Über FritzBox externen Zugriff auf DS herstellen bzw. vom Smartphone mit DS Photo App Fotos übertragen

[JamieFraser]

Hallo,

habe mir jetzt schon verschiedene Sachen durchgelesen zu dem Thema, blicke aber noch nicht wirklich so richtig durch.
Also ich wollte von meinem Smartphone bzw. von Familienmitgliedern über die DS Photo bzw. File App Bilder auf die NAS übertragen.
Habe eine Fritz!Box 7530 und dachte mir ich richte MyFritz ein und bekomme dann ja diesen DynDNS. Dann habe ich über Freigaben - VPN(WireGuard) einen Zugang erstellt und mit dem Smartphone (iPhone) mit der App einen VPN eingerichtet. Das scheint zu funktionieren und wird auch in der Fritz!Box angezeigt.
Wenn ich nun mit Safari z.B. auf die DS zugreifen möchte und die intern IP eingebe kommt die Meldung "Diese Verbindung ist nicht privat" und kann da auch nix aufrufen.
Was mache ich denn falsch? Kenne mich in dem Thema net wirklich aus.

Wenn man MyFritz eingerichtet hat, kann dann auch jemand anderes über den dynDNS auf die Fritz!Box bzw. Netzwerk zugreifen?

 

[*kw*]

Dein Betrag hat mich neugierig gemacht. Ich nutze sonst eine andere App, aber habe gerade von meinem iPhone mit DS File über eine WireGuard VPN Verbindung auf meine DS (lokale IP) zugreifen können (mobile Daten, FritzBox).

Baut sich der VPN Tunnel grundsätzlich auf?

[edit]: jetzt 5 Minuten mehr Zeit

Die Reaktion über den Browser ist normal, du musst auf den Link „Weitere Details anzeigen“ klicken und gesondert bewusst den Zugriff auf die DSM Oberfläche bestätigen. Aber die reine Datenübertragung funktioniert doch mit DS File enfacher.

 

[JamieFraser]

Also laut der Fritz!Box ist der WireGuard aktiv, leuchtet grün und im iPhone wird er auch aktiv angezeigt. Braucht man dieses Zertifikat?
Er schreibt mir das "Diese Verbindung ist nicht privat". Also im Browser steht http://xxx.xxx.xxx.xx:5001

 

[ottosykora]

Wenn ich nun mit Safari z.B. auf die DS zugreifen möchte und die intern IP eingebe kommt die Meldung "Diese Verbindung ist nicht privat" und kann da auch nix aufrufen.

aber einfach so mit der lokalen IP geht es nicht, respektive es geht durchaus, aber die Browser können keinen gültigen Zertifikat finden weil es keine Zertifikate für IP gibt.
Mit der lokalen IP kannst du entweder eine Ausnahme erstellen, oder ganz einfach http statt https verwenden

 

[JamieFraser]

Ich baue doch über den VPN eine Verbindung zur Fritz!Box über die dynDSN von MyFritz auf, richtig? Und ab da kann man dann dadurch auf alle Geräte im Netzwerk doch zugreifen, so wie wenn man im lokalen Netz wäre, oder verstehe ich das falsch.
Ok, jetzt komme ich auf die DS. Habe bei Freigaben in der Fritz!Box bei Fritz!Box Dienste den Internetzugriff über https nicht aktiviert gehabt. Danach ging's. Was muss man dann in den Apps von Synology eingeben?
Und ist der Aufbau in der Fritzbox so sicher oder haben da andere Zugriff auf meine Fritz!Box?

 

[Stationary]

Und ab da kann man dann dadurch auf alle Geräte im Netzwerk doch zugreifen, so wie wenn man im lokalen Netz wäre, oder verstehe ich das falsch

Nein, da ist korrekt. Wenn das VPN korrekt aufgebaut ist, dann funktioniert das.

Was muss man dann in den Apps von Synology eingeben?

Einfach die IP der DS im Netzwerk der Fritzbox, den Benutzernamen, den Du im Heimnetz verwendest, das dazugehörige Passwort. Und den Schieber auf HTTPS schieben.

Und ist der Aufbau in der Fritzbox so sicher oder haben da andere Zugriff auf meine Fritz!Box?

Das sollte sicher sein, solange niemand anderes Deine Daten für das VPN hat.

 

[*kw*]

Ich baue doch über den VPN eine Verbindung zur Fritz!Box über die dynDSN von MyFritz auf, richtig?

Du brauchst kein dynDNS für das WireGuard VPN. Du organisierst das alles über den entsprechenden Reiter in der FB. Das ist eine sichere Ende-zu-Ende Verbindung.

 

[Stationary]

Du brauchst kein dynDNS für das WireGuard VPN

Wenn kein Myfritz verwendet wird, dann steht beim Peer die DynDNS-Adresse drin - ist bei mir zumindest so.

 

[*kw*]

@Stationary : ich habe zwar einen myfritz Account, aber in meiner FB ist die dynDNS Option nicht angehakt. Ich habe alles nur über WireGuard eingerichtet.

 

[plang.pl]

Internetzugriff über https nicht aktiviert

Das brauchst du auch nicht. Diese Einstellung sorgt dafür, dass die Fritte selbst über den DDNS im Netz erreichbar ist. Ohne besonderen Grund will man das i.d.R. nicht.
Wenn du WireGuard eingerichtet hast, verbindet sich der Client mittels VPN über das Gateway (die Fritte). Dann läuft der Datenverkehr über's Heimnetz. Das ist m.E. der sicherste Weg, von extern auf die DS zuzugreifen. Ganz ohne Portfreigaben (da würde die DS direkt im Netz hängen).

 

[Stationary]

https://avm.de/service/wissensdaten...1_WireGuard-VPN-mit-fester-IP-Adresse-nutzen/​

​

WireGuard-VPN mit fester IP-Adresse nutzen​

Die FRITZ!Box unterstützt WireGuard nur in Verbindung mit einer MyFRITZ!- oder Dynamic DNS-Adresse. Dadurch ist sichergestellt, dass WireGuard-Verbindungen sowohl aus Mobilfunknetzen hergestellt werden können, die schon von IPv4 auf IPv6 umgestellt wurden (z.B. Deutsche Telekom), als auch über WLAN-Hotspots bzw. aus Firmennetzwerken, die IPv6 noch nicht unterstützen.
MyFRITZ! oder DynDNS können Sie auch dann nutzen, wenn Sie die FRITZ!Box an einem Internetzugang mit fester ("statischer") öffentlicher IPv4-Adresse einsetzen. Die FRITZ!Box ist dann über ihre MyFRITZ!- bzw. DynDNS-Adresse sowohl unter der festen IPv4- als auch der wechselnden IPv6-Adresse erreichbar. Falls in der FRITZ!Box sowohl MyFRITZ! als auch DynDNS eingerichtet ist, verwendet die FRITZ!Box die MyFRITZ!-Adresse für die WireGuard-Verbindung.


Das gilt auch, wenn eine dynamische öffentliche IP vorliegt. Wenn Du myfritz verwendest, fragt die Box vermutlich die DynDNS nicht ab, weil sie die schon kennt.

 

[*kw*]

Okay, dann haben wir uns richtig verstanden.

 

[JamieFraser]

Also ich habe "Internetzugriff über https" wieder rausgenommen und es geht.
Also bei der Fritzbox geht ohne DynDNS bzw. das von MyFritz das WireGuard bei mir net.
Konnte auch mit der DS File App mich auf der NAS anmelden. Steht zwar das mit dem Zertifikat dort, aber das dürfte ja egal sein, oder wie bekommt man das weg?

 

[Stationary]

Also bei der Fritzbox geht ohne DynDNS bzw. das von MyFritz das WireGuard bei mir net.

Eins von beiden brauchst Du. Wenn myfritz und dyndns definiert sind, nutzt die Fritzbox bei Wireguard myfritz. Wenn nur eines der beiden definiert ist, dann das, was definiert wurde. Bei meinen Fritzboxen beispielsweise dyndns, weil ich vernünftige Namen haben möchte und nicht kryptische Adressen, wie bei myfritz - die kann ich mir nicht merken.

Steht zwar das mit dem Zertifikat dort, aber das dürfte ja egal sein, oder wie bekommt man das weg?

Das taucht aber doch nur beim ersten Mal auf?

 

[*kw*]

nicht kryptische Adressen, wie bei myfritz - die kann ich mir nicht merken.

Dazu nutze ich auf den Mobilgeräten die WireGuard App und habe die Verbindung über QR Code der FB angelegt. Dann nur noch bei Bedarf Schalter umlegen.

 

[JamieFraser]

Genauso habe ich das auch gemacht. Man braucht beim iPhone net mal die App öffnen. In den Einstellungen kann man auch einfach VPN aktivieren und dann funktioniert es .

Muss man, wenn man per VPN verbunden ist, HTTPS in den Apps aktivieren?

 

[Stationary]

@*kw* die DynDNS-Adressen hatte ich schon vorher. WG läuft auf meinen Mobilgeräten immer im Hintergrund, schaltet sich automatisch ein, sowie ich mein eigenen Netzwerke verlasse und schaltet sich ab, wenn ich wieder in eines meiner Netzwerke komme.

 

[*kw*]

@Stationary: hatte ich auch so, fand den Batterieverbrauch aber zu hoch (…in Relation zur Häufigkeit der Nutzung)

@JamieFraser: https musst du nicht, ist ja quasi wie im LAN. Zumal dann wieder der „fehlerhafte“ Zertifikatshinweis kommt

 

[JamieFraser]

Ne Frage hab ich trotzdem noch einmal. Bei meiner Fritz!Box wurde ein automatischer Benutzer angelegt. Einen weiteren Benutzer braucht man eigentlich nicht, oder? Auch wenn man z.B. für das Handy der Tochter einen extra VPN anlegen möchte.

 

[*kw*]

Den automatisierten Nutzer legt die FB selbst an, quasi den Admin. Der ermöglicht den alternativen Login mittels Masterpasswort. Zusätzlich kannst du (analog der DS) weitere Nutzer mit entsprechenden Rechten anlegen (bspw. Zugriff AB, SmartHome, etc.). Wenn du den Login zur FB weiter reglementieren willst/musst, macht das Sinn.

WireGuard erstellt so gesehen immer nur eine Single-Verbindung, die du wiederum für weitere Nutzer (hier: deine Tochter) verwenden kannst. Oder nutzt Eine für alle, wenn es die „Logistik“ zulässt.