Synology DS216+II für Zugang von außen frei schalten

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Aber ich hatte bisher verstanden, dass das DynDNS... in der DS216 eingerichtet und dann über Portfreigaben in der Fritzbox läuft.

Das kann man aus den Beiträgen in diesem thread unmöglich herauslesen.

So habe ich das auch aus den Synology Beschreibungen usw. verstanden.

Da wird ein anderes Szenario beschrieben.

Allerdings nicht auf die NAS.

Du musst nach Aufbau des Tunnels über die IP-Adresse deiner Syno zugreifen, nicht über den Hostnamen.

Du solltest vorher die Netzwerkadresse deiner Fritzbox von ...178.1 auf zB 160.1 ändern.

Das ist bei einer Client-LAN-Koppelung nicht erforderlich.
 

TAdS

Osnabrücker Reinette
Registriert
17.09.04
Beiträge
977
Das ist bei einer Client-LAN-Koppelung nicht erforderlich.

Leider doch. Genau für den Fall, dass der Tunnel aus einem anderen Fritzbox-LAN , das mit Standardeinstellungen läuft, aufgebaut wird (soll ab und an vorkommen).
Ausserdem erhöht sich damit grundsätzlich die Sicherheit des eigenen LANs gegen Angriffe 'über Bande'. Wenn sich schon 'fritz.box' nicht ändern lässt, sollte man wenigstens die Standard-IP ändern.

Im Übrigen ist der Zugriff auf das eigene LAN auch mit dem jeweiligen Hostnamen möglich. Ein zB 'diskstation.fritz.box' führt nach Aufbau des Tunnels direkt dahin, so der Name 'diskstation' in den heimischen Fritzbox-Geräteeinstellungen vergeben wurde.

Gruesse
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Leider doch. Genau für den Fall, dass der Tunnel aus einem anderen Fritzbox-LAN , das mit Standardeinstellungen läuft, aufgebaut wird (soll ab und an vorkommen).

Das wäre dann ein Sonderfall, den ich noch nicht getestet habe. Eigentlich ist bei einer Client-LAN-Koppelung die lokale IP des Clients uninteressant.

Ausserdem erhöht sich damit grundsätzlich die Sicherheit des eigenen LANs gegen Angriffe 'über Bande'.

Versteh' ich nicht.

Wenn sich schon 'fritz.box' nicht ändern lässt, sollte man wenigstens die Standard-IP ändern.

Man kann den Hostnamen einer FB ändern. Inwieweit das Vergeben irgendeiner anderen lokalen Subnetzadresse die Sicherheit erhöhen sollte, ist mir schleierhaft. An IP-Adressen ist nichts geheim, bzw. Kenntnis von IP-Adressen verringert die Sicherheit nicht. Die stehen schliesslich in jedem Ethernet-Frame 'drin. Was die Sicherheit erhöht ist, den Zugang zu einem Adressbereich einzuschränken.

Im Übrigen ist der Zugriff auf das eigene LAN auch mit dem jeweiligen Hostnamen möglich.

Klar ist es das - aber nur, wenn mDNS im LAN korrekt konfiguriert ist. Da würde ich beim TE aber nicht von ausgehen wollen, insb. nicht auf einem Mac, der seit 10.10 sowieso schon eine Baustelle mit dem Dienst hat. Wenn's mit der IP klappt, kann man es immer noch über den FQDN versuchen.
 

TAdS

Osnabrücker Reinette
Registriert
17.09.04
Beiträge
977
Danach bleibt die Box aber immernoch per fritz.box erreichbar ...

Gruesse
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Das eine hat ja nun nichts mit dem anderen zu tun. Eine FB richtet nunmal eine statische Route .1/24 auf fritz.box ein, damit der geneigte DAU nicht wissen muss, was ein Gateway ist und seinen Router findet.
 

paul paulchen

Cripps Pink
Registriert
24.02.09
Beiträge
153
Mal eine Frage, bevor ich das ganze angehe.
In der Beschreibung von AVM steht drin, dass man der Fritzbox eine neue IP Adresse geben soll z.B. 192.168.10.1.

D.h., dass alle bereits angeschlossenen Geräte neu verbunden werden müssen.
Bei WLAN Geräten gehe ich mal davon aus, dass man einfach WLAN neu suchen muss, dann neu Verbinden und ready.

Aber was ist mit per LAN Kabel angeschlossenen Geräten?
- SMA von der Solaranlage (für die habe ich bisher keine softwaremäßigen Einstellmögl. gefunden)
- FB 7390 per LAN als Access Point angeschlossen
- DS216 NAS
- Topfield Sateliten Receiver
- ...

bzw. ich habe heute ja bereits externen Zugriff auf die FB über https://myfritz.net/. Muss ich dort auch noch irgendwas umstellen? Bzw. DDNS selfhost Einstellungen?

P.S.
Noch einmal als Info:
Was möchte ich überhaupt erreichen?

A: Zugriff von extern auf die DS216 und Einbindung der NAS im Finder des MACs als Laufwerk
B: Zugriff von extern auf DSM Betriebssystem der DS216+II (als letztes optional)
 

TAdS

Osnabrücker Reinette
Registriert
17.09.04
Beiträge
977
Wenn deine an der FB verbundenen Geräte alle auf DHCP eingestellt sind, erhalten sie nach dem IP-Wechsel automatisch neue Adressen von der FB.
Gibt es dagegen am Gerät konfigurierte statische Adressen, musst du diese manuell ändern. Tipp: alles vor dem IP-Wechsel erstmal auf DHCP einstellen und danach wieder auf statisch ändern.

selfhost brauchst du nicht, wenn du eine myfritz-Adresse hast.

Ansonsten muss nichts geändert werden.

Gruesse
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
In der Beschreibung von AVM steht drin, dass man der Fritzbox eine neue IP Adresse geben soll z.B. 192.168.10.1.

Wenn du das tun möchtest - in diesem thread wurde ja beschrieben, wann das erforderlich ist - solltest du vorher klären, von welchen FB aus du denn in dein LAN kommen möchtest. Die haben nämlich ansonsten im Zweifel ähnlichen Durchblick wie du und alle die gleiche Anleitung von AVM gelesen ;)

Bei WLAN Geräten gehe ich mal davon aus, dass man einfach WLAN neu suchen muss, dann neu Verbinden und ready.

Das hat nichts mit dem WLAN zu tun. Daran ändert sich nichts.

D.h., dass alle bereits angeschlossenen Geräte neu verbunden werden müssen.

Alle Geräte brauchen eine IP aus dem neuen Adressraum. Die mit DHCP verbundenen Geräte machen das automatisch. Die Geräte, denen du eine feste IP zugewiesen hast nicht. Vorsicht! Nach Änderung der IP der FB erreichst du diese Geräte im LAN nicht mehr, da sich dann das Gateway (die FB) in einem anderen Subnetz befindet. Einfachste Möglichkeit (für dich): Vor Änderung der IP der FB alle Geräte im (W)LAN über DHCP verbinden und nach erfolgter Adressänderung ggf. feste IPs neu vergeben.

Muss ich dort auch noch irgendwas umstellen?

Nein.
 

TAdS

Osnabrücker Reinette
Registriert
17.09.04
Beiträge
977
Das eine hat ja nun nichts mit dem anderen zu tun. Eine FB richtet nunmal eine statische Route .1/24 auf fritz.box ein, damit der geneigte DAU nicht wissen muss, was ein Gateway ist und seinen Router findet.

AVM weiss aus eigener Erfahrung seit spätestens 2014, dass die unveränderliche Domain fritz.box ein Einfallstor für entsprechend einfache cross-site-scripting Angriffe (=über Bande) sein kann. Genauso wie die Standard-IP (eines jeden Routers). Deshalb sollte wenigstes letztere geändert werden um den Router zumindest ein wenig aus der Schusslinie zu nehmen.
Das war der Grund für meinen Hinweis. Muss man nicht machen, kann man aber.

Gruesse
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Bitte erläutern, wie die Kenntnis eines Domainnamens cross-site-scripting erleichtert.

Bitte erläutern, wie Kenntnis einer wie auch immer gearteten IP cross-site-scripting erleichtert. Tip: Es gibt extra Datenbanken, wo man die IP eines jeden Routers im Internet nachschlagen kann - auch die deines. Nennt sich DNS.

Sobald ein Router kompromittiert ist, reicht ein Ethernet-Frame und der IP-Adressraum (mindestens) des aktuellen Subnetzes ist bekannt. Da ist es völlig egal, ob die auf Standardwerten steht, oder irgendein anderes Subnetz gewählt wurde.
 

paul paulchen

Cripps Pink
Registriert
24.02.09
Beiträge
153
doch leider noch eine Frage.
Die Umstellung der IP Adressen hat bis auf die FB 7390 (Access Point) via DHCP geklappt.
Nur bei der 7390 habe ich irgendwie Probleme. Daher habe ich erst mal wieder alle auf die alte Einstellung zurück gesetzt.

Der Adressbereich des Netzes ist 192.168.178.xxx, also Standard AVM.
Wenn ich jetzt den neuen Bereich z.B. auf 192.168.10.xxx umsetzten möchte, was muss ich vor der Umstellung in der 7390 einstellen, da die z.Zt. eine feste IP 192.168.178.100 hat.
Hatte es mit einer festen IC 192.168.10.100 versucht. Die war nach der Umstellung aber leider nicht mehr erreichbar.

Wenn ich jetzt versuche auch den Access Point auf DHCP umzustellen meckert die 7390 leider.
upload_2017-2-18_20-37-20.png
upload_2017-2-18_20-37-43.png

Bin da jetzt ein wenig ratlos.
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Damit aktivierst du nicht den DHCP Client, sondern den DHCP Server. Das ist grundfalsch und führt zu Problemen ohne Ende! Direkt wieder deaktivieren.

Die FB kann keine IP via DHCP beziehen. Also FB in der alten Konfiguration eine IP aus dem neuen Subnetz zuweisen - unbedingt aufschreiben, am besten Screenshot machen - und neu starten. Die FB ist dann nicht mehr zu erreichen. Rest des LAN auf das neue Subnetz umkonfigurieren - dann sollte die FB auch wieder zu erreichen sein.

Wenn's Probleme gibt, vielleicht Hilfe von denjenigen holen, die das überhaupt für 'ne gute Idee halten - ich würd's lassen...
 

TAdS

Osnabrücker Reinette
Registriert
17.09.04
Beiträge
977
Bitte erläutern, wie die Kenntnis eines Domainnamens cross-site-scripting erleichtert.

Bitte erläutern, wie Kenntnis einer wie auch immer gearteten IP cross-site-scripting erleichtert. Tip: Es gibt extra Datenbanken, wo man die IP eines jeden Routers im Internet nachschlagen kann - auch die deines. Nennt sich DNS.

Sobald ein Router kompromittiert ist, reicht ein Ethernet-Frame und der IP-Adressraum (mindestens) des aktuellen Subnetzes ist bekannt. Da ist es völlig egal, ob die auf Standardwerten steht, oder irgendein anderes Subnetz gewählt wurde.

Ich denke, dazu ist im Rahmen dieses Threats jetzt genug gesagt.
Wenn du dazu mehr wissen willst, lies mal u.a. bei heise security nach. Dort sind die (damals) möglichen Angriffsszenarien iZm. einer FritzBox vor dem Hintergrund des Fernwartungs-Problems ganz gut beschrieben.

Grüße
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Dort sind die (damals) möglichen Angriffsszenarien iZm. einer FritzBox vor dem Hintergrund des Fernwartungs-Problems ganz gut beschrieben.

Mir sind die TR-069 Lücken durchaus bekannt. Allerdings sind mir die Zusammenhänge zwischen Domainnamen und lokalen IP Adressräumen unklar. Entweder fehlt mir da was - ich lerne gerne dazu. Oder du solltest vielleicht deinen eigenen Rat beherzigen und dir das mal genau durchlesen ;)
 

TAdS

Osnabrücker Reinette
Registriert
17.09.04
Beiträge
977
Es geht nicht um TR-069 Lücken und auch nicht um IPs die in einem öffentlichen DNS zu finden sind.
Schluss jetzt, das führt zu nichts.
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Dann schön, das wir darüber geredet haben - ziemlich zusammenhangloses Zeug, deine Beiträge. Da passt deine Reaktion wunderbar ins Bild.

Ich gehe davon aus, dass du Gewehr bei Fuß stehst, wenn sich der TE auf Grund deiner nebulösen Angriffsszenarien und der von dir kolportierten Notwendigkeit, seinen Router auf eine andere IP umzuhängen sein LAN zerschiesst.

Ciao.
 

Insulaner

Apfel der Erkenntnis
Registriert
06.01.12
Beiträge
723
Ok, ich hatte das mit dem Mounten nicht gelesen. Sorry dafür.

Allerdings gibt es Synology Cloud mit dem man einen privaten Cloud-Service betreiben kann,
also Verzeichnisse zwischen Cloud-Speicher und den beteiligten Endgeräten synchron hält.

Evtl. reichen diese Funktionalitäten ja auch aus.

Ich arbeite nur damit und habe alle Daten, die ich benötige halt in der Cloud.
Ist meiner Meinung nach auch etwas nachhaltiger und performanter, als ein Fileshare.

Kommt aber immer auf den Use-Case an.
Der ist hier aber nicht klar.
 
Zuletzt bearbeitet: