FritzBox 6591 Cable und zwei NAS - Portweiterleitung?

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.172
Punkte für Reaktionen
922
Punkte
424
Ja, deutlich.

Wenn du im LAN/WLAN unterwegs bist und die 192.168.178.x IPs benutzt müssen die Ports aus Systemsteuerung > Netzwerk > DSM Einstellungen hinten dran gehängt werden.
Hier kann jede DS 5001 benutzen, weil eben auch jede DS ihre eigene IP hat.

Von extern mit DynDNS.
Hier landest du immer an der Haustür / Fritzbox.
Jetzt kommt es darauf an welchen Schlüssel / Port du hast in welche Wohnung / DS du gelangst. (die externe Port zahlen sind jetzt mal frei gewählt zur Illustration)
DynDNS1:5011 > erste DS
DynDNS2:5011 > erste DS
DynDNS1:5022 > zweite DS
Und so weiter. Entscheidend ist der Schlüssel / Port und NICHT die dynDNS. Egal welche dynDNS, diese zeigt immer nur auf deine Haustür / Fritzbox, weil diese auch nur 1 IPv4 Adresse hat. Deshalb gibt es externe Ports an der Fritzbox nur einmal, weil es die Ports / Schlüssel für jede Haustür nur einmalig von 1-65535 gibt. Es gibt keine doppelten Schlüssel / Ports pro IP.
 

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
Hallo Fusion,
jetzt habe ich verstanden was.
Nur nicht wie ich das mache.
Wie genau setzte ich das um?
Herzliche Grüße
Heiko
 

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
1608805995867.png
Portweiterleitung in der Fritzbox

1608806054273.png
Details zu einer Portweiterleitung.

Wo ich hänge: wenn die DDNS nur die extern IP Adresse der Fritzbox aufruft, egal wie die DDNS aussieht, wie kommt der unterschiedliche Port an die DDNS? Denn egal welche DDNS ich aufrufe - sie lösen immer auf Port 5009 auf und nicht auf 5011 oder 5021.
 

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
Also ich tippe die DDNS in meinen Browser nur die jeweilige DDNS: DDNS1, DDNS2, DDNS3
1608807248443.png
drücke auf Enter, und erhalte immer:
1608807321853.png
hinten 5009. DDNS1:5009, DDNS2:5009, DDNS3:5009 und lande damit immer auf der "ersten" NAS.

Ich denke es wäre notwendige, wenn ich eine DDNS eingebe das je nach dem: 5009, 5011 oder 5021 steht, richtig?

DDNS1:5009 (warum hier auf 5009 und nicht auf 5001 aufgelöst wird ist mir auch schleierhaft)
DDNS2:5011
DDNS3:5021

Doch leider verhalten sich die DDNS so nicht....
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.579
Punkte für Reaktionen
1.413
Punkte
234
Egal, welche DDNS vorne steht: Durch Anhängen von :[Portnummer] entscheidest du, zu welcher DS geleitet wird (bzw. welchen Dienst du darauf ansprechen möchtest).
Z.B. https://example.com:5010 oder https://example.com:5001

Man kann das auch ohne Portnummern mit dem ReverseProxy realisieren, aber das führt jetzt zu weit.
 
Zuletzt bearbeitet:

stefan_lx

Benutzer
Mitglied seit
09. Okt 2009
Beiträge
2.766
Punkte für Reaktionen
74
Punkte
88
hast du im Router eine zweite Freigabe für die DS218 mit Weiterleitung erstellt?

Stefan
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.172
Punkte für Reaktionen
922
Punkte
424
Genau, DU gibst den Port beim Aufruf von extern mit an.
Welcher Port extern auf die jeweilige DS intern auf 5001 weitergeleitet wird siehst Du ja in der Fritzbox.
Deshalb wird auch empfohlen ez Internet oder Externer Zugriff > Routerkonfiguration im DSM NICHT zu benutzen und die Einträge selber in der Fritzbox zu machen, dann weiß man auch genau was man wohin geleitet hat.

Von extern wirst du auch immer nur den externen Port sehen. Da wird nichts 'aufgelöst' auf den internen.
Um im Bild des Hauses zu bleiben kannst du dir den Datenstrom wie den Postverkehr vorstellen. Von außen siehst du nur Haustür und die Briefkästen. Dort wirfst du den Datenverkehr rein, intern geht es dann per Rohrpost in die Wohnung und die Antwort entsprechend umgekehrt.

Und der letzte Punkt.
Wenn du eine dynDNS ohne Port aufrufst läuft dies über 80 (keine Angabe oder http) oder 443 (https). Und wenn auf der DS die Web Station nicht installiert ist, dann wird automatisch zum DSM der vermutlich auf 5009 läuft umgeleitet.

Wenn man es eingängig haben will kann man auch unter Systemsteuerung > Netzwerk > DSM Einstellungen den Port ändern. Dieser ändert sich dann für intern und extern.
Dann kann man Portweiterleitungen ala 5009 > 5009 machen, anstatt Umleitungen ala 5009 > 5001.

Und zuletzt jetzt noch ein mahnendes Wort:
Es muss nicht alles gemacht werden was möglich ist.
Spruch, 3 DS, wieso willst du die alle ungeschützt dem Internet aussetzen? Speziell wenn 1-2 davon nur Backup Zwecken dienen (zu denen sollten man so gut wie nichts öffnen, selbst intern mache ich da smb/cifs und anderes zu, nur das nötigste fürs Backup)
DSM Zugang direkt ist bevorzugt nur per LAN oder VPN zu machen.
Von daher wäre es eventuell empfehlenswert nach dem der Aufbau verstanden wurde erst nochmal zu zu machen und über das Grundkonzept nachzudenken.
Oder wie Geimist anmerkte gibt es noch weitere Mittel wie reverse proxies , dass man z.b. Nur eine DS mit 443 öffnet / öffnen muss.

Ist ein großes Feld... Ein Schritt nach dem anderen..
.
 
  • Like
Reaktionen: the other

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
Hi Fusion, super - vielen Dank für Deine Mühe und Deine umfangreiche Erklärung ;-)
Und ich werde sicher später nur noch eine NAS im Netz verfügbar machen - sobald der ganze Support Kram erledigt ist und Volumen wiederhergestellt, defekte Platte getauscht, Daten wieder hergestellt und alle Backup Routinen laufen. Nur ganz nebenbei, wenn ich die zwei DS918+ spiegeln will, wie würdest Du es aufsetzten, mit HyperBackup und HyperBackup Vault oder ...?

VPN würde ich gerne machen, doch ich bin daran schon mehrfach gescheitert - ich bin dazu einfach zu unerfahren. WebDav bzw. NetDrive hat gut funktioniert.

Ideales Zielbild:
- DS918 wird nur noch über VPN von außen erreichbar.
- DS918-heiko-2 ist die exakte Kopie von DS918 + Datenexplorer ala HyperBackup für ältere Versionen.
- Direkt von DS918 geht alles auf Amazon Glacier - günstig, sicher (nur nicht beim Restore). Für günstigen und schnellen Backup die zweite DS918-heiko-2.
- Anbindung von Microsoft OneDrive über CloudSync - nur upload von NAS auf OneDrive (dort sind die Daten ja sicher). Über OneDrive kann ich dann mit Laptop, Computer meine aktuellen Arbeitsdateien bearbeiten und später auf dem NAS in einen "Schrank stellen/Gemeinsamen Ordner" der ins Backup läuft.
- Bilder gehen alle auf Amazon Photo und liegen nur zu Arbeitszwecken auf dem NAS
- Videodateien (ich produziere kleine Filme) liegen nur auf den NAS - auch zum editieren - zum Kunden gehen die Ergebnisse per OneDrive/teilen

Zurück zu meiner "nicht empfehlenswerten" Lösung: Auf allen NAS die WebStation aktivieren und unter Systemsteuerung - Netzwerk - DSM die Porteinstellungen ändern. Ich meine ich habe das schon, und dennoch erfolgt die Portweiterleitung nicht wie erhofft.
Vielleicht gebe ich jetzt einfach auf ;-(

Übrigens ich habe ja die Portweiterleitungen sowohl in der FritzBox als auch im DSM eingetragen - und sowohl in der FritzBox als auch im DSM wird mir grünes Licht, bzw. beim Test OK angezeigt.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.352
Punkte für Reaktionen
6.278
Punkte
569
Hallo Fusion,
vielen Dank für Deine Beschreibung. Nun bräuchte ich ein Kochrezept - welche Mengen von was, wo und wie, damit nun endlich ein Kuchen daraus wird. Ist es überhaupt möglich mit unterschiedlichen DDNS auf unterschiedliche Diskstation zugreifen zu können?
Viele Grüße
Heiko

Leider geht das beim ersten Post bei mir nicht - nur bei den folgenden - scheint eine Einstellung im Forum zu sein ... vermute ich mal

hier noch etwas mehr Futter:

Könnte ich nicht die "internen IP" Adressen von der Fritz Box, die ja auch im NAS unter Netzwerk als IP Adresse angezeigt werden nutzen? Zumal, wenn ich diese im Browser eingebe direkt auf die jeweilige NAS komme. Nur wenn ich es an die DDNS "hänge" klappt es nicht.

In der FritzBox unter Heimnezt - Netzwerk:
Anhang anzeigen 57405

Anhang anzeigen 57406

Sowohl in der FritzBox, als auch unter Netzwerk-Schnittstelle ist jeweils die gleiche IP Adresse.
Ich muss nur jeweils den Port angeben.
DS218j (IP-Adresse):5021
DS918-Heiko-2 (IP-Adresse):5011
DS918 (IP-Adresse):5001 und 5009 geht hier auch, warum eigentlich?

Leider, wenn ich diese IP Adresse dem DDNS mitgeben will, hier
Anhang anzeigen 57407

kann ich "nur" die IP Adresse mitgeben, nicht aber den Port.
Ich müsste also irgendwie der FritBox beibringen, wenn Anfragen mit dieser IP Adresse reinkommen, welchen Port sie dafür nutzen soll, oder?

Oder habe ich mich verirrt?
Du musst im Browser den externen Port mit eingeben: dyndnsblablabla:5001 oder eben dyndnsblablabla:5010
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.172
Punkte für Reaktionen
922
Punkte
424
Beschreib nochmal genau was nicht wie erhofft geht am konkreten Beispiel bitte. Ich kann es mir gerade nicht vorstellen, außer du erwartest etwas was so eben nicht passiert oder ähnlich.

Die Web station brauchst du nicht, das war nur eine mögliche Erklärung wieso du beim Aufruf ohne Port auf der einen DS auf 5009 geleitet wirst.

Was für ein Support Kram? Wenn es da um jemand geht der dir bei den DS hilft, dann lieber per Teamviewer auf einen Rechner in deinem Netz und von da auf die DS.
Und falls es um Syno support geht die brauchen normal auch außer ssh keinen Zugriff.

Bezüglich Spiegel / Ziel
Ein exakten Spiegel bekommst du nur mit High Availability wo die Geräte wirklich so abgeglichen werden. Also ein Raid1 für Geräte anstatt Festplatten sozusagen.
Wenn es um Spiegeln geht der Daten, also nur die Verfügbarkeit, dann eher Drive Server + Drive Share Sync.
Wenn es um Backup geht dann Hyper Backup + HB Vault. In dem Fall sollte die zweite 918 aber auch wie erwähnt komplett abgeschottet werden, also auch keine Netzwerkfreigabe oder ähnlich. Und am besten direkt mit einem direkten LAN Kabel an den zweiten Anschluss der Quell DS, so dass sie sie auch nicht im normalen Netzwerk auftaucht.

Edit:
Und wie vorher auch schon erwähnt, die Portfreigabe nur in der Fritz oder der DS eintragen, aber nicht auf beiden gleichzeitig. Das kommt sich nur in die Quere.
 

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
Support Kram = Synology Support: abgestürztes Volumen reparieren. Bzw. remote support Zugang. "außer ssh keinen Zugriff" Was ist das "SSH"?

Spiegel = nein kein High Availability, es reicht Backup der täglich läuft, ich denke HyperBackup und HyperBackup Vault sollte wohl die Wahl sein.

Portfreigabe = ich habe jetzt alle Portfreigaben in allen drei NAS gelöscht und nur noch in der FritzBox

Was geht = https://dddns.synology.nas1 aufrufen (ohne Port) und dann auf ddns.synology.nas1:5009 rauskommen und im DSM anmelden ;-) super!

Was nicht geht = https://ddns.synolgy.nas2 aufrufen (ohne Port) und dann auf ddns.synology.nas2:5011 rauskommen und im DSM anmelden - nö
Was nicht geht = https://dddn.synology.na3 aufrufen (ohne Port) und dann auf ddns.synology.nas3:5021 rauskommen im im DSM anmelden - nö

Warum funktioniert das bei dem einen NAS mit 5009 - und wieso 5009 und nicht 5001?

Was auch nicht geht VPN. Ich habe so viele Videos und Anleitungen gelesen - keine Chance! Das funktioniert einfach nicht und ich kriege es nicht zum laufen ... ;-(( heul
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.172
Punkte für Reaktionen
922
Punkte
424
Entweder musst du einem von uns mal die realen Daten schicken per PN, dann kann man nachsehen.
Oder es muss konkret genannt werden was du wie testest und welches Ergebnis raus kommt was du nicht erwartest.
Mit 'funktioniert nicht' können wir dir nicht weiterhelfen.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.515
Punkte für Reaktionen
1.110
Punkte
194
Für dein Konstrukt würde sich auch möglicherweise auch der Reverse-Proxy eignen.
Dazu deklarierst du eines der Geräte als "Hauptsystem" auf dem der Reverse-Proxy konfiguriert wird.

Greifst du von Domain1 darauf zu, erfolgt der Zugriff auf NAS A.
Wird über Domain2 zugegriffen, erkennt das Hauptsystem dies und leitet auf NAS B weiter.

Vorteil: Du kannst das Konstrukt über ein Portforwarding abfrühstücken.


mache ich doch - in allen Varianten - nö! das funktioniert bei mir nicht ;-(
Und ganz wichtig: Auf das Protokoll achten! Für 5001 wird i.d.R. HTTPS verwendet. Falls du nur http://domain.bla eingibst, funktioniert der Spaß nicht.
 

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
ok was bedeutet funktioniert nicht:
Wenn ich im Browser: https://ddns.synology-nas3:5021 eingebe - erwarte ich das ich auf die DMS des dritten NAS komme. Anstatt dessen sehe ich aber
1608835487797.png

wenn ich den Port 5009 mitgebe auch nichts. aber mit http://ddns.synology-nas3:5009 eingebe - meldet sich http://ddns.synology-nas1:5009
und ich lande wieder auf meinen ersten NAS. Und wenn ich das mit 5001 probiere auch nur mit http und nicht mit https.

Und ich habe echt probiert alles zu erklären und mit Screenshots zu zeigen ...
 

Anhänge

  • 1608835460683.png
    1608835460683.png
    28,3 KB · Aufrufe: 0

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
Für dein Konstrukt würde sich auch möglicherweise auch der Reverse-Proxy eignen.
Dazu deklarierst du eines der Geräte als "Hauptsystem" auf dem der Reverse-Proxy konfiguriert wird.

Greifst du von Domain1 darauf zu, erfolgt der Zugriff auf NAS A.
Wird über Domain2 zugegriffen, erkennt das Hauptsystem dies und leitet auf NAS B weiter.

Vorteil: Du kannst das Konstrukt über ein Portforwarding abfrühstücken.



Und ganz wichtig: Auf das Protokoll achten! Für 5001 wird i.d.R. HTTPS verwendet. Falls du nur http://domain.bla eingibst, funktioniert der Spaß nicht.
Hallo Ulfhednir,
herzlichen Dank für Deinen Vorschlag - ich befürchte nur das mich das in Teufelsküche bringt - ich schaffe ja noch nicht einmal diesen Weg zu gehen, geschweige den VPN, und jetzt Reverse-Proxy ... ich glaube da bin ich einfach der Falsche. Mir muss man es ganz langsam, vollständig ohne (jetzt passiert das Wunder) auslassen eines (für selbstverständlich gehaltenen) Schritts. Am besten in Ton und Farbe. Ich bin froh das alle NAS laufen, Quick Connect funktioniert und auf dem Synology Account mit grünen Licht angezeigt werden - sprich der Synology Support kommt drauf (hoffe ich).
Frohe Weihnachten ;-)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.172
Punkte für Reaktionen
922
Punkte
424
Testest du das im WLAN / LAN, oder von extern?
Das ist wichtig. Intern könnte z.b. Der DNS Rebind Schutz der Fritzbox blockieren.

Und nochmal blabla:5009 landet immer am gleichen Ziel egal welchen blabla du eingibst (von extern).

Ja, du hast einige Screenshots gemacht, allerdings arbeitest du ja auch die ganze Zeit an dem Konstrukt. Von daher sind immer Screenshots wichtig die auch zum test passen.

Vielleicht mal einen Schritt zurück und nur mit einer Adresse, einer Portweiterleitung und einer DS.
Wenn das auseinander gefrimmelt ist der Rest.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.172
Punkte für Reaktionen
922
Punkte
424
Hab jetzt grad nochmal dein Post von vorher am großen Bildschirm gelesen
Was geht = https://dddns.synology.nas1 aufrufen (ohne Port) und dann auf ddns.synology.nas1:5009 rauskommen und im DSM anmelden ;-) super!

Also.
https://dddns.synology.nas1 aufrufen (ohne Port) >> auf Deutsch ist das gleichbedeutend mit https://externe_Fritz_IP:443.
Und wo geht 443 hin? Richtig, zur DS1. Dort ist die Web Station nicht installiert. Daher denkt sich die DS (denkt natürlich nicht, das ist so konfiguriert), der Benutzer will sicherlich zum DSM und leitet auf den eingestellten DSM Port 5009 um. Da dieser Port AUCH in der Fritzbox geöffnet ist und auf DS1 zeigt bekommst du die Login Seite angezeigt. Wäre Port 5009 geschlossen würdest du einen Fehler bekommen, weil die DS deinem Browser zwar sagt er soll es auf 5009 nochmal probieren, aber die Tür ist zu.

Damit wird auch sofort klar wieso dies passiert
Was nicht geht = https://ddns.synolgy.nas2 aufrufen (ohne Port) und dann auf ddns.synology.nas2:5011 rauskommen und im DSM anmelden - nö

Also.
https://ddns.synolgy.nas2 aufrufen (ohne Port) >> auf Deutsch ist das gleichbedeutend mit https://externe_Frtiz_IP:443.
Merkst was? Ist das selbe wie oben. Folglich landest du wieder auf DS1.

Wie ich schon 2 Mal geschrieben hatte, aber vermutlich doch nicht so formuliert, dass es verständlich genug war.
Genau, DU gibst den Port beim Aufruf von extern mit an.

Und nochmal blabla:5009 landet immer am gleichen Ziel egal welchen blabla du eingibst (von extern).


Deshalb müssen für diese Beispielports die Aufrufe von EXTERN so aussehen:
https://ddns.synolgy.nas1:5009
https://ddns.synolgy.nas2:5011
https://ddns.synolgy.nas3:5021

In der gewählten Konstellation findet eben die Unterscheidung zu welcher DS die Anfragen kommt auf der Fritzbox statt (1 IP, verschiedene Ports, Namen sind Schall und Rauch sprich hier überhaupt nicht von Bedeutung). Deshalb müssen die Ports zwingen dabei stehen.
Falls es von intern (LAN/WLAN) Probleme gibt beim Aufruf dieser Adressen muss man in der Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > weitere Einstellungen > DNS Rebind Schutz die Adressen eintragen
ddns.synolgy.nas1
ddns.synolgy.nas2
ddns.synolgy.nas3

Wenn man dies ändern will und z.B. anhand der Namen unterscheiden will, dann geht das nicht mehr auf der Fritzbox.
Da kommt man dann z.B. zum Konstrukt mit Reverse Proxies wo man z.B. alle Namen https://blabla (die auf 443 kommen) zu DS1 schickt. Dort kann man dann anhand der Namen unterscheiden und jene mit blabla2 zu DS2 und blabla3 zu DS3 weiter schicken.
 

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
Deshalb müssen für diese Beispielports die Aufrufe von EXTERN so aussehen: und so verhält es sich...

NAS1:
https://ddns.synolgy.nas1:5009 - nein geht nicht - Webseite nicht erreichbar http://ddns.synology.nas1 - ja geht und leitet auf 5009 http://ddns.synology.nas1:5009 ja geht.

NAS2:
https://ddns.synolgy.nas2:5011 - nein geht nicht, alles probiert = webseite nicht erreichbar nur bei http://ddns.synology.nas2 wird http://ddns.synology.nas1:5009 aufgerufen und ich lande im NSA1

NAS3:
https://ddns.synolgy.nas3:5021 - nein geht nicht = webseite nicht erreichbar nur bei http://ddns.synology.nas3 wird http://ddns.synology.nas1:5009 aufgerufen und ich lande im NAS1

also lassen sich die https nicht nutzen nur die http - was ich auch nicht verstehe, da ja im DMS Umleitung von http auf https aktiviert ist und über die DDNS ein lets encript zertifikat vorliegt.
 

h_roemhild

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
36
Punkte für Reaktionen
6
Punkte
8
ach so und intern kann ich natürlich die NAS erreichen - sowohl über deren interne IP mit dem jeweiligen Port:
interne IP NAS1:5001 - super DMS NAS1
interne IP NAS2:5011 - super DMS NAS2
interne IP NAS3:5021 - super DMS NAS3
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat