NAS über zwei (!) Fritzboxen und DSlight von extern erreichbar machen

[Merlino72]

Hallo zusammen,

Ich möchte mein NAS (QNAP TS-453B) von extern erreichbar machen (per VPN).

Bei meiner Fragestellung soll es erstmal nicht um die Einrichtung von VPN gehen, sondern die generelle Erreichbarkeit per DSlight von Netcologne herzustellen. Folgende Geräte sind dabei im Spiel:

FB7490 (hängt am DSL DSlight Anschluss)...Heimnetzwerk hat die IP 192.168.179.xxx
FB7590 (bezieht den Internetzugang von der 7490 über WLAN und stellt ein weiteres Netzwerk bereit, mit der IP 192.168.178.xxx)
QNAP NAS TS-453B, hängt im Netzwerk der 7590

Wie muss ich das ganze für IPv6 einrichten...an der 7490, an der 7590 und am NAS, so dass ich später per VPN auf das NAS zugreifen kann?

Ich wollte mal bei der 7490 beginnen, weil ich mich dann an der "Kette" bis zum NAS entlang hangeln möchte; dabei kann ich immer prüfen, ob eine bestimmte Veränderung den Internetzugang "killt". Allerdings scheitere ich bereits bei der 7490 unter Internet/Zugangsdaten, Reiter "IPv6". Da ist bei mir derzeit angeklickt "Native IPv6-Anbindung verwenden". Allerdings habe ich in diversen Anleitungen (auch von AVM) gelesen, man solle da "Native IPv4-Anbinung verwenden" anklicken. Für mich als Laie schon mal unlogisch. ...und wie geht es dann weiter?
Habe testweise das auf Natives IPv4 eingestellt, aber dann hat die 7490 keinen Internetzugang mehr. [IMG]https://forum.chip.de/plugins/emojiextender/emoji/yahoo/confounded.gif[/IMG]
Kann mir da jemand von Euch bitte helfen? Vielleicht erbarmt sich jemand und hilft mir Schritt für Schritt?

Vielen Dank und viele Grüße,
Merlino

 

[honky-tonk]

der VPN von fritz kann aktuell nur IPv4, v6 soll aber demnächst mit wireguard kommen.

anleitungen für DSLite umgehung gibts im netz zu finden...das wäre erstmal schritt 1. danach könntest du es bei der 7590 mit port forwarding machen

 

[bender_]

Ich möchte mein NAS (QNAP TS-453B) von extern erreichbar machen (per VPN).

Nicht an den Fritzen rumdoktern. Die können (noch) kein VPN über IPv6 (was bei DS-lite deine einzige Chance ist, wenn Du nicht über einen Tunnelbroker gehen willst).

Hier steht, wie es mit Wireguard auf QNAP gemacht werden kann: https://forum.qnapclub.de/blog/entry/561-quick-guide-wireguard-server-auf-qnap-einrichten/

Zugriff von außen, dann nur per IPv6 möglich. Evtl. musst Du die APNs an deinen Smartphones entsprechend anpassen, damit die sich auch per IPv6 ins Internet verbinden.

 

[chrigu]

Benutz den qnap Connect/cloud Dienst, dem ist ds-lite egal und ist ein ddns und ein vpn in einem.

 

[riversource]

FB7490 (hängt am DSL DSlight Anschluss)...Heimnetzwerk hat die IP 192.168.179.xxx

Das wird nicht funktionieren. Das 179er Subnetz nutzt die Fritz!Box intern fürs Gastnetz, es lassen sich keine Endgeräte-Funktionen damit realisieren. Sprich: Schon die erste Portfreigabe, die du machst, wird schiefgehen.

Wechsle zunächst den IP-Bereich der ersten Box. 180 und 181 werden ebenfalls intern genutzt, geh von 178 also lieber nach unten, wenn du in der Nähe bleiben willst.

Ansonsten kann man es so machen, wie die Kollegen es beschrieben haben. Also VPN aufs NAS und dann mittels Portfreigaben auf beiden Routern für den Zugriff sorgen.

Mögliche Ergänzung: Ein Portmapper wie feste-ip.net, damit würde der Zugriff neben IPv6 auch via IPv4 klappen (von außen zumindest. Die Freigaben bleiben auf IPv6).

Alternative: Das NAS baut einen VPN Tunnel ausgehend zu einem kleinen VPS auf. Auf diesen VPS können sich dann auch die Mobilen Clients verbinden, und der vermittelt dann den Datenverkehr. Das ist die flexibelste Lösung, aber auch die aufwendigste.

 

[Merlino72]

Guten Morgen und erstmal recht herzlichen Dank an Euch alle für Euren Input.

Wie habt Ihr das bei Euch gelöst? Wenn ich Euch richtig verstehe, soll ich wohl die Verbinung über myqnapcloud.com herstellen....richtig?

Was wäre denn, wen ich einfach unter ipV4 eine VPN verbindung herstelle und direkt auf das NAS innerhalb meines Netzwerkes zugreife? ...da reichen allerdings meine Kenntnisse nicht aus, um das so einzurichten, dass die VPN Verbindung von der ersten auf die zweite FB weitergleitet wird und dann auf das NAS. Wie richte ich sowas ein?

 

[bender_]

Was wäre denn, wen ich einfach unter ipV4 eine VPN verbindung herstelle und direkt auf das NAS innerhalb meines Netzwerkes zugreife?

Ein unnützer VPN Tunnel der innerhalb deines Netzwerks beginnt und endet.
Außer Du willst eigentlich ein ganz anderes Problem lösen: Nämlich, dass deine Dateifreigabe in deinem Intranet vom einen ins andere Subnetz nicht funktioniert. Dazu musst Du nur statische Routen einrichten und keinen VPN Tunnel aufbauen.

soll ich wohl die Verbinung über myqnapcloud.com herstellen....richtig?

Das ist eine einfache und komfortable Möglichkeit. Zugriff von anderen Endgeräten außerhalb deines Netzwerks dann halt nur über die zugehörige App oder den Webclient.

 

[Merlino72]

Hi Bender,

ich habe wohl zu wenig Ahnung von der Materie... :-(
Ich möchte eigentlich eine VPN-Verbindung, die mich von extern auf mein NAS leitet...also von draussen über die FB7490 , zur FB7590 und dann zum NAS.
Die beiden Netzwerke der FBen sollen bis auf den Internetzugang für die FB7590 absolut voneinander getrennt bleiben...Vor allem kein Datei- und Geräte-Zugriff aus dem 7490er auf das 7590er Netz. Da kommen wohl die von Dir genannten Routen ins Spiel...richtig? Habe mir dazu schon diverse Anleitungen im Netz angeschaut. Hast Du vielleicht den Link zu einer Anleitung "für Dumme" für mich griffbereit?
Die oben von Dir verlinkte Anleitung bzgl. Wireguard ist sehr detailliert und strukturiert - versteht auch ein Amateure wie ich.. :-) . Die schaue ich mir gerade an und werde versuchen, sie umzusetzen.

Edit:
myqnapcloud.com habe ich bisher in Notfällen, wenn ich irgendeine Datei dringend brauchte, verwendet. Aber das ist ja wirklich ein Höllenritt, bis man Zugriff auf seine Dateien hat...zwemal die Zugangsdaten eingeben, Verbindungsdauer recht lang, Hochladen und dowenloaden recht umständlich und teilweise gar nicht möglich....das muss doch einfacher und er komfortabler gehen...oder? ;-)

 

[bender_]

Hast Du vielleicht den Link zu einer Anleitung "für Dumme" für mich griffbereit?

Da Du dein Ziel nicht genau definiert hast, wird das schwierig.
Prinzipiell geht das so: https://avm.de/service/wissensdaten...1_Statische-IP-Route-in-FRITZ-Box-einrichten/
Wenn Du jetzt noch verrätst welche Geräte, über welche Dienste in welchen Netzbereichen kommunizieren können sollen, kann dir hier bestimmt jemand was basteln.

Ergänzung (11. Januar 2022)

myqnapcloud.com habe ich bisher in Notfällen, wenn ich irgendeine Datei dringend brauchte, verwendet. Aber das ist ja wirklich ein Höllenritt, bis man Zugriff auf seine Dateien hat...zwemal die Zugangsdaten eingeben

Aber der Zugriff funktioniert (wenigstens meistens!)
Sooo viel besser wird das auch über den VPN nicht. Und es löst dir halt die anderen Probleme, die für Dich dann wohl eine Achterbahnfahrt während eines Höllenritts werden dürften.
Wireguard und entsprechende Portweiterleitungen dürften noch das Einfachste werden.

Ich empfehle dir letztendlich auch auf den QNAP Dienst zu setzen. Vielleicht kann man die Performance ja noch etwas optimieren. Kenne mich damit leider nicht aus. Mein NAS ist von WD (ich kenne also schreckliche Software...)

 

[Merlino72]

@bender_
Prima Antworten! Ich bin noch vergleichsweise neu in diesem Forum (komme von einem, das in den nächsten Tagen geschlossen wird) und bin begeistert von Deinen schnellen und sachlichen Antworten.

Oben schreibst Du, ich hätte meine Ziele nicht klar definiert...hmmm...ich dachte, ich hätte alles angegeben. Aber wenn Dir Angaben fehlen...einfach fragen. :-)

Und dann fragst Du welche Netzwerkgeräte und welche Dienste erreichbar sein sollen.
Auch hier verstehe ich Dene Frage wohl wegen meiner Unerfahrenheit nicht ausreichend. Aber ich liste gerne mal meine Geräte auf, von den sich die Dienste wohl ableiten lassen sollten:

- die oben genannten beiden FB, wobei die nachfolgenden Geräte alle an der nachgestellten 7590 angeschlossen sind

- Windows 11 Laptop, Acer Aspire S7-391, (Wireguard-App installiert, aber noch nicht eingerichtet)

- Galaxy S10+ mit Android 12, (Wireguard-App installiert, aber noch nicht eingerichtet)

- Netgear GS108PEv3 - 8-Port Gigabit Ethernet Smart Managed Plus Switch
an diesem hängen die beiden NAS und die Hue-Bridge

- Brother Farb-Laserdrucker MFC-L3750CDW

- NAS 1: TS-453B (soll von extern erreichbar sein; WG-VPN-Server wird von mir gerade im Monment eingerichtet)

- NAS 2: auch ein QNAP, jedoch nur für Backups und dauerhaft ausgeschaltet, bis auf die Zeit der Backup-Jobs

- Philips Hue-Bridge für diverse Lampen (muss nicht von extern erreichbar sein)

UND NUN KOMMT ES:
Mein Switch, also auch beide NAS und die Hue-Bridge, hängt nicht direkt an der 7590 sondern beziehen Internet und Netzwerkzugang über Devolo Powerline. Muss auch hier in den Powerline-Adaptern etwas eingerichtet werden, wenn ich von extern per Wireguard ein VPN bis zu meinem QNAP NAS einrichten will? Oder macht das die FB7590, die von aussen gesehen den Powerline-Adaptern vorgeschaltet ist?

 

[chrigu]

nein, bei doppelnat (zwei router mit wan) musst du nur jeweils die Route in beide Router eintragen.( der Weg von ausserhalb über Router 1 zu Router 2 zur qnap mit entsprechender portweiterleitung.)
Bei ds-lite ist es nicht möglich von ausserhalb zuzugreifen. Bei ipv6 ist die fritzbox (noch) das Problem… sollte Aber irgendwann gelöst werden.
Wobei qnap selber auch ein VPN - Dienst anbietet, aber damit greifst du nur auf die qnap… wäre ja eigentlich auch gut so, weil wenn es in deinem Netzwerk ein Gerät mit sicherheitslücken hat (z.b. eine smartlampe oder smartkühlschrank oder dlanadapter), könnte auch jedes Gerät in deinem Netzwerk von ausserhalb manipuliert werden.

 

[bender_]

Muss auch hier in den Powerline-Adaptern etwas eingerichtet werden, wenn ich von extern per Wireguard ein VPN bis zu meinem QNAP NAS einrichten will?

Nein. Das ist für alle anderen Teilnehmer nur ein "Kabel".
Wenn der QNAP Dienst geht, hast Du ja schon eine Lösung.
Starte einfach mal mit Wireguard. Ich bin zuversichtlich, Du bekommst das hin.

Ergänzung (11. Januar 2022)

bei doppelnat (zwei router mit wan) musst du nur jeweils die Route in beide Router eintragen.

Bei IPv6 gibst kein NAT

 

[Merlino72]

Starte einfach mal mit Wireguard. Ich bin zuversichtlich, Du bekommst das hin.

Ergänzung (11. Januar 2022)

Bin gerade im NAS und richte WG ein. Bin an der Stelle, wo man die Peers hinzufügt...und zögere bei dem öffentlichen Key. Welcher soll da rein?

Da ich gerade mit dem Laptop in meinem Netzwerk eingeloggt bin, ist es für mich leichter zu testen wenn ich das erstmal für mein Smartphone einrichte. Hierzu habe ich die WG-App installiert und gehe auf "Neuen Tunnel" einrichten. Dann sind sofort ein öffentlicher und ein privater Key angegeben. Aber was gebe ich nun in das NAS bei den Peers an? Die Schlüssel, die ich vom WG Server auf dem Qnap erhalten habe, oder die Keys, die mir die Smartphone-App von WG gibt?

Ah...nbei der Android WG-App kann ich noch Teilnehmer aufklappen. Da müssen dann wohl die QNAP-Daten rein... Was muss aber bei "Adressen" rein? IP-Adressen? Welche?

 

[bender_]

Aber was gebe ich nun in das NAS bei den Peers an? Die Schlüssel, die ich vom WG Server auf dem Qnap erhalten habe, oder die Keys, die mir die Smartphone-App von WG gibt?

Laut Anleitung:

Jetzt muss nur noch das Peering auf Seiten des Server erstellt werden.

Hierzu klicken wir in den WG Einstellungen vom QNAP auf „Add Peer“, geben dem Kind einen Namen und fügen den Public Key aus dem Client ein.

Den public key aus deinem Client.

Gute Quelle für weitere Selbsthilfe: https://wiki.ubuntuusers.de/WireGuard/

 

[Merlino72]

Danke...werde da mal weiterlesen.

 

[riversource]

Da du ja bald so weit sein wirst: Das IPv6 Setup funktioniert im ganzen Netz? D.h., die 7590 holt sich per Prefix Delegation ein Prefix von der 7490 und verteilt es an ihre Clients? Alle Portöffnungen sind komplett? Das NAS ist per ddns direkt erreichbar (es reicht ja nicht das ddns der FRITZ!Box)?

 

[Merlino72]

@riversource
Nein, keines von alle dem was Du schreibst habe ich eingerichtet / angefasst....bislang.
...traue mich da (noch) nicht so wirklich ran...

Habe jetzt allerdings Wireguard VPN zwischen dem NAS und dem Smartphone eingerichtet. Wenn ich im Smartphone unter "Eigene Dateien" einen Netzwerkspeicher einrichten möchte und die WG-Verbindungsdaten verwende, wird mir geantwortet:
"Verbindung nicht möglich. Keine Antwort vom Server"
Das mag wohl daran liegen, dass die Anfrage von aussen vo Smartphone nur bis zur FB7490 gelangt, aber von dort nicht weiter gegeben wird an die FB7590 und dann an das NAS. Muss ich dafür Routen einrichten oder Portweiterleitungen?

 

[bender_]

Das mag wohl daran liegen, dass die Anfrage von aussen vo Smartphone nur bis zur FB7490 gelangt, aber von dort nicht weiter gegeben wird an die FB7590 und dann an das NAS.

Unter IPv6 ist das nicht richtig.
Du bekommst in der Regel ein eigenes, öffentliches Prefix vom Provider. Im Intranet wird das in der Regel per SLAAC verteilt und jedes Gerät bekommt damit eine öffentliche IPv6.
Rufe mit einem PC, der im gleichen Subnetz wie das NAS sitzt https://www.wieistmeineip.de/ipv6-test/ auf, und deine IPv6 Adresse muss angezeigt werden. Wenn nicht, ist dein Intranet noch nicht durchgängig auf IPv6 eingestellt.
Dann musst Du zuerst beide Fritzen fit machen: https://avm.de/service/wissensdaten...3_IPv6-Unterstutzung-in-FRITZ-Box-einrichten/

 

[riversource]

Dann musst Du zuerst beide Fritzen fit machen: https://avm.de/service/wissensdaten...3_IPv6-Unterstutzung-in-FRITZ-Box-einrichten/

Die Anleitung ist insofern gefährlich, als sie für die 7490 nicht stimmt. Dort muss unter Kapitel 3 Punkt 7 definitiv eine andere Einstellung gewählt werden, nämlich die mit Prefix Delegation (PD).

 

[bender_]

Danke.
Da ich keine Fritzen habe, gut dass jemand vom Fach hier noch mithilft. Ich dachte diese Einstellungen sind - wie eigentlich fast alle - abhängig von der FritzOS Version und nicht von der Hardware.
Wenn ich bei der Modellwahl die 7490 auswähle, erscheint nämlich genau die selbe Anleitung.

Ich weiß nicht wie SLAAC in der Fritzbox implementiert ist, aber der etwas alte Eintrag hier deutet darauf hin, dass keine explizite PD nötig ist:

Die Vergabe von IPv6-Adressen an ein Netzwerk-Interface funktioniert vollständig automatisiert und selbstständig (Stateless Address Autoconfiguration - SLAAC). Es ist weder eine manuelle IP-Adressenvergabe, noch die Konfiguration und Wartung eines zentralen Dienstes für die IP-Adressenvergabe erforderlich. Das Endgerät muss lediglich am Netzwerk angeschlossen und gestartet werden und integriert sich danach automatisch in die IPv6-Netzwerkstruktur.

Quelle: https://service.avm.de/help/de/FRITZ-Box-7390-avme/012/hilfe_ipv6_introduction

Mit PD hat man natürlich Möglichkeiten manuell den DHCPv6 zu konfigurieren, was für den TE erstmal nicht wichtig sein sollte.