Synology-Forum.nl
Hardware ondersteuning => Netwerk algemeen => Topic gestart door: eaz op 31 oktober 2019, 21:12:20
-
Deze week gelezen dat de IPv4 nummers deze week opraken, dacht toch eens te kijken hoe ipv6 werkt.
Mijn DS krijgt netjes een ipv6 adres, en omdat ik altijd wil weten hoe zaken werken, dacht ik eens te kijken of ik de cross backup naar de NAS op een andere locatie via ipv6 kan laten lopen.
Is het zo simpel als het doel in de hyper backup taak te wijzigen in het ipv6 adres bijvoorbeeld 2001:123:45c6:1:789:10ff:fe12:3f45 ?
In de XS4ALL router zie ik het externe IPv6 adres van de DS al staan bij de port forwarding (wordt blijkbaar direct aangemaakt bij aanmaken van IPv4).
-
Met IPV6 is "portforwarding" normaal niet meer van toepassing.
Je router krijg idd ook wel een IPV6 IP maar ook een "prefix" (subnetje) om te gebruiken op je local LAN.
INDIEN je router IPV6 firewalling actief heeft staan (en dat wil je wel....) dien je te kijken welk IPv6 je "target" Synology qua IP heeft opgepikt en dat moet je dan gebruiken, niet het IP van je router zelf.
-
Ok, dank je, Hoe regelt ipv6 dat hyperbackup naar een bepaalde poort van de nas moet?
-
Ah gewoon de poort aanspreken, op IPv6 is dat niet anders.
Ik bedoelde meer het "port-forwarding" gedoe in een router om "over internet" bij iemand iets te kunnen aanspreken. Dat aspect vervalt eigenlijk.
Vb als ik hier m'n firewall-logs bekijk zie je UDP packets die richting een Facebook server gaan, met achteraan gewoon :443 zijnde HTTPS.
[2a03:2880:f021:6:face:b00c:0:2]:443
STEL dat bovenstaande IPv6 jouw remote Synology NAS zou zijn, worden gewoon de poorten aangesproken die nodig zijn om de backup-applicatie te gebruiken.
Je IPv6 "firewall" zal wel aangepast moeten worden, WANT die staat denkelijk standaard ingesteld dat verkeer "van binnen naar buiten mag" (en de packets die terugkomen en bij de "stream" horen zeg maar)
Als jij nu een verse connectie "van buiten naar binnen" wil opzetten (vanuit viewpoint : remote Synology) ga je dat echt op de XLS4ALL router moeten toelaten hoor! Anders gaat dat niet werken (en terecht...zou een behoorlijk risico zijn...)
Qua IP-adressen : Vb ISP provider Telenet hier in Belgie geeft een /56 "prefix" uit. Hiermee kan elke klant 256 netwerkjes thuis maken met daarin elke 2(tot de macht 64) IP adressen : BELACHELIJK GENOEG
-
Ok, helder, ik ga het gewoon eens proberen!
Op de modem van mijn provider XS4All staat ipv4 intern adres en poort voor hyper backup doorverwezen naar de nas (uiteraard de regel die ik heb aangemaakt). Op dezelfde doorverwijzing staat ook het ipv6 adres van de NAS, al vermeld. Ik denk dus dat XS4all/Fritz!box automatisch de forward IPv6 naar de nas al maakt als je een regel voor ipv4 aanmaakt. Slim...
-
Bij IPv6 valt niets te forwarden omdat ieder apparaat van je router een eigen IPv6 adres krijgt.
Wel is het zo dat de firewall van veel routers de toegang tot deze IP adressen standaard blokkeert. Om ze te bereiken moet je het verkeer naar de apparaten dan toelaten. Omdat dit proces enige gelijkenis in handeling heeft met forwarden, stoppen ze dat dan in een gelijk menu. Technisch is het iets heel anders.
-
Als je met IPv6 begint te spelen zorg dan aub voor goede & correcte Firewall rules !! Je moet best ook rules maken die de SOURCE filteren, zodat niet heel de wereld toegang heeft zolang ze je IPv6 kennen.
Op IPv4 met "NAT" is het onmogelijk om zonder specifieke "port-forward" een device aan de binnenkant te bereiken. Met IPv6 kan je mijn inziens best snel een foutje maken en je interne (publiek routeerbare IPv6) devices effectief blootstellen aan heel de wereld moest je daarna met DynDNS 1 of ander makkelijk naam aan koppelen.
Nu gelukkig is die adres-space zoooooo groot dat je erg weinig "scanning" ziet op IPv6, terwijl ik qua inkomende IPv4 "probeerseltjes" er duizenden per dag zie!
Dus maak op de XL4ALL een rule aan met het source-IP je IPv6 van de bron-Synology dat die enkel toegang van buitenaf mag krijgen en zet deze regel bovenaan in de lijst.
Ik ken je ISP router/model product niet echt en hoop dat je daar overzichtelijk firewall-rules in kan aanmaken & beheren.
-
Goed advies, dat wordt inderdaad snel vergeten.
Ik doe dat al standaard: alles dichtzetten behalve datgene wat je binnen wilt laten, ook bij IPv4.
Ik heb het daarom waarschijnlijk nog niet aan de praat, krijg nog geen toegang vanaf de externe nas naar mijn eigen nas.
Er zit dus vast nog ergens wat dwars, moet nog even verder zoeken...