailserver parat haben

    Das ist ja unabhängig von DG oder anderen Providern, einen Mailserver betreibt man ja nicht zu Hause, da der hinter Privatkundenadressen eh keine Verbindungen zu anderen MTAs aufbauen kann. Von daher muss der eh woanders hin, wenn man es vernünftig machen will.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    um aus der roundcube app jetzt auf den emailserver auf der NAs zuzugreifen hab ich bis dato als imapserveradresse meinedomain.synology.me mit dem entsprechend port drin stehen.

    Verstehe ich es richtig, dass ich jetzt die ip adresse des VPS werd benutzen müssen?

    Und darüber gelange ich dann immer auf die emails auf der NAS?

    Zitat von Ice86

    der Mailserver zieht nur über pop3, damit ich immer von überall zugriff auf meine mails hab.

    Ein Mailserver zieht gar nichts über pop3, der arbeitet per SMTP. Wenn, dann bietet er pop3 für seine Clients an. Aber das macht es nicht besser. Auch per IMAP kann man von überall Zugriff erhalten, solange man den Server ordnungsgemäß einrichtet.

    So langsam bekomme ich das Gefühl, da läuft kein "richtiger" Mail-Server auf deinem NAS. Das hätte auch vorher nicht funktioniert, denn "richtige" MTAs blockieren den Zugriff auf MTAs an Privatkundenanschlüssen, um die SPAM Flut einzudämmen. Das hätte also auch vor der DG schon nicht funktioniert.

    Zitat von Ice86

    um aus der roundcube app jetzt auf den emailserver auf der NAs zuzugreifen hab ich bis dato als imapserveradresse meinedomain.synology.me mit dem entsprechend port drin stehen.

    Roundcube ist ein Webmailer, keine App. Und wieso IMAP? Oben war es noch pop3.

    Aber wenn Roundcube auch auf dem NAS läuft, dann brauchst du gar keine Domain oder einen VPN Tunnel. Der Zugriff kann ja einfach lokal erfolgen.

    Zitat von Ice86

    Verstehe ich es richtig, dass ich jetzt die ip adresse des VPS werd benutzen müssen?

    Ja, theoretisch, aber für einen "richtigen" Mailserver wird das komplex. Die Firewallregeln auf dem VPS sind nicht ohne. Aber wie gesagt, nach allem, was ich bislang gelesen habe, ist da kein richtiger Mailserver, und die Konfiguration scheint deutliches Optimierungspotential zu haben.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Hallo nochmals,

    mein Internetanschluss zu Hause läuft über Deutsche Glasfaser mit den bekannten Einschränkungen zu IPv4 an einer Fritzbox 7590. Wie bereits hier ausgeführt nutze ich

    • Wireguard zu meiner Fritzbox als VPN, falls ich draußen auf dem Smartphone oder dem Laptop IPv6 habe und nutze
    • Tailscale zu einem Raspberry Pi (RasPi) im Heimnetz als VPN, falls ich draußen IPv4 habe.

    Auf meinen RasPi läuft auch ein E-Mail Server (und u.a. auch Roundcube, dazu später, siehe P.S.). Der RasPi-Home-Mailserver hat bei mir eine Subdomain (raspi) meiner Internetpräsenz bei einem deutschen Provider (z.B. raspi.meinepraesenz.de). E-Mails bekomme ich in der Regel an meinen Provider, also an ich@meinepraesenz.de.

    Aufgrund der Weiterleitung der Subdomain von raspi.meinepraesenz.de über DDNS kann ich auch auf dem RasPi-Home-Mailserver Mails von außen per SMTP empfangen, bzw. weitere Postfächer bei externen Mailprovidern per POP3 abfragen und auf dem RasPi-Home-Mailserver sammeln. Eine E-Mail an ich@raspi.meinepraesenz.de kommt somit direkt auf meinem RasPi-Home-Mailserver per SMTP an.

    Für meine Mails zu lesen und zu schreiben nutze ich auf meinen Windows-PC und Linux-PC zu Hause Thunderbird oder die Web-Mail-Oberfläche meiner Mailprovider. Unterwegs auf dem Smartphone nutze ich BlueMail.

    Zuhause ruft Thunderbird via IMAP auch die Mails des RasPi-Home-Mailserver ab und ich kann die lesen. Unterwegs auf dem Smartphone ruft BlueMail via IMAP auch die Mails des RasPi-Home-Mailserver ab, aber nur wenn ich eine VPN Verbindung via Wireguard oder Tailscale aufgebaut habe. Im Prinzip könnte ich die VPN-Verbindung rund um die Uhr aufrecht erhalten lassen und alle Mails würden immer auf dem Smartphone ankommen.

    Der RasPi-Home-Mailserver kann auch Mails versenden. Dies per Relay (Begriffe: SMTP-Relay-Server, Mail-Relay-Server bzw. Smarthost) über meinen Provider der Internetpräsenz. Beim Schreiben in Thunderbird oder BlueMail gebe ich als Absenderadresse ich@raspi.meinepraesenz.de an und dann geht die Mail über den RasPi-Home-Mailserver im Heimnetz raus.

    Aber, es gibt bei meiner Konstellation auch Einschränkungen!

    Zusammengefasst habe ich herausgefunden, dass von meinem RasPi-IPv6-Only-E-Mail-Home-Server alle Mails ausgehend ankommen, ihm jedoch nicht alle zugestellt werden bzw. er nicht alle empfangen kann, da es E-Mail Provider gibt, welche offenbar immer noch nicht IPv6 können oder nicht wollen.

    Einige E-Mail Provider können offenbar nur via IPv4 E-Mails senden, z.B. 1&1 und gmx, sodass nur E-Mail von IPv6 tauglichen Providern, z.B. gmail, mail.ch bei meinem RasPi-Home-Mailserver ankommen. Dazu habe ich eine nicht aktuelle Aufstellung unter: https://www.email-vergleich.com/2013/10/ipv6-u…mail-providern/ gefunden.

    P.S.: Roundcube läuft wie gesagt ebenfalls auf meinem RasPi. Hier jedoch nur als Web-Mail-Oberfläche zum RasPi-Mailserver. Ich könnte von Zuhause oder von Unterwegs per VPN auf die Roundcube Web-Mail-Oberfläche des RasPi zugreifen und Mails des RasPi lesen bzw. schreiben.

    Das es Roundcube aber auch als eigenständige App auf dem Smartphone gibt wusste ich bis Dato noch nicht.

    Einmal editiert, zuletzt von Bracew (15. Oktober 2023 um 12:55) aus folgendem Grund: Link ergänzt

    Zitat von Bracew

    Einige E-Mail Provider können offenbar nur via IPv4 E-Mails senden, z.B. 1&1 und gmx, sodass nur E-Mail von IPv6 tauglichen Providern, z.B. gmail, mail.ch bei meinem RasPi-Home-Mailserver ankommen.

    Ist das sicher eine Einschränkung der IP-Adresse, oder ist das das Problem, dass diese Provider keine Verbindung zu Privatkundenanschlüssen aufbauen? Was steht in der Serverantwort, wenn die Mail nicht zugestellt werden kann?