Wie aus LAN auf NAS zugreifen? (Domain, QuickConnect, Server-Name/IP)

[the-ninth]

Guten Morgen,

Wenn ein Client fix im selben LAN ist wie das NAS, wie adressiere ich das NAS am Besten ohne dass der Datenverkehr über den Router geht? Das LAN hängt hinter einem handelsüblichen NAT-Router der vom Provider zur Verfügung gestellt wurde. Möglichkeiten zur Adressierung wären ein externer Domain-Name den ich für das NAS eingerichtet habe (nas.mainname.tld), der QuickConnect-Name oder der lokale Server-Name bzw. die lokale IPV4-Adresse.

Der externe Domain-Name bzw. QuickConnect haben den Vorteil, dass die Zertifikate für die verschlüsselte Verbindung sauber erkannt werden.

Habe versucht das mit tracert zu klären, siehe unten, Platzhalter zur Anonymisierung in spitzen Klammern. Alle tracerts führen nur über einen Hop. Bei der Verwendung des externen Domain-Namen nas.meinname.tld sowie des QuickConnect-Namen wird zwar ein dynamischer Domain-Name des Providers für den Hop angegeben, dahinter aber die IPV6-Adresse des NAS. Selbst wenn ich den lokalen Servernamen verwende wird dieser dynamische Domain-Name für den Hop angegeben, nur wenn ich direkt auf die IPV4-Adresse gehe passiert das nicht.

Was meint ihr? Kann ich auch bei der Verwendung des externen Domain-Namens bzw. QuickConnect davon ausgehen, dass der Datenverkehr direkt zwischen Client und NAS geht, oder ist da schon noch der Router dazwischen?

tracert <nas.meinname.tld>

Tracing route to meinname.myds.me [<nas-ipv6-address>]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  dynamic-pd<zahl>.res.v<zahl>.highway.<provider>.net [<nas-ipv6-address>]

Trace complete.

tracert <meinname>.direct.quickconnect.to

Tracing route to <meinname>.direct.quickconnect.to [<nas-ipv6-address>]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  dynamic-pd<zahl>.res.v<zahl>.highway.<provider>.net [<nas-ipv6-address>]

Trace complete.

tracert <lokaler_server_name>

Tracing route to <lokaler_server_name>.local [<nas-ipv6-address>]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  dynamic-pd<zahl>.res.v<zahl>.highway.<provider>.net [<nas-ipv6-address>]

Trace complete.

tracert <lokale_ipv4_adresse>

Tracing route to <lokaler_server_name>.home [<lokale_ipv4_adresse>]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  <lokaler_server_name>.home [<lokale_ipv4_adresse>]

Trace complete.

 

[RichardB]

Wozu der Umweg über Domain oder QC? Wenn Du im LAN bist, einfach die IP4 oder den Servernamen wählen, das ist doch das Einfachste und Naheliegenste. Sollte das Zertifikat meckern, einfach eine Ausnahme hinzufügen und gut ist. Und wenn Du hinter dem Router keinen Switch hast, bleibt ja gar nichts anderes übrig, als den Verkehr darüber laufen zu lassen, es sei denn Dein NAS hat 2 Anschlüsse und Du verbindest NAS und Client direkt.

 

[ottosykora]

also nicht ganz klar warum sollte der Verkehr nicht über deinen Router gehen?

Wenn der Router einen 'Loopback' kann, dann kann man auch den DDNS Namen verwenden, aber das können nicht alle Router.

Quickconnect findet bei der Vermittlung dass sich Client und NAS im gleichen Lan befinden und schaltet automatisch auf lokalen Verkehr um.

Wozu genau Zeirtifikate im eigenen LAN? http statt https ist da genau so gut. Du kannst IP oder den lokalen Namen im Lan verwenden, dann sind Zeirtifikate ohnehin nicht brauchbar.

In einem Netzwerk mit Router zu einem anderen Netz (Internet) ist der Router immer irgendwie involviert, allein um zu entscheiden dass dieser Traffic nicht ins Internet gesendet werden soll.

 

[Stationary]

Im eigenen Netz oder von außen per VPN im eigenen Netz: lokale IP-Adresse.

 

[the-ninth]

Wozu der Umweg über Domain oder QC? Wenn Du im LAN bist, einfach die IP4 oder den Servernamen wählen, das ist doch das Einfachste und Naheliegenste. Sollte das Zertifikat meckern, einfach eine Ausnahme hinzufügen und gut ist. Und wenn Du hinter dem Router keinen Switch hast, bleibt ja gar nichts anderes übrig, als den Verkehr darüber laufen zu lassen, es sei denn Dein NAS hat 2 Anschlüsse und Du verbindest NAS und Client direkt.

also nicht ganz klar warum sollte der Verkehr nicht über deinen Router gehen?

Es sind auch Switches dazwischen. Mit über den Router laufen meinte ich aber die Routing-Funktion des Routers, also Layer 3, nicht die Switching-Funktion. Wenn der Verkehr über die Routing-Funktion geht hätte ich Bedenken das die Geschwindigkeit beeinträchtigt ist.

Was mich an der Verwendung des Servernamen irritiert ist, dass der traceroute genauso aussieht wie wenn ich die externe Domain verwende, siehe die geposteten Auszüge. Der Servername scheint also keinen "Vorteil" gegenüber der Domain zu bieten. Mir ist allerdings von dem traceroute nicht klar ob es über die Routing-Funktion des Routers geht. Der dynamische Domain-Name vom Provider im traceroute scheint auf das externe Interface des Routers zu deuten, dahintergelegt ist aber die IPV6-Adresse des NAS, wie das zusammengeht verstehe ich leider nicht ganz.

Quickconnect findet bei der Vermittlung dass sich Client und NAS im gleichen Lan befinden und schaltet automatisch auf lokalen Verkehr um.

Danke, das ist gut zu wissen. Für ein Notebook das sowohl im LAN als auch extern zugreifen soll wäre dann also Quickconnect das Mittel der Wahl.

Wozu genau Zeirtifikate im eigenen LAN? http statt https ist da genau so gut. Du kannst IP oder den lokalen Namen im Lan verwenden, dann sind Zeirtifikate ohnehin nicht brauchbar.

Gute Frage, aus dem Bauch heraus finde ich dieses Level an Sicherheit auch im LAN gut, man weiß ja nie wer sich in irgendeiner Form Zugriff auf das LAN verschaffen kann, besonders über WLANs. Lokaler Servername scheint eben in den gleichen traceroute zu resultieren wie externe Domain.

In einem Netzwerk mit Router zu einem anderen Netz (Internet) ist der Router immer irgendwie involviert, allein um zu entscheiden dass dieser Traffic nicht ins Internet gesendet werden soll.

Für die erste Vermittlung ist klar, dass der Router involviert ist. Ich möchte nur nicht, dass der gesamte Datenverkehr über den Router abgewickelt wird. Mit Router meine ich wie gesagt immer die Layer 3 Routing-Funktion, kein Switching.

Im eigenen Netz oder von außen per VPN im eigenen Netz: lokale IP-Adresse.

Danke, ja, IPV4 wäre wohl das sicherste um zu vermeiden, dass der Router involviert ist. Wäre mir halt lieber einen Namen zu verwenden, falls sich die IP mal ändert, aber das ist im LAN mit relativ wenig Clients nicht so dramatisch.

 

[Stationary]

falls sich die IP mal ändert

Ähm…dann wird es wohl mal Zeit, den Infrastrukturgeräten (wie beispielsweise dem NAS) endlich mal feste IPs im Heimnetzwerk zuzuweisen. Oder am Besten gleich allen Geräten.

 

[w00dcu11er]

Wäre mir halt lieber einen Namen zu verwenden, falls sich die IP mal ändert

Kannst ja auch mit dem Namen deiner Diskstation vorgehen: \\NamederDS (Windows) oder NamederDS.local (Mac)

 

[Synchrotron]

Wenn es nicht über den Router gehen soll, dann schließe die beteiligten Geräte an einen Switch an …

Das ist übrigens das, was im „Router“ auch passiert. Die üblichen Router sind nicht nur Router (gäbe es auch Stand alone), sondern auch Switch, DHCP-Server, Firewall, Telefonzentrale, VPN-Server, …. Im üblichen Fall nutzen DS und PC lediglich die Switch-Funktion des „Routers“.

Insofern sehe ich die im ersten Post des Threads aufgestellte Forderung als Nonsense. Die ausprobierten „Lösungen“ wie eine externe Webadresse oder QC zeugen von einem weitgehenden Unverständnis dessen, was in einem lokalen Netzwerk passiert.

Erst mal die Grundlagen verstehen, ist meine Empfehlung.

 

[ottosykora]

Es sind auch Switches dazwischen. Mit über den Router laufen meinte ich aber die Routing-Funktion des Routers, also Layer 3, nicht die Switching-Funktion. Wenn der Verkehr über die Routing-Funktion geht hätte ich Bedenken das die Geschwindigkeit beeinträchtigt ist.

ich denke du überlegst zu viel über Probleme die es gar nicht gibt
Die ganze Welt hat Netzwerke, alle haben Switch und am Ende auch Router, aber noch niemand hat solche Theorien erfunden.
Schalte mal einen Gang herunter und lese vielleicht nochmals etwas über die Router oder die Layer etc.

 

[the-ninth]

Ähm…dann wird es wohl mal Zeit, den Infrastrukturgeräten (wie beispielsweise dem NAS) endlich mal feste IPs im Heimnetzwerk zuzuweisen. Oder am Besten gleich allen Geräten.

Ja, das haben sie eh, trotzdem ist mir eine Adressierung über Namen symphatischer. Da bin ich vielleicht etwas eigen.

Erst mal die Grundlagen verstehen, ist meine Empfehlung.

Schalte mal einen Gang herunter und lese vielleicht nochmals etwas über die Router oder die Layer etc.

Ich bin Informatiker und verstehe die Grundlagen. Ehrlich gesagt kommen von euch auch eher nur Empfehlungen die sicher nicht schlecht sind, aber an meiner ursprünglichen Frage vorbei gehen, auf die ihr wohl auch keine Antwort habt.

Wenn ich im Heimnetz das NAS über einen externen Domain-Namen anspreche (nas.meinname.tld), dann wird das im ersten Schritt wohl auf die externe IP-Adresse meines Routers aufgelöst. Wenn der Datenverkehr auf die externe Adresse meines Routers geht, dann ist wohl dessen Routing-Funktion, also Layer 3, involviert. Mir ist aber nicht klar, ob es da einen Mechanismus gibt der trotzdem erkennt, dass sich beide Geräte im selben LAN befinden und dann über Layer 2 kommunizieren. Der traceroute ist für mich nicht eindeutig, weil zum einen der externe, dynamische Name des Routers angeführt wird, aber zum anderen die IPV6-Adresse des Routers. Gleichzeitig ist der traceroute für die Adressierung über den internen Namen gleich wie über die Adressierung über den externen Namen.

Also, mir ist klar, dass es einfache und gute Lösungen gibt um im LAN das NAS zu adressieren. Trotzdem hätte mich interessiert was passiert wenn ich im LAN die externe Adresse verwende ...

 

[ottosykora]

Also, mir ist klar, dass es einfache und gute Lösungen gibt um im LAN das NAS zu adressieren. Trotzdem hätte mich interessiert was passiert wenn ich im LAN die externe Adresse verwende ...

na ja, ich dachte als Informatiker weisst du das ja alles ganz genau

wenn du im eigenen Netz die externe Domain Adresse verwendest, dann soll eigentlich nichts funktionieren, weil die meisten Router keinen Loopback können oder nicht können sollen.

Wenn du aber dem Router beibringen kannst dass er es trotzdem macht, wie zum Bsp eine Ausnahmeregel in Fritzbox festlegen, dann macht er es auch.
Was du da noch mit Quickconnect machen willst? Irgendwie alles durcheinander scheint mir. Quickconnect ist ein Vermittlungsdienst.
Und dann noch Zertifikate? lokal braucht man so was eigentlich gar nicht.

Zu hause im lokalen Netz verwenden Leute normalerweise feste IP und verwenden Namen wie 'Diskstation' oder so was.


Ja, man kann 'Lösungen' suchen für nicht existierende Probleme

 

[the-ninth]

wenn du im eigenen Netz die externe Domain Adresse verwendest, dann soll eigentlich nichts funktionieren, weil die meisten Router keinen Loopback können oder nicht können sollen.

Tja, es funktioniert aber, sehe auch nicht warum es nicht funktionieren sollte und was das mit "Loopback" zu tun hat. Die Frage ist nur wie es funktioniert, also welchen Weg die Datenpakete nehmen wenn ich im eigenen Netz die externe Domain-Adresse verwende.

Was du da noch mit Quickconnect machen willst? Irgendwie alles durcheinander scheint mir. Quickconnect ist ein Vermittlungsdienst.

Das war auch Teil der Frage, wie QC genau funktioniert weiß ich leider nicht, deswegen hätte es mich interessiert.

Zu hause im lokalen Netz verwenden Leute normalerweise feste IP und verwenden Namen wie 'Diskstation' oder so was.

Das ist mir klar. Ist es trotzdem so schwer zu verstehen, dass ich gerne verstehen würde was genau abläuft wenn man den externen Namen verwendet? Und warum die Verwendung des externen Namen zum selben traceroute führt wie wenn man einen Namen wie "Diskstation" verwendet?

Ja, man kann 'Lösungen' suchen für nicht existierende Probleme

Und man kann hartnäckig auf Fragen antworten zu denen man eigentlich nichts beizutragen hat ...

 

[Synchrotron]

Tja, es funktioniert aber, sehe auch nicht warum es nicht funktionieren sollte und was das mit "Loopback" zu tun hat. Die Frage ist nur wie es funktioniert, …

Das war auch Teil der Frage, wie QC genau funktioniert weiß ich leider nicht, …

Das ist mir klar. Ist es trotzdem so schwer zu verstehen, dass ich gerne verstehen würde was genau abläuft wenn …

Ich bin Informatiker und verstehe die Grundlagen.

Finde den Fehler.

Sorry Leute, bin dann mal weg.

 

[ottosykora]

Tja, es funktioniert aber, sehe auch nicht warum es nicht funktionieren sollte und was das mit "Loopback" zu tun hat. Die Frage ist nur wie es funktioniert, also welchen Weg die Datenpakete nehmen wenn ich im eigenen Netz die externe Domain-Adresse verwende.

die meisten Router erlauben einen Anruf der externen Adresse nicht. Wenn es bei dir geht und es ein Provider Router ist, dann ist es eher etwas seltenes und sollte eigentlich nicht sein. Normale Router heute sollten diesen Schutz gegen DNS Rebinding beinhalten. Ja, es ist vielleicht nicht das ganz der technische Loopback, aber wird halt so genannt, weil man sich da quasi selber anruft. Also die IP wird aufgelöst auf die wan des Routers und dann durch den Router entsprechend behandelt. Die Switch Funktion merkt sich dann so was für eine gewisse Zeit und behandelt alles entsprechend.
Bei Routern die so was intern erlauben wollen, gibt es die Möglichkeit diesen 'Rebind Schutz' für einzelne konkrete Anfragen zu erlauben so zu sagen, da kann man eine Adresse wie xyz.example.com eingeben und dann erlaubt der Router auch intern diese Adresse. Damit ist die Ausnahmeregel zum Rebind Schutz gemeint.
Dann ist die externe Adresse ja dem Router bekannt und kann intern verwendet werden.

Daraus kann abgeleitet werden warum dein tracert das gleiche macht.


Wie der QC funktioniert, na ja, ganz genau wirst du es nicht erfahren, ist eine Synology Lösung, dazu gibt es jedoch 'quickconnect white paper' , danach kannst du suchen mit Suchdienst deines Geschmacks.
Wenn intern verwendet, das kannst du selber versuchen, kontaktiert es zwar den Server kurz, aber mit dessen Hilfe (unter anderem wohl) findet es heraus, dass sich die beiden Geräte im gleichen Netzwerk befinden und schaltet in den lokalen Mode und verwendet die gegenwärtigen lokalen IP ab dann.

 

[the-ninth]

die meisten Router erlauben einen Anruf der externen Adresse nicht. Wenn es bei dir geht und es ein Provider Router ist, dann ist es eher etwas seltenes und sollte eigentlich nicht sein.

Danke, dann verstehe ich warum du meinst das sollte nicht gehen. Hab diese Erfahrung aber ehrlich gesagt noch nicht gemacht. Mein aktueller Provider-Router ist ein Zyxel DX3101. Davor hatte ich einen Linksys WAP300N im Einsatz, da ging das mit dem Zugriff über den externen Domain-Namen auch. Dazu hab ich in einem anderen Netz einen Linksys LRT214 im Einsatz, auch dort kann ich aus dem lokalen Netz über externe Domain-Namen auf interne Geräte zugreifen.

Ja, es ist vielleicht nicht das ganz der technische Loopback, aber wird halt so genannt, weil man sich da quasi selber anruft. Also die IP wird aufgelöst auf die wan des Routers und dann durch den Router entsprechend behandelt. Die Switch Funktion merkt sich dann so was für eine gewisse Zeit und behandelt alles entsprechend.
[...]
Daraus kann abgeleitet werden warum dein tracert das gleiche macht.

Ja, ich gehe dann wohl aufgrund des traceroutes einfach mal davon aus, der Router erkennt das korrekt und lässt den Verkehr intern, auch wenn ich das NAS über die externe Domain-Adresse anspreche.

Wie der QC funktioniert, na ja, ganz genau wirst du es nicht erfahren, ist eine Synology Lösung, dazu gibt es jedoch 'quickconnect white paper' , danach kannst du suchen mit Suchdienst deines Geschmacks.

Danke, schon gefunden und werde es mir zu Gemüte führen.

https://global.download.synology.co...All/enu/Synology_QuickConnect_White_Paper.pdf

 

[ottosykora]

Bei uns wurden die Provider Router vor ca 10 Jahren zwangsweise updated mit dem DNS Rebind Schutz. Ab dann ging der 'loopback' nicht mehr.

Bei meinem Anschluss habe ich eine alte Fritz dahinter, drin habe ich dann die Ausnahme zum Rebind Schutz eingetragen.

Für die ganz alten Grufties: man kann auch auf dem Compi die 'hosts' Datei entsprechend editieren (oder erstellen) und dort das lokale Ziel definieren.

 

[the-ninth]

Für die ganz alten Grufties: man kann auch auf dem Compi die 'hosts' Datei entsprechend editieren (oder erstellen) und dort das lokale Ziel definieren.

Ja, den Gedanken hatte ich auch schon, aber das erfüllt mir nicht den Anspruch an eine "schöne" Lösung.