FritzBox 7590 PortFreigabe & Synology Ports frage

[Lordicon]

Hallo liebe User,

ich fummel mich immer mehr in meine Synology DS218+ rein. Dazu habe ich bei meiner Fritzbox ertmal eine Frage.

1.:
Sollte man bei jedem Gerät die Selbstständige Portfreigabe anmachen damit die Geräte selber entscheiden können? (Ein bekannter hat das bei allen seinen Geräten wie z.b.: Lichschaltern, Alexa, Handys etc. an)
Ich selber habe das nur bei den PCs an die mit Steam z.b ins Internet gehen. Handys und Alexa und so weiter haben keinerlei portfreigaben.

2.:
nun zu meinem klasse problem... ich habe die FritzBox 7590 und die FW 7.12 drauf. Sooo nun ist es so das meine Synology DS eine Freigabe für Port 24 und Port 5000, 5001 sowie 5005 und 5006 wegen WebDav und HTTPS.
Einmal verbinden geht auch super! Auch mit dem Handy Dateimanager. Auch das WoL Hochfahren geht. Wenn die DS aber ich sag mal 1 Stunde im Ruhemodus ist bekomme ich keine Verbindung mehr über DynDNS. Nichtmal wenn ich die per Hand anmache und über DynDNS Ansprechen möchte.

Ich habe eine Domain bei Strato und da eine SubDomain angelegt welche mit DynDNS mit der Synology harmoniert. Auch in der DS zeigt er in Grün "Normal" an wenn ich die Verbindung Teste.

Aber verbinden geht nicht. Wenn ich in der FritzBox die Portfreigabe lösche und die wieder neu hinzufüge geht es wieder für eine gewisse zeit und dann wieder nicht mehr...

Ist es denn besser der FritzBox DynDNS zu geben oder der Synology? Ich muss morgen vormittag mal die beiden Firmen abtelefonieren ob die eine Idee haben.

kann mir jemand erklären was das sein kann?

LG LordIcon

 

[TheBeastMaster]

1. Aus sicherheitsgründen deaktiviere ich UPnP komplett.
2. Ich würde die Synology nicht direkt ins Internet hängen, sondern über ein VPN nach Hause arbeiten.
3. Dyndns auf der Fritzbox einrichten ist der "richtigere" Weg.

 

[Lordicon]

Danke dir ersmtal für deine Antwort. Ja also meine PS4 hat Exposed Host weil die sonst echt mucken macht. und meine PCs haben UPnP an weil ich immer dachte es sei sicher und man SOLLTE es nutzen damit man nicht immer an den Ports rumdoktoren muss.

Ich brauch die Synology am internet ohne VPN weil meine Kinder zu oft mal ebend mit dem PC aus der schule drauf zugreifen müssen (sachen vergessen etc.) und weil ich oft mit dem Handy mal fix eine Datei bruche und ich keine lust auf ständige VPN Verbindung habe leider. Ich weiß vielleicht blöde gründe. und es ging ja sonst auch einwandfrei aber keine ahnung was die FB im moment hat. wie gesagt ist die hoch gefahren geht allers aber WoL geht nur im LAN nicht aus dem ionternet obwohl die ports frei sind

 

[jensxp]

Ich habe eine DS918+, anders als bei dir läuft meine 24/7 (geht schon wegen Plex nicht).
Bei mir sind folgende Portfreigaben gemacht:

DynDNS (selfhost) ist in der FB eingerichtet. Mit VPN habe ich mich nur kurz beschäftigt, mich hat das abgeschreckt weil es mir sehr komplex erscheint, schon die Einrichtung ... ich nutze also auch kein VPN.
Verbindungsprobleme hatte ich bisher keine.

 

[chrigu]

Wie gesagt, was du machst kann in die Hose gehen. So ein VPN ist kinderleicht einzurichten und zu verbinden. Mit den händy ein Klick, mit dem pc ein Klick. Die syno bietet selber ein VPN an, lies mal.
zu upnp: jetzt kann ein infizierter Rechner direkt nach Hause telefonieren und als botnetz umgebaut werden ohne das eine Fehlermeldung kommt. Ist „meine Kinder vergessen...“ wichtiger als die Sicherheit der Daten der ganzen Familie?

 

[Lordicon]

@jensxp so gehts mir ebend auch. Ich habe mich damit schonmal beschäftigt aber es soll einfach leicht für leute sein die ebend Nur schnell auf die Synology zugreifen sollen. wie z.b auf einen ordner den ich schnell freigebe etc. Dazu sind die sachen ja auch gemacht und ich denke die FB wird das schon hinbekommen mit dem sicher rein raus. das upnp werd ich mal abschalten bis es wirklich schwirigkeiten gibt bei ports.

mir wurde das bei der ps4 nur geraten upnp an zu machen oder gleich exposed host.


DynDNS ist in der Fritte besser als auf der Synology? hat das den nauch vorteile? oder ist das wayne?

edit*
ich habe gerade mit synology telefoniert. ich musste ein zertifikat erstellen und nun geht zumindest der webdav zugang. die sagen wiederrum ich solle den DynDNS lieber auf der synology lassen nicht auf die Fritte legen.

Desweitern hat der Supporter gesagt WoL sein eine LAN Sache und geht nicht von außen. als ich ihm erklären wollte as es bei mir komischerweise aber geht hatte er den chat schon beendet xD

Ja also das von ausen geht mit einem lets BLABLA Zertifikat.

Dann habe ich bei AVM Angerufen die ja alle Homeoffice machen und total blöd zu verstehen waren. Die dame sagte meine ganzen UPnP freigaben können das problem gewesen sein mit dem zugriff das sich eins der anderen geräte den port den ich brauchte geöffnet hat (obwohl hinter KEINEM gerät in der liste der port offen war. aber komischerweise seit dem die UPnP nun alle aus sind geht das mit dem zugriff komischerweise... Auch WoL wenn ich bei meinem handyDateimanager über meine DynDNS die DS aufrufe klappt es (im moment) Nach löschen der UPnP und erstellen des zertifikats. komisch oder?!

und kann ich eigentlich 2 DynDNS in der DS laufen lassen? also die meiner eigenen subdomain und eine von Synology.me? ich weiß ebend nicht welche besser ist. weil ich bei strato ab und zu mal stehen habe das zuviele anfragen da waren und ich es später versuchen soll

 

[Raijin]

UPnP
UPnP gilt als Sicherheitsrisiko. Es ist für den Router nicht ersichtlich ob die angeforderte UPnP-Portweiterleitung "gut" oder "böse" ist. Das heißt er wird die Anfrage für ein NAS akzeptieren, aber eben auch die Anfrage von der Malware am PC.

Ob man bisher Probleme damit hatte, ist dabei kein Argument. Es ist wie mit einer Versicherung. Wenn man nie einen Versicherungsfall hatte, könnte man argumentieren, dass man die Versicherung nicht braucht - bis der Fall dann doch eintritt und man nicht versichert ist. Der Vergleich hinkt zwar aber, weil man durch gesparte Prämien immerhin Geld sparen konnte, bei IT-Sicherheit gibt's aber kein Sparkonto. Es kann Jahr(zehnt)e gut gehen, aber irgendwann rutscht doch mal eine Malware durch und plötzlich sind die privaten Urlausbsfotos im Netz oder schlimmeres. "Gespart" hat man sich nur 10 Minuten Arbeit für die Einrichtung von Portweiterleitungen - ein schwacher Trost...

Wenn man aus welchen Gründen auch immer der Meinung ist, dass man UPnP braucht - zB weil man nicht die richtigen Portweiterleitungen eingerichtet bekommt - sollte man alle potentiellen Sicherheitsmechanismen des Routers nutzen, dier er im Rahmen von UPnP bietet. Das ist in der Regel nur eine Liste der erlaubten IPs, die UPnP nutzen dürfen (zB die IP der PS4 only). Setzt man dort den PC ein, steht Malware aber auch so natürlich Tür und Tor offen.


DDNS
Es ist egal wo der DDNS-Client läuft. Er kann auf dem Router laufen, dem NAS, einem Raspberry PI oder auch auf einem PC. WIchtig ist, dass das jeweilige Gerät 24/7 eingeschaltet ist.


Portweiterleitungen vs VPN
Das Problem an direkten Portweiterleitungen auf Dienste im lokalen Netzwerk ist, dass auf eine Portweiterleitung in der Regel bald die nächste folgt. Jede Portweiterleitung ist ein potentieller Angriffsvektor von außen. Wenn der Dienst, der dort läuft, nicht adäquat abgesichert und verschlüsselt ist, kann er angegriffen und als Brückenkopf für die Infiltration des Netzwerks genutzt werden. Der Router ist dabei vollkommen aus dem Spiel, weil er gemäß der Portweiterleitung einfach nur weiterleitet. Die Wahrung der Sicherheit obliegt daher dem Ziel der Weiterleitung. Aktiviert man auf einem NAS beispielsweise einen unverschlüsselten FTP-Server und leitet den Port im Router weiter, ist es nur eine Frage der Zeit bis man ungebetene Gäste hat.
Ein VPN ist daher ein zentraler Zugangspunkt, eine Portweiterleitung, über die dann alle Dienste im lokalen Netzwerk verschlüsselt von außen genutzt werden können - auch der besagte FTP-Server. Es gibt derart viele Tutorials zu VPNs, dass "zu kompliziert" kein Argument mehr ist.
WebDAV bzw. https kann man als sicher einstufen, weil sonst zB HomeBanking ebenfalls ein enormes Problem hätte. Für "mal eben schnell jemandem etwas freigeben" halte ich das dennoch nicht für die beste Lösung, weil es für sowas eben auch Dropbox und Co gibt. Ansonsten richtet man demjenigen eben auch einen VPN-Zugang ein.

 

[Lordicon]

Danke dir erstmal das du mir das so ausfürlich erklärt hast! Ja mal ebend was freigeben ist blöd gesagt. geht halt drum das bekannte Bilder auf meiner DS Liegen haben und die einfach DropBox und co. nicht vertrauen weil es nicht bei jemandem zuhause steht. (Ist ebend deeren einstellung) und da sind dann bilder drinne wie die ich mit der drohne gemacht habe z.b. genau wie diverse Potterdatein auf die wir zusammen zugreifen.

UPnP habe ich dann mal deaktiviert bis es wirklich zu problemen kommt^^

DDNS ging mir dadrum ob ich sogar vorteile habe wenn ich das auf der FritzBox habe um gegebenfals andere geräte noch nutzen zu können die vor der DS sind.

Kann man Theoretisch auch eine DDNS subdomain für 2 Geräte also FritzBox & eine DS nehmen die in der Fima steht oder sollte man da 2 Verschiedene nehmen?

 

[Raijin]

DDNS ging mir dadrum ob ich sogar vorteile habe wenn ich das auf der FritzBox habe um gegebenfals andere geräte noch nutzen zu können die vor der DS sind.

Nein. Wie ich sagte: Es ist vollkommen egal wo der DDNS-Client läuft.

DDNS ist lediglich ein Telefonbucheintrag unter der DDNS-Domain mit deiner aktuellen öffentlichen IP-Adresse. Alle Geräte in deinem Netzwerk gehen über dieselbe öffentliche IP-Adresse ins Internet und sind auch über dieselbe öffentliche IP-Adresse von außen erreichbar (Portweiterleitung vorausgesetzt).

Beispiel:

• deine aktuelle öffentliche IP ist 1.2.3.4
• die Fritzbox macht ein DDNS-Update bei lordicon.blablubb.ddns => 1.2.3.4
• das NAS macht ein DDNS-Update bei lordicon.blablubb.ddns => 1.2.3.4
• ein Raspberry PI macht ein DDNS-Update bei lordicon.blablubb.ddns => 1.2.3.4
• dein smarter Kühlschrank macht ein DDNS-Update bei lordicon.blablubb.ddns => 1.2.3.4
• die Fritzbox macht ein DDNS-Update bei lodricon.myfritz => 1.2.3.4

Du merkst wohin das führt? Du hast genau eine öffentliche IP-Adresse und egal welches Gerät im Netzwerk ein DDNS-Update macht, diese eine öffentliche IP-Adresse muss beim DDNS aktualisiert werden. Sobald beim DDNS nun deine öffentliche IP hinterlegt ist, ist es nur eine Frage der Portweiterleitungen im Router auf was du darüber zugreifen kannst. DDNS ist ein Telefonbucheintrag, nix anderes.

Zur Info: DDNS hat auch nix mit der eigentlichen Verbindung zu tun. DNS (ohne das doppel-D) ist wie die Auskunft. Das heißt, wenn du von unterwegs auf deine DDNS-Domain zugreifst, ruft dein Laptop genau einmal bei der Auskunft (DNS) an, um die dort hinterlegte IP-Adresse zu erfahren. Anschließend verbindet er sich direkt mit dieser IP und der DDNS sieht nicht ein einziges Bit auf dieser Verbindung, weil die Bits gar nicht bei ihm vorbeikommen.

 

[Lordicon]

Danke dir das kann ich nun verstehen^^

also kann ich eine DDNS auch auf 3 Geräten nutzen wie z.b 2 Fritzboxen die in anderen haushalten steht sowie der DS und er löst die Geräte dahinter dann auf? Oder brauch ich halt für jedes Gerät einen eigenen "Telefonbucheintrag" wie z.b Fritzbox.blabla und synology.blabla

und zu dem das kein Bit gesendet wird wieso geht dann die DS an wenn ich meine DDNS aufrufe mit Port 24 z.b? oder liegt das wieder dadran das in der Fritzbox WoL aktiviert ist unter der IP in der FritzBox?

 

[Zipfelklatscher]

Wenn du 2 Fritzboxen an verschiedenen Standorten mit eigenem Internetzugang hast, benötigt jede Fritzbox einen eigenen DynDNS-Account, da beide unterschiedliche öffentliche IP-Adressen bekommen. An allen Geräten, die an der jeweiligen Fritzbox hängen, muss kein DDNS eingerichtet werden, wenn das schon die Fritzbox macht.

 

[Raijin]

also kann ich eine DDNS auch auf 3 Geräten nutzen wie z.b 2 Fritzboxen die in anderen haushalten steht sowie der DS und er löst die Geräte dahinter dann auf?

Eine DDNS-Domain zeigt NUR auf die öffentliche IP deines Routers, immer! Es ist egal ob dein Router selbst beim DDNS-Anbieter anruft oder ob es dein NAS tut. Du kannst das auch per Hand am PC machen. DDNS hat rein gar nichts mit der eigentlichen Verbindung zu tun.

Nehmen wir an du willst vom Hotel aus dein NAS via WebDav aufrufen.

1. Du gibst im Browser blablubb.ddns ein
2. Windows fragt den DNS (zB 8.8.8.8 für google) nach der IP zu blablubb.ddns
3. DNS antwortet 1.2.3.4
4. Windows bzw. der Browser sendet eine Verbindungsanfrage an 1.2.3.4
5. Beim Router (1.2.3.4) kommt eine Verbindungsanfrage rein
6. Router prüft ob er eine passende Portweiterleitung hat
--> ohne PW --> Anfrage abgelehnt
--> mit PW --> Anfrage an PW-Ziel weitergeleitet

Ich habe bewusst nicht geschrieben welches Gerät den DDNS-Account aktualisiert hat, weil es vollkommen egal ist, der Ablauf ist E X A K T derselbe.

und zu dem das kein Bit gesendet wird wieso geht dann die DS an wenn ich meine DDNS aufrufe mit Port 24 z.b?

Weil das eben Schritt 4+ ist, die Verbindungsanfrage und ggfs Portweiterleitung.


Nur um das vielleicht noch deutlicher zu machen: Du kannst auch NUR Schritt 1-3 machen, indem du in der Kommandozeile (Start --> cmd) "nslookup blablubb.ddns" eingibst. Das ist ausschließlich_ der Anruf bei der Auskunft. Die Auskunft hat aber nix mit dem eigentlichen Anruf zu tun, weil man nach Erhalt der Information auflegt und dann die richtige Nummer anruft (ab Schritt 4).

Wenn man kein DDNS verwendet, kann man im Browser auch direkt die (aktuelle) öffentliche IP des Routets eingeben, also wie im Beispiel die 1.2.3.4. Dann entfallen die Schritte 1-3, weil das eben nur der Anruf bei der Auskunft ist, den man aber nicht braucht, weil man ja bereits die richtige Telefonnummer (alias öffentliche IP) kennt.