DS220+ & DDNS/VPN & FritzBox 7590

[smajo78]

Hi zusammen,

seit ein paar Stunden bin ich nun auch Besitzer einer DS220+. Nun richte ich diese langsam nach und nach ein.
Nun bin ich auf der Suche nach einem - How it works - in Bezug auf Zugriff von außerhalb. Hintergrund: meine Tochter und ich sollen später auch von außerhalb die Möglichkeit haben, auf Bilder und Co. zuzugreifen. Und vielleicht noch mehr ;-)

Nun habe ich schon was gelesen mit QuickConnect - was auch funktioniert - man aber nicht unbedingt nutzen sollte. Stattdessen wird man auf DDNS bzw. die Verbindung via VPN verwiesen. DDNS habe ich versucht einzurichten mit synology.me Trotz Portfreigabe von 5001 in der FritzBox 7590 hat das nicht funktioniert. Die Seite ist nicht erreichbar bzw. wird nicht angezeigt. Hat jemand zufällig ein Tipp - hier im Forum habe ich keine Art Anleitung via VPN zugriff auf die DS gefunden.

Ich hoffe jemand von euch kann mir weiterhelfen.
Technikaffin bin ich schon, allerdings sind das meine ersten Schritte mit DDNS und ggf. VPN.

Gruß Mario

 

[ebusynsyn]

Hallo Mario

Ich habe bei mir das VPN direkt am Router eingerichtet (nicht auf der DS) und auch den vom ISP angebotene DDNS Service genutzt.

Ich bin jetzt nicht der Profi, aber der Zugriff von Aussen funktioniert via VPN so bestens. Ich muss - was der Sicherheit sicherlich zuträglich ist - am Router auch keinen Port öffnen.

Am iPhone oder am MacBook habe ich je einen VPN-Benutzer eingerichtet. Sobald ich das VPN einschalte, kann ich mit der internen IP inkl. dem Port der DS auf die Daten zugreifen.

Noch ein Rat: Ändere den DS Port von 5000/5001 auf eine andere Nummer. Das ist sicherer.

 

[smajo78]

Das klingt super! Danke dir. Ich habe heute früh - hatte noch eine Weile probiert - das mit dem VPN und der FritzBox auch gelesen und werde ich nachher mal probieren.

Also zusammengefasst, direkt in der FritzBox den VPN einrichten. Den DDNS Service, du meinst über bsp. MyFritz das nutzen und auf jeden Fall die PortNummern im DS ändern? Alles klar. TOP!

 

[ebusynsyn]

Ja, genau.

Hier noch ein Tipp: https://kb.synology.com/de-de/DSM/help/DSM/Tutorial/secure_your_nas?version=6

Ich stelle jeweils auf die höhere Stufe ein und lasse das Gerät regelmässig scannen.

 

[Stationary]

Wenn Du den VPN Endpunkt auf die Fritzbox legst, brauchst Du überhaupt keine Ports freizugeben. Du kommst ja von außen in Dein Netzwerk und bewegst Dich dann bei auf dem Mobilgerät eingeschaltetem VPN so, als ob Du im Heimnetz wärst.

In der Fritzbox also den von AVM angebotenen Service nutzen, oder einen anderen DynDNS-Anbieter eintragen, einen VPN-Nutzer in der Fritzbox anlegen, die Daten samt der Schlüssel, die die Fritzbox für diesen Nutzer anzeigt, in das Mobilgerät eintragen (! Die Fritzbox verwendet derzeit noch IPSec IKEv1, das können Apple-Geräte nativ, bei Windows brauchst Du dafür einen Client, siehe die Anleitung bei AVM: https://avm.de/service/vpn/tipps-tr...ritzbox-mit-shrew-soft-vpn-client-einrichten/) und fertig ist der Zugang. Da brauchen also keine Ports im Router geöffnet zu werden (und zu ändern brauchst Du sie auch nicht unbedigt, sie sind ja nur im internen Netzwerk erreichbar - wenn das nicht der Fall wäre hättest Du ein ganz anderes Problem).
In Zukunft wird es auch Wireshark nativ auf der Fritzbox geben (mit FritzOS 7.39/7.40, aber das ist noch in der Testphase und dafür habe ich bisher auch erst eine Laborversion für die neue 7590AX gesehen, noch nicht für die älteren Fritzboxen, wird aber wohl nächstes Jahr kommen: https://www.computerbase.de/2021-12...n-erhalten-open-source-vpn-offiziell-von-avm/).

siehe auch hier: https://avm.de/service/vpn/tipps-tricks/

 

[Synchrotron]

@Stationary … WireGuard …

Wireshark ist ein Programm, um Netzwerkverkehr zu analysieren.

Klugsch…. Modus aus

 

[Ulfhednir]

Da brauchen also keine Ports im Router geöffnet zu werden (und zu ändern brauchst Du sie auch nicht unbedigt, sie sind ja nur im internen Netzwerk erreichbar - wenn das nicht der Fall wäre hättest Du ein ganz anderes Problem).

Halb richtig. Es müssen manuell keine weiteren Ports eingerichtet / geöffnet werden, weil das die FritzBox mit Aktivierung des VPNs automatisch übernimmt (500 / UDP [VPN IKE], 4500 / UDP [VPN [IPsec]). Wer also, wie ich, hinter seiner FritzBox ein Unifi-Gerät betreibt und dessen VPN verwenden möchte, muss daher auch den VPN auf der FritzBox löschen. Sonst kann kein Portforwarding für die o.g. Ports eingerichtet werden.

 

[Stationary]

Klugsch…. Modus aus

Hast Recht, ich habe mich verschrieben. Meinte natürlich Wireguard!!!

 

[Ulfhednir]

Der arme Kerl hat schon vor lauter .eth-Files nur noch WireShark im Kopf.

BackToTopic: Welche Geräte sollen denn von außen zugreifen? Per Smartphone funktioniert das am komfortabelsten mit der AVM-App.
Wer ein wenig mehr konfigurieren möchte oder mehr Freiraum benötigt kann sich unter Android mit VpnCilla vermutlich anfreunden.

 

[Stationary]

Der arme Kerl hat schon vor lauter .eth-Files nur noch WireShark im Kopf

Genauso ist es in der Tat passiert

 

[smajo78]

Erstmal vielen Dank für euer Feedback!

Hui, es scheint funktioniert zu haben. Ich habe zum testen die VPN Daten in mein iPhone hinterlegt. Dann habe ich mich gewundert - normalerweise müsste man ja dann auf die IP der DS zugreifen können - warum keine Antwort kommt. In den iPhone VPN Einstellungen musste ich dann noch den Status aktivieren ;-) D.h. wenn der Status auf verbunden ist, surfe ich im Internet als wenn ich von zu Hause über die FritzBox rausgehen und zusätzlich kann ich auf die angeschlossen devices von der FritzBox - wie die DS - zugreifen. Cool!. Man lernt immer dazu.

Das heißt, diese Einstellungen müsste ich an jedem der entsprechenden Endgeräte machen. Bsp. iPhone (erledigt), MacBook, theoretisch auch bei meinem Windows Arbeitslaptop sofern ich das darf. (Bestimmte Einstellungen sind vom FirmenAdmin gesperrt.) Das private VPN beißt sich aber auch nicht mit dem Firmen VPN welches ich ab und zu nutzen muss via Cisco?

Vielleicht ein bisschen Offtopic nachdem das aber nun mit dem VPN funktioniert interessiert mich noch folgendes:

Auf der DS220+ möchte ich wie erwähnt mind. zwei Benutzerprofile anlegen. Diese Benutzer haben dann Zugriff auf die entsprechenden Ordner/Unterordner. Zusätzlich gibt es gemeinsame Ordner mit Photos/Videos. In den Benutzerordner soll der jeweilige Nutzer die Möglichkeit haben bsp. ein MacBackup etc. durchführen. Die Nutzer sind einmal meine Tochter und ich. Der Grundgedanke war das ich von überall (daher VPN) auf die DS zugreifen kann um Bilder/Videos etc. zu syncen oder eben auch MacBackup etc. durchzuführen. Meine Tochter die demnächst ihre eigene Wohnung hat, soll aber auch darauf eben Zugriff haben. Alles was wir eben dazu benötigen ist die VPN Verbindung oder? Eins noch. Kann es sein, dass sich die VPN Verbindung automatisch trennt? Hatte nach diesen langen Post an euch bemerkt, dass im iPhone der Status nicht mehr verbunden war.

 

[smajo78]

Eigentlich erweitere ich ja durch den VPN Zugang mein HomeBereich. Das heißt ich habe mir mein Fragen nun selbst beantwortet, da man ja via VPN alles so machen wie zu Hause. Aber ihr könnt gerne noch was dazu schreiben ;-)

 

[Stationary]

Kann es sein, dass sich die VPN Verbindung automatisch trennt?

Wenn das iPhone den Bildschirm ausschaltet, dann trennt es auch die VPN-Verbindung nach Hause. Das ist so vorgesehen von Apple, damit nicht unnötig im Hintergrund Datenverbindungen offengehalten werden und somit Strom aus dem Akku und eventuell auch Datenvolumen unbemerkt verbraucht wird.
“Always-on”-VPN läßt sich auf iOS-Geräten nur dann einrichten, wenn die Geräte gemanaged eingerichtet werden, das geht mit dem “Apple Configurator 2”, erfordert allerdings bei bereits in Betrieb befindlichen Geräten Geräten ein komplettes Werksreset - weshalb ich davon immer abgesehen habe.

Alles was wir eben dazu benötigen ist die VPN Verbindung oder?

Ja, am besten für jeden Benutzer einen eigenen VPN-Nutzer in der Fritzbox einrichten. Noch einfacher wäre dann aber, wenn Deine Tochter in ihrer Wohnung auch eine Fritzbox stehen hätte, dann verbindest Du einfach die beiden Fritzboxen über LAN-LAN-Kopplung, also quasi ein stehendes VPN zwischen beiden Netzwerken. Dann kann Deine Tochter jederzeit ohne weiteres VPN auf dem Rechner von ihrer Wohnung aus auf die DS zugreifen. Einzige Bedingung da sind dann zwei unterschiedliche Adressbereiche der Fritzboxen, also eine 192.168.1.x und die andere 192.168.2.x. Das geht auch mit mehr als zwei Fritzboxen, ich habe bei uns vier Stück zu einem Netzwerk zusammengehängt. Und dann am Besten an jedes Ende eine DS, dann kann die eine auf der anderen sichern.

 

[Stationary]

Windows Arbeitslaptop

Wenn ich Dein Admin wäre dürftest Du es eher nicht. Unter anderem, weil eine Software zur Kommunikation mit dem FritzVPN-Protokoll installiert werden muß, und fremde Software sehen Firmen-Admins gar nicht gern. Wenn es dumm läuft, tunnelst Du die Firmen-Firewall mit so etwas.
Etwas off-topic: Bei uns gehen die Admins sogar soweit, daß Du auf den Windows-Laptops nur die kabelgebundene Version von “Duet Display” zur Kommunikation mit dem iPad verwenden darfst, nicht aber die WiFi-Version - weil sie über die WLANs, in denen die Geräte unter Umständen eingesetzt werden, keine Kontrolle haben und Daten abfließen könnten.

 

[smajo78]

Wenn ich Dein Admin wäre dürftest Du es eher nicht. Unter anderem, weil eine Software zur Kommunikation mit dem FritzVPN-Protokoll installiert werden muß, und fremde Software sehen Firmen-Admins gar nicht gern. Wenn es dumm läuft, tunnelst Du die Firmen-Firewall mit so etwas.
Etwas off-topic: Bei uns gehen die Admins sogar soweit, daß Du auf den Windows-Laptops nur die kabelgebundene Version von “Duet Display” zur Kommunikation mit dem iPad verwenden darfst, nicht aber die WiFi-Version - weil sie über die WLANs, in denen die Geräte unter Umständen eingesetzt werden, keine Kontrolle haben und Daten abfließen könnten.

War nur so eine Idee falls ich mit dem Arbeitsrechner mal unterwegs bin. Aber dann nehme ich den leichten privaten Mac mit ;-) Danke dir

 

[Stationary]

War nur so eine Idee falls ich mit dem Arbeitsrechner mal unterwegs bin.

Ich bin ja nicht Dein Admin Vielleicht ist das bei Euch etwas lockerer, kannst ja mal fragen, ob Du das darfst. Aber bei uns unterliegen einfach viele Sachen für 18 Monate der Geheimhaltung, wenn da was von herausgeht, ist das immer unschön.
Fürs Büro und den Kontakt nach Hause habe ich daher auch eine kleine mobile Fritzbox (6820 LTE), die baut eine LAN-LAN-Kopplung mit unseren Heimnetzwerken auf und ich gehe dann über die mit einem privaten Gerät. Jetzt im Homeoffice ist das aber ohnehin kein Problem mehr.