Portforwarding für lokale Dienste?

CptGambit

Benutzer
Mitglied seit
25. Nov 2013
Beiträge
389
Punkte für Reaktionen
3
Punkte
24
Mal ne recht einfache Frage.
Wenn ich innerhalb meines Netz auf Dienste meiner Synology zugreifen will und dabei aber gern meinen xxx.synology.me Namen nehmen möchte. Muss ich den Port dann auf der Fritzbox als Portweiterleitung freigeben?

Klingt irgendwie irre.

Aber ich hab einfach mal versucht per dyndns Namen das Synology Drive von meinem Rechner aus anzusprechen, das hat nicht funktionert. Mach ich nen Ping auf den dyndns Namen wird der mit der Internet IP aufgelöst. Geb ich dann den Syno rive Port (6690) in der Fritzbox frei, Funktioniert es.

Das klingt für mich so, als ob ich für jeden Dienst, den ich eigentlich nur innerhalb meines lokalen Netz nutzen möchte, für den ich aber dennoch den dyndns Namen verwenden will einen weiteren Port an meiner FB öffnen muss.

Ist das richtig?
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Es kommt drauf an.

Wenn es raus geht, zum DDNS-Provider und dann zurück ... ja, dann brauchst du das, da es sonst nicht mehr rein kommt.
(du gehst aus dem Haus und vergisst den Schlüssel mitzunehmen. Im Postamt sagt man dir, dass das Paket bereits bei dir daheim ist und du gehst zurück, kommst aber nicht mehr rein)

Wenn DDNS zur ZielIP weiterleitet (nicht intern die Daten durchreicht)
und wenn der Router erkennt, dass diese IP er selbst ist, dann könnte er es wiederum an die interne IP weiterreichen und da du dann nicht von außen kommst, bräuchtest du es nicht mehr.

Intelligent wäre es aber, wenn die Synology-Programme selber erkennen, dass NAS und Client bereits im selben netzt hängen und es dann die interne IP, statt der DDNS nutzt.
 
Zuletzt bearbeitet:

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Intelligent wäre es aber, wenn die Synology-Programme selber erkennen, dass NAS und Client bereits im selben netzt hängen und es dann die interne IP, statt der DDNS nutzt.

Das Ganze passiert aber auf einer anderen Ebene. Das erste Request an die Anwendung muss erstmal ankommen, da spielen erstmal Router / Switch / DNS eine Rolle. Der Router muss jedenfalls NAT-Loopback unterstützen. Ansonsten gäbe es natürlich noch zwei Optionen: internen DNS-Server betreiben, wo anstelle des der NAT-IP die interne IP zum DynDNS verknüpft wird oder man biegt die hosts-Datei um, wenn es nur einen Client betrifft.
 

CptGambit

Benutzer
Mitglied seit
25. Nov 2013
Beiträge
389
Punkte für Reaktionen
3
Punkte
24
Wie löst denn der gemeine Synology Nutzer sowas? Oder ist Akzeptanz das Mittel der Wahl?

Ich weiss auch nicht ob das schon immer so war. Ist das nicht eigentlich die Aufgabe von NAT-Loopback? Sollte die Fritzbox 7590 eigentlich können.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Der gemeine Synology User hat ohnehin einen Port geöffnet und lässt so etwas dann über den Reverse Proxy laufen.
 

CptGambit

Benutzer
Mitglied seit
25. Nov 2013
Beiträge
389
Punkte für Reaktionen
3
Punkte
24
Naja Ports hab ich an der Fritzbox auch offen. Allen voran natürlich 80, 443 und noch 1-2 andere Dienste.

Aber so wie ich das verstehe müsste ich ja jetzt z.B. für Synology Drive noch den 6690er nach aussen öffnen damit ich intern meine dyndns Adresse benutzen kann. Das gleiche für Grafana, für Homebridge etc .. Jedesmal, wenn ich einen Dienst mit meiner dyndns Adresse ansprechen will muss ich dann einen weiteren Port an der Fritzbox öffnen.
Richtig?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.770
Punkte für Reaktionen
3.740
Punkte
468
Du kannst alles auch über Port 443 schleusen und dahinter über den Reverse Proxy verteilen. Du brauchst aber einen DDNS-Provider, der auch CNAMEs (Aliase) zulässt. Das eigentliche Ziel wird dann über den verwendeten Namen geregelt (www.example.com, drive.example.com, ...). Auch dein Zertifikat muss für alle diese Namen gelten.
 
  • Like
Reaktionen: stulpinger

CptGambit

Benutzer
Mitglied seit
25. Nov 2013
Beiträge
389
Punkte für Reaktionen
3
Punkte
24
Ok, hier begeb ich mich jetzt auf komplett neues Terrain. Weisst du ob all das auf den von Synology betriebenen DDNS Service (xxx.synology.me) zutrifft? Als Zertifikat hab ich mir ein Lets Encrypt Zert geholt.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.770
Punkte für Reaktionen
3.740
Punkte
468
Bei Synology gehen zumindest Wildcard-Zertifikate. Ob auch CNAMEs gehen, weiß ich nicht.

1645003961531.png

Edit:
Grad mal probiert, auch Wildcard-Hosts gehen, also z.B. drive.example.synology.me wird auch auf die externe IP aufgelöst, genauso wie example.synology.me. Es geht also sogar ohne händisch definierte CNAMEs.
Erstell also einfach mal ein neues Zertifikat für example.synology.me mit *.example.synology.me als "Betreff Alternativer Name". Dann trag z.B. drive.example.synology.me im Anmeldeportal bei Drive als "Domain" ein (bei den Standard-Anwendung ist das bereits der Reverse Proxy, ansonsten musst du das unter Erweitert, Reverse Proxy anlegen). Da greife über https://drive.example.synology.me zu. Das sollte klappen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: CptGambit

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
618
Punkte
134
falls Pihole läuft, ein Eintag in Local DNS Records und dann kannst du alle Dienste intern über deine Dyndns aufrufen, oder wie schon gesagt ein Eintarg in die hosts datei, muss aber dann in jedem Client erfolgen, geht meines wissens aber nicht bei Android ohne root
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Nee, ich meinte, das die Synology-Apps ja wissen, womit sie reden wollen-
Und könnten sich bei der Einrichtugn merken, womit sie reden wollen und denjenigen Fragen in welchem Netz er ist und dann bei Verbindung erst lokal schauen, bevor sie extern über DDNS die Verbindung aufbauen.

find.synology.com macht sowas z.B.
QuickConnect gibt regelmäßig seine interne IP an Synology weiter
und Find connected dann beim Suchen jene IP, sowie ein/zwei StandardIPs und macht dann eventuell noch einen Broadcast im lokalen Netz. (Letzteres macht aber Einer der Beiden nicht ... die FindApp oder die Webseite)
 

CptGambit

Benutzer
Mitglied seit
25. Nov 2013
Beiträge
389
Punkte für Reaktionen
3
Punkte
24
Danke für die vielen Antworten.

@Benares wow, danke für die Mühe. Ich hab mich in den letzten Minuten aber grad mal mit DNS beschäftigt und mir einen lokalen DNS Server aufgesetzt und dann den Namen intern auf die lokale IP gesetzt.
Das hier --> https://blueb.de/synology-eigener-dns-server-und-fitzbox/ hat mir dabei sehr geholfen.

@Rotbart Nein, hab kein PiHole am Laufen und lokale Hosts Datei benutzen funktioniert nur so lange gut bis man auf iOS Geräte stößt.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Wenn man einen guten Router hat kann man das dort schon abfangen. Da wird einfach Domainname und IP miteinander bekannt gemacht und der gesamte Verkehr bleibt im LAN.
Blöd nur, dass diese Funktion überall einen anderen Namen hat.
 

CptGambit

Benutzer
Mitglied seit
25. Nov 2013
Beiträge
389
Punkte für Reaktionen
3
Punkte
24
Wenn du mir sagst wo ich das in der Fritzbox 7590 finde, küss ich deine Augen :)
 
Zuletzt bearbeitet von einem Moderator:

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
618
Punkte
134
Heimnetz > Netzwerk > Netzwerkeinstellung >DNS-Rebindschutz Domain eintragen, ist zwar nicht ganz was du suchst sollte aber funktionieren, andere möglichkeit hat die Fritzbox da nicht
 

CptGambit

Benutzer
Mitglied seit
25. Nov 2013
Beiträge
389
Punkte für Reaktionen
3
Punkte
24
Das hatte ich schon als erstes ausprobiert. Das hat nicht funktioniert. Bei nem "nslookup xxx.synology.me" kam ich immer auf der WAN IP raus. Und damit musste ich auch immer ein Portforwarding machen.
 
Zuletzt bearbeitet von einem Moderator:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat