DSM 6.x und darunter Zugriff auf DS 218+ von außerhalb klappt nicht

[Flopi79]

Hallo ,

ich habe mir eine Synology DS 218+ gekauft, um mir zu Hause eine eigene Cloud einzurichten. Ich arbeite zwar mit Computern (bin 3d Visualisierer) aber habe von Netzwerkrams keinen Plan

Vorweg ein Paar Infos:

Hardware:
- DS 218+
- Router = Fritzbox 6490 (Kabelrouter)
- Internetanbieter Kabel Deutschland (Vodafone)
- Zugriff auf Synology über Mac und Windows

Bei Vodafone habe ich über die Hotline iPv4 umstellen lassen (hatte in dem Forum von Vodafone gelesen, dass das helfen soll damit der Fernzugriff funktioniert)


Ich habe mir nun schon so einige Tutorials angeschaut und unterschiedliche Beiträge in Foren gelesen.


Leider bekomm ich es nicht hin, von außerhalb auf die Synology zuzugreifen (über https://quickconnect.to/___ klappt es aber nicht direkt vom Rechner als Laufwerk)


Was habe ich gemacht:

Ich habe auf der Synology die Anwendung "EZ-Internet" gestartet. Bei der Abfrage, der Routerinformationen kommt die Meldung "Zwei oder mehrere Router wurden im Netzwerk gefunden....." (siehe screenshot)


Ich klicke dann einfach weiter... Der Router wird im Anschluss auch erkannt. Ganz am Ende erscheint dann folgendes Fenster:
Allerdings sagt mir die Aussage nix....


Ich habe keine Ahnung, wo und was ich weiter einstellen muss (in der Synology oder in der Fritzbox).


Hoffe, dass ihr mir helfen könnt.

Schönen Dank schon mal

Gruß Flopi79

 

[Flopi79]

Ach ja...

Hab mal in der Synology in den Systemsteuerung --> Externer Zugriff geschaut..

Beim Reiter DDNS wird der Status "normal" angezeigt





Beim Reiter Routerkonfiguration sind aber beide Verbindungen fehlgeschlagen.

 

[dynamiX]

als tipp, ich würde domain und IP's nie öffentlich posten.
vielleicht passt du das an deinen Bildern noch an...

 

[Flopi79]

oh danke... habs grad geändert.

Ansonsten vielleicht nen Tip zu meinem Problem?

 

[Fusion]

Verzicht auf EZ-Internet und die Routerkonfiguration in der DS und lösche die Einträge.
Danach machst du die Portweiterleitungen von Hand im Router und gut is.
Und die unverschlüsselten Ports 80/5000 würde ich schon gar nicht nach außen freigeben.

 

[Flopi79]

die unverschlüsselten Ports 80/5000 würde ich schon gar nicht nach außen freigeben.

hatte das nach einem YouTube Video von iDomiX befolgt. Dort wurde noch gesagt, dass die Porteinschränkung in einem weitern Video besprochen/geändert wird....

Verzicht auf EZ-Internet und die Routerkonfiguration in der DS und lösche die Einträge.
Danach machst du die Portweiterleitungen von Hand im Router und gut is.

Hatte ja geschrieben, dass ich beim Thema Netzwerk überhaupt keine Ahnung habe. Wo mache ich das in der Fritzbox? Du meinst, dass ich unter den DDNS Einstellungen der Fritzbox die Daten eingeben soll?

Hier im Haus läuft eine Heizung (kleines Heizkraftwerk), welche per Fernwartung von einer Firma betreut wird (wenn es Fehler etc. gibt)
In der Fritzbox sind bei dem DDNS Reiter schon Daten der Firma hinterlegt. An der Heizung ist ein Sender/Empfänger, welcher per WLAN mit unserem Netzwerk verbunden ist.


Wenn ich das richtig verstehe, hab ich über iPv4 eine Feste IP Adresse und müsste dann bei DDNS gar nichts eintragen, sondert irgendwo anders?!

 

[Matthieu]

Wenn die Firma für die Fernwartung Port 80 freigegeben hat (diese Unholde ... das passt schön ins Internet of Sh** ...), kannst du diesen nicht für die DS verwenden. Es kann immer nur einer auf einmal ...

MfG Matthieu

 

[Flopi79]

Glaube nicht, das die Firma den Port 80 nutzt. Hier noch mal 2 Screenshots der Fritzbox

 

[Matthieu]

Bei Screenshot 1 auf "Neue Portfreigabe" klicken und die Daten angeben. Viel einfacher als über die DS.

MfG Matthieu

 

[Flopi79]

Also,
beim ersten Fenster

Wähle ich wahrscheinlich --> "Andere Anwendungen" aus?!


und dann?


Bei Bezeichnung nehme ich z.B. Synology DS218+
Protokoll:?
Port:?
an Computer: da wähle ich die Diskstation aus
an IP-Adresse: Dort steht dann automatisch die IP, welche ich der Diskstation vergeben hatte
an Port?

 

[Matthieu]

Dann nur noch die IP-Adresse der DS eintragen (192.168.178...)
Trotzdem noch mal: Port 80 sollte man nur freigeben um auf HTTPS weiterzuleiten - und 5000 unter gar keinen Umständen. Nie. Nada.

MfG Matthieu

 

[Flopi79]

Du denkst wahrscheinlich, was nen Depp.... Aber ich weiß immer noch nicht, welche Ports ich nehmen soll. Nach was richtet sich das denn?
Also was muss ich bei von Port bis Port eingeben und was bei an Port?

 

[Matthieu]

Normalerweise bei allen drei immer das gleiche. Alles andere macht es nur noch komplizierter. Die Ports gehören immer zu einem Dienst oder einer Applikation. Gibt sowohl bei Synology als auch im DSM schöne Übersichten. Dem DSM gehört die 5001 (verschlüsselt!), dem Webserver 80 (unverschlüsselt) bzw. 443 (verschlüsselt) usw.

MfG Matthieu

 

[Fusion]

Welche Ports man freigibt richtet sich nach den Diensten die man von extern nutzen will und welchen Weg man wählt dies zu tun.

https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

Da gibt es nicht die eine Antwort die du gerne hören würdest gibt einfach zu viele mögliche Kombinationen die man realisieren kann.
Manche Leute greifen z.B. nur per VPN Tunnel auf die Fritte oder DS zu. Also muss nach außen nur VPN offen sein alle anderen Dienste werden dann nur über den Tunnel genutzt und verhalten sich wie bei normaler Nutzung im LAN/WLAN, brauchen also keine Freigabe im Router.
Manche Leute greifen per benutzerdefinierter Domains zu. Die Dienste werden also nach sub.domain.de unterschieden und laufen alle via 80/443 z.B. Also müssen auch nur diese Ports freigeben werden.
Manche Leute setzen für verschiedene Anwendungen je einen Port z.B. 7001 für die File Station (siehe Systemsteuerung > Anwendungsportal). Also muss dieser von außen erreichbar sein
.....

Grundsatz so wenig wie möglich, so viel wie nötig freigeben.

 

[dynamiX]

ich, und das ist meine persönliche meinung, würde wenn du nicht so affin bist mit netzwerk und sicherheit, gar nix freigeben und das über VPN regeln.
alles andere wäre dasselbe wie wenn du dein schlüssel unter der haustür-matte legst.

 

[Flopi79]

Schönen Dank für die Rückmeldung...

Vielleicht sollte ich mal sagen, was ich machen möchte.

Im Heimnetz sollen alle Rechner auf die Synology zugreifen können. Dort sind Daten hinterlegt (wie Schriftverkehr, Fotos, Filme, Musik...)
Die Einrichtung für die Rechner im Haus bekomm ich ja auch hin.

Im meinem MacBook Pro habe ich die Synology als Netzlaufwerk hinzugefügt. Kann also zu Hause vom Laptop auf die Daten zugreifen. Nun möchte ich das auch können, wenn ich unterwegs bin (also vom Laptop z.B. aus dem Zug, Hotel, von Freunden)

Ich habe mir auf dem iPad auch die App Synology App DS Video installiert. Mit der kann ich zu Hause Filme übers iPad von der Synology anschauen. Das Ganze möchte ich auch können, wenn ich z.B. im Hotel bin oder in einem fremden WLAN.

Was muss ich denn genau einstellen um das oben beschriebene machen zu können? Mach ich das über über einen VPN Tunnel.......
Gerne die Art und Weise, die für Jemanden, der nicht in der Materie steckt machbar ist

 

[Flopi79]

Versteh ich das richtig? Es gibt die 2 Möglichkeiten

VPN Tunnel
oder
Ports im Netzwerk freigeben

 

[Kurt-oe1kyw]

Ports musst du immer freigeben/umleiten, sonst geht es nicht.
Auch VPN Tunnel nutzt Ports.

Im Grunde ist es eigentlich immer das gleiche Spiel.
Du definierst in den jeweiligen Einstellungen einen Port für das jeweilige "Vorhaben".
Danach hinterlegst du im Router die Routerweiterleitung, also wie du zu diesem eingestellten Port kommen willst.

Als Beispiel wurde schon die DSM Oberfläche genannt, die steht standardmässig auf 5001, du kannst jetzt im Router einstellen 5001 "extern" soll auf "5001" "intern NAS IP" geleitet werden.
Dann wäre deine "Einwahl" https://deine_adresse:5001 - du solltest dann auf der DSM Oberläche "landen".
Du könntest auch im Router einstellen 55001 extern, soll auf 5001 intern IP NAS geleitet werden, dann bringt dich
* https://deine_adresse:5001 nirgendwo hin, du wirst eine Fehlermeldung erhalten, Server nicht erreichbar, Zeitüberschreitung usw. ABER
* https://deine_adresse:55001 wird dich dann wieder auf die DSM Oberfläche bringen, da die weiterleitung lautet 55001 extern > 5001 intern_NAS_IP
Soll nur als Beispiel dienen.

Wie schon erwähnt wurde, bitte nicht "wie wild" weiterleiten, da gibt es eine Synology-Liste wo du sehen kannst welche Sachen "vorzugsweise" genutzt werden, siehe Liste:
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

Ein hinkender und ganz grober "Vergleich".
Deine "Adresse", also 3w.irgendwas.com ist deine Adresse deiner Firma, derjenige steht also am Haupteingang beim Portier/Empfang und kann nicht weiter, aber grundsätzlich ist er schon mal da wo er hin soll.
Dort ist er zwar jetzt schon mal da, aber er will in die Einlaufstelle/Kanzlei, also 1. Stock Zi 005 - die Einlaufstelle ist jetzt das "Ziel" im Gebäude. Die Einlaufstelle/Kanzlei ist der Port zB 55123
Also 3w.irgendwas.com:55123 > du landest in der Einlaufstelle/Kanzlei

Im Grunde kannst du nicht mal wirklich was kaputt machen, es ist wie mit einem Schlüssel der verschiedene Bereiche sperren kann.
Du steckst den Schlüssel ins Schloss, er passt sogar, aber du kannst ihn nicht umdrehen, weil keine Berechtigung vorhanden ist für den Bereich.

 

[Flopi79]

Ich bin immer verwirrter....

Wenn ich eh so oder so Port freigeben muss, ist es doch egal, welche Methode ich nehme. Da dynamiX ja schrieb, dass er mir VPN empfehlen würde.

Vielleicht könnte noch mal jemand darauf eingehen, was ich vorhabe. (siehe 3 Beiträge höher)

 

[Fusion]

Ports musst du in jedem Fall welche Freigeben weil sonst keine Verbindung von außerhalb aufgebaut werden kann.
Die Frage ist nur welche und wie viele.

Für Nutzung via VPN eben nur einer, für andere Konstellation und direktere Nutzung eben andere Ports und mehr nötig.

Beim VPN Tunnel wird dein Rechner von außerhalb virtuell in dein LAN gehängt.
Die DS ist also z.B.via 192.168.178.10 erreichbar im LAN und wenn der VPN Tunnel aktiv ist ebenso aus dem Hotel.
Nur wenn das Hotel ebenfalls 192.168.178.x als Adressraum nutzen würde oder falls es Ports sperrt könnte es Probleme geben, oder der Tunnel gar nicht aufgebaut werden.
Deshalb empfielt es sich hier zusätzlich sein eigenes Netz zu Hause abzuändern. z.B. auf 192.168.112.1 für die Fritte.
Wenn du das machst darauf achten dass die Fritte IP Adressen per DHCP verteilt und auch dein PC auf DHCP steht, damit du nach der Änderung wieder zuverlässig Kontakt zu Fritte bekommst.