Aufbau Netzwerk mit DS215j

[Stefan1707]

Hi,
Ich habe eine DS215j mit LAN an meine Fritz.box (7360) angeschlossen. Mein Ziel ist ein Netzwerk zum internen und externen Zugriff auf Fotos und Musik...

Die Einrichtung hat funktioniert, DSM ist installiert und Nutzer sind eingerichtet. Mit meinem iMac (über WLAN) kann ich über Browser und Finder zugreifen. Nun ergeben sich leider die ersten Problemen:

A) Mit meinem IPad kann ich leider nicht über die App FileBrowser Lite zugreifen.
B) Das NAS erlaubt mir keinen Download (bspw. des VPN Servers).
C) Weiterhin bin ich mir sehr unsicher, über welche Verbindung ich als Privatanwender sicher auf mein Netzwerk intern und extern zugreifen kann und wie ich dieses auf dem NAS und der Fritz.box vornehmen kann (vlt. VPN, wenn sinnvoll?!).

Habt ihr Tipps/Hinweise für mich???

Würde mich sehr freuen, Feedback von euch zu erhalten

 

[laserdesign]

Hallo Stefan und Willkommen hier im Forum,

du hast zwar sehr schön beschrieben was du alles machen möchtest aber zu deiner Infrastruktur und Netzwerkkonfiguration kein einziges Wort.

Leider fehlen auch die Fehlermeldungen die zwingen notwendig sind um zu helfen.

1.) bekommst du von deinem Provider eine routebare Ipv4 Adresse??
2.) welchen DynDNS-Anbieter benutzt du, beide Optionen sind notwendig um
von einem externen Standort auf dein LAN zugreifen zu können.
3.) wie hast du in deinem LAN die IP's vergeben, statisch oder dynamisch??
4.) welchen DNS hast du im NAS eingetragen.
5.) welchen Gateway hast du in deinem NAS eingetragen.
wenn das mal geklärt ist dann sehen wir weiter.
Mache mal Screenshots von den Netzwerkeinstellungen des NAS.

 

[Stefan1707]

Hey,

vielen Dank für deine Gegenfragen. An meinen Informationen zu Beginn kannst du wahrscheinlich ablesen, wie hilflos ich gerade bin...

Ich antworte auf deine Fragen in der gleichen Reihenfolge:
zu 1) Ich habe eine routebare IPv4 durch die Telekom. Für den Fall, dass die Information relevant ist, dieser Anschluss wurde letztes Jahr auf IP umgestellt. In der Fritz.Box habe ich zusätzlich eine Subnetzmaske, weiterhin ist der DHCP Server aktiviert.
zu 2) Ich habe mein MyFritz!-Konto aktiviert, sodass ich bisher von dem Dienst einer separaten DynDNS abgesehen habe. Benötige ich trotz MyFritz einen separaten Anwender und wenn, welcher kannst du für private Zwecke empfehlen?
zu 3) IP für mein LAN habe ich mir nicht aktiv selbst vergeben, sondern ich habe die ursprüngliche einfach weiterverwendet. In der Fritz.Box habe ich eingestellt, dass diesem Netzwerk-Gerät (das NAS) imm die gleiche IPv4 Adresse zugewiesen werden soll.
zu 4) und 5) habe ich dir nachfolgende Fotos eingefügt.

Ich bin sehr gespannt, ob wir das geregelt bekommen

 

[rednag]

Mach mal bitte im ersten Bild bei Alternativer DNS die 8.8.8.8 rein.

 

[laserdesign]

Hi Stefan,

wo kommt die manuell eingestellte IP-Adresse für den DNS-Server her.
Hast du noch einen DNS-Server am laufen, normal wäre da auch die IP von der Fritzbox also 192.168.178.1

Das mit "Alternativer DNS die 8.8.8.8" ist unnötig.

Edit: und deaktiviere IPv6

 

[Stefan1707]

Hey.

Woher die andere IP in der DNS hab, kann ich gar nicht so genau sagen. Ich vermute, dies ist ein Resultat meines "Ausprobierens", bevor ich mich entschlossen hab, mich selbst im Forum anzumelden

Ich habe nun die IP der Fritz.box eingetragen und auf dem NAS zusätzlich die IPv6 deaktiviert. Vorsichtshalber habe ich mich vergewissert, dass auch auf der fritz.box IPv6 ausgeschaltet ist.

Das Laden des Media Servers hat nun funktioniert. Grundsätzlich werden mir nun auf dem NAS Server zum Download angeboten Super!

Mir steht nun auch der VPN Server zum Download zur Verfügung. Ist dieser Weg eine gute Option für mich???

 

[Stewi]

Lass das VPN mal über deine FritzBox laufen, ist auch relativ einfach einzurichten.
Dann kannst du dir auch überlegen, den DHCP Kreis deiner FritzBox einzuschränken (z.B. 192.168.178.10 bis 192.168.178.30), je nachdem sollten 20 IPs ausreichen. Dann der DS eine feste IP Adresse ausserhalb des DHCP Bereichs verpassen. Das gilt grundsätzlich für alle Geräte im lokalen Netzwerk.

 

[Stefan1707]

Hey Stewi,

Vielen Dank für deine Antwort. Bevor ich mich daran versuche, habe ich einige Fragen zu deiner Antwort:

1) sind diejenigen Geräte mit der festen IP gemeint, mit denen ich von Extern auf mein Netzwerk zugreifen möchte?
2) warum benötigt die DS (und andere) eine feste außerhalb des DHCP? Meinst du mit andere Desktop-Rechner, TV etc. oder aber auch die Geräte, die von Extern darauf zugreifen sollen?
3) ist an der DS keine Einstellungen für VPN vorzunehmen? Ich frage, da dort auch ein VPN Server zum Download zur Verfügung steht und ich am DS auch gerne die Schlaf- bzw. Weckfunktion nutzen möchte.

Freue mich auf deine/eure Antworten. Ich komme so langsam der "großen" Lösung näher

 

[Stewi]

Moin,

1) hier sind Geräte innerhalb deines Home Netzwerkes gemeint, also DS, PC, Laptop, TV, Mediaplayer etc.

2) der DHCP Bereich sollte möglichst klein gehalten werden, damit sich nicht unzählige Geräte anmelden können. Eine feste IP sollte immer außerhalb dieses Berecihs liegen, damit es zu keinen Kollisionen kommt. Wenn man sich angewöhnt hat seine internen IPs immer gleich zu vergeben, dann merkt man ziemlich schnell, falls etwas im eigenen Netzwerk nicht stimmt, ein Gerät umkonfiguriert wurde etc. Auch erleichtert es die Fehlersuche ungemein.

3) wenn du dein VPN über die FritzBox realisierts, dann musst du auf der DS keine weiteren Einstellungen vornehmen. Du kannst sogar die Firewall so einstellen, dass nur interne IPs zugelassen werden und musst auf der DS keinen zusätzlichen Dienst installieren. Die FritzBox kann das von Haus aus alles für dich händeln. Die Schlaf- und Weckfunktion kannst du natürlich auch nutzen.

Aus meiner Erfahrung kann ich dir aber sagen, dass es für viele Menschen ein unüberwindbares Hindernis darstellt, eine VPN Verbindung auf ihrem Lapttop, Smartphone etc. einzurichten. Für diese leute ist es einfacher sich https://ddns-domain.de:5001 zu merken, als eine VPN Verbindung aufzubauen. Dann muss du dich mit dem Thema Portweilterleitung beschäftigen.
Egal was du machst, wichtig dabei ist immer eine gut eingestellte Firewall, ein striktes Berechtigungsmanagement und starke Passwörter. Für die ersten beiden Punkte gilt, so wenig wie möglich, so viel wie nötig. Das heisst, erst einmal alles sperren (aufpassen, dass man sich nicht selber aussperrt!) und dann Schritt für Schritt bei Bedarf frei geben. Passwortkonventionen kannst du in der DS einstellen. Schwache Passwörter sind das größte Risiko. Um Brute Force Angriffen vorzubeugen habe ich bei mir eingstellt, dass nach 3 Fehlversuchen innerhalb von 10 Minuten die IP geblockt wird.

 

[Stefan1707]

Richtig super. Ich werde mich dranmachen

Eine kleine Frage noch zu 3).
Du sagst, ich kann in der Firewall auf der Fritz.Box einstellen, nur interne IPs zuzulassen. Meinst du damit, dass hier die festen IPs (lokales Netzwerk) aber auch die externen Geräte (Smartphone etc.) im DHCP-Bereich eingestellt sind?

Vielen lieben Dank für deine super Unterstützung

 

[Stewi]

Sorry, jetzt im Nachhinein liest sich das etwas komisch. Die Firewall Einstellungen kannst du auf der DS vornehmen, nicht in der FritzBox. Dort in der Firewall stellst du dann ein, dass nur IPs im Bereich 192.168.178.1 bis 192.168.178.254 auf die DS zugreifen dürfen. Alles was nicht diese Maske entspricht wird abgewiesen. Da du über VPN von außen auch immer eine interne IP bekommst, kannst du dann darauf zugreifen.

Wenn du nicht über VPN sondern über Portweiterleitung auf die DS zugreifen willst, dann musst du die Firewall auf der DS anders einstellen.

 

[Stefan1707]

So langsam verstehe ich die Zusammenhänge

Ist denn VPN für mich als Privatperson richtige Weg? Ich habe heute davon gehört, dass Privatpersonen eher WebDAV nutzen...

Das Ziel soll es sein, mit einer App des Smartphones oder Tables Bilder und Musik anzuhören und zu steuern. Was glaubst du, ist dafür der besste Weg???

 

[Stefan1707]

Hey,

Ich habe nun VPN bei mir eingerichtet, allerdings mit einer Portfreigabe. War die vom NAS mitgeteilte Portfreigabe denn notwendig???

Aktuell arbeite ich nun an der DynDNS. Dafür habe ich mich bei selhost registriert. Welche Angaben habe ich bei selfhost zu machen??? Ich komme mit den Erklärungen von denen nicht klar...

 

[Stewi]

Wenn du VPN über die DS realisierst, dann musst du eine Portweiterleitung einrichten, bei VPN über die FritzBox nicht.

Zu selfhost kann ich nichts sagen, da ich den Dienst nicht nutze.