Setting up External Access - Probleme beim Konfigurieren des Routers

[radioman85]

Hi zusammen,

Ich habe ein Heimnetzwerk mit:
- Router: Inteno EG400
- NAS: Synology DS216+II

Mein Ziel:
--> External Access mittels VPN

Was ich gerade dran bin ist eine DDNS aufzusetzen. Hierzu will ich für bestimmte "Build-in Applications" deren Port Forwarding ermöglichen. An diesem Punkt scheint es zu scheitern. Auf dem Synology versuche ich über
"Control Panel" --> "External Access" --> "Router Configuration"
den Router diesbezüglich zu konfigurieren:

1. Setup Router --> tiptop



Nach dem ich auf "Save" und dann auf "OK" klicke (alle drei Punkte berücksichtigt) kommt ca. 60% folgende Meldung:



Punkt 1 versteh ich nicht, da dies ja gerade wie erstes Bild zeigt ja in Ordnung zu sein scheint. Anbei auch das Bild des Routers bezüglich UPnP/NatPmP, welches dies bestätigt:


Zu Punkt 2 finde ich dann aber keine passende Einstellung auf dem Router (? jemand Erfahrung mit dem Inteno EG400?).

Kann mir hierbei jemand beistehen? Komme echt nicht mehr weiter.
Ich danke für jeden Input.

Cheers

 

[ottosykora]

nur Ratschlag: lass diese komische Autokonfiguration sein. Das funktioniert selten korrekt und wenn du im Router UpnP freischaltest, dann kann sich was auch sonst immer irgendwelche Ports öffnen ohne dein Wissen.
Mache die Port Weiterleitung von Hand in dem Router, dann weisst du was du hast.

 

[radioman85]

Hmm, dass heisst UpnP (1900) sicherlich nie freischalten??!

 

[NSFH]

UPNP niemals freischalten und wenn man es nicht unbedingt braucht deaktivieren!
Die automatische Config des Routers via Syno klappt nicht, gleich vergessen und die benötigten Ports manuell im Router einrichten!
Dabei ausnahmslos verschlüsselte Zugriffsvarianten verwenden, kein HTTP!

 

[radioman85]

Vielen Dank für eure Antworten!

Irgendwie hab ich abrer immer noch Probleme vom Internet auf mein NAS zuzugreifen (HTTP ERROR 502).

Welche Ports muss ich denn Freischalten um vom Internet auf den Synology zu gelangen?
===> 443, 5001?

 

[NSFH]

5001 um auf DSM zugreifen zu können, 5006 für WebDav wobei du für WebDav ein LE Zertifikat brauchst!
Die Fehlermeldung, dass die Seite unsicher ist kommt aber auch beim 5001. Auch da hilft das LE Zertifikat.

 

[radioman85]

OKej. Läuft Vielen Dank

 

[Synchrotron]

Klingt nur nicht, wie wenn du am Ziel wärest: Für VPN ist weder 443 noch 5001 ein relevanter Port.

Wenn du von außen über VPN zugreifen willst, solltest du dir zuerst klar werden, wie du es realisieren willst:

1. VPN auf dem Router (was z.B. die FritzBox beherrscht, ob deiner es kann, weiß ich nicht). Vorteil: Dafür muß man überhaupt keinen Port öffnen, weil der Router es intern umsetzt.
2. VPN auf einem eigenen VPN-Server im Heimnetzwerk, z.B. einem Raspberry Pi
3. VPN mit dem VPN-Server der Synology. Auch das geht, allerdings ist der VPN-Server dort ziemlich abgestrippt. Und in jedem Fall nur dann verwenden, wenn zugleich die Firewall der Syno eingeschaltet und scharf eingestellt ist. Das heißt, zunächst auf „alles verbieten“ einstellen, dann selektiv (sehr selektiv) Ausnahmen einrichten.

Die beiden letztgenannten Lösungen erfordern eine Portweiterleitung auf dem Router. Welche, das hängt von dem VPN-Protokoll ab, das verwendet wird, und von den Möglichkeiten der Clients, abweichende Ports anzugeben. Das Thema ist abendfüllend ...

Persönlich verwende ich den VPN-Zugang meiner FritzBox mit IPSec sowie einen Wireguard-VPN-Server auf meinem Raspi.

 

[radioman85]

Haha, glaub mir, ich war genau so überrascht, dass der Fernzugriff via synology quickconnection und auch über VPN (deine 3. Variante) dann funktionierten (Es funktioniert und keiner weis wieso).
Aber danke für deine Inputs

Cheers

 

[Synchrotron]

QuickConnect ist so etwas wie ein eingebauter DDNS-Dienst, der selbst eine Verbindung zu einem Synology-Server herstellt, und dafür ähnliche Wege nutzt wie ein Browser. Zum Surfen machst du ja auch keine Ports auf.

Nachteil ist die niedrige Geschwindigkeit, und deine Daten fließen über Synology.

Ähnlich ist es, wenn du dich mit einem externen VPN-Dienst verbindest.

Nur wenn du selbst von außen einen von dir betriebenen VPN-Server erreichen willst, und der nicht im Router selbst verankert ist, muß mindestens 1 Port (je nach Verfahren) geöffnet und weiter geleitet sein. Hier müssen die Daten erst mal „rein“, bevor der VPN-Tunnel aufgebaut werden kann.