Fritzbox statische IP mit NAS

[k0ntr]

Ich habe meinen Provider gewechselt und eine fixe IP bestellt (kostenlos). Ich habe im Heimnetzwerk eine Synology NAS die zurzeit per dyndns erreichbar ist.

Jetzt muss ich meine Fritzbox auf fixe IP umstellen, dazu habe ich folgendes gefunden: https://avm.de/service/fritzbox/fri...tliches-IPv4-Subnetz-in-FRITZ-Box-einrichten/

Dort steht aber, dass kein anderes Gerät die fixe IP benutzen darf.

Wie stelle ich das nun ein, dass ich auf mein NAS zugreifen kann? Reicht es eine Portweiterleitung einzurichten?

das würde so aussehen: https://xxx.xxx.xx.xxort (z.b 5001) und so gelange ich auf meine NAS?

gruss k0ntr

 

[BlubbsDE]

Bei der FritzBox musst Du bei der IP Konfig gar nicht ändern. Du musst nur die Portfreigaben richtig einrichten und kannst dann über der Internet IPv4 auf das NAS zugreifen.

 

[conf_t]

Naja, war schon immer so. Pro Endgerät 1 IP oder eben NAT/PAT machen.
Da du vom Provider 1 feste IP bekommst, hat die erstmal der Router. Der Rest per NAT/PAT erreichbar gemacht werden. Wenn du für dein NAS eine eigene IP haben willst, muss du schon ein IPv4 Subnetz beantragen - kostenlos wird das aber nicht sein.

Den Vorteil den du dir mit dieser Maßnahme eingekauft hast, ist dass du eben es dir mit dem DNS einfacher machen kannst, also kannst deinen DNS Eintrag statisch machen und er muss nicht mehr dynamsich täglich geupdatet werden.

Ich gehe auch davon aus, dass du am Ende nichts an der FB einstellen muss, das wird beim Provider vermutlich per dauerhaftem DHCP Lease gelöst. Das ist einfacher zu Verwalten für den Provider, vor allem von einer Seite aus steuerbar. Nicht dass es noch zu IP-Adresskonflikten kommt .


BTW ich würde die Managementoberfläche von meinem niemals von außen erreichbar machen.
Ich habe selbst ein NAS im Internet, da habe ich ein Portforwarding für TCP/80 und TCP/443 für Nextcloud, sowie SMTP(SSL) und IMAP (SSL) für meinen Email-Server eingerichtet - fertig. So muss man auch nicht mit "xxxxx:[Port]" hantieren.
Zugriff auf die Mgmt-Oberflächen ist per Firewallregel auf dem NAS nur aus dem LAN gestattet, der Zugriff aus dem Internet ist per GeoIP-Regeln reglementiert (was soll jemand aus Weißrussland, Ukraine, China mit meinem Email-Server?!). Und wenn ich dann mal von außerhalb ans NAS muss, wähle ich mich per VPN ein und gehe dann aus quasi aus dem LAN heraus auf das NAS.
Durch eine Routerkaskade (einfache und billige DMZ) habe ich mein Internet NAS vom restlichen LAN getrennt.

 

[Mar1u5]

Wie stelle ich das nun ein, dass ich auf mein NAS zugreifen kann? Reicht es eine Portweiterleitung einzurichten?

ja

 

[k0ntr]

Naja, war schon immer so. Pro Endgerät 1 IP oder eben NAT/PAT machen.
Da du vom Provider 1 feste IP bekommst, hat die erstmal der Router. Der Rest per NAT/PAT erreichbar gemacht werden. Wenn du für dein NAS eine eigene IP haben willst, muss du schon ein IPv4 Subnetz beantragen - kostenlos wird das aber nicht sein.

Den Vorteil den du dir mit dieser Maßnahme eingekauft hast, ist dass du eben es dir mit dem DNS einfacher machen kannst, also kannst deinen DNS Eintrag statisch machen und er muss nicht mehr dynamsich täglich geupdatet werden.

Ich gehe auch davon aus, dass du am Ende nichts an der FB einstellen muss, das wird beim Provider vermutlich per dauerhaftem DHCP Lease gelöst. Das ist einfacher zu Verwalten für den Provider, vor allem von einer Seite aus steuerbar. Nicht dass es noch zu IP-Adresskonflikten kommt .


BTW ich würde die Managementoberfläche von meinem niemals von außen erreichbar machen.
Ich habe selbst ein NAS im Internet, da habe ich ein Portforwarding für TCP/80 und TCP/443 für Nextcloud, sowie SMTP(SSL) und IMAP (SSL) für meinen Email-Server eingerichtet - fertig. So muss man auch nicht mit "xxxxx:[Port]" hantieren.
Zugriff auf die Mgmt-Oberflächen ist per Firewallregel auf dem NAS nur aus dem LAN gestattet, der Zugriff aus dem Internet ist per GeoIP-Regeln reglementiert (was soll jemand aus Weißrussland, Ukraine, China mit meinem Email-Server?!). Und wenn ich dann mal von außerhalb ans NAS muss, wähle ich mich per VPN ein und gehe dann aus quasi aus dem LAN heraus auf das NAS.
Durch eine Routerkaskade (einfache und billige DMZ) habe ich mein Internet NAS vom restlichen LAN getrennt.

dazu bräuchte man mehr Wissen um sowas aufzubauen, die habe ich momentan leider nicht... aber danke, bestimmt ein zukünftiges Projekt.

Ich möchte vorübergehend einfach diese fixe IP und auf mein NAS zugreifen können.

 

[Mar1u5]

Ich möchte vorübergehend einfach diese fixe IP und auf mein NAS zugreifen können.

Du musst doch einfach nur die Ports zur NAS weiterleiten. Funktioniert das nicht oder wo ist das Problem?

 

[conf_t]

Naja, dann muss man sich da einlesen. Einfach aus Bequemlichkeit und (das Wissen darum, dass das so wie du es vor hast ungünstig ist hast du jetzt) ein NAS ins Internet zu hängen und zu riskieren, dass es Teil eines BOT-Netzes, Spam-Servers, oder dir jemand die Daten abieht usw. wird gilt nicht.

Wenn ich die entsprechenden Geo-IPs nicht blocken würde hätte ich quasi permanent jemanden auf dem NAS der versucht meinen Email-Server zu hacken, um darüber SPAM zu verschicken. Kriegt der Provider so was raus informiert er dich und reagierst du nicht schaltet er dir das Internet ab.

Mein Bruder meinte auch mal so unbedarft daran zu gehen, bis ihm die Telekom den Anschluss abschaltete, weil da ein Gerät gekapert wurde und als Spam-Bombe und DDOS Gerät missbraucht. Zeit gleich mit der Abschaltung kam ein nicht sehr netter Brief per Post.

 

[k0ntr]

Du musst doch einfach nur die Ports zur NAS weiterleiten. Funktioniert das nicht oder wo ist das Problem?

Doch doch, ich wollte conf_t nur sagen, wie ich es momentan möchte und seine Infos in Zukunft bestimmt umgesetzt werden.

Muss mal die Fritzbox neu starten, momentan noch kein Internetzugriff verfügbar.

 

[Raijin]

Ich interpretiere deine bisherigen Aussagen so, dass du schon vor der Vertragsumstellung von außen auf das NAS zugreifen konntest. Da es eine dynamische WAN-IP war, bist du über eine DDNS-Adresse gegangen. Wenn dem so ist, hattest du auch da schon Portweiterleitungen eingerichtet. Wird jetzt der Provider gewechselt und die WAN-IP wird fix, dann lässt du die Portweiterleitungen einfach so wie sie sind.


DDNS ist ja nix anderes als eine menschenlesbare Alias-Adresse für die aktuelle WAN-IP des Routers. Die eigentliche Verbindung geht dennoch immer über eben diese IP, also direkt. Bei einer statischen IP am WAN-Port ändert sich daran nichts, auch da geht die Verbindung immer direkt auf diese IP - mit dem Untercmschied, dass diese IP eben immer gleich bleibt.

Beispiel mit DDNS:

1 Client im www will zum NAS unter abc.def.ddns
2 Client fragt seinen DNS-Server nach der dazugehörigen öffentlichen IP-Adresse
3 DNS antwortet mit der heutigen IP des DDNS-Accounts, zB 1.2.3.4, morgen abtwortet der DNS zB mit 4.3.2.1
4 Client öffnet eine Verbindung direkt mit 1.2.3.4, DDNS ist hier in keinster Weise mehr beteiligt
5 Router sieht die Verbindung und leitet den Port ans NAS weiter

Das Beispiel mit statischer IP wäre identisch, mit der Ausnahme, dass es erst mit Schritt 4 startet.

Wenn man einen statischen DNS-Eintrag erstellt wie oben schon erwähnt wurde (zb wenn man ne Domain für ein paar € im Jahr bucht und dann zB "nas.meinedomain.bla" statisch auf diese IP einstellt), dann sieht das Beispiel ganz genau so aus wie beim DDNS, aber eben ohne die täglich wechselnde Antwort des DNS-Servers, sondern immer mit derselben Antwort

Lange Rede, kurzer Sinn: Der eigentliche Verbindungsaufbau (4/5) unterscheidet sich in keinster Weise bei dynamischer öffentlicher IP oder statischer öffentlicher IP.

 

[fuyuhasugu]

Ich habe im Heimnetzwerk eine Synology NAS die zurzeit per dyndns erreichbar ist.

Sowohl Synology (als auch QNAP) stellen einen kostenlosen DDNS-Dienst zur Verfügung: https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/connection_ddns

 

[Mar1u5]

Wenn du für dein NAS eine eigene IP haben willst, muss du schon ein IPv4 Subnetz beantragen - kostenlos wird das aber nicht sein.

Dann müsste er aber die NAS ins DMZ hängen, was eine FritzBox nicht unterstützt. Er bräuchte also eine professionellere Firewall wie z.B. IPFire, einen PC/Server auf dem die Firewall die ganze Zeit läuft und höchstwahrscheinlich viel mehr Strom als die FB verbraucht und einen nicht gerade günstigen IP Block nur dass er für die NAS eine eigene IP hat anstatt einfach eine Portweiterleitung zu machen. Wo ist also der Sinn?

 

[conf_t]

@Mar1u5: Textverständnis ist nicht deine Stärke? Der TE ging wohl davon aus, dass er direkt mit der festen IP das NAS aufrufen könnte, diese hat aber die FB. Daher wurde ja schon auf das NAT/PAT verwiesen. Ich habe lediglich ergänz unter welchen Umständen es möglich wäre, dass man das NAS mit seiner eigenen öffentlichen IPv4 ansprechen kann. Daher erübrigt sich deine Frage nach dem Sinn oder Unsinn an meinem rhetorischen Vorschlag.

 

[Mar1u5]

und seine Infos in Zukunft bestimmt umgesetzt werden

@conf_t Ok, verstanden. Der TE hat hier aber geschrieben, dass er deinen Vorschlag in Zukunft umsetzen will, was dann ja nach unserer Meinung nicht sinnvoll, aber möglich ist.

Mal nebenbei: Bist du so ein Cisco Gott?

 

[conf_t]

Weil ich "conf t" schreiben kann ? Naja, Gott ist übertrieben, arbeite als 2nd und 3rd Level halt mit einem heterogenen Netzwerk, was aber primär Cisco einsetzt. Aber mein Steckenpferd sind eigentlich Paketanalysen mit Wireshark.

 

[k0ntr]

Paketanalysen mit Wireshark... dann hast du bestimmt Lust mir ein paar Sachen zu zeigen, wie man gewisse Daten filtert und schnüffelt

 

[conf_t]

Wireshark mache ich seit 9 Jahren, aber abgesehen von Einstiegskursen ist es schwer sich weiterzubilden.
Also ich war jetzt erst auf dem Sharfest 2018 in Wien, war interessant, nahezu alles Sessions gibt es auf Youtube auch als Videos. Sehr empfehlenswert, allerdings braucht man dafür schon ein paar Grundlagen.

Einzelne Fragen kann ich sicherlich beantworten, aber das ganze Thema per Forum zu erklären ist dann doch zu komplex.