Quick connect: Wie funktionierts?

[mgutt]

Ich bin kein Netzwerker, aber ich kann tatsächlich lesen:
http://www.it-administrator.de/lexikon/udp_hole_punching.html

Die Kommunikation der beiden Clients untereinander läuft dann jeweils über den Server, der die Pakete mit seiner Adresse als Absender weiterleitet.

und weiter:

Die Verbindungen durch den Firewall können sogar per SSL verschlüsselt werden, wenn der Vermittlungsserver als "Man in the Middle" SSL-Verbindungen mit den Clients hält.

Und dass der dem Absender und Empfänger irgendein Zertifikat unterjubeln kann ist ja schließlich auch bekannt:
http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

War mir klar, dass das Wort NSA zu sensiblen Ausbrüchen führt. Das ist so eine typische Abwehrreaktion für "interessiert mich nicht, denn ich hab nichts zu verbergen". Wenn dann aber von Deinen Eltern plötzlich Geld vom Konto / der Kreditkarte verschwindet, weil die eben nicht so die Fachleute sind, dann juckt es evtl. doch. Immer wieder werden bei vielen großen Unternehmen Daten geklaut (Sony, Deutsche Telekom, eBay, um nur ein paar zu nennen). Ja ich weiß, interessiert Euch auch nicht.

Aber ich frage Euch: Warum sollte das auch nicht bei Synology passieren? Und ich finde es nun mal nicht so prickelnd, wenn meine privaten Fotos, Videos, Dokumente und sonstige Dinge, die ich z.B. eingescannt habe, evtl. durch einen Fremden eingesehen und kopiert werden könnten. Natürlich können die Gefahren auch ganz woanders liegen. z.B. im Router oder im PC, aber ich spreche jetzt eben nur über dieses einen Service, wo man als Verbraucher leicht Einfluss auf den Weg der Daten nehmen kann.

Den Netzwerk-Sniffer spare ich mir, weil das schon andere gemacht haben,die mehr Ahnung davon haben, dann Fragen gestellt haben, die aber leider unbeantwortet blieben:
http://forum.synology.com/enu/viewtopic.php?f=145&t=72250
http://forum.synology.com/enu/viewtopic.php?f=145&t=70447
http://forum.synology.com/enu/viewtopic.php?f=145&t=62952

Dort wird auch nur viel gemutmaßt. Da mische ich mich nicht noch mit meiner Unwissenheit ein. Das einzige was ich weiß, dass so richtig keiner was weiß und schlussendlich die Daten über einen Server laufen, der nicht von mir überwacht werden kann. Ihr stellt es aber so dar als sei es völlig klar, dass die Privatsphäre nicht gefährdet sei.

Gerne kannst Du auf die fachlichen Fehler eingehen. Ich lerne gerne dazu. Aber diese "Du hast Unrecht, ich weiß es besser, sags Dir aber nicht"-Mentalität finde ich wenig zielführend. Wenn also die Privatsphäre nicht gefährdet ist, dann erklärt bitte warum.

 

[guennie]

Hallo miteinand,

ich hab meine DS214+ niegelnagelneu mit dem Assistenten hochgefahren und will nun damit arbeiten. Ich hab mich durch das Manual durchgearbeitet bis zum QuickConnect. Jetzt komme ich nicht weiter. Bevor ihr euren Streit der ersten drei Seiten weiterführt, könnt ihr mir jetzt ja mal helfen. Ich hab mir die DS hauptsächlich dazu gekauft, mir meine eigene Cloud Station aufzubauen. Die wollte ich aus meinem Heimnetz - und vorläufig nur von dort - mit QuickConnect ansteuern. Also versuchte ich zuerst QC einzurichten, aber QC liefert mir keine QC-ID, nur zwei Minuszeichen, obwohl ich oben Cloud Station ausgewählt habe. Es schein mir, dass noch irgendeine Voraussetzung fehlt, über die ich noch nicht gestolpert bin.

Gruß

 

[goetz]

Hallo,
hast Du bereits DDNS via Synology eingerichtet?

Gruß Götz

 

[guennie]

Nein, ich wusste nicht, dass das nur mit DDNS geht. Ich will doch (erst einmal) nur aus dem LAN auf die DS zugreifen und Dateien in die eigene Cloud sichern. Was empfiehlst du mir, einen Namen von Synology oder von Dyndns? Mein Router hat schon einen von Dyndns.org. Aber nach meinen Informationen ist ein zweiter Name nicht mehr kostenlos.

 

[goetz]

Hallo,
für den reinen internen Gebrauch benötigst Du QuickConnect nicht, da reicht die Angabe der internen IP.

Gruß Götz

 

[guennie]

Ich hab jetzt mal beides ausprobiert. Irgendwo hab ich noch einen Gedankenfehler.
Ich hab also CloudStation aktiviert und mir eine QuickConnect ID geholt. Dann hab ich im Windows 7 Pro im Cloud Staion Client als Serveradresse die feste interne IP in der Form http://192.168.178.11:5000 (einmal auch ohne :5000) eingegeben, als Benutzername einmal admin mit entspr. Passwort und einmal mein eigenes Benutzerkonto mit entspr. Passwort. Jedes Mal erscheint die Nachricht "Verbindung fehlgeschlagen. Prüfen Sie die Einstellungen ...". Dasselbe passiert, wenn ich statt der IP die QC ID verwende.

 

[mgutt]

Mit "Wie funktionierts" ist keine Schritt-für-Schritt Anleitung gemeint, sondern die Technik dahinter. Soll heißen, Du hättest auch ruhig Deinen eigenen Thread aufmachen können.

Ansonsten mal das Tutorial abarbeiten:
http://www.synology.com/de-de/support/tutorials/529

Oder das Video:
http://www.youtube.com/watch?v=PNL3PJSTSFE

Ich denke mal, dass Du die Cloudstation nicht aktiviert hast bzw. keine passenden Rechte hinterlegt hast bzw. grundsätzlich keine Verbindung zur CloudStation über die IP möglich ist. Kommst Du im Browser über den Port :5000 auf die Weboberfläche?

Die Cloudstation Software braucht keine Port-Angabe. Die wählt automatisch den Port 6690.

 

[guennie]

Danke, hat jetzt funktioniert. Der Hinweis auf die Tutorials war genau das, was ich brauchte, hatte sie noch nicht gefunden. Das Benutzerhandbuch, obwohl 117 Seiten, gibt zwar einen Überblick über die Funktionen, bleibt aber dabei zu oberflächlich für Anfänger. Sie brauchen tatsächlich "how to"-Anleitungen.

 

[sebsasse]

Die Daten laufen über die Synology Server!

Ich wärme das Thema noch mal auf, weil Synology mittlerweile Klarheit geschaffen hat.

Aus diesem Blogeintrag http://blog.synology.com/blog/?p=2283 geht unmissverständlich hervor, dass ALLE Daten über die Synology-Server laufen, wenn man sich außerhalb seines Heimnetzes befindet und kein Portforwarding nutzt. Die Server stehen in den USA und UK. Alle Daten werden also von Dtl. (oder wo immer) über USA/UK zurück nach Dtl. geroutet...
Zu den SSL Ende zu Ende Verschlüsselungsfragen bleibt der Synology Mitarbeiter dann leider auch auf Nachfrage sehr schwammig.

Ich will die Diskussion über MITM Attacken nicht aufwärmen, da darf sich jeder sein eigenes Bild machen.
Als Denkanstoß nur so viel: Hardware, Software, die beteiligten Zertifikate und die Server über die Daten laufen, stammen von Synology. Ohne als Verschwörungstheoretiker auch noch den Serverstandort in die Rechnung einzubeziehen, muss man Synology in jedem Fall sehr viel vertrauen um diesen Service zu nutzen...

Interessant ist an Quickconnect m.M.n. einzig die Möglichkeit, das in Verbindung mit Portforwarding zu nutzen, um nicht zwischen Heimnetz und externer Verbindung unterscheiden zu müssen.

Man muss Synology zugute halten, dass sie endlich ohne Umschweife erklären, wie es läuft und was passiert. Damit ist die teilweise vertretene Einschätzung, dass Quickconnect nur Löcher reißt und die Verbindung sonst direkt stattfindet wohl endgültig aus der Welt.

 

[Philotech]

@sebsasse:
Ganz richtig. Der Typ, der da nachgefragt hat, war ich
Das beste aus beiden Welten hat man also, wenn man QuickConnect und Portfreigabe verwendet. Dann stellt nämlich QC nur die Verbindung her (wie jeder normale DynDNS-Service auch), und die Daten fließen nicht bei Synology durch. Ohne QC hat man ja das Problem, dass man für alle Apps zwei Logins benötigt, einmal mit lokaler IP für vollen Speed im Intranet, und einmal mit der DynDNS-Adresse von extern. Nur die Video-App geht nicht mit QuickConnect, vermutlich weil (ohne Portfreigabe) dann von extern ja alle Videodaten durch Synology durchgeroutet werden müssten, und das Datenvolumen vollen die sich nicht antun.
Auch bei SSL bleibe ich bei meiner im Blog dargestellten Annahme, dass SSL jeweils nur die Verbindung zum Server schützt. Bleibt (wie bei QC ohne Portfreigabe) Synology als Middle Man erforderlich, laufen die Daten auf dem dortigen Server unverschlüsselt durch, da sie eingehend entschlüsselt werden und ausgehend wieder verschlüsselt werden (dh dasselbe Problem wie DE-Mail).

 

[mgutt]

Ohne QC hat man ja das Problem, dass man für alle Apps zwei Logins benötigt, einmal mit lokaler IP für vollen Speed im Intranet, und einmal mit der DynDNS-Adresse von extern.

Das ist falsch. Du hast vier Optionen neben QuickConnect:

A) Der Router unterstützt NAT Loopback und erkennt, dass die IP einer DDNS Adresse auf ein lokales Ziel verweist und leitet den Traffic auf die lokale IP um. Hier hatte ich mit den Fritz!Boxen 7390 und 7490 extreme Probleme. Gerade mal 4 MB/s waren dabei möglich.

B) Du nutzt IPv6. Dann gibt es nur eine IP, die öffentlich und lokal funktioniert. Allerdings müssen DDNS und die Apps IPv6 unterstützen. Leider unterstützt die DS Cloud App kein IPv6. Also fiel auch diese Option flach.

C) Einen Router nutzen, der benutzerdefinierte DNS Einträge unterstützt. D.h. dieser antwortet bei der DDNS Domain mit der lokalen IP, während man unterwegs wie gehabt die öffentliche zugewiesen bekommt. Leider kann das keine Fritz!Box.

D) Man aktiviert den DNS Server vom Synology NAS und hinterlegt diesen im Router. Auf dem kann man dann das machen was in C) beschrieben ist. Diese Option nutze ich.

So komfortabel wie QuickConnect ist das natürlich nicht, aber zumindest bleibt der Traffic in Deutschland.

 

[magix99]

Sorry

 

[mgutt]

Kann mal jemand den Titel ändern. Sorry magix99, aber es geht hier um die Schnittstellen Beschreibung und nicht um allgemeine Fragen.

 

[haferkorn]

Hallo,

ich habe eine Frage zu Deinem u.g. Vorgehen:

[...]
C) Einen Router nutzen, der benutzerdefinierte DNS Einträge unterstützt. D.h. dieser antwortet bei der DDNS Domain mit der lokalen IP, während man unterwegs wie gehabt die öffentliche zugewiesen bekommt. Leider kann das keine Fritz!Box.

D) Man aktiviert den DNS Server vom Synology NAS und hinterlegt diesen im Router. Auf dem kann man dann das machen was in C) beschrieben ist. Diese Option nutze ich.

So komfortabel wie QuickConnect ist das natürlich nicht, aber zumindest bleibt der Traffic in Deutschland.

Kannst Du das etwas detaillierter erläutern? Mir ist z.B. unklar, wie das Hinterlegen des auf dem Synology NAS aktivierten DNSS auf dem Router (hier eine Fritzbox 7170) vonstatten geht und wie Punkt C auf dem DNSS realisiert wird.

Ganz herzlichen Dank für Deine Hilfe!

 

[mgutt]

DNS und DDNS. DNSS gibt es nicht

Das DDNS, also die feste Domain mit der dynamischen IP, bleibt wie gehabt. Sie wird entweder durch die Fritz!Box oder das NAS aktuell gehalten. D.h. nas.example.org hat die öffentliche IP 66.77.88.99. Ist man unterwegs, dann gehen die Daten zu dieser IP, also zum Router nach Hause und der leitet sie dank Portfreigabe weiter ans NAS.

Ist man allerdings zu Hause und sendet Daten auf diese DDNS Domain, dann würden die Daten vermutlich noch nach draußen gehen, aber die Antwort vom NAS kommt nicht mehr an, denn der PC erwartet ja eine Antwort von der öffentlichen IP an die er die Daten gesendet hat.

Damit das trotzdem geht, muss der Router NAT Loopback fähig sein. D.h. er stellt sich zwischen PC und NAS und leitet die Daten hin und her. Das kann aber Deine 7170, so viel ich weiß nicht. Allerdings ist das zu verschmerzen, denn wie gesagt sind die 7390 und die 7490 beide damit völlig überlastet.

Für alle Router ist es daher die Lösung, wenn der DNS Server nicht mit 66.77.88.99, sondern mit der lokalen 192.168.2.2 vom NAS antwortet.

Damit genau das funktioniert, muss aber im Heimnetzwerk ein anderer DNS Server im Spiel sein, als wenn man unterwegs ist (unterwegs bringt einem die 192.168.2.2. ja bekanntlich nichts). Und da die Fritz!Box dummerweise keine manuellen DNS Einträge erlaubt, muss man eben auf den DNS Server vom Synology NAS ausweichen. Also dort aktivieren, Einträge hinzufügen, Fallback auf die öffentliche IP für alle anderen Domains und dann die IP vom NAS als DNS Server in der Fritz!Box eintragen. Und schon antwortet die Fritz!Box mit der lokalen IP und unterwegs antworten die anderen DNS Server mit der öffentlichen IP.

Übrigens muss man in der Fritz!Box das Auflösung von Domains auf lokale IPs explizit erlauben. Schau also ob das passende Menü in Deiner Box existiert:
http://service.avm.de/support/de/SK...ufloesung-privater-IP-Adressen-nicht-moeglich

 

[Eisblume]

Hallo,

vielleicht kann mir jemand helfen. Quickconnect habe ich erfolgreich eingereichtet und kann den DSFinder auch wunderbar remote mittels Quickconnect-Adresse aufrufen.

Ich kann aber nicht die SurveillanceStation per Quickconnect-ID von remote aufrufen. Im Heimnetz funktioniert es.

Muss ich da in meinem Router noch einen Port freigeben??

 

[haferkorn]

Und da die Fritz!Box dummerweise keine manuellen DNS Einträge erlaubt, muss man eben auf den DNS Server vom Synology NAS ausweichen. Also dort aktivieren, Einträge hinzufügen, Fallback auf die öffentliche IP für alle anderen Domains und dann die IP vom NAS als DNS Server in der Fritz!Box eintragen.

DDNS ist auf meinem NAS eingerichtet, aber Du meinst wohl DNS (nicht DDNS), wenn Du schreibst, die IP vom NAS als DNS Server auf der Fritzbox einzutragen, oder? Wo trage ich die NAS-IP auf der Fritz!Box ein? Mache ich das unter Freetz, wo ich DNSmasq laufen habe? Dort gibt es eine Option "Durch AVM/Provider zugewiesene Upstream Nameserver nutzen. momentan: 192.168.180.1 und 192.168.180.2". Muss ich hier die interne NAS-IP eintragen? Im Standard AVM Fritz!Box-Menü gibt es unter Internet/Zugangsdaten keinen Menü-Punkt für DNS-Einträge.

Außerdem verstehe ich nicht, was genau Du meinst mit "Einträge hinzufügen, Fallback auf die öffentliche IP für alle anderen Domains..." Was genau meinst Du damit?

Und schließlich: Muss das NAS dann immer laufen, damit die Fritzbox über das NAS und dessen DNS überhaupt externe IPs auflösen kann? D.h., wenn ich zu Hause bin und auf das Internet zugreifen möchte, müsste das NAS ständig laufen. Oder habe ich das falsch verstanden?

Übrigens muss man in der Fritz!Box das Auflösung von Domains auf lokale IPs explizit erlauben. Schau also ob das passende Menü in Deiner Box existiert:
http://service.avm.de/support/de/SK...ufloesung-privater-IP-Adressen-nicht-moeglich

Dort steht beschrieben, wie es unter FRITZ!OS einzustellen ist, aber auf der 7170 gibt es diese FW nicht. Falls jemand weiß, ob/wie das mit einer 7170 funktioniert (habe Freetz), wäre ein Hinweis prima.

Nochmals vielen Dank für Deine/Eure Hilfe!

 

[mgutt]

Bei Freetz brauchst Du keinen externen DNS Server. Bei Freetz kannst Du das ganze mit iptables lösen:
http://www.ip-phone-forum.de/showthread.php?t=231710&p=1681443&viewfull=1#post1681443

 

[Kortenkamp]

DNS-Einträge

DNS und DDNS. DNSS gibt es nicht
Damit genau das funktioniert, muss aber im Heimnetzwerk ein anderer DNS Server im Spiel sein, als wenn man unterwegs ist (unterwegs bringt einem die 192.168.2.2. ja bekanntlich nichts). Und da die Fritz!Box dummerweise keine manuellen DNS Einträge erlaubt, muss man eben auf den DNS Server vom Synology NAS ausweichen. Also dort aktivieren, Einträge hinzufügen, Fallback auf die öffentliche IP für alle anderen Domains und dann die IP vom NAS als DNS Server in der Fritz!Box eintragen. Und schon antwortet die Fritz!Box mit der lokalen IP und unterwegs antworten die anderen DNS Server mit der öffentlichen IP.

Hallo mgutt,

was du beschreibst ist genau die Lösung, die ich schon lange für die Performance-Probleme beim loopback mit der Fritz!Box suche. Kannst du vielleicht genauer erklären, wie du den DNS server auf der Synology konfigurierst? Welche Einträge muss man hinzufügen? Ich vermute, dass man die Fritz!Box als fallback verwendet und eine master zone für die domain einrichtet, die man "umbauen" möchte, aber bevor ich einfach ausprobiere oder mich in DNS komplett einlese frage ich mal lieber nach - vielleicht ist es ja ganz einfach?!

Danke
Ulli

 

[mgutt]

Ich habe mir mal gerade die Mühe gemacht:
http://www.programmierer-forum.de/s...ten-um-nat-loopback-zu-verhindern-t328952.htm