DDNS mit FB7590 & QNAP NAS einrichten

[H3llF15H]

Hallo Leute,

gerne würde ich auf eure Hilfe zurückgreifen und euch nun erklären wollen was ich vor habe und was mein Problem ist.

Ziel:
Mein Vorhaben sieht vor, dass ich von unterwegs auf mein NAS daheim zugreifen kann um z.B. meine Daten selbst zu hosten.

MyQNAPCloud kommt nicht infrage da ich dem System nicht so recht traue und auch explizit darauf hingewisen wird keine sensiblen Daten zu betrachten, hoch- oder runterzuladen.

Hardware:

• FritzBox 7590 (Firmware v7.20)
• QNAP TS 253 Be (Firmware: 4.4.2.1302)

Das NAS hat die Erlaubnis eigenständige Portfreigaben vorzunehmen, welche wie folgt aussehen und ohne mein Zutun eingerichtet wurden:

DynDNS Anbieter

Bei Strato habe ich eine Domain und eine Sub-Domain eingerichtet und in beiden Fällen DynDNS aktiviert. Folgend dazu beispielhafte Namen:

DynDNS-Anbieter	Strato AG
Domain	hallo.com
Sub-Domain	nas.hallo.com
Benutzername	User (in den Kundendaten hinterlegt)
Dynamic DNS Passwort	0815

Die Sub-Domain wollte ich auf dem NAS eintragen zwecks eindeutiger Zuweisung.

Eine verschlüsselte Verbindung soll mittels Strato SSL Starter Wildcard (DV) erreicht werden.

die ersten Gehversuche:
Nun habe ich mich mit der Thematik versucht zu beschäftigen, jedoch komme ich mit meinem laienhaften Wissen nicht weiter da das meiste für mich böhmische Dörfer sind und manches einfach nicht nachvollziehen kann (Portfreigabe, Portweiterleitung etc.). Habt daher bitte Nachsicht und seid geduldig mit mir

1. Versuch
DynDNS ist auf der FB deaktivert.
Auf dem NAS habe ich unter "Netzwerk- und virtueller Switch" => Zugriffsdienste => DDNS folgendes eingetragen:

Ein Zugriff auf das NAS von extern war nicht möglich.


2. Versuch
Siehe erster Versuch und dazu noch in der FritzBox folgendes eingetragen:

Der Zugriff auf das NAS von extern war plötzlich möglich.

Da ich aber nicht verstanden hatte weshalb dies so war habe ich alle Vorgaben zum DynDNs aus dem NAS sowie in der FritzBox gelöscht. Ebenso die eigenständige Portfreigabe um die Ports loszuwerden welche automatisch gesetzt wurden.

3. Versuch
In der FitzBox habe ich dem NAS wieder selbstständige Portfreigaben erlaubt und DynDNS eingerichtet - siehe Screenshot im zweiten Versuch. Die oben aufgeführten Portfreigaben sind wieder automatisch eingerichtet worden.

Nun kommt das kuriose, weshalb ich unsicher bin und auch die Zusammenhänge nicht verstehe. Weshalb kann ich nun über die Sub-Domain auf mein NAS zugreifen? Wieso leitet mich der Link "nas.hallo.com" auf mein NAS weiter? Die Sub-Domain habe ich nirgendwo angegeben?!


Ich würde mich freuen, wenn Ihr mir helft das Thema zu verstehen.

Vielen Dank an alle!

Schöne Grüße,

Sebastian

PS: In der Ergeignisanzeige der FritzBox kommt folgender Hinweis den ich nicht behoben bekomme.

Ist IPv6 hier etvl. das Problem? Wenn ja, irgendeine Idee wie ich das behebe?


€DIT 1: Änderungen in rot hervorgehoben.

 

[Mr. Robot]

Erst mal, eigenständige Portfreigaben sind eine schlechte Idee. Gib nur die Ports frei, die auch wirklich gebraucht werden.

Ich gehe mal davon aus, dass du eine Verbindung mit IPv4 haben willst (bei IPv6 braucht mal keine Port Weiterleitungen). Da solltest du erst mal prüfen, ob du überhaupt eine öffentliche IPv4 Adresse hast (bei DS-Lite hat man die nicht).

Schau mal auf der Statusseite der Fritzbox nach, welche externe IP-Adresse du aktuell hast. Diese Adresse muss identisch sein mit der, die zb. ipv6-test.com anzeigt, oder auch der DynDNS-Anbieter.
Sind die Adressen unterschiedlich, brauchst du gar nicht erst weiter machen, dann kann man keine Ports öffnen.

 

[H3llF15H]

Hey!

Erst mal, eigenständige Portfreigaben sind eine schlechte Idee. Gib nur die Ports frei, die auch wirklich gebraucht werden.

Mir ist durchaus bewusst, dass eigentsändige Portfreigaben etwas fahrlässig sind, nur steige ich zum Beispiel nicht dahinter was bei "Port an Gerät" , "bis Port" oder auch "Port extern gewünscht" eingetragen werden muss und vor allem woher ich die Info bekomme welchen Port ich überhaupt nutzen muss.

Ich gehe mal davon aus, dass du eine Verbindung mit IPv4 haben willst (bei IPv6 braucht mal keine Port Weiterleitungen). Da solltest du erst mal prüfen, ob du überhaupt eine öffentliche IPv4 Adresse hast (bei DS-Lite hat man die nicht).

Als IPv4 steht bei mir 92.xxx.xx.xx. IPv6 hingegen 2001:xxxx:xxxx etc. Hilft dir das weiter?

oder auch der DynDNS-Anbieter

In meinem Benutzerkonto auf Strato ist meine IPv4 gleich der , die unterhalb meiner Sub-Domain steht in der FritzBox. Ist ja eigentlich gut. Aber: weshalb ist die IP an die Sub-Domain gekoppelt?

 

[Mr. Robot]

Die Frage war, ob die IP-Adresse, die etwas Strato anzeigt, die gleiche ist wie die in der Fritzbox.

Und FTP ist ein unverschlüsseltes Protokoll. Das solltest du gar nicht benutzen, schon gar nicht im Internet.

 

[Myron]

Ich denke, dass Strato einfach als Wildcard deine IP-Adresse für alle Subdomains nimmt, die deine Fritzbox/dein NAS per DynDNS gemeldet hat.

Selbstständige Freigaben solltest du tunlichst lassen, gerade wenn du keinen Plan hast, was du gerade tust!

Welche Ports du für dein NAS freigeben musst, hängt davon ab, welche Dienste du aus dem Internet erreichen möchtest.

Bei welchem Internetanbieter bist du denn?

 

[H3llF15H]

Die Frage war, ob die IP-Adresse, die etwas Strato anzeigt, die gleiche ist wie die in der Fritzbox.

Ich war der Annahme, dass ich dir Frage beantwortet habe, als ich sagte, dass die IP in der FB die selbe ist wie die, die mir in meinem Strato-Konto angezeigt wird. Habe ich da was missverstanden?

Und FTP ist ein unverschlüsseltes Protokoll. Das solltest du gar nicht benutzen, schon gar nicht im Internet.

OK, war auch nicht direkt der Plan. Ich versuche halt derzeit rauszufinden, wie ich vom Smartphone an meinen Daten auf dem NAS komme - zum Beispiel mit QFile.

Selbstständige Freigaben solltest du tunlichst lassen, gerade wenn du keinen Plan hast, was du gerade tust!

Jup, habe ich auch schon wieder gecancelt. Das ist halt auch einer der Gründe weshalb ich mich hier melde. Ich habe den Zusammenhang von all dem (noch) nicht durchblickt und möchte nicht einfach akzeotieren dass e funktioniert - sondern ich will verstehen weshalb es funktioniert.

Bei welchem Internetanbieter bist du denn?

1&1.

 

[Myron]

Wenn du 1&1 hast, dann schau mal bitte, ob du in deiner Fritzbox bei der Internetverbindung sehen kannst, dass du per DS-Lite mit dem Internet verbunden bist.
Die Wahrscheinlichkeit ist groß, dass du DS-Lite hast und dementsprechend gar nicht aus dem Internet erreichbar bist.

 

[Sbibi]

Edit: Folgendes ist nur relevant, wenn du überprüft hast, dass du auch wirklich eine öffentliche IP von 1&1 bekommst. Wie von den vorherigen erwähnt!
Edit 2: Rechtschreibfehler + Formatierung

Mein Tipp:
DynDNS der Fritzbox nutzen und auf die Domain bei Strato zeigen.
Die Fritzbox meldet somit regelmäßig ihre aktuelle (öffentliche) IP-Adresse an Strato und Strato hinterlegt diese "hinter" deiner Domain.
Erstes Ergebnis sollte damit sein, dass du deine Domain anpingen kannst und die IP-Adresse deiner Fritzbox gemeldet wird.

Zweiter Schritt: auf deiner QNAP erlaubst du nur noch Verbindungen via https (http verbieten!).
-> QNAP -> Control Panel -> Allgemeine Einstellungen.
Weiterhin deaktivierst du die automatischen Portfreigaben für die/das QNAP (an der FB).

Deine Fritzbox ist ja für dich schon erreichbar, du möchtest nun also einen Schritt weiter und auf die QNAP zugreifen.
Deine QNAP hat eine private IP-Adresse aus deinem Netzwerk. Die Weboberfläche (zur Anmeldung) ist ein Dienst, der auf der QNAP läuft. Dieser Dienst ist (wie unter QNAP -> Control Panel -> Allgemeine Einstellungen sichtbar) unter einem bestimmten Port zu erreichen.

Gibst du an deinem PC also die IP-Adresse der QNAP ein und die zugehörige Portnummer (bspw: 192.168.178.20:443) kommst du zur Anmeldung.
Damit hast du schon einmal den internen "Endpunkt". Diesen musst du auf der anderen Seite mit der Fritzbox verknüpfen, die ja unter deiner Domain schon erreichbar ist.

Du musst deiner Fritzbox also beibringen (Portfreigabe-/Weiterleitung), dass wenn du bspw. hallo.com:12345 von irgendwo auf der Welt eingibst, zuerst hallo.com über den DynDNS in die IP-Adresse deiner FB übersetzt (schon geschehen), aber weiterhin die Fritzbox weiß, dass Anfragen, die "auf ihr" nach dem Port 12345 verlangen, automatisch an das Gerät QNAP und den Port 443 weitergeleitet werden.
Also FB -> Portfreigabe: intern QNAP:443 an extern 12345

für 12345 wählst du dir irgendeine Zahl, die "frei" ist: https://de.wikipedia.org/wiki/Liste...ts#Dynamische_Port-Adressen_von_49152_-_65535

Das mal als erste Anleitung. Das Forum möge mich verbessern oder ergänzen!

 

[H3llF15H]

Vielen Dank schon mal an alle! Ich muss mich später oder morgen wieder melden. Muss spontan weg 😕 ausstehende Antworten gebe ich gleich noch, denke ich 👋🏼

 

[Raijin]

da ich dem System nicht so recht traue

Das steht im Widerspruch zu

Das NAS hat die Erlaubnis eigenständige Portfreigaben vorzunehmen

Wie bereits erklärt wurde ist gerade das ein großes Sicherheitsrisiko. Die Funktion nennt sich UPnP und ermöglicht es einem Endgerät, selbsttätig ohne Zutun oder Kenntnis des Nutzers/Admins Portweiterleitungen zu erstellen. Dabei kann es sich um gewollte und ggfs unkritische Portweiterleitungen handeln, aber eben auch um ungewollte, wie zB von Malware. Der Router kann nicht zwischen sicher, unsicher, gut und böse unterscheiden und deswegen : Abschalten, was du ja wohl bereits getan hast.

Eine Verbindung kam nicht zustande.

Der Teufel steckt im Detail. Gerade dann, wenn jemand von sich selbst behauptet, dass er keine Ahnung hat, ist diese Aussage wenig hilfreich. DDNS hat nichts mit einer Verbindung zu tun und deswegen testet man DDNS auch anders. DDNS ist nix anderes als ein Telefonbucheintrag, der zB über eine täglich wechselnde Telefonnummer informiert wird. Mit einem Anruf hat das nix zu tun. Wenn DDNS der Telefonbucheintrag ist, ist DNS die Auskunft.

Möchte man nun "Max Mustermann" anrufen (=hallo.com), wählt man die Auskunft (DNS) und fragt mach der dazugehörigen Telefonnummer (IP-Adresse). Dann legt man auf und ruft eben diese Nummer an, um ein Gespräch zu führen (Verbindung).

Entgegen eines Telefongesprächs meldet sich bei einer Verbindung im Internet aber niemand mit seinem Namen und man erkennt auch die Stimme nicht. Deswegen ist der direkte Anruf der falsche Weg, um DDNS auf Funktion zu prüfen. Man muss also explizit die Auskunft anrufen.
Im Internet geht das zB so (Windows):

Start --> cmd --> nslookup hallo.com

Wenn dort die öffentliche IP des Routers angezeigt wird, ist DDNS in Ordnung und hat mit dem Problem nichts mehr zu tun.

Weshalb kann ich nun über die Sub-Domain auf mein NAS zugreifen? Wieso leitet mich der Link "nas.hallo.com" auf mein NAS weiter? Die Sub-Domain habe ich nirgendwo angegeben?!

Wenn du einen DDNS-Account einmalig erfolgreich aktualisierst, bleibt die Zuweisung Domain<>IP für eine Weile bestehen. Dass du also im zweiten Versuch nur hallo.com verwendest, ist egal, wenn zuvor im ersten Versuch bereits erfolgreich nas.hallo.com aktualisiert wurde. Ein DDNS-Update ist nicht Live im Sinne von "alle 5 Sekunden", sondern tendenziell eher "solange bis das nächste Update reinkommt".

Erstes Ergebnis sollte damit sein, dass du deine Domain anpingen kannst und die IP-Adresse deiner Fritzbox gemeldet wird.

Jein. Im Falle der Fritzbox mag das stimmen, aber Ping ist nur bedingt dazu geeignet, DDNS zu testen. Würdest du meine DDNS-Domain anpingen, käme kein einziger Ping durch, weil er geblockt wird. Zwar macht Ping vor dem eigentlichen Ping eine DNS-Abfrage und man könnte indirekt auf Funktion des DDNS schließen, wenn bei Ping die richtige IP steht, aber das potentielle Ergebnis "0 von 4 Pings erfolgreich" kann Fehlinterpretiert werden. Daher sollte man lieber wie oben beschrieben direkt eine DNS-Abfragr starten, ganz ohne Ping.

 

[chrigu]

Benutz doch die eingebaute ddns-qnap Funktion, hat zusätzlich eine Art vpn-Verbindung. Das ist wesentlich sicherer als das was du bisher alles gewurstelt hast mit ftp und öffnen aller Ports. Zudem kannst du qnap trauen, die wollen deine Daten nicht abgreifen. Falls du kein Vertrauen hast, verkaufe dein qnap, weil, sobald du deine Daten von aussen zugreifbar machst, können andere mitlesen, egal ob qnap, fritznas oder ddns-Betreiber die irgendwo in Russland den Server betreiben.

 

[Mr. Robot]

Ich war der Annahme, dass ich dir Frage beantwortet habe, als ich sagte, dass die IP in der FB die selbe ist wie die, die mir in meinem Strato-Konto angezeigt wird. Habe ich da was missverstanden?

Du hast geschrieben, dass Strato dir zweimal die gleiche IP anzeigt. Jedenfalls hat es sich so angehört.
Du hast nicht gesagt, ob die gleiche IP auch in der Fritzbox angezeigt wird. Was du jetzt wo abgelesen hast, musst du wissen.

 

[Raijin]

Eine VPN-Verbindung wäre natürlich die sicherste Variante. Da muss ich @chrigu Recht geben.

 

[H3llF15H]

Moin Moin!

so, erst einmal vielen Dank für eure Postings Meinen Eingangspost habe ich an zwei Stellen korrigiert respektive erweitert.

Du hast geschrieben, dass Strato dir zweimal die gleiche IP anzeigt.

Jup, hast recht. Keine Ahnung welche geistige Umnachtung das gestern war

Wenn du 1&1 hast, dann schau mal bitte, ob du in deiner Fritzbox bei der Internetverbindung sehen kannst, dass du per DS-Lite mit dem Internet verbunden bist.

Einen direkten Hinweis konnte ich nicht finden, aber eine Einstellung bei der der Haken nicht gesetzt ist.

und dementsprechend gar nicht aus dem Internet erreichbar bist.

Bin ich, hatte es jedoch im Eingangspost nicht erwähnt. Die Info habe ich nun nachgetragen.
Interessant ist jedoch, dass trotz Zwangstrennung, im OnlineMonitor die selbe IP steht wie gestern.

@Sbibi @Raijin
eure Beiträge werde ich mir in Ruhe zu Gemüte führen um die Thematik besser zu verstehen respektive nachvollziehen zu können

Und nochmal an ALLE: vielen Dank!
Mir ist durchaus bewusst, dass das Thema nicht das einfachste ist und vor allem, dass man einiges falsch oder sich auch angreifbar machen kann. Das will ich natürlich nicht. Und wie ich ja bereits geschrieben habe bin ich einfach ein Laie.

Ich denke, dass wir das hier fürs Erste ruhen lassen können, da ich mich nochmals belesen werde.

In diesem Sinne: nochmals Danke!

 

[Sbibi]

Lass' Dir Zeit bei der Thematik. Es gibt viel zu beachten - gerade in Bezug auf den Sicherheitsaspekt.
Und immer schön @Raijin hören, von ihm kann man was lernen!

 

[H3llF15H]

Hallo allerseits!

Ich wollte euch etwas Feedback darüber geben, was nun in den letzten Tagen geschehen ist. Angesichts eurer Hinweise, konstruktiven Kritiken und den einen oder anderen ausdrücklichen Fingerzeig auf die Sicherheit und meine Unwissenheit bin ich an dem Punkt an dem alles eingerichtet ist. So weit, so gut.

Was ich gemacht habe:

1. alle Dienste auf dem NAS deaktiviert und die FritzBox ebenfalls von allem Dummfug bereinigt den ich finden konnte (allen voran: automatische Portfreigaben)
2. belesen (DynDNS, Portweiterleitungen, SSL etc.)
3. belesen, welcher Dienst auf dem NAS welchen Zweck erfüllt
4. mir ein Ziel gesetzt, welches kurzfristig umgesetzt werden soll (Zugriff auf das NAS mittels https und sftp)
5. entsprechende Dienste aktiviert, unsichere Verbindungsmöglichkeiten abgewählt (http-Komprimierung etc.)
6. Ports auf dem NAS abgeändert um nicht dem Standard zu entsprechen um "etwas versteckter" unterwegs zu sein
7. Portweiterleitungen auf der FritzBox eingerichtet
8. Endgeräte konfiguriert

Von DynDNS habe ich erst einmal Abstand genommen, da das Thema - zumindest für mich - doch etwas komplexer ist. Schlussendlich verwende ich doch die hauseigene von QNAP mit dem SSL-Zertifikat von Let`s encrypt. Einer der Hintergründe ist, dass bei Strato die SSL-Verschlüssung als "unbekannt" angezeigt wurde, was mir zu unsicher ist.

In diesem Sinne möchte ich mich nochmal bei euch bedanken, vor allem für die sachdienliche Hilfestellung in ausführlicher Form

 

[chrigu]

Hört sich gut an. Perfekt wäre Verbindung Von ausserhalb ausschliesslich mit VPN.

 

[H3llF15H]

@chrigu
über VPN habe ich auch nachgedacht, dank dir . Dies ließe sich auch umsetzen, jedoch, dass muss ich zugeben, habe ich keine Lust im Vorfeld in den Einstellungen erst auf VPN zu wechseln. Aber mal sehen, testen werde ich es noch

 

[Raijin]

Sorry für die späte Antwort, aber ich habe mir in den letzten Wochen selbst eine computerbase-Pause auferlegt.

6. Ports auf dem NAS abgeändert um nicht dem Standard zu entsprechen um "etwas versteckter" unterwegs zu sein
7. Portweiterleitungen auf der FritzBox eingerichtet

Kann man so machen, häte ich anders gemacht. Das Ändern der Ports ist kein Sicherheitsfeature im eigentlichen Sinne, sondern nur Vernebelungstaktik, nichts weiter. Wenn man das tun möchte, was vollkommen legitim ist, würde ich die Änderung jedoch über die Portweiterleitung bewerkstelligen und nicht am Dienst selbst. Es ist überhaupt kein Problem, am Router statt 12345 --> 12345 zB 12345 --> 443 weiterzuleiten. So ist der https-Port von außen kaschiert und man muss im Browser explizit "https://.. .. ..:12345" eingeben, aber von innen kann man den Port weglassen, weil es der Standard-https-Port ist. Ein potentieller Angreifer von außen sieht nur den externen Port der Portweiterleitung und es ist ihm herzlich egal auf welchem Port der Dienst letztendlich auf dem NAS lokal läuft. Es ist daher eine Frage des Komforts ob man auch zu Hause ständig :12345 mit eintippen will oder ob man es in den eigenen 4 Wänden einfach weglassen kann und nur für den Fernzugriff nutzen muss.

Neben dem Komfort ist noch ein weiterer Aspekt relevant: Eine Portweiterleitung ist schnell geändert. 12345 passt doch nicht so gut? Kein Thema, Portweiterleitung auf 23456 -> 443 einstellen, speichern, fertig. Die Konfiguration eines Dienstes kann jedoch aufwändiger sein. Insbesondere dann, wenn ggfs noch die lokale Firewall auf dem Server-Gerät mit angepasst werden muss. Bei einem NAS zwar eher unwahrscheinlich, weil das Webinterface ja nur ein großer Wizard ist, der die Firewall im Hintergrund automatisch mitkonfiguriert, aber wenn es zB ein vollwertiger Linux-Server ist, der selbst eingerichtet wurde, muss man das stets bedenken. Daher: Den Service einfach auf Standard-Port laufen lassen und dem Router die Portänderung in die Hand drücken.

 

[H3llF15H]

@Raijin

danke für deine ausführliche Erläuterung. Mit der internen Port-Eingabe hast du ein Thema angesprochen, welches ich mir noch genauer ansehen muss. So kann nämlich auch vermieden werden den Port zu vergessen