ComputerBase Menü
Aktuelles

Rsync port Issue?

D

derocco

Lt. Junior Grade
Registriert
Nov. 2015
Beiträge
321
Hi zusammen,

Ich versuche gerade ein RSYNC von einem Synology (steht aktuell in meinem Ferienhaus) mit einem neuen QNAP hier zuhause.

Als Provider zuhause habe ich A1 (AT) mit deren Box.

Die ist default im 10er Netz konfiguriert.
Dahinter hängt dann ein Router/Accesspoint mit 192.168.1.1 Netz unter DDWRT, daran hängt dann mein ganzer Krempel.
A1 lässt kein bridgen des Modems zu.....

Läuft eigentlich soweit alles sauber.

Nun habe ich das mit RSYNC mal zum Testen angehen wollen.

Dazu in der A1 Box ein Portforward gemacht vom Port 873 auf 10.0.0.190 (IP vom Router / Accesspoint)
Da dann ein forward an 192.168.1.134 (QNap static IP in dem Netz)

Der Port wird aber immer als "ZU" gemolden und Syno kann nicht zugreifen.

Wo ist mein Denkfehler?
 
nur mal so auf die schnelle: rsync über port 873 ist unverschlüsselt. wenn du das übers internet machen willst, schau dir rsync+ssh an.
 
  • Gefällt mir
Reaktionen: Raijin
klar wäre dann der nächste schritt. War ja jtzt erst mal zum Testen.
 
Man möchte eigentlich nicht mal ssh direkt ins Internet hängen, außen du hast statistische IPs.
 
Jemand eine Idee warum der Portforward nicht funktioniert?

Ich will einfach mal das konzept technisch testen.
Den Beitrag von vorher verstehe ich nicht.
 
hast du denn schon jeden einzelabschnitt lokal überprüft? ist der port auf der qnap überhaupt offen? geht es wenn du nur den portforward vom ap benutzt?
 
derocco schrieb:
Als Provider zuhause habe ich A1 (AT) mit deren Box.
Zum Vergrößern anklicken....
Und da hast du auch eine öffentliche IP?

derocco schrieb:
Dazu in der A1 Box ein Portforward gemacht vom Port 873 auf 10.0.0.190 (IP vom Router / Accesspoint)
Da dann ein forward an 192.168.1.134 (QNap static IP in dem Netz)
Zum Vergrößern anklicken....
Der DDWRT arbeitet doch auch als NAT Router, oder? Dann geht das so nicht, da du eine Router-Kaskade betreibst. Du musst den Port von der A1 Box auf den DDWRT und von auf das NAS weiterleiten.
 
ja genau so hab ich ja gemacht. Port von A1 an ddwrt und von da ans Nas weitergeleitet.
Das A1 kennt ja das Nas nicht.
 
derocco schrieb:
Als Provider zuhause habe ich A1 (AT) mit deren Box.

Die ist default im 10er Netz konfiguriert.
Dahinter hängt dann ein Router/Accesspoint mit 192.168.1.1 Netz unter DDWRT, daran hängt dann mein ganzer Krempel.
A1 lässt kein bridgen des Modems zu.....
Zum Vergrößern anklicken....
Die Portweiterleitungen sehen soweit richtig aus, wenngleich sich natürlich die Frage aufdrängt warum überhaupt eine Routerkaskade mit dem zweiten Router gebaut wurde. Doppel-NAT ist zwar kein Beinbruch, aber es ist dennoch suboptimal und ohne Grund sollte man das nicht tun.

Abgesehen davon setzen Portweiterleitungen natürlich voraus, dass man grundsätzlich aus dem Internet erreichbar ist. Wenn der Provider CGN / DS-Lite macht, dann ist nämlich genau das nicht der Fall, zumindest nicht via IPv4. In dem Fall hängt nämlich der eigene Internetrouter ebenfalls hinter einem anderen Router, dem des Providers in irgendeinem Rechenzentrum. Effektiv gäbe es in dieser Konstellation eine 3-fach-Routerkaskade, aber auf den ersten in der Kette, beim Provider, hat man keinen Zugriff und kann folglich keine Portweiterleitung einrichten.

Um zu prüfen ob du überhaupt eine öffentliche IP-Adresse hast, kannst du zB im A1-Router nachsehen was er als WAN-IP anzeigt und parallel dazu zB auf ping.eu schauen was dort angezeigt wird. Stimmen sie überein, alles gut. Unterscheiden sie sich, sitzt du hinter CGN und Portweiterleitungen bringen dir nichts. Ein weiteres Indiz für CGN ist die WAN-IP des Routers an sich. Liegt sie in einem der folgenden Bereiche, ist es ebenfalls ein klares Zeichen für CGN:

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255
100.64.0.0 - 100.127.255.255
 
  • Gefällt mir
Reaktionen: guzzisti
Raijin schrieb:
Abgesehen davon setzen Portweiterleitungen natürlich voraus, dass man grundsätzlich aus dem Internet erreichbar ist. Wenn der Provider CGN / DS-Lite macht, dann ist nämlich genau das nicht der Fall, zumindest nicht via IPv4. In dem Fall hängt nämlich der eigene Internetrouter ebenfalls hinter einem anderen Router, dem des Providers in irgendeinem Rechenzentrum. Effektiv gäbe es in dieser Konstellation eine 3-fach-Routerkaskade, aber auf den ersten in der Kette, beim Provider, hat man keinen Zugriff und kann folglich keine Portweiterleitung einrichten.

Um zu prüfen ob du überhaupt eine öffentliche IP-Adresse hast, kannst du zB im A1-Router nachsehen was er als WAN-IP anzeigt und parallel dazu zB auf ping.eu schauen was dort angezeigt wird. Stimmen sie überein, alles gut. Unterscheiden sie sich, sitzt du hinter CGN und Portweiterleitungen bringen dir nichts. Ein weiteres Indiz für CGN ist die WAN-IP des Routers an sich. Liegt sie in einem der folgenden Bereiche, ist es ebenfalls ein klares Zeichen für CGN:

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255
100.64.0.0 - 100.127.255.255
Zum Vergrößern anklicken....
Was für ein Schrott. ja die IP meines Modems ist 193.154.59.XXX
ERGO wird genau das ein Problem sein.

Wie kriegt man das denn mit so einem Mistprovider zum laufen?

Leider ist A1 einzige möglichkeit hier.

Abgesehen von Starlink was halt für dauerbetrieb stationär wohl auch suboptimal ist.
 
derocco schrieb:
Was für ein Schrott. ja die IP meines Modems ist 193.154.59.XXX
ERGO wird genau das ein Problem sein.
Zum Vergrößern anklicken....
Das ist aber eine öffentliche IP-Adresse und liegt nicht in den für private / CGN Netzwerke reservierten Bereichen. Von daher hätte ich angesichts der uns zur Verfügung stehenden Informationen - wir haben nur obige Aussage mit IP von dir - gesagt, dass du keinen Anschluss mit CGN/DS-Lite hast, sondern einen vollwertigen Anschluss mit eigener öffentlicher IP-Adresse.

Es sei denn die besagte IP-Adresse stimmt nicht mit der überein, die du auf ping.eu, wieistmeineip.de oder vergleichbaren Seiten siehst.
 
Doch das passt da stimmt sie überein.
Aber Portscan zeigt immer der Port ist zu.
Mit der QNAP Cloud ID etc komme ich auch zur router login page
 
Dann ist der Provider raus, weil du eine öffentlich erreichbare IPv4 hast, also kein Carrier-Grade-NAT.


Folgende Voraussetzungen müssen für funktionierende Portweiterleitungen in einer Routerkaskade erfüllt sein:

  1. Offene ausgehende Firewall am Quellgerät
  2. Offene ausgehende Firewall am Quellrouter
  3. Ungefilterte Verbindung über Quellprovider
  4. Ungefilterte Verbindung über Zielprovider
  5. Öffentlich erreichbare IPv4 am Zielrouter
  6. Portweiterleitung vom Zielrouter auf den kaskadierten Router
  7. Portweiterleitung vom kaskadierten Router auf das Zielgerät
  8. Offene eingehende Firewall am Zielgerät
  9. Laufende Anwendung mit offenem Port am Zielgerät

1-4 sind in den meisten Fällen kein Problem, weil ausgehende Verbindungen normalerweise nur in restriktiven Netzwerken wie in Firmen, Hotels, Hotspots, o.ä. gefiltert werden, nicht aber in herkömmlichen Heimnetzwerken.
Punkt 5 haben wir gerade geklärt und 6+7 sehen soweit auch ok aus. Bleiben 8 und 9. Ein häufiges Problem bei vermeintlich nicht funktionierenden Portweiterleitungen sind gar nicht die Portweiterleitungen selbst, diese funktionieren ganz hervorragend, sondern das Zielgerät. Wenn die Firewall am Gerät selbst eingehende Verbindungen blockiert, generell oder nur aus fremden Quellen (=Internet), dann sieht es zwar so aus als wenn die Portweiterleitung schuld ist, aber sie tut genau das was sie soll, weiterleiten, aber das Ziel bzw. dessen Firewall blockt. Prüfe daher die Firewall an deinem QNAP. Mutmaßlich blockiert sie die eingehende Verbindung, weil diese aus dem www stammt.

0x8100 schrieb:
nur mal so auf die schnelle: rsync über port 873 ist unverschlüsselt. wenn du das übers internet machen willst, schau dir rsync+ssh an.
Zum Vergrößern anklicken....
derocco schrieb:
klar wäre dann der nächste schritt. War ja jtzt erst mal zum Testen.
Zum Vergrößern anklicken....
Mach's doch gleich richtig. Die Bots und Portscanner von Skriptkiddies und Hackern laufen permanent durch das Internet und du weißt nie wann sie an deinem Anschluss vorbeikommen. Sprüche wie "Nur mal zum Testen" haben das Potenzial als Famous Last Words auf deinem digitalen Grabstein zu landen - oder dem deiner Daten. Portweiterleitungen als solche sind banal und es gibt keinen Grund dafür, es nicht von Anfang an so zu machen wie man es machen sollte. Natürlich ist das immer noch deine Entscheidung, aber wenn man davon spricht, dass das Internet voller Gefahren ist, sind damit nicht nur böse Internetseiten und das Dark Web gemeint, sondern auch 08/15 Internetanschlüsse von Otto Normal und Steffi Standard, die gar nicht wissen, dass ihr Router unter Dauerbeschuss steht. Hängt man einmal einen ssh-Server mit fail2ban offen ins Netz, hat man binnen kürzester Zeit eine seeeeeeeeeehr lange Liste von geblockten IPs aus aller Welt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
367
Mickey Mouse
Mickey Mouse
ph0be
VF Cable 1000, nur 500 hinter 2. Router
2
Antworten
25
Aufrufe
3.411
Tom_123
T
scooter010
Leserartikel Installation von Arch Linux mit ZFS-root auf x86 QNAP von 2010
Antworten
4
Aufrufe
1.680
scooter010
scooter010
Althir81
EDGEROUTER X-SFP – Keine öffentliche IPv6-IP an den Clients
2
Antworten
35
Aufrufe
9.993
Althir81
Althir81
J
nftables ipv6 Weiterleitung
Antworten
7
Aufrufe
1.351
jb_alvarado
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz