Assistant Auf Diskstation (DS212 DS213) hinter Router Kaskade zugreifen

[Nick1410]

Hallo zusammen,
ich hoffe ich bin hier richtig. Ich habe zwei Synology Diskstations (DS212; DS213). Bislang habe ich die Beiden nur lokal benutzt. Ich habe nun vor kurzem mein Internet neu verkabelt und eingestellt und wollte nun auch von extern (also übers Internet) auf meine Diskstations zugreifen. Folgendermaßen sieht mein Netzwerk aus:

Wie ihr seht habe ich "Privat" und "Geschäftlich" über eine Router-Kaskade voneinander getrennt. Jetzt verzweifel ich jedoch daran die Diskstation so einzurichten, dass ich über Internet zugriff auf sie habe. Vorallem habe ich irgendwie keine Ahnung wie ich meine Router einstellen muss.
Ich hoffe ihr könnt mir helfen. Vielen Dank schonmal!

 

[xGate]

Das ist gar nicht so schwer.

Bei deinem Router musst du für deine DiskStation das Port-Forwarding (Ports für Weiterleitung) einrichten. Die Ports für DiskStation findest du hier:
http://www.synology.de/support/faq_show.php?q_id=299&lang=deu

Port-Forwarding bei AVM-Router: http://www.youtube.com/watch?v=g99z1WE45oU

Dann bei deiner DiskStation unter Systemsteuerung -> DDNS entsprechende Werte eintragen:


Beispielkonfiguration:

Serviceanbieter: Synology
Hostname: Name deiner DiskStation.synology.me (Beispiel: DiskStation_1.synology.me)
Externe Adresse: WAN-Adresse eintragen wenn du feste IP-Adresse hast, andernfalls Adresse deines Routers

Zugriff von außen dann wie folgt: DiskStation_1.synology.me:5000 (für http, 5001 für https)

 

[goetz]

Hallo,
auf beiden Routern muß Portweiterleitung eingestellt werden.
A: auf dem Netgear Weiterleitung der benötigten Ports an Fritzbox (192.168.178.1)
B: auf der Fritzbox Weiterleitung der benötigten Ports an die DS (192.168.178.XXX)

Gruß Götz

Edit: bei A muß es natürlich Weiterleitung der benötigten Ports an Fritzbox (192.168.1.XXX) heißen (externe IP der FB)

 

[Ap0phis]

...
A: auf dem Netgear Weiterleitung der benötigten Ports an Fritzbox (192.168.178.1)
...

Ich vermute mal, dass die Fritz!Box als Client hinter dem ersten Router eine (externe) IP aus dem Bereich 192.168.1.0/24 haben wird. Der Bereich 192.168.178.0/24 wird der LAN-Bereich der Fritz!Box sein.

 

[süno42]

Hallo,
auf beiden Routern muß Portweiterleitung eingestellt werden.
A: auf dem Netgear Weiterleitung der benötigten Ports an Fritzbox (192.168.178.1)
B: auf der Fritzbox Weiterleitung der benötigten Ports an die DS (192.168.178.XXX)

Gruß Götz

Hallo,

das wird so nicht funktionieren. Die Portweiterleitung muß nur auf dem ersten Router (Netgear) eingerichtet werden, weil hier die NAT-Übersetzung stattfindet. Eine NAT-Übersetzung im zweiten Router hat hier keinen Sinn. Die Weiterleitung muß direkt auf die IP-Adressen der Diskstations zeigen. Die restliche Konfiguration hängt davon ab, wie die Konfiguration des zweiten Routers aussieht (Bridge- oder Router-Modus).


Viele Grüße
Süno42

 

[süno42]

Hallo zusammen,
ich hoffe ich bin hier richtig. Ich habe zwei Synology Diskstations (DS212; DS213). Bislang habe ich die Beiden nur lokal benutzt. Ich habe nun vor kurzem mein Internet neu verkabelt und eingestellt und wollte nun auch von extern (also übers Internet) auf meine Diskstations zugreifen. Folgendermaßen sieht mein Netzwerk aus:

Hallo,

hier sind zunächst noch Fragen offen. Fungiert die Fritzbox wirklich als Router zwischen den beiden IP-Netzwerken, oder läuft die im Bridge-Modus. Bei ersterem müßten die Routing-Tabellen der beiden Router angepaßt werden, damit das Firmennetzwerk überhaupt ins Internet kann.

Was versprichst Du Dir von dieser Konstellation, mehr Sicherheit (bitte nicht persönlich nehmen)?


Viele Grüße
Süno42

 

[goetz]

Hallo,

Ich vermute mal, dass die Fritz!Box als Client hinter dem ersten Router eine (externe) IP aus dem Bereich 192.168.1.0/24 haben wird. Der Bereich 192.168.178.0/24 wird der LAN-Bereich der Fritz!Box sein.

ups, ja selbstverständlich IP aus dem Bereich 192.168.1.0/24.

Gruß Götz

 

[Nick1410]

Hi,
vielen Dank für die schnellen Antworten. Ich bin jetzt noch bis Freitagmittag / Samstagmorgen verhindert, aber dann werde ich mich gleich dransetzen und versuchen umzusetzen. Ich werde mich dann melden ob & wie es geklappt hat

 

[Nick1410]

Hi,
ich versuche mich gerade daran das ganze so einzustellen.
Der Sinn meiner Router-Kaskade lag darin, dass ich ich das Private und das Geschäfltiche Netzwerk trenne, sprich das ich aus dem Privaten Netzwerk keinen Zugridd auf die Netzwerkdateien des Geschäftlichen Netzwerks habe.
Wie im Bild hat der Netgearrouter die IP 192.168.1.1 . In dessen Einstellung wird die Fritzbox mit der IP 192.168.1.6 angezeigt.
Andererseits hat sie jedoch auch die 192.168.178.1 (zumindest verweise ich ja im Geschäftlichen Netzwerk auf diese).
An welche IP muss ich also die Ports vom Netgear weiterleiten? An die 192.168.1.6 oder die 192.168.178.1?
Ich verstehe irgendwie auch nicht was es mit Portweiterleitung, Prot-Triggering und UPnP auf sich hat. Was ist der Unterschiede und wo soll ich die Ports einstellen?

 

[süno42]

Der Sinn meiner Router-Kaskade lag darin, dass ich ich das Private und das Geschäfltiche Netzwerk trenne, sprich das ich aus dem Privaten Netzwerk keinen Zugridd auf die Netzwerkdateien des Geschäftlichen Netzwerks habe.

Die Art der Umsetzung hängt natürlich stark von Deinem Ziel bzw. dem Hintergrund ab. Ist die strikte Trennung der Sicherheit geschuldet, daß ein Zugriff nicht sein sollte, oder aber muß ein Zugriff zwingend unterbunden werden? Ich hoffe, Du hast Dir auch Gedanken gemacht, wie der Zugriff aus dem Internet auf das Geschäftsnetzwerk erfolgen soll. Hier kann ich nur VPN auf einem der Router empfehlen.

Wie im Bild hat der Netgearrouter die IP 192.168.1.1 . In dessen Einstellung wird die Fritzbox mit der IP 192.168.1.6 angezeigt.
Andererseits hat sie jedoch auch die 192.168.178.1 (zumindest verweise ich ja im Geschäftlichen Netzwerk auf diese).

Das ist schon mal eine wichtige Info auf eine zentrale Frage. Die Fritzbox soll also zwischen beiden Netzwerken routen. Folgendes muß vorhanden sein:

• Clients im Fritz-Netzwerk benötigen für den Internetzugriff eine Standardroute auf die 192.168.178.1
• Fritzbox braucht eine Standardroute auf den Netgear (192.168.1.1)
• Netgear braucht eine Route für das Fritz-Netzwerk (192.168.178.0/24) auf die 192.168.1.6

An welche IP muss ich also die Ports vom Netgear weiterleiten? An die 192.168.1.6 oder die 192.168.178.1?
Ich verstehe irgendwie auch nicht was es mit Portweiterleitung, Prot-Triggering und UPnP auf sich hat. Was ist der Unterschiede und wo soll ich die Ports einstellen?

Eine Portweiterleitung richtest Du genau für die Zieladresse des jeweiligen Endgerätes ein. Für die Diskstation beispielsweise den Port 5001 auf die IP 192.168.178.x
Port-Trigger und Upnp benötigst Du nicht. Upnp solltest Du aus Sicherheitsgründen deaktiviert lassen oder genau wissen, was Du tust.

Da Dir anscheinend die Sicherheit Deiner Firmendaten wichtig ist, kann ich nur umsomehr von einer Portweiterleitung aus dem Internet abraten und stattdessen VPN empfehlen. Weitere Sicherheitsmöglichkeiten auf Routing-Ebene sind noch Filter (IP/Port) oder eine Firewall mit SPI (Stateful Packet Inspection), aber das geben die kleinen Boxen entweder nicht, eingeschränkt oder nur auf Kommandozeile her.

Ich hoffe, es war nicht zu verwirrend. Noch eine Hinweis: Ohne Filterung zwischen den IP-Netzen ist der Zugriff der Privat-Clients nur aufgrund einer fehlenden Route unterbunden und ist kein richtiges Sicherheitsmerkmal (ein eventuell aktiver ARP-Proxy ist im Netgear zu deaktivieren, falls vorhanden).


Grüße,
Süno42

 

[goetz]

Hallo,

Das ist schon mal eine wichtige Info auf eine zentrale Frage. Die Fritzbox soll also zwischen beiden Netzwerken routen. Folgendes muß vorhanden sein:

• Clients im Fritz-Netzwerk benötigen für den Internetzugriff eine Standardroute auf die 192.168.178.1
• Fritzbox braucht eine Standardroute auf den Netgear (192.168.1.1)
• Netgear braucht eine Route für das Fritz-Netzwerk (192.168.178.0/24) auf die 192.168.1.6

Die Fritzbox nattet, dementsprechend wird keine Route für das Fritz-Netzwerk auf dem Netgear gebraucht.
Portweiterleitung auf Netgear einrichten mit Ziel Fritzbox (192.168.1.6)
Portweiterleitung auf Fritzbox einrichten mit Ziel DS (192.168.178.???)
Damit bleibt aber das Firmennetz auch aus dem privaten für diese Ports erreichbar, aus dem privaten Netz wird eine Anfrage an einen weitergeleiteten Port auf die IP der Fritzbox (192.168.1.6) an die DS weitergereicht(kann man dann mit der DS Firewall unterbinden).

Gruß Götz

 

[süno42]

Die Fritzbox nattet, dementsprechend wird keine Route für das Fritz-Netzwerk auf dem Netgear gebraucht.
Portweiterleitung auf Netgear einrichten mit Ziel Fritzbox (192.168.1.6)
Portweiterleitung auf Fritzbox einrichten mit Ziel DS (192.168.178.???)
Damit bleibt aber das Firmennetz auch aus dem privaten für diese Ports erreichbar, aus dem privaten Netz wird eine Anfrage an einen weitergeleiteten Port auf die IP der Fritzbox (192.168.1.6) an die DS weitergereicht(kann man dann mit der DS Firewall unterbinden).

Es geht natürlich, aber es gibt keinen Grund, daß der zweite Router nochmals NAT anwendet. Diese Vorgehensweise skaliert einerseits schlechter als normales Routing, andererseits ist NAT nicht als Firewallersatz zu verstehen. Weiterhin mußt Du Portweiterleitungen immer auf den beiden Routern konfigurieren.

Daher halte ich diese Variante nicht für sinnvoll. Routing und ein durchdachtes globales Firewallkonzept ist da die bessere Vorgehensweise.


Viele Grüße
Süno42

 

[goetz]

Hallo,

aber es gibt keinen Grund, daß der zweite Router nochmals NAT anwendet.

na ja, einer fällt mir ein, keep it simple
Ich weiß, genattetes NAT ist verschrien aber wer seinen Internetanschluß über eine GSM Verbindung hat mach meist nichts anderes.
Da der private Teil vorgelagert ist kann man eine Kompromittierung durch Schadsoftware nicht ausschließen und der Netgear leitet plötzlich alles weiter, somit wäre das gesamte Restnetz des Firmennetzes offen.
Bei NAT sagt die Fritzbox "du kommst hier nicht rein".

Gruß Götz

 

[Nick1410]

Hey,
danke für die Antwort! Hat mir total weitergeholfen. Ich habe jetzt erstmal das ganze Upnp Zeug bei beiden Routern deaktiviert.
Folgendermaßen habe ich das ganze für FTP eingestellt:

Auf dem Netgear-Router:

=> Ich habe also dir Ports vom Netgear Router an die Fritzbox weitergeleitet.

Auf der Fritzbox:

=> Ports von der Fritzbox an die Diskstation.

DDNS auf der Diskstation eingerichtet:

Ich hoffe ich habe alles richtig gemacht. Scheint aber zu funktionieren, zumindest über FTP.

Noch eine Frage. Kann ich die Diskstation auch extern, also über Internet, einfach wie ein Netzlaufwerk einbinden? Also ohne das ich ein FTP-Client brauche. (Entschuldigt die vllt. dumme Frage, aber das ist teilweise doch Neuland für mich).

 

[Nick1410]

So....ich habe es hinbekommen mit "NetDrive" unter Windows (brauche es auch nur für Windows).(http://www.synology.com/support/tutorials_show.php?lang=enu&q_id=570#t2_1)
Jetzt stellt sich mir noch die Frage ob ich es als "FTP" oder "WebDav" einbinden soll. Was ist der Unterschied, bzw. der Vor-/Nachteil der beiden?

Ansonsten möchte ich noch vom Handy (iPhone) zugriff auf die Dateien haben. Das Protfreigeben scheint kein Problem mehr zu sein^^ Ich frage mich nur welche App besser für mich ist "DS Cloud" oder "DS File"? Ich möchte einfach nur von unterwegs Zugriff auf Bilder, Exceltabellen, etc. haben. Die Datein brauchen dabei nicht unbedingt auf dem Handy gespeichert zu werden (würde sowieso den Speicher des Handys sprengen).

 

[renaulti]

Wennbdiebdateien nicht offline auf dem handy verfügbar sein müssen würde ich dsfile nemmen. Würde dir bei der verbindung vom handy aus zu vpn raten

 

[Micha81]

Hi,
Der Sinn meiner Router-Kaskade lag darin, dass ich ich das Private und das Geschäfltiche Netzwerk trenne, sprich das ich aus dem Privaten Netzwerk keinen Zugridd auf die Netzwerkdateien des Geschäftlichen Netzwerks habe.

Ich würde so ein Szenario dann eher über Vlan's realisieren. Das reduziert dann auch den Konfigurations- und Routingaufwand.

 

[renaulti]

Ich würde so ein Szenario dann eher über Vlan's realisieren. Das reduziert dann auch den Konfigurations- und Routingaufwand.

oder die router paralell ins inet hängen dann hat man nämlich auch kein zugriff vom geschäftlichen ins private

 

[Micha81]

oder die router paralell ins inet hängen dann hat man nämlich auch kein zugriff vom geschäftlichen ins private

Der Aufwand ist für einen Privathaushalt eher zu hoch und schlicht auch nicht notwendig. Die Bereiche lassen sich sauber mit einem anständigen Gerät trennen. Damit muss man dann nur halb so viel administrieren, es kann weniger kaputt gehen und weniger Strom kostet es auch noch.

 

[süno42]

Hallo,
na ja, einer fällt mir ein, keep it simple

Das ist Ansichtssache, meines erachtens ist es das nicht.

Ich weiß, genattetes NAT ist verschrien aber wer seinen Internetanschluß über eine GSM Verbindung hat mach meist nichts anderes.

Das hat damit nun aber nichts zu tun, ob ich intern NAT in Serie betreibe.

Da der private Teil vorgelagert ist kann man eine Kompromittierung durch Schadsoftware nicht ausschließen und der Netgear leitet plötzlich alles weiter, somit wäre das gesamte Restnetz des Firmennetzes offen.
Bei NAT sagt die Fritzbox "du kommst hier nicht rein".

Wie bereits gesagt, auch wenn es die Verbindung ins private Netz erschwert, ist NAT kein Instrument der Netzwerksicherheit.


Gruß,
Süno42