Hotspotfunktion als Access Point nutzen

[florian128]

Hallo zusammen.

Mein erster Beitrag in einem Forum, mal sehen was da noch draus wird. Erst mal danke, für die vielen hilfreichen Beiträge.

Nun zu meinem Problem.
Ich habe eine DS411slim und einen TP-Link TL-WN722NC USB-Dongle, der in der Kompatibilitätsliste aufgeführt wird.

Ich würde gerne den Hotspot als Access Point nutzen und dabei die DS direkt an mein Modem hängen. Theoretisch geht das auch. Die DS zieht sich eine entsprechende IP-Adresse vom Modem. Zusätzlich hat sie eine weitere IP für das WLAN-Netz. Mein Rechner kann sich ins WLAN einlinken und die DS ist sowohl über die WLan, als auch über die Modem-IP ansprechbar (nicht über die Namensauflösung, sondern über direkte IP-Eingabe). Das Modem kann ich auch anpingen. Allerdings ist an dieser Stelle dann Stopp. Der Weg ins Internet ist hier beendet.

Meine Frage, ist ein solcher Aufbau überhaupt möglich? Oder habe ich irgendwo einen Denkfehler eingebaut? Über die Suchfunktion habe ich leider nichts gefunden.

Gruß
Florian

 

[georgum]

Hi,

ich persönlich würde dir schwer empfehlen eine solche Konfiguration zu unterlassen.
Möglich ist sie schon, aber vergiss nicht, die Syno ist in erster Linie eine NAS/SAN. Es gibt zwar Unmengen gute und brauchbare Erweiterungen, aber die Syno als Router/FW zu benutzen, sprich als erste Anlaufstelle aus dem Web ist schon ein wenig verwegen.

Stell dir eine richtige FW vor dein Netzwerk und du wirst happy werden.
just my 5 Cent

Greets
Georg

 

[florian128]

Danke für den Hinweis, hab ich mir auch schon Gedanken drüber gemacht, bin das im Moment auch eher am austesten, bis ein anderer Router da ist. Der den ich jetzt hab ist nicht DynDNS-fähig, bzw. unterstützt nur kostenpflichtige Dienste.

Trotzdem besteht ja die Problematik des nicht funktionierenden Durchgriffs. Theoretisch würde ich ja trotzdem nicht über die DS hinauskommen. Warum ich bis zum Modem und nicht weiter komme ist mir im Moment schleierhaft, aber ich würde erwarten, dass sich das Problem durch einen Router nur verlagert aber nicht löst. Irgendwelche Ideen?

Gruß
Florian

 

[georgum]

Ideen hätte ich viele
Wenn du eine Problemlösung willst musst du mehr Infos rausrücken.

 

[florian128]

Dann sag mir, was du brauchst.

 

[georgum]

Konfig vom Router extern und intern:
IP:
Subnet:
DNS:
Gateway:
Eventuelle Port forwarding Regeln:
Eventuelle FW Regeln:

Konfig der Syno
IP:
Subnet:
DNS:
Gateway:
Firewall:

 

[florian128]

Router:
LAN Settings intern
IP: 192.168.2.1
Sub: 255.255.255.0
DHCP Server: An

Internet Settings
Connection Type Dynamic
Subnet mask 255.xxx.xxx.0
Wan IP xxx.xxx.xxx.xxx
Default gateway xxx.xxx.xxx.xxx
DNS Address xxx.xxx.xxx.xxx:
Firewall: An

DS:
IP 192.168.2.5
Sub: 255.255.255.0
DNS und Gateway: 192.168.2.1
Firewall: Aus

Hotspot: IP via DHCP in eigenständigem Subnetz

 

[georgum]

Die Syn hängt aber schon an einem Kabel welches direkt am Router oder über einen Switch mit diesem verbunden ist, oder ?
Wegen dem Satz frage ich: Hotspot: "IP via DHCP in eigenständigem Subnetz"

 

[florian128]

Schon, der Aubau ist im Moment: Modem, Router, Syn, USB-Dongle. Ich würde gern den USB Dongle als WLAN Access Point nehmen.

 

[georgum]

Und du kommst nur bis zum Modem ? Oder ist es der Router ?
Das du nicht zum Router durchkommst kann ich mir fast nicht vorstellen, was sagt denn das Log vom Router ?

 

[florian128]

Interessanterweise komme ich in diesem Setup komplett bis ins Internet durch, das ist ja das Problem. Wenn ich jetzt die Syn direkt an das Modem klemme, dann blockt er bereits am Modem ab. Dabei ändere ich ansonsten absolut nichts. Der Router selbst ist ein ganz billiger Belkin. Der hat keine Logs ausser für die Firewall. Die Frage ist wie gesagt, warum das Setup nicht mehr funktioniert, wenn der eigentliche Router entfernt wird.

 

[georgum]

Möglicherweise ist das bei deinem Kabelanbieter "Kabel Deutschland Breitband Services GmbH" ähnlich wie UPS.
Deine IP ist an eine MAC Adresse gebunden, in deinem Fall die vom Router würde ich tippen. Ist aber nur ein Verdacht.
Ich denke gerade nach wie man die MAC Adresse der Syno faken kann um die vom Router zu verwenden.

 

[florian128]

Mmh, gute Idee mit der MAC-Bindung. Ist schon so lange her, das ich das eingerichtet hab. Ich werde morgen nachmittag mal direkt aufs Modem gehen und nachforschen. Ich sag dann Bescheid.
Derweil noch einen schönen Abend und schon einmal danke für die Mühe.

 

[georgum]

Viel Spaß noch

 

[jan_gagel]

Hallo,

als ich würde auch dringend davon abraten, die DS als Accesspoint zu nutzen. Zumindest direkt am Modem zu betreiben. Die DS ist ja an sich kein Router. Aber jetzt mal zum Thema. Wir haben hier in der Firma auch Kabel Deutschland Internet-Zugang. Deshalb weiß ich, daß (zumindest bei uns) die MAC-Adresse des Routers im Modem temporär gespeichert wird. Hängt man jetzt einen anderen Router an das Modem, muß man das Modem mal kurz stromlos machen, und die Internet-Verbindung funktioniert wieder.

Bei deiner DS mußt du aber auch die LAN-IP auf DHCP stellen, sonst bekommst du keine IP vom Provider zur DS.

Was war jetzt nochmal das Problem? Der Router unterstützt nur kostenpflichtige DynDNS-Angebote? Kann ich mir jetzt so nicht vorstellen. Als Lösung, trag doch einfach die DynDNS-Zugangsdaten in die DS ein. Dann aktualisiert die DS die IP. Normalerweise ist zwar der Router die erste Anlaufstelle, wo man mit DynDNS arbeiten sollte, denn er weiß ja genau, wann sich die IP ändert. Bei Kabel Deutschland hingegen hast du ja fast eine feste IP, zumindest solange das Modem an ist. Da gibts keine 24-h-Trennung, wie sie bei den anderen Anbietern so üblich ist.

Willst du von außen auf die DS zugreifen, mußt du natürlich auch eine Portweiterleitung einrichten. Je nachdem welchen Dienst du von außen nutzen möchtest, gibt es verschiedene Ports. Vom Port 5000 (oder 5001) würde ich aber die Finger lassen. Denn von außen Zugriff auf das Admin-Interface zu haben, ist doch ein hohes Sicherheitsrisiko. Zumal der DSM-Apache (nicht zu verwechseln mit dem Apache für die Web-Freigabe) als root läuft.

Ciao Jan

 

[florian128]

Morgen,

ich habe mir mittlerweile auch schon gedacht, dass ein "Neustart" des Modems das Problem lösen sollte. Die Ports 5000 und 5001 würden definintiv nicht freigegeben. Es geht für den Zugriff von außen eher um andere Dienste. Der Router unterstützt nur DynDNS. Was anderes kann man nicht eintragen lassen. Die Variante über den Router hinweg DynDNS zu verwenden hab ich noch nicht ausprobiert.

Aber mal was anderes, jeder pocht auf die Nutzung eines Routers. Was genau ist denn der Vorteil dabei. Router und DS laufen auf Linux, beide haben eine Firewall. Wenn man im DS über EZ-Internet den Zugriff einrichtet und über einen Router verbinden lässt, wird die Firewall im Router (sofern unterstützt) eingerichtet. Wenn man sich direkt verbindet, wird stattdessen die Firewall in der DS eingerichtet. Nur dann ist die Firewall in der DS auch an. Beim Weg über den Router wird sie gar nicht betrachtet, wenn ich das richtig gesehen habe. Jetzt kann ich ja an der DS ebenfalls einrichten, welche Ports von außen zugegriffen werden können und das ganze zusätzlich mit IP-Blocking ergänzen. Wenn ich jetzt alles richtig aufgeschlüsselt habe, erkenne ich einfach keinen signifikanten Vorteil, es sei denn die Firewall auf dem Router wäre eine Hardware-Firewall (was sie in meinem Fall zumindest aber nicht ist). Was spricht also genau dagegen, die DS direkt am Modem zu betreiben. Welche Sicherheitsprobleme entstehen dadurch?

Gruß
Florian

 

[georgum]

Hi Florian,

nun du kannst diese rudimentäre "FW" in der Syno nicht mit einer erwachsenen FW vergleichen.
Bei der Syno die Lösung als FW zu bezeichnen ist schon sehr gewagt, das ist rein nur ein Port blocking (oder eben auch nicht)
Eine FW hat noch viele andere Funktionen zusätzlich die für Sicherheit und Datenintegrität sorgen.
Wenn du eine richtige FW auf der Syno installieren würdest, würde die Syno von der Performance her wahrscheinlich niederbrechen da die CPU's und der Arbeitsspeicher dann schon mit den FW Aufgaben an der Leistungsgrenze wären.

Greets
Georg

 

[florian128]

Hi Georg,

aha, das ist doch mal eine greifbarere Aussage.
Wobei man sich jetzt noch überlegen muss, inwieweit die Firewall auf einem einfachen Router für 20 Euro ohne großartige CPU oder Arbeitsspeicher da besser aufgestellt ist. Wie gesagt,bei meinem aktuellen Router möchte ich das bezweifeln. Bei einer Fritzbox ist das wahrscheinlich etwas anders. An meinem Router hängt allerdings ausschließlich die DS, von daher die Idee das ganze einzusparen zumal die Funktion zur Verfügung steht...

Gruß
Florian

 

[joku]

Der Router unterstützt nur DynDNS. Was anderes kann man nicht eintragen lassen. Die Variante über den Router hinweg DynDNS zu verwenden hab ich noch nicht ausprobiert.

Hallo Florian, Du kannst das DDNS der DS benutzen. Gruß Jo

 

[jan_gagel]

nochmal zur Firewall-Funktion. Ein Router hat eine ganz simple Technik, nennt sich NAT. Im Prinzip ist ein DSL-Router oder NAT-Router kein Router im klassichen Sinne. Durch das NAT (Network Adress Translation) wird, wie der Name schon sagt, die Netzwerkadresse übersetzt bzw. ersetzt. D. h. die PCs im LAN (egal ob WLAN oder LAN, vorausgesetzt es ist das gleiche Subnetz) fragen Internet-Seiten an, der Router ändert die anfragende IP mit seiner öffentlichen und er fragt eigentlich selbst die Seiten an. Zurück geht es natürlich umgedreht. Von da her gibt es nur eine öffentliche IP, denn die Internet-Adresse des Routers. Wenn jetzt ein Portscan von außen erfolgt, sollten standardmäßig alle Ports geschlossen sein. Eine Portweiterleitung öffnet nur einen Port und leitet ihn auf einen PC weiter. Gibt es keine Portweiterleitungen, ist der so entstehende (Basis-) Schutz schon relativ gut.

Da jeder offene Port (und natürlich der dahinter laufende Dienst) ein Sicherheitsrisiko darstellen, sollte man mit einer Portweiterleitung immer vorsichtig sein. Denn der Dienst könnte durch einen Pufferüberlauf abstürzen und dann hätte der Angreifer u. U. Vollzugriff auf die Maschine. Zumindest über den einzigen Port.

Würde jetzt ein Angreifer durch den offenen Port auf einen Dienst zugreifen, der direkt auf dem Router (oder in dem Szenario mit der DS auf die DS selbst) zugreift, könnte er dann Vollzugriff auf die DS bekommen. Damit wäre die DS dann kompromitiert und alle Daten beim Teufel. Schlimmer nch, es könnten Dienste implantiert werden wie SMTP zur Spam-Versendung, FTP könnte aktiviert werden, Daten könnten für andere zugänglich gemacht werden... Deshalb verwendet man auf einem Router / einer Firewall nur sehr wenige Dienste. Denn jeder Dienst ist ein Sicherheitsrisiko.

Gerade diese All-in-One-Mentalität der Fritzboxen oder anderen Router-Lösungen finde ich persönlich auch schon schwierig. Zwar ist AVM immer schnell mit Firmware-Updates, trotzdem können sich hier Fehler einschleichen.

Das von mir angesprochene NAT ersetzt natürlich keine richtige Firewall, und ist nur eine Not-Lösung. Eine richtige Firewall kann die durchgeleiteten Pakete analysieren. Ich verwende als Firewall gerne IPCop, eine Linux-Distribution für den Einsatz als dedizierte Firewall gedacht. Sprich ein PC mit zwei oder mehr Netzwerkkarten, eine zeigt in Richtung Internet, die andere ins LAN. Man kann sogar das u. U. gefährliche WLAN durch eine eigene Netzwerkkarte filtern lassen. Man kann beim IPCop auch den Squid-Proxy aktivieren, oder einen Virenscanner und Spam-Filter integrieren. Puristen sehen bereits diesen Einsatz-Zweck auf einer Firewall sehr skeptisch.