Heimnetzwerk mit zwei NAS und Zugriff über Internet via Netzwerklaufwerk

[Raijin]

Das erste was man lernt, wenn man mit VPNs zu tun hat, ist eindeutiges Subnetting. Identische Subnetze verursachen große Probleme und sind nur mit Tricks zu umgehen.

Gerade wo du von Firmen-VPN sprichst: Bei Firmen-VPNs wird normalerweise der Internet-Traffic nicht durchgeleitet. Mag sein, dass das VPN-Gateway als Default-Gateway eingestellt wird, aber kein vernünftiger IT-Admin wird dir dann erlauben, deinen vermeintlich privaten Internet-Traffic durch die Firma zu leiten - quasi als VPN-anonymisierer. Firmen-VPNs sind für den Zugriff auf Firmen-Ressourcen, Server. Dementsprechend sind die Clients daher auch so konfiguriert, dass die Firmen-Server via VPN erreichbar sind, der Rest aber unangetastet bleibt. Allein die Tatsache, dass "das lokale Netzwerk abgekoppelt wird" spricht schon Bände. Mal kurz auf computerbase.de surfen, während VPN an ist? Oh, das blockt der IT-Admin. Mal kurz was ausdrucken? Geht auch nicht, der lokale Netzwerkdrucker ist ja totgelegt.

Es gibt immer Mittel und Wege wie man Probleme lösen kann, klar. In der Regel wird dann mit NAT gearbeitet. Sprich: Der Server im Büro bekommt nichts davon mit, dass dein Laptop bei dir daheim effektiv dieselbe IP hat wie das IP-Telefon im Besprechungsraum, weil das VPN-Gateway deine IP-Adresse hinter einem geNATteten Netzwerk versteckt.

Identische Subnetze sind schlicht und ergreifend ein NoNo bei VPNs. Das sollte man sich vorher überlegen. Sofern VPN-Equipment verwendet wird, das eben kein NAT macht, o.ä. guckt man ziemlich dumm aus der Wäsche.

Und ein IT-Admin in einer Firma, der bei VPN-Clients das Default-Gateway umbiegt, weil er zu faul war das Subnetz in der Firma ordentlich zu designen und den VPN-Client entsprechend gezielt zu konfigurieren, hat meiner Meinung nach seinen Job nicht gemacht.


Ich nutze täglich 3 VPNs (oft genug parallel) + das lokale Netzwerk. 2x OpenVPN und 1x IPsec. Würde man die VPNs so einrichten wie du meinst, müsste ich 4x umstecken bzw. an/aus schalten - je nachdem in welches VPN bzw. Netzwerk ich nu möchte, weil jedes VPN per Dampfhammer alles andere lahmlegt? Wenig sinnvoll und hoch problematisch.

 

[Ilsan]

Es kommt doch drauf an was ich will. Zum Beispiel bei unsicheren WLANs oder einfach weil ich nicht will dass derjenige der das WLAN betreibt so gucken kann was ich so treibe da ist es doch grade wieder erwünscht dass eben alles umgeleitet wird.
Ich hatte auch den Wikipedia Artikel zitiert damit klar ist über was ich rede. VPN ist nicht gleich VPN. Das mit den Subnetzen ist nicht direkt ein Problem nur weil man VPN nutzt sondern liegt eher an den Einstellungen.
Will ich im Urlaub Mails gucken und mein Videorecorder programmieren so ist es erwünscht dass alles umgeleitet wird. Beim Videogucken kann es anders aussehen, wobei dir dieses SSL-VPN auch nicht hilft wenn du ne Geosperre umgehen willst wenn nur Daten die an dein Heimnetz addresiert sind dort landen.

VPN gibts eben auch ohne NAT. Hat also doch eher mit Netzwerken an sich zu tun das Problem mit den Adressen als dass es ein VPN spezifisches Problem ist.
Nutzt man das FirmenWLAN auch fürs eigene Handy, sofern man darf, ist es auch nicht verkehrt eben den gesamten Traffic erstmal zu seinem VPN Server zu schicken wenn man nicht möchte dass dort jemand sehen kann wo ich so hinsurfe.

 

[Raijin]

Du vergleichst aber auch munter Äpfel mit Birnen. Du erklärst den Dampfhammer "Alles Umleiten", den man braucht, um auf entfernte Netzwerkressourcen zuzugreifen, weil man sein Subnetz nicht durchdacht hat, mit dem Argument, dass man dann darüber surfen kann?!?

Natürlich haben VPNs verschiedene Einsatzgebiete, aber genau die vermischst du hier.

Die Sache ist doch ganz einfach:

Nach deinem Prinzip
- hast du Zugriff auf entfernte Netzwerkressourcen
- kannst du nur ein einziges VPN zur Zeit haben
- hast du keinen Zugriff mehr auf das lokale Netzwerk (zB Drucker, etc)
- hast du ausschließlich Internetzugriff via VPN - sofern vom IT-Admin im entfernten LAN freigegeben (und potentiell kastriert)



Wenn das VPN ordnungsgemäß konfiguriert ist
- hast du Zugriff auf entfernte Netzwerkressourcen
- kannst du (fast) beliebig viele VPNs parallel betreiben
- hast du vollen Zugriff auf das lokale Netzwerk (Drucker, etc)
- hast du entweder lokalen Internetzugriff oder Internetzugriff via VPN oder gar beides (individuell)



Die Probleme, die in der ersten Variante entstehen, sind lediglich dem doppelten Subnetz bzw. der Symptombekämpfung geschuldet. Schließlich muss man dieses Problem irgendwie umgehen, woraus aber weitere Probleme entstehen (Stichwort: VPN aus zum Drucken.....). Ist das VPN korrekt ein- und auch das Netzwerk darauf ausgerichtet, hat man keinen einzigen von diesen Nachteilen, 0, nix, nada.

Natürlich hat jedes Problem für jeden eine individuelle Relevanz. Aber wenn jemand ein VPN neu einrichtet, sollte er sich dessen bewusst sein bevor er das umsetzt, weil er hinterher dumm aus der Wäsche guckt, wenn er ständig das VPN an und aus schalten muss. Schon einmal würde mich nerven, weil einem damit quasi ins Gesicht springt, dass die Umsetzung eben doch nicht so sauber war... Deswegen halte ich es für fatal, diese Problematik so unter den Teppich zu kehren. Ich habe schon genug Fälle dieser Art gehabt, im privaten wie beruflichen Umfeld.

 

[Ilsan]

Vielleicht will ich aber auch nur den Internetzugriff nutzen, schonmal daran Gedacht und nicht den Lokalen Drucker in der Ferienanlage. Was hat das genau mit "ist scheiße konfiguriert" zu tun?
Man muss wissen was man will, das sagte ich bereits, deswegen ist das eine aber nicht schlechter konfiguriert als das andere.

Deswegen halte ich es für fatal, diese Problematik so unter den Teppich zu kehren.

Hab ja nichts unter den Teppich gekehrt, aber auf der letzten Seite meinst du noch es sei nicht so wie ich sage sondern anders, welches letztendlich aber nur eine Sache der Konfiguration ist und keine allgemeine.

Du sagst der Admin hat schlechte Arbeit gemacht weil das Notebook sämtlichen Traffic über das Firmennetzwerk leitet. Woher willst du wissen was der Admin sich genau dabei gedacht hatte? Vielleicht war es ja so gewollt, du sagst aber einfach "ist dumm gelöst" kennst aber die Umstände gar nicht...

 

[Raijin]

Weil ein IT Admin genau wissen sollte was in seinem Netzwerk passiert. Blauäugig alles erlauben und privaten, potentiell gefährlichen Traffic durchs Firmennetz zu leiten ist das Gegenteil von dem was er tun sollte. Die Scheunentore kann auch ein Affe öffnen, dafür brauchts keinen ITler. Selbst wenn es so gewollt wäre, würde ein versierter Admin den gezielten Weg gehen und nur das erlauben/verbieten was auch so sein soll. Durch mangelndes Wissen den einfachen Weg zu gehen, kommt eher früher als später wie ein Bumerang zurück - und das zu verhindern ist u.a. die Aufgabe der IT.

Ich hab das alles schon durchgemacht. Mein Vorgänger hat in unseren Industrieanlagen das wundervolle 192.168.1.0/24 Subnetz eingebaut. Nu muss ich die Scherben wegräumen, weil viele unserer Kunden - Halbtagsadmins - dasselbe Netz verwenden. Echt bescheiden, wenn wir Schnittstellen zum KundenNetzwerk brauchen.. Das ist ein ähnliches Problem wie beim VPN, logisch identische, aber phyiskalisch getrennte Subnetze.


Mit 5 Minuten Nachdenken kann man solche Probleme in 99,9% aller Fälle für immer im Keim ersticken. Tut man das nicht, stehen die Chancen gut, dass man immer wieder Probleme damit bekommt.

 

[Ul_ti_mo]

Die DHCP-Range findest du in den Einstellungen des DHCP-Servers, also im Router. Ob das da nu IP-Range, -Bereich, -Pool, Start/Ende oder wie auch immer heißt, ist ein und dasselbe. Der DHCP-Server vergibt dann nur Adressen aus diesem Bereich. Stellst du an einem Gerät direkt eine manuelle IP ein - also ohne DHCP - dann suchst du dir eine IP vor/hinter diesem Bereich (und notierst dir das in einer Excel-Tabelle).

In diesem **** Router steht null drin. Weder in den Fortgeschrittenen Einstellungen noch wo anders. Meine DHCP Geräte werden mitsamt des Lease Status angezeigt und das wars. Datum und Uhrzeit des Ablaufs steht noch da und mehr nicht.
Ich versuche jetzt mal zumindest meine IP der Geräte zuzuweisen. Bin heute leider erst spät nach Hause gekommen.

Ergänzung (2. Februar 2017)

So, jetzt habe ich mit dem iMac mal begonnen die IP zu ändern bzw. zu vergeben. Ich habe die Mgl. DHCP mit manueller Ip oder auch eine komplette manuelle Konfiguration zu wählen. In beiden Fällen kann ich keine Verbindung ins Internet herstellen. Komisch ist auch dass mein Mac problemlos eine Verbindung zur Tc7200 ( 192.168.0.1) herstellen kann, jedoch auch dann nirgends aufgeführt wird. Wenn ich über DHCP verbunden bin wird er in den Gerätschaften dort angezeigt.
Anbei mal ein paar Screenshots.

Seht es mir nach, wenn ich da evtl. einen gravierenden Fehler gemacht habe, aber ich bemühe mich :-)

 

[Ilsan]

Weil ein IT Admin genau wissen sollte was in seinem Netzwerk passiert. Blauäugig alles erlauben und privaten, potentiell gefährlichen Traffic durchs Firmennetz zu leiten ist das Gegenteil von dem was er tun sollte. Die Scheunentore kann auch ein Affe öffnen, dafür brauchts keinen ITler. Selbst wenn es so gewollt wäre, würde ein versierter Admin den gezielten Weg gehen und nur das erlauben/verbieten was auch so sein soll. Durch mangelndes Wissen den einfachen Weg zu gehen, kommt eher früher als später wie ein Bumerang zurück - und das zu verhindern ist u.a. die Aufgabe der IT.

Ich hab das alles schon durchgemacht. Mein Vorgänger hat in unseren Industrieanlagen das wundervolle 192.168.1.0/24 Subnetz eingebaut. Nu muss ich die Scherben wegräumen, weil viele unserer Kunden - Halbtagsadmins - dasselbe Netz verwenden. Echt bescheiden, wenn wir Schnittstellen zum KundenNetzwerk brauchen.. Das ist ein ähnliches Problem wie beim VPN, logisch identische, aber phyiskalisch getrennte Subnetze.


Mit 5 Minuten Nachdenken kann man solche Probleme in 99,9% aller Fälle für immer im Keim ersticken. Tut man das nicht, stehen die Chancen gut, dass man immer wieder Probleme damit bekommt.

Okay ich will dass mein gesamter Traffic verschlüsselt wird weil ich mich in einem unsicheren Netzwerk befinde. Also leite ich nur den Traffic zu meinen IPs in meinem Heimnetzwerk durch den VPN Tunnel. Komisch dass der WLAN Betreiber dennoch sehen kann wo ich surfe, hab doch alles richtig gemacht weil der Raijin hat mir erzählt wäre perse dumm den gesamten Traffic durchs eigene LAN zu leiten... sowas machen ja nur Admins die keine Ahnung haben...

Vielleicht will der Firmenadmin auch dass die Daten übers Firmennetzwerk laufen um sie zu loggen? Vielleicht soll der Firmenlaptop immer die Firmenfirewall nur ans Netz angeschlossen sein etc?
Sorry aber ist doch totaler Blödsinn, du weißt nicht ob jemand was absichtlich so macht sprich es gewollt ist oder nicht, stempelst aber perse alles von vornerein als Blödsinn ab

Selbst wenn es so gewollt wäre, würde ein versierter Admin den gezielten Weg gehen und nur das erlauben/verbieten was auch so sein soll.

Okay dann zähle mal bitte die Sachen auf wenn ich mich mit dem Laptop am Pool befinde im WLAN der Ferienanlage und bisschen Onlienbanking machen will welchen Traffic ich da NICHT über den VPN Tunnel laufen lassen sollte.
Verbaue mir da vielleicht die Chance den Drucker zu nutzen in deren Netzwerk, der sowieso für mich gesperrt ist sehr warscheinlich. Juckt mich das? Nein.
Wenn die Anforderung ist ich will nicht dass derjenige über dessen Netzwerk ich surfe sehen kann was ich so treibe so bleibt dir gar nichts übrig als den gesamten Traffic durch den Tunnel zu leiten.
Was willst du da jetzt groß verbieten/erlauben? Willste nur jeden zweiten Seitenaufgruf dann darüber laufen lassen oder was hättest du da genau vor?

Also jetzt ganz konkret gefragt wenn ich will dass man nichts mitlesen kann welchen Weg hälst du da für noch "zielführender" als alles über den Tunnel zu leiten?

 

[Raijin]

Du vergleichst wieder Äpfel mit Birnen. Mir wirfst du vor, die verschiedenen Einsatzgebiete von VPNs nicht zu bedenken, aber selbst redest du immer nur von ein und derselben Situation. Es soll ja auch mal vorkommen, dass man nicht in einer Ferienanlage sitzt, sondern bei einem Kumpel oder einem anderweitig vertrauenswürdigen Netzwerk, in dem man nur auf seine Daten zugreifen und sonst ganz normal surfen/drucken/sonstwas will..

Die Beweggründe des TE waren es, von extern auf Ressourcen in seinem Netzwerk zuzugreifen, nicht darüber zu surfen!

Wie dem auch sei, wir werden nicht auf einen gemeinsamen Nenner kommen. Ich nutze ein Schweizer Taschenmesser, weil ich meine VPNs individuell konfigurieren und gestalten kann, du meinst du willst nur Äpfel schneiden und brauchst nur das Messer (oder den Dampfhammer?).


@Ultimo: Das liegt daran, dass die IP nicht im Subnetz drin ist. Eine kurze Einführung in IP-Adressen und Subnetzmasken:

Router IP: 192.168.0.1
Subnetzmaske: 255.255.255.0

Die Subnetzmaske besagt, dass die ersten drei Blöcke der IP fest sind, das ist das Subnetz, der Straßenname = 192.168.0.x (formal nicht ganz korrekt geschrieben, aber der Einfachheit halber lass ich das mal so). Der letzte Block ist die Rechner-Adresse, die Hausnummer.

MAC-IP: 192.168.12.87
Subnetzmaske: 255.255.255.0

Dasselbe Prinzip: Das Subnetz bzw. der Straßenname ist nun 192.168.12.x

Sobald ein Netzwerkgerät merkt, dass eine Ziel-IP nicht im selben Subnetz liegt, also in einer anderen Straßen, wird der Traffic an das Standard-Gateway geschickt, sozusagen der Briefkasten, der aber auch erreichbar sein muss! Die weitere Verteilung übernimmt dann dieses Gateway (in der Regel der Router) bzw. das Postauto. In deinem Falle merkt der Mac, dass die 192.168.0.1 in einer anderen Straße liegt, findet aber keinen Briefkasten (Gateway).

Wenn du nun dein Subnetz ändern willst, musst du dies eben auch im Router tun - quasi alles in derselben Straße


1) In den Router einloggen unter 192.168.0.1
2) Die IP vom Router zB auf 192.168.12.1 setzen
3) Browserfenster wird plötzlich weiß (die 192.168.0.1 gibt es ja nicht mehr)
4) IP des PCs manuell auf zB 192.168.12.10 setzen
5) Im Browser 192.168.12.1 eingeben
6) In den LAN-Einstellungen (1. Bild) "Lokale Adresse starten" zB auf 192.168.12.100 setzen
7) Pool-Größe auf zB 100 => Jetzt vergibt der DHCP Adressen von .100 bis .199
8) Lease-Time ist die Reservierungsdauer, in der DHCP-Geräte immer wieder dieselbe IP bekommen.
9) PC wieder auf DHCP einstellen, er bekommt vermutlich die .100
10) Alle Geräte, denen du eine feste IP geben willst - zB Access Points, NAS, Drucker, etc. - stellst du nun manuell eine 192.168.12.x ein (x = 2-99 bzw. 200-254)
11) Alle Geräte, die auf automatische IP eingestellt sind, bekommen für die Dauer von 86400 Sekunden (24h) eine IP vom DHCP zugewiesen (.100 - .199), nach 24h kann sie sich ändern

 

[Bogeyman]

Welchen Adressbereich sollte man denn am besten auswählen?


192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

könnte doch auch 10.100.100.0 nehmen mit der Subnetzmark: 255.255.255.0 oder irre ich mich da?

Mathematisch betrachtet wäre doch der 10.0.0.0 - 10.255.255.255 am intereantesten weil ich hier die meiste Auswahl habe. Kann 2 Zahlenblöcke komplett freiwählen, bei den 192.168.... ist es nur einer.
Sprich die Warscheinlichkeit einer Kollision wäre doch am kleinste bei 10.0.0.0 bis xy. ?

Ich meine aber schonmal manche Router gesehen zu haben wo man die ersten 2 Blöcke nicht ändern kann und diese immer 192.168 sind.

 

[Raijin]

Die meist genutzten Subnetze, die man nach Möglichkeit meiden sollte, sind

192.168.0.x (beliebige Hersteller)
192.168.1.x (beliebige Hersteller#2)
192.168.2.x (zB Speedports und easyboxen)
192.168.178.x (Fritzboxxen)
192.168.179.x (Fritzboxxen)

Es gibt vermutlich noch ein paar weitere Standard-Netze, die von anderen Herstellern benutzt werden. Wenn man obige Bereiche meidet, erschlägt man aber gefühlt 95%. Je ungewöhnlicher das Subnetz, umso unwahrscheinlicher ein Konflikt.

Ansonsten kann man sich hier austoben:

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Ich persönlich nutze mehrere Bereiche im (hinteren) ersten Block und im zweiten Block. Dabei orientiere ich mich an Geburtstagen, um mir das besser merken zu können. Zum Beispiel 172.23.4.0 für den 23.4. Funktioniert natürlich nicht immer (den 23.47.) gibt es nicht ^^), aber gibt ja genug Eselsbrücken und Auswahl. Generell sollte man aber jeweils die Anfangsbereiche der Blöcke mit Vorsicht genießen. Also nicht unbedingt 10.0.0.0 - 10.0.0.255 nehmen, weil das ja so schön einfach ist.

 

[Ul_ti_mo]

Super! Danke für die idiotensichere Anleitung Habe jetzt auch alles so gemacht und siehe da es läuft. Es ist bzw. war genau so wie du gesagt hast.

Er teilt dann ab 192.168.12.100 die DHCP IPs zu. Es erschien dann nur der Fehler "DHCP Poolgröße zu groß". Ich habe diese dann auf 100 herabgesetzt. Von 255. Ich gehe davon aus, dass ich wahrscheinlich bis 155 hätte gehen können, da ich ab 100 erst angefangen habe (100+155=255?!), wenn ich das so richtig verstehe.

Er hat sich dann mit allem nur dem Internet nicht verbunden. Ich habe mich dann nochmal über DHCP verbunden und gesehen dass zwei DNS Adressen hinterlegt sind. Diese habe ich dann in den manuellen Einstellungen ebenso hinterlegt und dann ging es.
Es funktioniert jetzt. Nur rein interessehalber, woher bezieht er diese bzw. woher weiß ich welche ich da eingeben muss?




Im Router wird der Mac jetzt auch mit Static-IP angezeigt.
Einmal mit dem Ethernet und .12.10 und einmal mit dem WLAN und .12.11


Jetzt muss ich mich noch mit meiner Mycloud verbinden versuchen und mal gucken was die so macht. Wenn ich das alles habe muss ich mal versuchen ob ich das mit dem Fernzugriff hinbekomme.
Heute kam endlich auch meine Asustor Mit der mache ich dann gleich weiter mit der Einbindung. Spätestens wenn es an den Fernzugriff geht werde ich wahrscheinlich wieder scheitern.

Danke für die super Erklärung. Mir geht es auch ein wenig um den Sachverstand nicht nur die Installation der Komponenten.

Ergänzung (3. Februar 2017)

Wenn ich das mit den DNS Servern richtig verstehe, sind die für die Umwandlung der IPs in "Namen" zuständig. Also da ich Unitymedia Kunde bin werde ich über deren DNS Server, welcher vermutlich auf meinem Router gespeichert ist, erreicht.Diese DNS holt er sich im DHCP automatisch und wenn ich manuell konfiguriere muss ich diese eben manuell eingeben, da sonst nichts drin steht und ich zwar im Netzwerk aber nicht im Internet bin. Diese DNS ändert sich ja nie, oder?

Da ich von Unitymedia immer eine neue IP bekomme, alle 24h ( ich glaube dies zumindest) kann ich mit dem Fernzugriff ohne DynDns quasi nur so lange zugreifen, wie die Ip aktuell ist. Danach muss ich über DynDns auf Selfhost z.B. das Ganze hinterlegen. Stimmt dass so in Etwa? :-)

 

[Raijin]

Also per DHCP werden ja nicht nur IP-Adresse und Gateway verteilt. Darüberhinaus schickt der DHCP Server auch den DNS mit, sofern der PC den DNS ebenfalls automatisch bezieht. Unter Windows sieht man das durch zwei getrennte Checkboxen, eine für automatische IP/Subnetzmaske/Gateway und eine für automatischen DNS. Bei MacOS? Keeeiiiinneee Ahnung :-p

Standardmässig verteilt ein DHCP auf einem Heimrouter die IP vom Router selbst als DNS. D.h. dass am PC dann Gateway und DNS jeweils zB auf 192.168.12.1 stehen. Intern leitet der Router DNS Anfragen aber an den Provider weiter. Sofern Router bzw. DHCP die Möglichkeit bieten, kann man auch explizit andere DNS per DHCP verteilen. So kann man zB Gateway = 192.168.12.1 und DNS = 8.8.8.8 per DHCP einstellen.

Die DNS in deinen Screenshots habe ich jetzt nicht explizit gecheckt, aber ich vermute mal das sind DNS Server vom Provider, die der Router einfach 1:1 per DHCP durchreicht.
*edit: Jep, Unitymedia.

DNS ist im übrigen dafür da, um aus computerbase.de eine IP zu machen. Quasi wie die Telefonauskunft, aber für IP Adressen. Ohne eingestellten DNS - egal ob automatisch oder manuell bezogen - kann man nicht surfen. Genau genommen schon, aber dann müsstest du hier im Forum im Browser statt computerbase.de immer 87.230.75.2 eingeben. Das macht der Browser bzw das Betriebssystem aber im Hintergrund, deswegen sieht man nur computerbase.de...

 

[Ul_ti_mo]

Super. Dann habe ich das verstanden. Jetzt bin ich an DynDns, bzw. no-ip am Basteln. Ich habe mich dort registriert und 30 Tage Testzugang. Ich kann mit meiner MyCloud nur zwei "Payanbieter" wählen.

Nochmal zum Verständnis. Ich richte das jetzt auf meiner Mycloud, welche am Technicolor TC7200 im Netzwerk hängt ein. Da habe ich aber nur die beiden Payanbieter zur Auswahl. Da mein Router so etwas nicht kann, muss ich es so machen. Angenommen der Asustor kann weitere andere Anbieter, dann bringt mir das für die Mycloud wenig, oder? Wenn dann müsste ich das über einen Router machen.

no-ip hat jetzt meinen Benutzeraccount und meine öffentliche Ip gespeichert. In meiner MyCloud habe ich die Daten eingegeben nur können diese nicht abgeglichen werden. Dazu muss ich jetzt noch Ports freigeben, oder?

Wen wir gerade dabei sind: Wisst ihr den Unterschied zwischen Weiterleitung und Port-Triggering und woher weiß ich welche Ports ich freigeben muss?

Ergänzung (3. Februar 2017)

Okay, das mit Port Triggering und Port-Weiterleitung konnte ich jetzt ergoogeln und habe etwas gefunden wo ich es in Etwa verstanden habe.
Beim Triggering wird die Weiterleitung durch eine ausgehende Verbindung ausgelöst und beim Forwarding wird die Anfrage durchgeleitet.

D.h. mein Port ist dann 80, der an meine Ip des Mycloud weitergeleitet wird, oder?

Ergänzung (3. Februar 2017)

So, ich habe jetzt in der Mycloud noch den Reiter Portweiteterleitung gefunden. Ich habe gelesen dass dort Remote Backups und SSH aktiviert sein muss. Warum auch immer... Unter ssh steht Port 22 und unter Remote Backups Port 873.


Ich habe unabhängig davon, nachdem ich in meinem Router den öffentlichen Port 80-80 über meine Ip der MyCLoud auf die Ziel Port Range Port 22-22 weitergeleitet habe in No-ip.ddns.net eine Verbindung, bzw die Seite meldet: Erfolg, DDNS updated.

Nur meine Mycloud meldet trotzdem einen Fehler in der Aktualisierung.



Okay, Denkfehler. Meine Nas muss ja die Website aktualisieren und mitteilen welche IP gerade vergeben ist.
Jetzt funktioniert es. Ich hatte einen Tippfehler. Muss ich dann überhaupt Ports freigeben?

Mein Ziel ist ja ein Netzwerklaufwerk auf drei anderen Laptops einzurichten.

Ergänzung (3. Februar 2017)

Da hänge ich jetzt wieder. Was muss ich an der Mycloud und / oder dem Router einstellen, dass ich auf die NAS zugreifen kann?

wenn ich in die Adressleiste meine ddns Adresse mit ort eingebe erscheint folgendes:

 

[Raijin]

Ein DDNS reicht, egal welches Gerät das macht. Das ist ja nur ein Alias für deine öffentliche IP. Man kann zwar mehrere DDNS verwenden, wenn man möchte, aber das ist dann nur als Fallback. Ich hab zB 3 verschiedene DDNS laufen, weil mein DDNS Provider vor 2 Jahren mal 3 Tage Ausfall hatte und das fiel für mich sehr sehr ungünstig - seitdem habe ich noch zwei weitere DDNS. Allerdings läuft bei mir auch ein Linux Server und bin nicht auf die DDNS im NAS angewiesen..

Eine Portweiterleitung brauchst du nur im Router. Einmal von extern wie oben beschrieben zB 8001 auf intern 443 auf der NAS IP. Dann sollte das mit WebDAV klappen (dein.ddns:8001)

Am NAS selbst musst du WebDAV aktivieren und in den Sicherheitseinstellungen / Firewall den Zugriff von extern erlauben.

 

[Bogeyman]

Wenn ich einen VPN Server einrichte wäre es dann nicht klever den auf Port 80 zu legen? Ich komm doch sonst gar nicht dran wenn ich in einem Netzwerk bin wo vielleicht "mein" Port gesperrt ist

 

[Ul_ti_mo]

Also habe jetzt alles auch so gemacht. Ich kann aber nicht auf die Mycloud zugreifen.


Dann kam das. Okay, dann hab ich https:// und meine Adresse verwendet. Er bringt mir dann aber trotzdem den Fehler:


In der Mycloud gibt es keine Firewalleinstellungen. Ich kann nur dort auch Ports weiterleiten.

Da gibt es vorkonfigurierte Auswahlen. HTTPS hatte dort z.b. 443 an 443 und https 8080 an 8080 und http 80 an 80.



Was mache ich falsch?

Aktiviert ist in der Mycloud folgendes:



Also so wie ich das sehe, kann der Server erreicht werden, nur dieser sagt nein zum Zugriff?


Gruß und Danke

 

[Raijin]

Ich nutze kein WebDAV und kann dir da leider nicht weiterhelfen.

Der Zugriffsfehler deutet aber darauf hin, dass das NAS den Zugriff von externen IP Adressen blockiert. Da ich weder das NAS kenne noch mit WebDAV arbeite, weiß ich auch nicht wo man das einstellen kann, sorry.

Teste das mal vom LAN aus, um zu sehen ob WebDAV grundsätzlich funktioniert.

 

[Ul_ti_mo]

Meinst du direkt von dem Rechner an dem die Mycloud hängt? Wenn du das meinst dann habe ich das schon versucht. Also von dem iMac der an dem Netzwerk ist, wo die MyCloud hängt.


Was heißt hier Zugriff im "selben Netzwerk" ?




Ich glaube er kommt mit https nicht klar. Also das NAS. Ich habe gerade ein Englisches Forum gefunden, wo das zumindest behauptet wurde. Wie müsste ich das dann über "Http" einstellen? Empfehlen würdet ihr mir das bestimmt nicht oder?

Was für alternativen hätte ich noch? VPN?

Ergänzung (5. Februar 2017)

Okay, ich komme egal wie, nicht auf das Nas. Er findet diese ja, nur wird er einfach immer geblockt.
Welche Möglichkeiten bestehen noch?

Gruß Timo

 

[Raijin]

1. Hast du dich mal selbst nach Tutorials umgesehen? Ich finde Dutzende bei Google.. Ein wenig Eigeninitiative ist nicht verkehrt..
2. Ich weiß gar nicht ob WebDAV ûberhaupt via Browser läuft. Evtl braucht man dafür ein Plugin oder gar einen separaten Client.
3. Alternativ: VPN und dann ganz normal ein Netzlaufwerk verbinden

 

[Ul_ti_mo]

Ja ich habe mich schon im Netz schlau gemacht und probiere schon seid über einer Woche. Ich komme aber einfach nicht auf die Cloud. Sonst würde ich wirklich nicht um Hilfe fragen.
Ich habe es jetzt mit der Asustor versucht. Da habe ich das fix hinbekommen. Über Port 8001 per https und 8000 über http kann ich drauf zugreifen. Die Einrichtung über die Asustor war aber auch super.

Ich verstehe aber ehrlich gesagt immer noch nicht genau wie das mit den Ports ist. Ich kann im Router und in meiner Nas Ports freigeben. Router hat bsp. 192.168.12.1 und die Nas 192.168.12.30. Jetzt will ich über https eine WebDAV Verbindung freigeben. Welche Ports muss ich dann wo freigeben? Im Router bei z.B. Https ext 8001 an 192.168.12.30 an int 8001? Dann kann ich über den ext. Port mit :8001 über https zugreifen?
Wenn das so ist wieso muss oder kann man dann in der Cloud auch noch Ports weiterleiten? Meldet die das an den Router wenn UPNP auf diesem aktiviert ist?


Ich werde wohl oder übel für die Mycloud ein VPN einrichten müssen. Da ich ja ein privates und ein Nas für die Werkstatt habe, ist dies dann so überhaupt möglich ohne dass ich mein ganzes Netzwerk freigebe? Da ich an den Tc7200 Router so oder so noch einen Switch anschließen müsste, geht es dass ich eine alte Fritzbox im Switchmode anschließe und nur diese Fritzbox und der daranhängenden Mycloud über VPN freigebe?

Sorry für die vielen Fragen aber ich bin was das alles angeht echt Anfänger.