Nas unter xxxx.synology.me nicht lokal erreichbar

[marfü]

Hallo zusammen,
ich bin relativ neu bei dem Thema und versuche mich über Youtube Videos und Foren dem Thema zu nähern, komm aber hier aktuell nicht weiter.
Mein Setup bzw. Zielzustand ist folgender. Ich hab ein DS1522+ und eine Fritzbox 6850 (statische externe IP adresse)
Eigentlich sind es 2 Fragen:
ich würde gerne grundsätzlich über die Adresse xxxxxx.synology.me: port auf die Services zugreifen um nicht die IP adresse mit Port eingeben zu müssen. Dazu hab ich mir unter DDNS den Host xxxxxx.synology.me hinterlegt der auf meine externe statisch IP adresse zeigt (entsprechendes Lets Encrypt zertifikat dafür hab ich auch erstellt.)
Ich würde gerne vermeiden irgendwelche Portweiterleitungen einzurichten (aus Sicherheitsgründen) und stattdessen über Wireguard - VPN von außen zugreifen. Wireguard VPN hab ich auf meiner Fritzbox eingerichtet und das scheint auch zu funktionieren.

Mein Problem ist jetzt auch wenn ich aus dem lokalen Netzwerk über die Adresse xxxxxx.synology.me:5001 auf mein DSM zugreifen möchte immer eine Fehlermeldung (Die Website ist nicht erreichbar) bekomm, wenn ich die lokale IP (im internen Netzwerk):5001 eingebe komme ich Problemlos ins DSM. Wenn ich auf der Fritzbox die Portfreigaben für 5000/5001 einrichte funktioniert es auch mit xxxxxxx.synology.me. Muss ich diese Portfreigaben machen oder gehts auch irgendwie anders.

Hab gelesen, dass ich ev. einen Internen DNS Server konfigurieren muss und das mal über das Synology DNS feature versucht - aber da hab ich fürchte ich zu wenig Ahnung ;-)
DNS würde ich wenn gerne zentral konfigurieren und nicht auf allen Clients (am liebsten über das Synology DNS Produkt und nicht über was zusätzliches wie PiHole) wenn möglich.

Meine Wunschvorstellung wäre ich komme egal ob von innen oder von Aussen unter eingabe der adresse xxxxxxx.synology.me: port auf das jeweilige DSM feature und von aussen halt nach Aufbau der VPN verbindung.
Ich wäre sehr Dankbar über eine Einschätzung ob das grundsätzlich möglich ist und wo ich eventuell Infos dazu finden kann.

Vielen Dank für eure Hilfe und sorry für den langen Post.
martin

 

[alexhell]

Wenn du xxxxxx.synology.me aufrufst, dann geht der Request ja übers Internet und kommt dann wieder bei deiner Fritzbox an. Ohne offene Ports geht das halt nicht. Mit einem eigenen DNS Server geht das nicht anders. Ich würde dir raten Adguard, Pi-Hole oder dnsmasq als Docker Container einzurichten. Adguard und Pi-Hole können dir auch Werbung/Malware blocken. dnsmasq kann das nicht, ist dafür aber auch viel kleiner und simpler. Der DNS Server von Synology ist dagegen eher nur kompliziert und ich würde sagen, dass er keine Vorteile hat.

 

[marfü]

ok, das heisst wenn ich Pihole als DNS Server auf der Synology einrichte muss ich die anfrage für xxxxxx.synology.me auf die interne IP des Nas "umleiten" und dann braucht ich auch keine Portweiterleitung, richtig?
und Pihole kann ich als Dockercontainer installieren? Habt ihr dazu eventuell einen Hinweis wo ich eine gute Anleitung dafür finde (hab' das YT- Video von wundertech gesehen, aber das war jetzt nicht ganz easy für mich nachvollziehbar)
Vielen Dank für die blitzschnelle Antwort.

 

[alexhell]

Ja ist richtig.
Eine Anleitung für PiHole nicht, aber der User @plang.pl hat hier eine Anleitung für Adguard geschrieben

 

[marfü]

Super, das werd ich mir das ansehen und adguard verwenden - könnte jetzt aus meiner Perspektive eh nicht entscheiden was mir lieber ist ;-) - hauptsache ich bekomm's hin.

Vielen, vielen Dank!!!!

 

[mysteria]

Hallo, vielleicht verstehe ich grundlegend etwas falsch. Doch ich kann DSM problemlos über die Synology Adresse im heimischen Netz oder von unterwegs über VPN aufrufen.

Hier einmal meine Konfiguration. Hinter den schwarzen Balken verbirgt sich mein bei synology.me registrierter Name. Portweiterleitungen am Router gibt es keine.

 

[Benie]

Das ist so ziemlich die einfachste Lösung, insofern man von Netzextern nur per VPN zugreifen tut. Und auch sicher.
Da braucht es kein PiHole und kein Addguard und Unbound.

Ich verwende das auch so, so läuft zb. auch Vaultwarden ohne offene Ports.

 

[alexhell]

Ach stimmt... Die Funktion vergesse ich immer, weil ich sie nicht nutze

 

[plang.pl]

Das mit dem Rebind-Schutz der Fritte könnte aber trotzdem das Problem sein.

 

[Benie]

Das kann gut sein, ich habe es schon immer auf der Fritte eingetragen, von daher kann ich das nicht sagen ob es auch ohne läuft.

 

[mysteria]

Das mit dem Rebind-Schutz der Fritte könnte aber trotzdem das Problem sein.

Ist korrekt, der Hostname muss in der Fritz!Box hinterlegt werden.

 

[marfü]

Vielen Dank euch nochmal, mit dem Eintrag im Rebind-Schutz hats geklappt. Ich hatte die Settings von mysteria auch schon mal versucht aber ohne Eintrag dort hats nicht geklappt. Danke euch. Stellt der Eintrag im Rebind- Schutz ein relevantes Sicherheitsproblem dar oder kann man das schon so machen auch als Dauerlösung?
Vielen Dank - ist wirklich toll wie schnell einem hier kompetent geholfen wird!

 

[Benie]

Ist eine Dauerlösung. Nein nicht unsicher, der Rebind Schutz dient ja nur dafür, daß wenn Du im W-Lan Dich mit der DynDNS anmeldest, daß diese erst gar nicht über Netzextern läuft.

 

[marfü]

cool - danke. Das Setup gefällt mir nämlich richtig gut so.

 

[synfor]

Nein nicht unsicher, der Rebind Schutz dient ja nur dafür, daß wenn Du im W-Lan Dich mit der DynDNS anmeldest, daß diese erst gar nicht über Netzextern läuft.

Nein, der Rebindschutz dient zum Schutz vor DNS-Rebinding-Attacken.

 

[Benie]

Da hast Du recht, war vielleicht der einfachheit halber für diesen Zweck unglücklich ausgedrückt.