Zugriff auf NAS über eigene Domain

[schloban]

Hallo,

ich weiß, dass dieses Thema schon 100mal behandelt wurde und ich habe mich auch so gut es meine Fähigkeiten zulassen, eingelesen. Leider verzweifle ich etwas an der Konfiguration.

Kurz zur Ausgangssituation.
Ich habe bei mir Zuhause eine DS218+ mit DSM 7 im Einsatz. Diese hat eine fixe IP im Netzwerk.
Als Router dient eine FritzBox 4040.
Zusätzlich habe ich eine Domain über Magenta.
Nun würde ich gerne die einzelnen Anwendungen (DSM, Drive, Photo,...) über subdomains zB.: dsm.domain.at aufrufen können.
Aktuell greife ich über Quickconnect zu. Diese Option würde ich in Zukunft jedoch gerne einstampfen.

Aktuelle Konfiguration der FritzBox:



Soweit ich es verstanden habe, muss ich zuerst für die einzelnen Anwendungen eine Portweiterleitung auf der Fritzbox einrichten.
Anschließend die Subdomains für die einzelnen Anwendungen erstellen und einen CNAME Eintrag welcher auf den DDNS zeigt einrichten.

Nun meine Fragen dazu:
Kann ich die Internetadresse der Fritzbox als DDNS verwenden, oder benötige ich einen externen DDNS Anbieter? Mein Anbieter Magenta liefert leider keine DynDNS Option.

Wenn ich Die Subdomain anlege, wo muss ich den CNAME Eintrag machen? In der Hauptdomain, oder der Subdomain?


Was muss ich hier eintragen?


Vielen Dank im Voraus für eure Hilfe

 

[plang.pl]

Soweit ich es verstanden habe, muss ich zuerst für die einzelnen Anwendungen eine Portweiterleitung auf der Fritzbox einrichten.

Nur, wenn du von extern zugreifen willst.

Kann ich die Internetadresse der Fritzbox als DDNS verwenden

Ja. Ist aber doch eine eher unschöne Adresse, findest du nicht? Zudem bietet die kein Wildcard-Zertifikat. Dadruch erhältst du beim Aufruf einer Subdomain eine Sicherheitswarnung.

Wenn ich Die Subdomain anlege, wo muss ich den CNAME Eintrag machen?

Du musst nur einen CNAME Eintrag setzen. Und der lautet *.deinedomain.de. Das inkludiert alle Subdomains. Wo die Anfragen landen, bestimmt der Reverse Proxy der DS.

 

[schloban]

Nur, wenn du von extern zugreifen willst.

Will ich

Ja. Ist aber doch eine eher unschöne Adresse, findest du nicht? Zudem bietet die kein Wildcard-Zertifikat. Dadruch erhältst du beim Aufruf einer Subdomain eine Sicherheitswarnung.

Also besser über einen anderen DDNS Anbieter lösen? Gibt es da eine Empfehlung?

Du musst nur einen CNAME Eintrag setzen. Und der lautet *.deinedomain.de. Das inkludiert alle Subdomains. Wo die Anfragen landen, bestimmt der Reverse Proxy der DS.

Und unter "Kanonischer Name" gebe ich dann den DDNS an?

 

[plang.pl]

Zu Letzterem: Denke schon.
Ansonsten schau mal hier vorbei. Da geht es genau um das Anliegen von dir. Subdomains und Wildcard-Zertifikat automatisiert.

 

[schloban]

Hallo nochmal,

gestern Abend habe ich einen ersten Erfolg gesehen.
Ich habe subdomains angelegt, den CNAME Eintrag gesetzt, DDNS eingerichtet und auf der NAS den reverse Proxy erstellt.
Und siehe da, der Zugriff funktioniert.
Heute Morgen wollte ich voller Freude weiter daran arbeiten. Dann ist mir aufgefallen, dass der Zugriff über zb. dsm.domain.at nur funktioniert, wenn ich im gleichen Netzwerk wie die NAS bin. Von extern ist es nicht erreichbar.

Kann mir jemand sagen, was ich vergessen habe einzustellen?

Vielen Dank

 

[plang.pl]

Schau doch mal über cmd und "nslookup", ob Subdomains überhaupt auf deine externe IP auflösen

 

[schloban]

Schau doch mal über cmd und "nslookup", ob Subdomains überhaupt auf deine externe IP auflösen

Das tut es. nslookup wirft meine 100.64.x.x IP aus.
Dann muss es wohl an einer Einstellung bei meiner Fritzbox oder NAS liegen, oder?

 

[plang.pl]

Deine öffentliche IP sieht leicht danach aus, als ob sie eventuell doch nicht öffentlich ist.
Was hast du für einen Internetanschluss?

 

[w00dcu11er]

Wäre am besten leicht herauszufinden, indem du die Seite https://wieistmeineip.de aufrufst. Da siehst du dann, welche IP deine öffentliche ist. 100.64.xxx.xxx ist glaub ich gar keine öffentliche!

 

[schloban]

Internetanschluss ist ein Glasfaseranschluss.
wieistmeineip gibt eine 185.29.x.x aus
Aber die Fritzbox sagt mir 100.64.x.x

 

[plang.pl]

Dann hast du keine öffentliche IPv4. Ist bei Glasfaser leider üblich

 

[schloban]

Heißt das, ich komme von Extern über eine Subdomain dann gar nie auf meine NAS?

 

[plang.pl]

Nur via IPv6.
Du musst dann eine Portfreischaltung in der Fritte anlegen. Jedes IPv6 Gerät hat eine öffentliche IPv6. Das heißt, du greifst von extern nicht auf die IPv6 des Routers zu, sondern auf die der DS. Deshalb ist die DS Firewall ab dann Pflicht.
Such mal hier im Forum dazu. Gibt es gefühlt tausende Threads zu.
Alternativ beim Anbieter anrufen und eine IPv4 verlangen und hoffen, dass sie dir eine geben. Wenn du denen öfter auf den Keks gehst, bekommst du oft eine

 

[schloban]

Vielen Dank für die Hilfe.

Werde denen gleich mal auf die Nerven gehen.

 

[EDvonSchleck]

Auch mit DynDNS und IPv6 funktioniert das ohne Probleme. Du musst lediglich einen Anbieter haben, wo du die Records einstellen kannst, wie bei einer Domain. Als gutes Beispiel ist hier dynv6.com. Dort kannst du die externe IP deiner DS hinterlegen und nur den Präfix von der Fritz!Box updaten lassen.

Ob du anschließend IPv4 oder IPv6 benutzt, ist danach irrelevant.

 

[schloban]

Werde ich in der Zwischenzeit mal versuchen.
Und falls ich keine v4 Adresse bekomme, weiß ich jetzt ja, was ich tun muss.

Vielen Dank

 

[plang.pl]

Was ich noch mit einwerfen wollte:
Auf der 4040 die BETA Firmware installiert. Zack und schon kannst du easy mit zwei, drei Klicks eine VPN-Verbindung für einen Client einrichten. Dann QR-Code scannen oder das Profil exportieren und am Client importieren und fertig. Da brauchst du gar keine Portweiterleitungen.
Solange nur das nutzt und nicht irgendwelche Kumpel, ist das die beste Lösung. https://avm.de/service/vpn/

 

[EDvonSchleck]

Da brauchst du gar keine Portweiterleitungen.

Das stimmt so nicht ganz. Du musst keine Portfreigaben einrichten, da dieses dynamisch von der Fritz!Box automatisch getätigt wird. Dadurch wird jedes Mal der Port geändert und nicht fix einen bestimmten Port. Das heißt aber nicht, dass kein Port von außen geöffnet ist.

 

[plang.pl]

Ich sprach von Portweiterleitungen und nicht von Portfreigaben.

 

[EDvonSchleck]

Da hast du recht, aber nicht immer ist VPN die beste Wahl und sollte nur im engsten Kreis (Familie/Wohngemeinschaft) eingesetzt werden.

Ist dir bekannt das AVM (Myfritz) einige Sachen an AWS senden? Dazu gehört auch der neue Service mit Namensansage bei Rufnummern. Für mich ein No-Go.