Portforwarding für lokale Dienste?

[CptGambit]

Mal ne recht einfache Frage.
Wenn ich innerhalb meines Netz auf Dienste meiner Synology zugreifen will und dabei aber gern meinen xxx.synology.me Namen nehmen möchte. Muss ich den Port dann auf der Fritzbox als Portweiterleitung freigeben?

Klingt irgendwie irre.

Aber ich hab einfach mal versucht per dyndns Namen das Synology Drive von meinem Rechner aus anzusprechen, das hat nicht funktionert. Mach ich nen Ping auf den dyndns Namen wird der mit der Internet IP aufgelöst. Geb ich dann den Syno rive Port (6690) in der Fritzbox frei, Funktioniert es.

Das klingt für mich so, als ob ich für jeden Dienst, den ich eigentlich nur innerhalb meines lokalen Netz nutzen möchte, für den ich aber dennoch den dyndns Namen verwenden will einen weiteren Port an meiner FB öffnen muss.

Ist das richtig?

 

[himitsu]

Es kommt drauf an.

Wenn es raus geht, zum DDNS-Provider und dann zurück ... ja, dann brauchst du das, da es sonst nicht mehr rein kommt.
(du gehst aus dem Haus und vergisst den Schlüssel mitzunehmen. Im Postamt sagt man dir, dass das Paket bereits bei dir daheim ist und du gehst zurück, kommst aber nicht mehr rein)

Wenn DDNS zur ZielIP weiterleitet (nicht intern die Daten durchreicht)
und wenn der Router erkennt, dass diese IP er selbst ist, dann könnte er es wiederum an die interne IP weiterreichen und da du dann nicht von außen kommst, bräuchtest du es nicht mehr.

Intelligent wäre es aber, wenn die Synology-Programme selber erkennen, dass NAS und Client bereits im selben netzt hängen und es dann die interne IP, statt der DDNS nutzt.

 

[Ulfhednir]

Intelligent wäre es aber, wenn die Synology-Programme selber erkennen, dass NAS und Client bereits im selben netzt hängen und es dann die interne IP, statt der DDNS nutzt.

Das Ganze passiert aber auf einer anderen Ebene. Das erste Request an die Anwendung muss erstmal ankommen, da spielen erstmal Router / Switch / DNS eine Rolle. Der Router muss jedenfalls NAT-Loopback unterstützen. Ansonsten gäbe es natürlich noch zwei Optionen: internen DNS-Server betreiben, wo anstelle des der NAT-IP die interne IP zum DynDNS verknüpft wird oder man biegt die hosts-Datei um, wenn es nur einen Client betrifft.

 

[CptGambit]

Wie löst denn der gemeine Synology Nutzer sowas? Oder ist Akzeptanz das Mittel der Wahl?

Ich weiss auch nicht ob das schon immer so war. Ist das nicht eigentlich die Aufgabe von NAT-Loopback? Sollte die Fritzbox 7590 eigentlich können.

 

[Ulfhednir]

Der gemeine Synology User hat ohnehin einen Port geöffnet und lässt so etwas dann über den Reverse Proxy laufen.

 

[CptGambit]

Naja Ports hab ich an der Fritzbox auch offen. Allen voran natürlich 80, 443 und noch 1-2 andere Dienste.

Aber so wie ich das verstehe müsste ich ja jetzt z.B. für Synology Drive noch den 6690er nach aussen öffnen damit ich intern meine dyndns Adresse benutzen kann. Das gleiche für Grafana, für Homebridge etc .. Jedesmal, wenn ich einen Dienst mit meiner dyndns Adresse ansprechen will muss ich dann einen weiteren Port an der Fritzbox öffnen.
Richtig?

 

[Benares]

Du kannst alles auch über Port 443 schleusen und dahinter über den Reverse Proxy verteilen. Du brauchst aber einen DDNS-Provider, der auch CNAMEs (Aliase) zulässt. Das eigentliche Ziel wird dann über den verwendeten Namen geregelt (www.example.com, drive.example.com, ...). Auch dein Zertifikat muss für alle diese Namen gelten.

 

[CptGambit]

Ok, hier begeb ich mich jetzt auf komplett neues Terrain. Weisst du ob all das auf den von Synology betriebenen DDNS Service (xxx.synology.me) zutrifft? Als Zertifikat hab ich mir ein Lets Encrypt Zert geholt.

 

[Benares]

Bei Synology gehen zumindest Wildcard-Zertifikate. Ob auch CNAMEs gehen, weiß ich nicht.



Edit:
Grad mal probiert, auch Wildcard-Hosts gehen, also z.B. drive.example.synology.me wird auch auf die externe IP aufgelöst, genauso wie example.synology.me. Es geht also sogar ohne händisch definierte CNAMEs.
Erstell also einfach mal ein neues Zertifikat für example.synology.me mit *.example.synology.me als "Betreff Alternativer Name". Dann trag z.B. drive.example.synology.me im Anmeldeportal bei Drive als "Domain" ein (bei den Standard-Anwendung ist das bereits der Reverse Proxy, ansonsten musst du das unter Erweitert, Reverse Proxy anlegen). Da greife über https://drive.example.synology.me zu. Das sollte klappen.

 

[Rotbart]

falls Pihole läuft, ein Eintag in Local DNS Records und dann kannst du alle Dienste intern über deine Dyndns aufrufen, oder wie schon gesagt ein Eintarg in die hosts datei, muss aber dann in jedem Client erfolgen, geht meines wissens aber nicht bei Android ohne root

 

[himitsu]

Nee, ich meinte, das die Synology-Apps ja wissen, womit sie reden wollen-
Und könnten sich bei der Einrichtugn merken, womit sie reden wollen und denjenigen Fragen in welchem Netz er ist und dann bei Verbindung erst lokal schauen, bevor sie extern über DDNS die Verbindung aufbauen.

find.synology.com macht sowas z.B.
QuickConnect gibt regelmäßig seine interne IP an Synology weiter
und Find connected dann beim Suchen jene IP, sowie ein/zwei StandardIPs und macht dann eventuell noch einen Broadcast im lokalen Netz. (Letzteres macht aber Einer der Beiden nicht ... die FindApp oder die Webseite)

 

[CptGambit]

Danke für die vielen Antworten.

@Benares wow, danke für die Mühe. Ich hab mich in den letzten Minuten aber grad mal mit DNS beschäftigt und mir einen lokalen DNS Server aufgesetzt und dann den Namen intern auf die lokale IP gesetzt.
Das hier --> https://blueb.de/synology-eigener-dns-server-und-fitzbox/ hat mir dabei sehr geholfen.

@Rotbart Nein, hab kein PiHole am Laufen und lokale Hosts Datei benutzen funktioniert nur so lange gut bis man auf iOS Geräte stößt.

 

[NSFH]

Wenn man einen guten Router hat kann man das dort schon abfangen. Da wird einfach Domainname und IP miteinander bekannt gemacht und der gesamte Verkehr bleibt im LAN.
Blöd nur, dass diese Funktion überall einen anderen Namen hat.

 

[CptGambit]

Wenn du mir sagst wo ich das in der Fritzbox 7590 finde, küss ich deine Augen

 

[Rotbart]

Heimnetz > Netzwerk > Netzwerkeinstellung >DNS-Rebindschutz Domain eintragen, ist zwar nicht ganz was du suchst sollte aber funktionieren, andere möglichkeit hat die Fritzbox da nicht

 

[CptGambit]

Das hatte ich schon als erstes ausprobiert. Das hat nicht funktioniert. Bei nem "nslookup xxx.synology.me" kam ich immer auf der WAN IP raus. Und damit musste ich auch immer ein Portforwarding machen.