NAS (DS218+) via DynDNS mit FRITZ!Box 6490 Cable (Vodafone) und Strato über Subdomain erreichbar machen

[CK11]

Liebe Community,

sehe mich gezwungen, Euch mit einem Problem an meinem Setup zu nerven.
Entschuldigt, dass ich bis jetzt keine Lösung durch die Beitragssuche oder Google-Suche finden konnte.

Ich möchte meine NAS via DynDNS für mich aus dem Internet erreichbar machen.

Mein Setup wie folgt:
- NAS: SYNOLOGY DiskStation DS218+ mit aktuellster Software
- Router: FRITZ!Box 6490 Cable
- Domainverwaltung: Strato - eingerichtete Domain mit Subdomain
- Internetanschluss: Internet & Phone Kabel 200 via Vodafone/Kabel Deutschland

Nun habe ich so ein schlaues NAS-Buch und zig Beiträge durchforstet, aber es will einfach nicht.

Ich danke Euch im Voraus, wenn sich jemand meine Settings ansehen könnte und mir meine Fehler aufzeigen könnte.

Was habe ich bereits eingestellt?

Strato:



DynDNS auf MeineDomain.de ist aktiv:



Ebenso auf Sub.MeineDomain.de. Andere Einstellungen/Settings kann ich nicht setzen:


SSL-Zertifikat auf MeineDomain.de vorhanden:



Falls es noch etwas auf Strato einzustellen gibt, bitte um Rückinfo. Oder falls es Settings dort falsch sind.


Nun zu den Einstellungen in der FRITZ!Box.

FRITZ!Box:



Port-Freigaben wie folgt hinterlegt:





Muss hier noch etwas spezielles angekreuzt werden?



Das mit dem Exposed Host macht mir bisschen Angst, deswegen hatte ich das nicht angekreuzt.

Zu guter Letzt die Einstellungen in der NAS.


NAS:





Ich hoffe, ihr könnt mit den Screenshots etwas anfangen und es fällt Euch leicht, mir den entscheidenden Tipp zu einer funktionierenden Lösung zu finden, damit auch nur ich meine NAS im Internet finden und einsehen kann.

Besten Dank Euch.

Bei Rückfragen gerne melden.

Viele Grüße
Christoph


@Admins: Ich hoffe, dass der Beitrag hier richtig aufgehoben ist. Danke Euch.

 

[Benares]

Nimm bitte die Einstellungen zu "Exposed Host" umgehend komplett raus. Damit stellst du dein NAS ungeschützt ins Internet. Außerdem vermeide besser "Selbstständige Portfreigaben" und mach das alles besser auf der Fritzbox direkt.

Ich vermisse da in deinem Beitrag aber noch eine richtige Frage bzw. die Beschreibung des eigentlichen Ziels der ganzen Aktion

 

[CK11]

Nimm bitte die Einstellungen zu "Exposed Host" umgehend komplett raus. Damit stellst du dein NAS ungeschützt ins Internet.
Ich finde da in deinem Beitrag noch keine richtige Frage

Exposed Host ist nicht gesetzt.

Sorry, die Frage bzw. das Problem: Weder bei Aufruf der Domain oder Subdomain kommt etwas. Browser lädt sich zu tode. Irgendwas ist an den Einstellungen falsch, oder sieht das alles korrekt aus?

Danke Dir.

 

[Fusion]

Wenn du alle lokalen IPs unkenntlich machst... kannst die Screenshots auch gleich weglassen. Da kann man nichts mehr heraus lesen.
Exposed Host (ah, nicht gesetzt, wieso dann den Screenshot mit...mmmh) und Selbstständige Porfreigaben in der Fritzbox, ausschalten.
dynDNS bei IPv4 nur in der DS oder im Router machen, aber nicht doppelt.
IPv6 hast du im Router an aber nicht in der DS.

Nach den Einstellungen zu gehen, wenn nicht eine Firewall reinspuckt, müsste eigentlich sub.example.com (meinedomain.de gehört jemand und ist keine offizielle Beispieldomain) erreichbar sein, wenn die aktuelle IP über das DNS System schon verbreitet wurde.

Nachtrag:
Das ist von extern.
Von intern kann die Domainauflösung auf die öffentliche IP der Fritzbox das Problem sein (Stichwort: Ausnahme DNS Rebind-Schutz in der Fritzbox).

 

[CK11]

Sorry, soll ich welche Screenshots mit den IPs einstellen?
War mir da unsicher, ob das einfach so ins Netz wandern darf.

Das mit Exposed Host hatte ich bei mir nicht gesetzt, da auch die Warnung kam. Stimmt, hätte die Screenshots auch draußen lassen können.

Die Option "Selbstständige Portfreigaben für dieses Gerät erlauben." habe ich nun entfernt. Richtig? Danke.

Muss der untenstehende Eintrag komplett raus, wenn ich dein "dynDNS bei IPv4 nur in der DS oder im Router machen, aber nicht doppelt." richtig deute?


Wäre für einen Tipp dankbar, wo ich dies (IPv6 hast du im Router an aber nicht in der DS.) einstellen kann.

Danke für den Hinweis. Werde demänchst sub.example.com als Ausdruck verwenden.

Nachtrag:
Das ist von extern.
Von intern kann die Domainauflösung auf die öffentliche IP der Fritzbox das Problem sein (Stichwort: Ausnahme DNS Rebind-Schutz in der Fritzbox).

Muss ich dahingehend noch etwas ändern? Im Heimnetzwerk führt die Domain als auch Subdomain ins Leere. Auch von extern.

Danke.

 

[tokon]

Funktioniert dynDNS korrekt, zeigt die (Sub)Domain deine öffentliche IPv4?
bzw. bei Vodafone Cable zunächst mal grundsätzlich gefragt, hast du eine öffentliche IPv4 oder hast du DS lite?

 

[Benares]

Egal was in deinem schlauen Buch steht, für einen Remote-Zugriff braucht es immer 3 Dinge:

1. Deine ggf. wechselnde externe IP muss wenigstens über einen festen Namen dauerhaft auflösbar sein. Dazu dient DDNS. Normalerweise hat man da eine eine (Haupt-)Domain (z.B. example.com), z.B. bei Strato, deren IP man am besten vom Router aktualisiert lässt. Die DDNS-Aktualisierung von der DS aus ist auch möglich, aber nur, wenn das der Router nicht beherrscht. Der Router weiß schließlich als erstes, wenn die externe IP wechselt. Will man noch weitere Namen (z.B. sub.example.com), kann man DNS-seitig sog. CNAMEs (Aliase) einrichten, die alle auf die Haupt-Domain zeigen. Auch MyFritz ist eine gute Alternative zu einer eigenen Domain, die Namen sind zwar kryptisch, aber im Prinzip ist das egal.
   Testen kann man das ganze z.B. mit "nslookup". "nslookup example.com" sollte immer auf die externe IP deines Routers auflösen. Die Besonderheiten bei IPv6 lass ich jetzt hier mal weg.
2. Dann muss man sich überlegen wie es in Richtung der angesprochenen Dienste weitergehen soll. Am sichersten ist da VPN, das richtet man am Besten auch auf dem Router ein und bei aufgebauter Verbindung ist man hier auch schon fertig, man arbeitet auch remote wie zu Hause im heimischen WLAN.
   Sollen mehrere Clients Zugriff erhalten (oder man kennt die Clients nicht), kann es aber auch mit VPN etwas aufwendig werden. Dann helfen Portweiterleitung weiter. Davon gibt es auch zwei Typen. Entweder man erlaubt im Router, dass sich jedes Endgerät Portfreigaben selbst einrichten kann, was es braucht (Selbstständige Portfreigeben erlauben) und legt diese in jedem Endgerät fest, oder man richtet diese direkt auf dem Router ein. Letzteres ist wesentlich sicherer und bleibt auch übersichtlicher.
   "Exposed Hosts" (also Firewall auf Durchzug) sollte man in jedem Fall vermeiden.
3. Im 3. Schritt muss man noch dafür sorgen, dass das Endgerät die Zugriffe zulässt, also die Benutzer passen und auch die Firewall des Endgeräts den Zugriff zulässt (z.B. bei IPv6-Zugriff).

Die Haupt-Konfiguration erfolgt also auf dem Router, auf der DS selbst gibt es wenig einzustellen. Manchmal ist es für einen Anfänger etwas verwirrend, wenn es zu einigen Punkten Einstellungen auf Router und Endgerät gibt. Dann ist die immer die Router-Methode zu bevorzugen. Bei deinen Screenshots hätte ich daher viele von deiner Fritzbox erwartet, fast keinen einzigen von deiner DS.

 

[Fusion]

Wie @tokon sagte sollten man erst mal schauen, ob du DS Lite hast.
Erste Anlaufstelle wäre die Fritzbox direkt in der Übersicht, oder Internet > Zugang, irgendeiner von den obersten Einträgen im Menü.
Da schauen ob irgendwo ein AFTR-Gateway erwähnt wird.

Alternativ mal ein IP check aufrufen wie "wieistmeineip.de" oder andere und die angezeigte IPv4 mit der WAN / öffentlichen IPv4 deiner Fritzbox zu vergleichen. Nur wenn die identisch sind bist du direkt von außen erreichbar, andernfalls nicht bzw. nur via IPv6.

 

[CK11]

Vielen Dank für Eure Antworten und Hilfestellungen.

Ich hab jetzt erstmal in der Fritzbox nachgesehen und da steht leider "FRITZ!Box verwendet einen DS-Lite-Tunnel" sowie einen AFTR-Gateway.
Daraufhin habe ich mich mit der Vodafone in Verbindung gesetzt, welche mir eine kostenfreie IPv4-Adresse buchen werden.

Sobald diese aktiv ist, würde ich mich dann weiter ans Werk machen.
Ich hoffe, ich steige dann durch die aufgezeigten Schritte durch, werde mich aber höchstwahrscheinlich melden.

An dieser Stelle nochmal ein Sorry für das "Doof anstellen".

Viele Grüße
Christoph

 

[CK11]

Nachdem Vodafone nun die IPv4-Adresse gebucht hat, geht die wilde Fahrt weiter.

Auf Strato habe ich nun nur die Subdomain (sub.example.com) für DynDNS aktiviert. Als A-Record ist zudem die IPv4, von Vodafone zugeweiesen,
gesetzt.
Ist dies alles so korrekt auf Strato oder kann/muss man da noch etwas besser machen?

In der Fritzbox habe ich jetzt im Bereich "Freigaben > bei DynDNS" Strato ausgewählt und als Domainname meine Subdomain (sub.example.com) mit dem Benutzernamen (example.com) und dem auf Strato gesetzten DynDNS-Passwort gesetzt. Passt das so?

Die Portfreigabe selbst habe ich nun entschlackt und nur für IPv4 extern vergeben. Sieht hier alles gut aus?
Da mehrere Clients Zugriff erhalten sollen, käme VPN wohl bei mir nicht in Frage, oder?

Benötige ich Freigabe mittels IPv6?
Selbstständige Portfreigaben erlauben?

Nun zur DS:
Externer Zugriff > DDNS: komplett herausgenommen. Alles unter Externer Zugriff (Routerkonfiguration, Erweitert bspw.) sieht jungfräulich aus. Ok so?

Muss im Bereich Netzwerk > Netzwerkschnittstelle etwas abgeändert werden?
Unter IPv4 ist "Netzwerkkonfiguration automatisch erhalten (DHCP)" ausgewählt. IPv6 ist aus. Sowohl bei IPv4 und IPv6 ist "Als Standard-Gateway festlegen" angehakt.

Im Bereich Sicherheit habe ich für die Subdomain nun ein Zertifikat von R3 hinzugefügt und als Systemstandard markiert.
Passt das so?

Wenn ich nun "sub.example.com" in den Browser eintippe, löst er zu "https://sub.example.com:5001" auf und lässt mich einloggen.
Die Verbindung ist sicher. Ist das mit 5001 normal? Und alles so korrekt?


Problem: Das ist jetzt alles nur von Intern / aus dem Heimnetzwerk erreichbar.
Wäre hier für Eure Unterstützung dankbar, sowie um Euer Feedback, ob ich an den Einstellungen etwas ändern sollte.

Beste Grüße
Christoph

 

[Benares]

Auf Strato habe ich nun nur die Subdomain (sub.example.com) für DynDNS aktiviert.

Warum aktualisierst nicht die Haupt-Domain example.com und verwendest für die Sub-Domains nur CNAMEs (Aliase). Die gehen dann automatisch mit.

Selbstständige Portfreigaben erlauben?

Niemals. Siehe oben.

Nun zur DS:
Externer Zugriff > DDNS: komplett herausgenommen. Alles unter Externer Zugriff (Routerkonfiguration, Erweitert bspw.) sieht jungfräulich aus. Ok so?

Ja

Im Bereich Sicherheit habe ich für die Subdomain nun ein Zertifikat von R3 hinzugefügt und als Systemstandard markiert.
Passt das so?

Normalerweise macht man ein Zertifikat für die Haupt-Domain, mit allen Sub-Domains als "Alternate Names". Alternate Names sind die Namen, für die das Zertifikat auch gelten soll, zusätzlich.

Wenn ich nun "sub.example.com" in den Browser eintippe, löst er zu "https://sub.example.com:5001" auf und lässt mich einloggen.
Die Verbindung ist sicher. Ist das mit 5001 normal? Und alles so korrekt?

Das passt. Vermutlich hast du da eine Umleitung http->https aktiv.
Ich würde allerdings nur Port 80 (http) und Port 443 (https) zur DS weiterleiten und den DSM-Zugriff intern über eine Subdomain (z.B. dsm.example.com) und Reverse Proxy realisieren. Extern sollten so wenig Ports wie möglich offen sein.

Problem: Das ist jetzt alles nur von Intern / aus dem Heimnetzwerk erreichbar.

Wieso? Die Fritzbox beherrscht Loopback, so dass du das meiste bereits von intern testen kannst. Der "Härtetest" sollte aber von extern erfolgen (z.B. beim Handy WLAN abschalten)

 

[Fusion]

Wo siehst du den Vorteil die Hauptdomain per dynDNS zu aktualisieren?
Außer man will zwingend auch example.com direkt auf der DS landen haben.
Ansonsten ist es gehopft wie gesprungen, wie rum man das macht.

Ebenso Let's Encrypt (Haupt/Sub-Alternates).
Kann man machen, aber 'normalerweise' ist das nicht, so machst du das halt.
Macht genauso viel oder wenig Sinn für jede Subdomain ein eigenes Zertifikat zu nehmen (dann kann man zumindest nicht mehr aus einem Zertifikat herauslesen welche Domains es noch so alle gibt auf dem System).
Auf der anderen Seite kann man sie auch die certificate transparency Logs durchsehen, wenn man wissen will wer so alles für was Zertifikate ausstellt.

Die Umleitung 80/443 auf 5000/5001 ist im Werkszustand automatisch gesetzt.
Die verschwindet nur, wenn man die Webstation installiert.
Falls man den DSM unbedingt haben muss via Reverse Proxy 443 > 5001, oder für den DSM die benutzerdefinierte Domain setzen unter Systemsteuerung > Anmeldeportal, dann lauscht er auch auf 80/443.

Vpn kommt in Frage mindestens so lange es praktikabel ist. Hängt also davon ab wer/was diese verschiedenen Clients sind. Nur weil es mehr als einer ist ist es kein Grund.

 

[CK11]

Danke für das schnelle Feedback.

Warum aktualisierst nicht die Haupt-Domain example.com und verwendest für die Sub-Domains nur CNAMEs (Aliase). Die gehen dann automatisch mit.

Wenn ich die Hauptdomain für DynDNS aktiviere, dann geht es bei Aufruf der Hauptdomain doch direkt auf die NAS-Anmeldemaske, oder?
Wenn ja, dann möchte ich das nicht. Irgendwann soll mal Content auf die Hauptdomain.
Ist es aktuell bei mir grob falsch oder kann man das so realisieren?

Normalerweise macht man ein Zertifikat für die Haupt-Domain, mit allen Sub-Domains als "Alternate Names". Alternate Names sind die Namen, für die das Zertifikat auch gelten soll, zusätzlich.

Seitens Strato wird die Hauptdomain mit einem Basic-SSL versorgt. Geht scheinbar nicht auf Sub-Domains.
Aber wenn eine Ausstellung seitens DS möglich ist, würde mich das jetzt nicht stören. Auch hier die Frage: Grob falsch oder kann man das so realisieren?

Das passt. Vermutlich hast du da eine Umleitung http->https aktiv.
Ich würde allerdings nur Port 80 (http) und Port 443 (https) zur DS weiterleiten und den DSM-Zugriff intern über eine Subdomain (z.B. dsm.example.com) und Reverse Proxy realisieren. Extern sollten so wenig Ports wie möglich offen sein.

Richtig, unter System > Anmeldeportal ist der Haken bei HTTP zu HTTPS-Weiterleitung drin.

Wenn ich Port 5000-5001 rausschmeiße, löst der Browser nicht mehr auf, wenn ich "sub.example.com" eintippe.
Die Subdomain dsm.example.com kann ich einrichten. Analog zu sub.example.com? Was muss ich noch weiter einstellen?
Wäre dir dankbar, wenn du die Realisierung mittels Reverse Proxy aufzeigen könntest. Da steige ich leider aus...

Wieso? Die Fritzbox beherrscht Loopback, so dass du das meiste bereits von intern testen kannst. Der "Härtetest" sollte aber von extern erfolgen (z.B. beim Handy WLAN abschalten)

Gerade am Laptop getestet, wenn er nicht im Heimnetzwerk hängt. Das funktioniert. Kommando zurück.

Besten Dank,
Grüße
Christoph

 

[CK11]

Wenn ich das richtig deute, sind die ersten drei Absätze aus deinem Kommentar, Fusion, eher an Benares gerichtet.
Ist das bei mir - wie aktuell nach #10 so eingestellt - so in Ordnung und sicher?

Besten Dank,
Grüße
Christoph

 

[Fusion]

So gesehen sind die ersten beiden eher an Benares und die letzten beiden eher für dich.
Aber lesen darf jeder.

Einstellungen sehe zumindest keine falschen.
Sicher ist ein Gerät nur wenn du es ausschaltet, wenn man das mal so leicht überspitzen darf.

5000/5001 zu machen.
Eher über 443 oder halt nur per VPN.

Dann kannst überlegen, ob du example.com den Inhalt später bei Strato ablegen willst, dann müsste außer VPN gar nichts offen sein, und der content ist auch erreichbar wenn die DS oder dein Anschluss offline ist.

 

[CK11]

Danke, gut, dann nehm ich auch den dritten Absatz

Einstellungen sehe zumindest keine falschen.
Sicher ist ein Gerät nur wenn du es ausschaltet, wenn man das mal so leicht überspitzen darf.

Perfekt, und darfst du natürlich

5000/5001 zu machen.
Eher über 443

5000 und 5001 habe ich jetzt zugemacht, sodass nur Ports 80 und 443 offen sind.
Nur wird dann nicht mehr zur NAS connected. Was muss ich konfigurieren, damit er sich 80 oder 443 zieht?
Wenn ich "sub.example.com" eintippe, wandert "https://sub.example.com:5001" in die Adresszeile, Browser zeigt jedoch den Fehler "Netzwerk-Zeitüberschreitung".

oder halt nur per VPN.

VPN kann ich mir (zusätzlich) vorstellen. Habe da aber überhaupt keinen Schimmer, was ich da - in der Fritzbox womöglich - zu konfigurieren habe.

Falls man den DSM unbedingt haben muss via Reverse Proxy 443 > 5001, oder für den DSM die benutzerdefinierte Domain setzen unter Systemsteuerung > Anmeldeportal, dann lauscht er auch auf 80/443.

Wo stelle ich das mit dem Reverse Proxy ein?


Wäre Dir dankbar, wenn du mir bei beiden Realisierungen mit Rat und Expertise helfen könntest.

Beste Grüße und einen schönen Abend,
Christoph

 

[Fusion]

2 Sekunden Suche im Netz. Modell ist meist egal, geht immer gleich.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3448_VPN-mit-FRITZ/

Entweder sub.example.com unter Systemsteuerung > Anmeldeportal eintragen. Fertig.
Oder Systemsteuerung > Anmeldeportal > Reverse Proxy
Ein Proxy anlegen mit Hostname sub.example.com lauschen auf Port 443 und Ziel auf localhost und Port 5001.

 

[Benares]

@Fusion hat in #12 natürlich Recht. Kann man so machen, muss man aber nicht. Aber ich halte es halt so.
So habe ich ein DDNS-Update, dass ich Auge behalten muss, und ein LE-Zertifikat für alles. Der Nachteil eines einzigen Zertifikats ist natürlich, dass jeder sieht, welche Alternate Names es sonst noch so gibt. Inzwischen habe ich ein Wildcard-Zertifikat für meine Domain, den Weg wollte ich aber hier (noch) nicht diskutieren.

@CK11
Wenn man schon keine VPN benutzt oder benutzen kann, sollte es wenigstens das Ziel sein, mit sowenig Portweiterleitung wie möglich auszukommen, also möglichst alles auf die beide Standardports 80 (http) und 433 (https) zu reduzieren. Alle anderen Dienste kann man dann über den Reverse Proxy auf der DS namesbasiert weiterverteilen.

Mal ein Beispiel:
Ich habe example.com (auch bei Strato) und die CNAMEs www, file, photo, audio, drive, ds415, ds212, nextcloud und noch einige andere. In der Fritzbox wird nur Port 80 und 443 zu DS415 weitergeleitet. Für example.com und *.example.com gibt es ein Zertifikat von LE.
Die Konfiguration des Reverse Proxies für die Standard-Apps ist schnell erledigt. Man muss nur z.B. audio.example.com als Domain bei der Audiostation, file.example.com der der Filestation usw. im Anmeldeportal eintragen.
Für alle anderen Apps legt man dann im Anmeldeportal unter Erweitert, Reverse Proxy, Einträge an und rangiert das entsprechend, z.B.
ds415.example.com:443 -> localhost:5001 (DSM auf DS415)
ds212.example.com:443 -> ds212:5001 (DSM auf DS212)
nextcloud.example.com:443 -> localhost:8080 (Nextcloud als Docker-Container auf DS415:8080)
usw.
und ordnet diesen dann unter Systemsteuerung, Sicherheit, Zertifikat, Einstellungen das oder die passenden LE-Zertifikat(e) zu. So kann man alle möglichen (Web-)Ziele allein über Port 443 zugänglich machen, auch welche, die nicht auf der DS liegen (s. Bsp. mit DSM auf der DS212)

 

[CK11]

Danke Euch, ich bräuchte aber noch mal ne Schulung
Ich hab gerade ein Verständnisproblem

Ich möchte meine NAS von extern über nas.example.com erreichen.
Ist das gleichzusetzen wie Eurerseits mit dsm.example.com angeraten? Also quasi die Anmeldemaske? Das irritiert mich, sorry.

Dann schwanke ich weiter für welchen Ansatz ich mich entscheiden soll (Fusion oder Benares).

Fusion-Weg: Hauptdomain DynDNS deaktiviert. Subdomains DynDNS aktivieren. Richtig?
=> Frage @Fusion : Welche Records muss ich der Hauptdomain (example.com) und welche den Subdomains (sub1.example.com / sub2.example.com /etc.) mitgeben?

Benares-Weg: Hauptdomain DynDNS aktivieren. Subdomains DynDNS deaktiviert. Richtig?
=> Frage @Benares : Welche Records muss ich der Hauptdomain (example.com) und welche den Subdomains (sub1.example.com / sub2.example.com /etc.) mitgeben?

Das jetzt hier bei mir der Knackpunkt.

Ich danke Euch und hoffe mit meinen Kenntnissen irgendwann auch mal solchen wie mir helfen zu können

Beste Grüße
Christoph

 

[Benares]

Beim "Fusion-Weg" müsstest du halt jede Subdomain getrennt per DDNS aktualisieren, beim "Benares-Weg" nur eine.
CNAMEs sind bei Strato eine Abart der Subdomains ohne weitere Einstellungen, eben nur Aliase für example.com ohne weitere Einstellungen.
Die Anzahl der Subdomains ist bei Strato m.W. auch auf 10 begrenzt, die der CNAMEs nicht.