Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

NAS (QNAP, TS-219 P II) über Telekom Speedport W 701V als eigene Cloud einrichten?

Frage Netzwerke Router & Routing

Mitglied: VoDa81

VoDa81 (Level 1) - Jetzt verbinden

07.08.2013 um 15:57 Uhr, 13152 Aufrufe, 33 Kommentare, 8 Danke

Ich habe vor, mein NAS (QNAP TS 219 P II) über den WAN-Port meinen privaten Telekom Speedport W 701V ins Internet einzubinden, um meine Daten von überall abrufen zu können. Am liebsten über eine externe IP Adresse, was im Privatkundenbereich aber ja leider nicht möglich ist Hier müsste ich dann über DynDNS gehen, was ich hier auch noch in Kauf nehmen würde.
Grundsätzlich bin ich absolut kein Cloud Fan. Aber mit meiner eigenen Cloud wäre dies jedoch etwas anderes. Alleine die Synchronisation mit meinen 3 Applen Geräten könnte ich mir dadurch viel einfacher vorstellen, spezielle Dienste würde ich mir ggf. online schalten. Mal ganz davon abgesehen, auf meine Daten von überall zugreifen zu können. Das macht die Sache für mich dann doch sehr interessant.

Sehr wichtig ist mir jedoch das Thema Sicherheit. Was muss ich tun, damit ich mein NAS online & vor allem sicher betreiben kann, um keine Angriffsfläche für Dritte bieten zu können! Reichen die Standard Router Sicherheitseinstellungen für einen nicht angreifbaren Online-NAS-Konfiguration? Macht es Sinn, im Hardware- und/oder Softwaremäßig irgendetwas nachzurüsten?

Hat jemand Erfahrungen mit diesem Szenario?

Freue mich über Euer Feedback !!!


BG VoDa
33 Antworten
Mitglied: colinardo
07.08.2013, aktualisiert um 17:51 Uhr
Hallo VoDa,
wenn du die Dienste des QNAP "sicher" bereitstellen willst richte Dir den OpenVPN-Server der ja bei den neueren Firmware-Versionen bereits enthalten ist ein, dann reicht eine einzige Portweiterleitung auf deinem Router. OpenVPN-Clients gibt es ja mittlerweile für jede gängige Plattform. Über das VPN greifst du dann sicher auf die Dienste des QNAP zu.

Grüße Uwe
Bitte warten ..
Mitglied: VoDa81
07.08.2013 um 17:13 Uhr
Hallo Uwe,
Dank Dir für Deine schnelle Rückmeldung, hört sich gut an. Werde heute Abend gleich mal ins QNAP schaun. Den OpenVPN-Server aktiviere ich dann auf dem NAS, von draussen greife ich dann zuerst auf meinen Speedport zu (auf dem ich Port-Forwarding einrichte), dann geht's über VPN Zugang auf mein NAS, habe ich doch richtig verstanden, oder? Was muss ich dann auf Client (Laptop/Smartphone/Tablet/PC/etc.) beim Zugriff über VPN beachten? Hier benötige ich ja dann bestimmt auch noch ein Stückchen Software..
Hast Du auch noch einen Tipp bzgl. DynDNS? Hätte so gerne eine feste IP Adresse, aber das werde ich so ja nicht ändern können
Würde sich das ganze Szenario dann wie eine eigene Cloud verhalten?

Beste Grüße,
Volker
Bitte warten ..
Mitglied: aqui
07.08.2013, aktualisiert um 17:25 Uhr
Hier ist die ultimative Anleitung wie man die eigene Cloud (Owncloud Installation) mit dem QNAP realisiert:
https://owncloud.com/wp-content/uploads/2012/08/ct.1912.156-159.pdf
Oder eben einen kleinen Raspberry Pi mit einem USB Laufwerk:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

Denk dran das du für das VPN zwingend ein Port Forwarding an der Speedport Gurke einrichten musst, da dein VPN Server ja hinter dessen NAT Firewall steht die du so nicht überwinden kannst.
Besser wäre es den Speedport Schrott zu entsorgen und einen VPN Router dafür zu nehmen dann erspart man sich sowas. Oder alternativ mit PPPoE Passthrough den Speedport als dummen Router zu konfigurieren und einen VPN Breitbandrouter davorzuschalten (DD-WRT, Mikrotik usw.)
Es geht aber natürlich auch ohne wenn man unbedingt den SP behalten will.

Die Port Forwarding Ports sind abhängig vom verwendeten VPN Protokoll !
Beispiele für OpenVPN Settings findest du hier: (UDP 1159)
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
PPTP hier:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html

Für die feste IP Adressierung solltest du no-ip.com verwenden, denn bei DynDNS ist das nicht mehr kostenlos !
Bitte warten ..
Mitglied: Dobby
07.08.2013 um 19:13 Uhr
Hallo,

Am liebsten über eine externe IP Adresse, was im Privatkundenbereich aber ja leider nicht möglich ist
Erkundige dich bitte einmal nach den SmallBusiness Tarifen von der Telekom!
Muss ja kein großer sein und die bekommt man mit etwas Glück auch als Privatperson, aber eben ohne Drossel was für Dein Vorhaben ja auch nicht schlecht ist und eben mit einer festen oder statischen IP Adresse!

Hier müsste ich dann über DynDNS gehen, was ich hier auch noch in Kauf nehmen würde.
Klar ist ja auch nicht verkehrt.

Grundsätzlich bin ich absolut kein Cloud Fan.
Dito, ich würde mal versuchen mich über Own Cloud zu erkundigen!
Das wäre eventuell eine nette Erweiterung zu Deinem NAS.

Sehr wichtig ist mir jedoch das Thema Sicherheit.
Alternative:
- Dann mach aus dem Speedport ein Modem (bridged Mode) und kaufe Dir einen anderen Router den Du dahinter betreibst.
Normal:
- Die AllinOne Lösung für zu Hause, kaufe Dir einfach eine Fritz!Box 7390 und alles ist schick.
Budget:
- Kauf Dir einen MikroTik Router und betreibe den hinter dem Speedport der nur als Modem läuft (bridged Mode)

Was muss ich tun, damit ich mein NAS online & vor allem sicher betreiben kann, um keine Angriffsfläche für Dritte bieten zu können!
Meine Meinung dazu ist folgende, kauf Dir einen Router und greife von unterwegs via VPN (IPSec) auf den Router
und ebenfalls das dahinter liegende NAS zu. Dann brauchst Du keine Ports am Router vorne öffnen und niemand kann damit
oder daran herum spielen!

Reichen die Standard Router Sicherheitseinstellungen für einen nicht angreifbaren Online-NAS-Konfiguration?
Mit VPN, SPI und NAT bist Du bestens beraten, das stellt heute zutage den Standard dar, aber eben auch nicht mehr möchtest Du mehr, solltest Du eine echte Firewall in Betracht ziehen. Die sind aber in der Regel auch aufwendiger und mit mehr Wissen zu konfigurieren und wenn man etwas falsch einstellt ist das Netzwerk offen wie ein Scheunentor.

Macht es Sinn, im Hardware- und/oder Softwaremäßig irgendetwas nachzurüsten?
Also so wie ich das sehe bist Du mit einer AVM Fritz!Box aller bestens bedient, sie kostet ungefähr rund ~200 €
und ist mit so vielen Funktionen, Optionen und Extras ausgestattet dass im Heimbereich wirklich kein Auge mehr trocken bleibt und einfach einzurichten ist sie obendrein auch noch, plus Android und iOS APPs die einen schnellen Zugriff auf das
heimische Netzwerk gewährleisten. Anleitungen gibt es auch direkt von AVM zu fast jedem Szenario und mit dem "großen" Modell (7390) solltest Du auch alle Arten von ADSL und VDSL bedienen können.

Gruß
Dobby
Bitte warten ..
Mitglied: VoDa81
07.08.2013 um 23:36 Uhr
Dank Euch recht herzlich! Ihr seid echt Spitze, eine Super Hilfe!

Ich weiß, dass ich mit meinem Speedport nicht die beste Hardware habe, da besteht auch auf jeden Fall noch Optimierungsbedarf. Vielleicht gibt der Speedport ja bald seinen Geist auf

Gerne würde ich mein Vorhaben unter der bestehenden Konstellation natürlich sicher ans Laufen bekommen.
Bin gerade auf meinem NAS am schauen, den VPN Dienst kann ich dort einrichten (hierzu muss ich wohl den CloudNAS Dienst einschalten).
Interessant finde ich dabei, dass ich auf dem NAS auch MyCloudNAS einrichten kann. Hier muss ich einen MyCloudNAS Namen registrieren, was hat es sich denn hiermit genau auf sich? Ist das ggf. mein "DynDNS bzw. no-ip.com" über mein NAS? Der richtet auf dem Router auch schon das Port-Forwarding ein... Kann ich mir das "DynDNS bzw. no-ip.com" sparen?


Beste Grüße, Volker
Bitte warten ..
Mitglied: VoDa81
08.08.2013 um 00:04 Uhr
Habe gerade noch mal auf der QNAP Seite geschaut:

Wenn ich die MyCloudNAS mit dem OpenVPN verbinde, müsste ich doch auf der sicheren Seite sein, oder?

http://www.qnap.com/de/index.php?sn=4391
http://www.qnap.com/index.php?lang=de&sn=2774

So ganz sicher bin ich mir noch nicht, in welcher Reihenfolge ich das einzurichten habe. Spontan würde ich jetzt erst mal den OpenVPN Zugang einrichten, hier komme ich dann ja zur MyCloudNAS Einrichtung. Dann hätte ich auf der einen Seite meine Cloud nach draussen, die durch den OpenVPN Zugang sicher gestellt wird. Sehe ich das richtig?
Bitte warten ..
Mitglied: napperman
08.08.2013, aktualisiert um 08:03 Uhr
Moin!
Noch ein Hinweis in Sachen Speedport und Zugang von außen:
Ich musste bei einem Bekannten mit gleicher Vorraussetzung feststellen, dass der Speedport keinen Zugriff von außen zuließ, wenn die Anfrage aus dem internen Netz kam.
Ich wäre fast Wahnsinnig geworden, warum der Zugang nicht will, habe immer nochmal Portweiterleitung usw getestet.
Vom Handy via UMTS klappte es dann...

Ansonsten hast Du es richtig verstanden.
Mit der Einrichtung von VPN sicherst Du den Zugang ab. Es kann dann nicht von extern auf Dienste des NAS zugegriffen werden, nur auf das VPN.
Wenn diese Verbindung steht, ist es als wärst Du im gleichen lokalen Netzwerk wie das NAS.

Gruß, Napperman
Bitte warten ..
Mitglied: colinardo
08.08.2013, aktualisiert um 08:36 Uhr
Der MyCloudNAS Service ist auch nur ein DynDns Service mit dem sich dein NAS über einen festen Namen ansprechen lässt. Hatte in der Vergangenheit Probleme mit dem Service, die sich in nicht Erreichbarkeit der Domain äußerten, da hier wahrscheinlich das DNS-Refresh Intervall zu hoch gesetzt war. Zwingend muss man diesen Dienst nicht einrichten, das ist allenfalls eine Hilfe für Anfänger die nicht wissen was DynDns ist. Du kannst also auch einen anderen DynDns Anbieter wählen. Der MyCloudNAS DIenst bietet drüber hinaus einen Publish-Dienst der die Dienste die auf deinem NAS nach außen hin geöffnet sind auf einer MyCloudNAS Webseite auflistet -> das würde ich auf keinen Fall tun !
Also OpenVPN-Server aktivieren, den auf der Seite angegebenen Port auf deinem Speedport an das QNAP weiterleiten und noch einen DynDns Anbieter entweder auf dem Speedport oder dem QNAP eintragen.
Danach solltest du dich mit dem DynDNS Namen und dem entsprechenden Port via OpenVPN mit dem QNAP verbinden können. Wenn Verbindungsversuche aus dem internen Netz fehlschlagen benutze dort testweise die interne IP des QNAP zum verbinden.
Bitte warten ..
Mitglied: VoDa81
08.08.2013 um 09:29 Uhr
Für den MyCloudNAS Dienst würde natürlich sprechen, dass dieser auch kostenlos ist, was bei DynDNS nicht der Fall ist. Geht man generell denn am besten über DynDNS oder no-ip.com, was ich zuvor noch nicht kannte.
Macht es denn Sinn, alternativ zu MyCloudNAS die myowncloud einzurichten oder was sagen hier die Erfahrungen? Ist dies ggf. beides nicht unbedingt empfehlenswert? Was ich später genau vor habe, wird die Zeit bringen. Super wäre natürlich die Synchronisation zu Mail, Kalender, etc., aber das ist noch Zukunftsmusik.
Bitte warten ..
Mitglied: colinardo
08.08.2013 um 09:41 Uhr
Meinte mit DynDns nicht unbedingt dyn.com , ich verwende das nur allgemein als Abkürzung für Dynamic DNS....
Teste am besten die Varianten aus dann siehst du was Dir am besten passt.
Bitte warten ..
Mitglied: VoDa81
08.08.2013 um 10:27 Uhr
Kostenlose DynDNS Anbieter gibt es aber gar keine mehr, oder was gibt es hier noch für verschiedene Möglichkeiten?
Bitte warten ..
Mitglied: colinardo
08.08.2013 um 10:30 Uhr
Zitat von VoDa81:
Kostenlose DynDNS Anbieter gibt es aber gar keine mehr, oder was gibt es hier noch für verschiedene Möglichkeiten?
hast du doch vorhin schon einen genannt: http://www.noip.com/
Google ist dein Freund ...
Bitte warten ..
Mitglied: aqui
08.08.2013, aktualisiert um 11:13 Uhr
@napperman
Das ist klar das das mit so einem Schrotteil wie dem Speedport nicht klappt, denn dafür müsste der das sog. "Hairpin NAT" supporten was er natürlich nicht macht !
Was bei dem Zugriff von intern auf die externe Adresse passiert und warum der SP daran glorreich scheitert kannst du hier genau nachlesen:
http://wiki.mikrotik.com/wiki/Hairpin_NAT
Wie gesagt: Mit einem richtigen Router wäre das nicht passiert !! Speedport ist und bleibt allerbilligster Consumer Müll. Ist auch verständlich denn warum sollte ein Provider generös was verschenken. Wirtschaftlich ist das nachvollziehbar !
Wobei man bei der Telekom noch in sehr guten Händen ist denn andere Provider zwingen einem solchen Schrott zwangsweise zu verwenden ohne Alternative !
Bitte warten ..
Mitglied: VoDa81
08.08.2013 um 11:33 Uhr
Was gibt es hier denn für Topmodelle? FritzBox wurde ja schon genannt, von CISCO kenne ich auch ein gutes Modell, jedoch ohne Modemfunktion. Was nutzt Ihr so?
Bitte warten ..
Mitglied: VoDa81
08.08.2013 um 23:05 Uhr
Ja Super, jetzt wollte ich das MyCloudNAS mal bei meinem NAS testen, da unterstützt mein Speedport W 701V die Funktion "UPnP-Portweiterleitung aktivieren" nicht
Bitte warten ..
Mitglied: Dobby
08.08.2013 um 23:20 Uhr
Hallo nochmal,

"UPnP-Portweiterleitung aktivieren"
Ich denke Du solltest Dich entweder entscheiden was Du uns schreibst im Bezug auf die Sicherheit oder eben uns
Deine Einstellung mitteilen das die die Sicherheit egal ist und Du es einfach nur so gebacken bekommen möchtest
Hauptsache es läuft und das dann auch billig ohne Kosten. sonst reden wir hier alle an einander vorbei!

Ich klinke mich dann mal gepflegt aus.

Gruß
Dobby
Bitte warten ..
Mitglied: VoDa81
08.08.2013 um 23:33 Uhr
Sorry, wollte hier keine Unklarheit posten! Sicherheit ist mir schon sehr wichtig, möchte mein NAS nicht ungeschützt ins Netz hängen, sonst bleibt es "offline"! Wenn es mit meinen Mitteln (sprich Speedport) so nicht geht, muss ich warten, bis mir einen neuen "vernünftigen" Router zugelegt habe.
MyCloudNAS bekomme ich so ja nicht ans Laufen. Könnte dann am WE noch die Einrichtung "myowncloud" versuchen oder mir einen Account bei DynDNS zulegen, wenn dies damit besser klappt & Erfolg verspricht.
Kurzfristig werde ich mir erst einmal keine Hardware zulegen, dann bleibt's erst einmal offline, bis ich einen neuen Router habe! Hier geht's vom ersten Gedanken des Speedport 721V in die Richtung Fritzbox! Sollte jemand noch einen andere Idee (wie dankenderweise oben beschrieben) haben, gerne!
Bitte warten ..
Mitglied: Dobby
08.08.2013 um 23:35 Uhr
Kleiner Tipp noch niemals uPNP am WAN Port und intern hat das eigentlich auf einem Router oder einer Firewall
auch rein gar nichts zu suchen!
Bitte warten ..
Mitglied: VoDa81
08.08.2013 um 23:41 Uhr
Danke für den Tipp, gut zu wissen !!! Ich denke einmal, dass ich diese Einrichtungsprobleme bei DynDNS auch nicht bekommen würde! Oder gibt es hier irgendwelche Erfahrungen in Sachen QNAP -> Speedport -> DynDNS?
Bitte warten ..
Mitglied: colinardo
08.08.2013 um 23:59 Uhr
Zitat von VoDa81:
Ja Super, jetzt wollte ich das MyCloudNAS mal bei meinem NAS testen, da unterstützt mein Speedport W 701V die Funktion
"UPnP-Portweiterleitung aktivieren" nicht
Das brauchst du für die Funktion von MyCloudNas auch nicht. Das ist wieder nur ein Hinweis für Noobs die keine Ahnung von Portweiterleitung haben. Wenn du willst zeige ich dir die richtige Einrichtung morgen mal anhand von Screenshots...oder via Teamviewer-Session, dann ist das Thema hier erledigt.
Grüße Uwe
Bitte warten ..
Mitglied: VoDa81
09.08.2013 um 06:42 Uhr
Hey Uwe, da wäre echt Super. Bin heute viel unterwegs, deshalb wäre es Super, wenn Du mir das hier an ein paar Screenshots zeigen könntest, dann hätten wir hier auch erledigt
Dank Dir/Euch schon mal recht herzlich für Eure Super Unterstützung, DANKE !!!
Bitte warten ..
Mitglied: colinardo
09.08.2013, aktualisiert um 12:16 Uhr

Einrichtung OpenVPN Dienst auf QNAP NAS

Also, zuerst erfolgt die Einrichtung des MyCloudNas-Dienstes (ohne den Wizard):

7d4c80cffb43905611a3cfeca0662260 - Klicke auf das Bild, um es zu vergrößern

Dann die Einrichtung des OpenVPN-Dienstes:

7fe9ac67627af0e752510f00783e1a2d - Klicke auf das Bild, um es zu vergrößern

Nach Klick auf "Apply/Übernehmen" wird der Button zum herunterladen der Client-Konfigurationsdateien freigeschaltet und du erhältst eine ZIP-Datei mit folgendem Inhalt:

a500742a5115f2aedf1b0fb2ccdbbebb - Klicke auf das Bild, um es zu vergrößern

Die zwei markierten Dateien (ca.crt / openvpn.ovpn) entpackst du in das Konfigurationsverzeichnis deines OpenVPN-Clients
Unter Windows z.B. (C:\Program Files (x86)\OpenVPN\config). Weitere Hilfe dazu findest du in der beiliegenden readme.txt.

Dann wählst du noch die berechtigten Nutzer des NAS aus, welche das VPN nutzen dürfen:

8f5ea4a270220280c3d5e7b19829b0d7 - Klicke auf das Bild, um es zu vergrößern

Portweiterleitung Speedport-Router

Jetzt musst du noch den von Bild 2 notierten Port auf deinem Speedport-Router an dein NAS weiterleiten(Hoffe du weist wie das geht, wenn nicht -> hier lesen). Was ich Dir in diesem Fall empfehle ist, extern einen anderen Port als 1194 zu benutzen um Script-Kiddies(Portscans) aus dem Weg zu gehen. Nehme einen hohen Port wie z.B. 50254 den du dann intern auf Port 1194 des NAS umleitest. Wenn du dies machst musst du zusätzlich in der OpenVPN-Konfigurationsdatei(openvpn.ovpn) auch noch diesen Port ändern:

73f8c993680f17cb8cff0b0317db8941 - Klicke auf das Bild, um es zu vergrößern

Wenn die VPN Verbindung hergestellt ist, erreichst du das NAS mit folgender IP-Adresse(wenn du an den IP-Einstellungen nichts geändert hast): 10.8.0.1. Wenn du zusätzlich noch andere Rechner in deinem lokalen LAN erreichen möchtest, musst du zur OpenVPN-Konfigurationsdatei noch diese Zeile hinzufügen (Route zu deinem LAN):
route 192.168.2.0 255.255.255.0
Wobei das 192.168.2.0 deinem Netz entsprechend angepasst werden muss.

Nun viel Erfolg ....
Uwe
Bitte warten ..
Mitglied: VoDa81
09.08.2013 um 10:33 Uhr
Wie Geil !!! Allerbesten Dank für die Super Anleitung! Damit kann echt nichts schief gehen, werde ich heute Abend direkt anwenden. Dadurch habe ich mir einige Experimente erspart & sehr viel Zeit gewonnen! DANKE !!!
Bitte warten ..
Mitglied: aqui
09.08.2013, aktualisiert um 16:18 Uhr
Für die Grundlagen zu OpenVPN und dessen Einrichtung hilft ggf. noch das hier:
http://www.administrator.de/contentid/123285
Bitte warten ..
Mitglied: VoDa81
12.08.2013 um 10:02 Uhr
Hi Uwe,
noch kurz 1-2 Fragen
Dem Router muss ich ja einmal einen Öffentlichen & einmal einen Privaten Port angeben, hier nehme ich bei beiden Fällen denselben, richtig?
Für die externe Portumleitung erstelle ich dann eine 2. Regel auf dem Router oder wie kann ich die Umleitung des externen auf den internen Port hinterlegen?
Oder wo muss ich diese Portweiterleitung (von extern auf intern) einstellen?

Dank Dir & BG,
Volker
Bitte warten ..
Mitglied: VoDa81
12.08.2013 um 10:06 Uhr
Wenn "Umgelleitete Ports - Öffentlich" = "Extern" ist , kann ich natürlich alles in einer Regel erstellen. Sorry, zu schnell getippt
Bitte warten ..
Mitglied: colinardo
12.08.2013 um 10:06 Uhr
Dem Router muss ich ja einmal einen Öffentlichen & einmal einen Privaten Port angeben, hier nehme ich bei beiden Fällen denselben, richtig?
Die Frage habe ich oben schon beantwortet:
Jetzt musst du noch den von Bild 2 notierten Port auf deinem Speedport-Router an dein NAS weiterleiten(Hoffe du weist wie das geht, wenn nicht -> hier lesen). Was ich Dir in diesem Fall empfehle ist, extern einen anderen Port als 1194 zu benutzen um Script-Kiddies(Portscans) aus dem Weg zu gehen. Nehme einen hohen Port wie z.B. 50254 den du dann intern auf Port 1194 des NAS umleitest.

Also sieh dir den LInk mal an , dann weißt du wie es geht: http://home.arcor.de/marcellus/speedport/

Grüße Uwe
Bitte warten ..
Mitglied: aqui
12.08.2013, aktualisiert um 10:15 Uhr
Wenn du ohne VPN arbeitest, also mit simpler Port Weiterleitung, dann reicht es vollkommen aus das du im Router ein Portforwarding machst auf die interne IP des NAS.
Beispiel: Du willst die Webseite mit dem Web Download des NAS mit der IP 10.1.1.100 von außen zugänglich machen.
Dann trägst du im Port Forwarding Setup des Routers folgendes ein:
Eingangsport: TCP 80 forwarden auf lokale IP 10.1.1.100 lokaler Port TCP 80
Mit einem externen Client sprichst du dann die Router IP an mit http://<router-ip> und landest auf dem NAS
Fertisch !

Bedenke aber immer das du damit auch ein Loch in deine Firewall bohrst und so angreifbar wirst und zwar für jeden Port den du mit Port Forwarding freigibst !
Alternativ kann man den Port etwas verschleiern, also mit dem Beispiel oben eine Portverschleierung machen um nicht bekannte Ports nach aussen zu öffnen. Beim obigen Port Forwarding nimmt man dann z.B. einen anderen externen Port als 80, z.B. 8080. Die Regel lautet dann:
Eingangsport: TCP 8080 forwarden auf lokale IP 10.1.1.100 lokaler Port TCP 80
Mit einem externen Client sprichst du dann die Router IP an und musst zusätzlich noch den Port getrennt mit einem ":" angeben also mit http://<router-ip>:8080 und landest dann wieder auf dem NAS.
Ganz sicher gehst du nur mit einem VPN, das dir dann auch das Port Forwarding erspart...sofern das VPN auf dem Router terminiert wird.
Geht das nicht weil du keinen VPN fähigen Router hast kannst du z.B. OpenVPN wie oben schon genannt auf dem NAS einrichten, musst aber dann logischerweise den VPN Port wiederum am Router auf das NAS forwarden damit der VPN Tunnel aufgebaut werden kann. Analog geht das bei OVPN mit:
Eingangsport: UDP 1194 forwarden auf lokale IP 10.1.1.100 lokaler Port UDP 1194
(UDP 1194) ist der default Port von OpenVPN.
Wie man OVPN einrichtet beschreibt dir das oben genannte Tutorial !
Bitte warten ..
Mitglied: VoDa81
13.08.2013 um 13:39 Uhr
Hi Uwe,

hab mich gestern Abend noch mal dran gegeben. Pünktlich dazu gab es die neue QNAP Firmware, die ich vorab installiert habe. Habe jetzt noch ein paar Fragen, vielleicht kannst Du mir ja hier noch etwas weiter helfen. Da Du Dich so gut auskennst, hast Du bestimmt noch den ein oder anderen Tipp für mich Bitte entschuldige, wenn hier noch mal eine Frage aufkommen sollte, die bereits geklärt wurde.
Der VPN Tunnel steht, ich bekomme die 10.8.0.1 auch angepingt. Kam inzwischen sogar auf die verschiednenen Seiten bzw. die Haupt-QNAP Page, sieht bzw. sah gut aus.
Zurzeit aber bekomme ich nicht mehr mal den VPN Tunnel aufgebaut, bekomme dort folgende Fehlermeldung:

RESOLVE: Cannot resolve host address: name.myqnapcloud.com: Der angegebene Host ist unbekannt.

Auf der Online Seite (https://www.myqnapcloud.com/de/) scheint die Kombination noch zu passen, ich vermute aber, dass hier ein IP Adresseabgleich im Hintergrund läuf. Kann das sein? Leider kann ich mit der neuen Firmware nicht mehr den Zeitinterwall einstellen, wie ich das noch in der alten Firmware konnte, da es hier ja 2 separate Wege gibt (DDNS sowie myQNAPcloud). Dies kann ich nur in den DDNS Einstellungen machen, die ich jedoch deaktiviert habe, da dies ja alles über den Cloud Dienst läuft.

Am liebsten hätte ich die Config so, dass ich nur meine myQNAPcloud sowie den VPN Dienst aktiv habe, sodass ich alle anderen Möglichkeiten ausgestellt habe.

Um auch auf mein internes Netz zugreifen zu können, hattest Du geschrieben, solle ich die oben genannte Route eintragen (Netzbereich angepasst). Meine OpenVPN Config besteht aus einer Zeile. Reicht es da aus, wenn ich den Eintrag in die 2. Zeile wegschreibe? Hänge ich das direkt (mit Leerschritt an den Schluss) mit an, kommt es bei der VPN Verbindung gar nicht zur Paßwortabfrage.

Externe Zugriffsservices:
Zuerst hatte ich gedacht, dass ich die einzelnen Dienste über eine Privatfreigabe freigebe (In der myQNAPcloud Config unter Öffentlich & dann für die Privatfreigabe über den AuthCode).
Die UPnP-Portweiterleitung Aktivierung kann ich hier ja komplett aussen vor lassen, da ich ja auf die freigebenen Anwendungen/Dienste ja direkt mit dem VPN Zugang ran komme.
Im Cloud Portal würde ich die Dienste deshalb nicht veröffentlichen, da ich ja über die einzelnen Freigaben drauf komme.

Systemeinstellungen/Netzwerk/DDNS-Dienst:
Den Dynamischen DNS-Dienst habe ich nicht aktiviert, da diese Config ja über die eigene Cloud Konfiguration gezogen wird. Hier könnte ich den Zeitinterwall natürlich einstellen, was ich über die Cloud Konfiguration leider nicht kann. Hier gibt es mit Sicherheit auch keine Möglichkeit, oder?

VPN Einstellungen:
Den PPTP-VPN-Server habe ich wieder deaktivert (hatte ich nur testweise für die Connectsoftware aktiviert, was aber nicht so wollte, ich aber auch nicht zwanghaft haben muss).
Den IP Adressbereich (PPTP & VPN) kann ich leider nicht eingrenzen, da ich in nur die 10.8. ändern kann. Die beiden letzten Blöcke sind leider ausgegraut, ansonsten würde ich das gerne auf die 5 IP Adressen eingrenzen, wobei ich dann meine internen IP-Adressen sowie VPN IP-Adressen über "Systemeinstellungen/Sicherheit/Sicherheitsstufe" berechtigen würde, auf mein NAS zu zu greifen. Hier hatte ich Anfangs die Einstellung "nur aufgelistete Verbindungen zulassen" eingestellt, dann komme ich von extern aber gar nicht drauf.

myQNAPcloud/My DDNS/CloudPortal:
Kann dieser auch deaktivert bleiben? Eigentlich benötige ich diesen doch nicht zusätzlich oder?

VPN Zugang über iPhone App:
Hier muss ich nur noch schaun, wie ich die beiden Datei erfolgreich übertragen bekomme. Über iTunes habe ich bereits probiert, die beiden Dateien schon 1:1 ins OpenVPN App Verzeichnis zu kopieren, Zertifikat wird hier aber noch nicht erkannt.

Möchte natürlich nicht ausschließen, dass ich mir irgendwo den Boden unter den Füßen weg gezogen habe, ansonsten würde ich heute Abend nochmals genauer schaun...

Vielleicht hast Du bzw. habt Ihr ja noch einen interessanten Tipp!


Dank Euch & Beste Grüße,
Volker
Bitte warten ..
Mitglied: colinardo
13.08.2013, aktualisiert um 15:50 Uhr
Zitat von VoDa81:
Zurzeit aber bekomme ich nicht mehr mal den VPN Tunnel aufgebaut, bekomme dort folgende Fehlermeldung:
RESOLVE: Cannot resolve host address: name.myqnapcloud.com: Der angegebene Host ist unbekannt.
Auf der Online Seite (https://www.myqnapcloud.com/de/) scheint die Kombination noch zu passen, ich vermute aber, dass hier ein IP Adresseabgleich im Hintergrund läuf. Kann das sein?
Das ist das Problem was ich auch an diesem Dienst bemängele, die Auflösung der Namen ist dort sehr unzuverlässig und Zeitverzögert. Deshalb würde ich den Dienst auch nicht auf Dauer nutzen, sondern einen anderen DynDNS Dienst wie weiter oben erwähnt wählen.
Leider kann ich mit der neuen Firmware nicht mehr den Zeitinterwall einstellen, wie ich das noch in der alten Firmware konnte,
Wahrscheinlich haben die Leute immer sehr kurze Intervalle angegeben und QNAP hat sich mit dem Entfernen der Option Quasi die Server-Last verringert.
Am liebsten hätte ich die Config so, dass ich nur meine myQNAPcloud sowie den VPN Dienst aktiv habe, sodass ich alle anderen
Möglichkeiten ausgestellt habe.
Seht dir ja frei ...
Um auch auf mein internes Netz zugreifen zu können, hattest Du geschrieben, solle ich die oben genannte Route eintragen
(Netzbereich angepasst). Meine OpenVPN Config besteht aus einer Zeile. Reicht es da aus, wenn ich den Eintrag in die 2. Zeile
wegschreibe? Hänge ich das direkt (mit Leerschritt an den Schluss) mit an, kommt es bei der VPN Verbindung gar nicht zur
Paßwortabfrage.
Das ist klar das das nicht funktioniert hat. Die Datei wurde unter Unix erstellt und hat somit keine Windows-Typischen Zeilenumbrüche. Wenn du versuchst die Datei mit Notepad zu öffnen sieht das so aus als stände alles in einer Zeile, ist aber nicht so. Du musst einen Editor benutzen der mit Unix-Typischen Zeilenumbrüchen umgehen kann - Z.b. Wordpad. , notepad++, UltraEdit, etc. - dann siehst du das die Datei Zeilenumbrüche hat.

Externe Zugriffsservices:
Zuerst hatte ich gedacht, dass ich die einzelnen Dienste über eine Privatfreigabe freigebe (In der myQNAPcloud Config unter
Öffentlich & dann für die Privatfreigabe über den AuthCode).
Die UPnP-Portweiterleitung Aktivierung kann ich hier ja komplett aussen vor lassen, da ich ja auf die freigebenen
Anwendungen/Dienste ja direkt mit dem VPN Zugang ran komme.
Im Cloud Portal würde ich die Dienste deshalb nicht veröffentlichen, da ich ja über die einzelnen Freigaben drauf
komme.
Genau richtig lass das mit der Veröffentlichung der Dienste, deshalb richten wir ja das VPN ein, damit dein NAS nach außen hin nicht offen ist wie ein Scheunentor.

Systemeinstellungen/Netzwerk/DDNS-Dienst:
Den Dynamischen DNS-Dienst habe ich nicht aktiviert, da diese Config ja über die eigene Cloud Konfiguration gezogen wird.
Korrekt. Wenn du später einen anderen Dienst nutzt machst du die Konfiguration hier.
Hier könnte ich den Zeitinterwall natürlich einstellen, was ich über die Cloud Konfiguration leider nicht kann.
Hier gibt es mit Sicherheit auch keine Möglichkeit, oder?
Müsste ich mal per SSH auf meinem NAS nachschauen ob ich eine passende Konfiguration finde in der sich das Intervall anpassen lässt, melde mich dazu später nochmal.

myQNAPcloud/My DDNS/CloudPortal:
Kann dieser auch deaktivert bleiben? Eigentlich benötige ich diesen doch nicht zusätzlich oder?
Hier hat sich anscheinend mehr geändert, muss ich mein NAS erst mal updaten. Fürs erste mal so lassen wie es ist.
--edit-- hab mal drüber gesehen. Musst du selber mal ausprobieren, ob es für deine Zwecke reicht. Du bindest dich dann aber ein wenig an die Programme von Qnap. Ich persönlich bleibe lieber flexibel und nutze gängige Tools ohne mich von proprietären Programmen abhängig zu machen, aber das muss jeder für sich entscheiden. Für Anfänger ist dies sicherlich einfacher einzurichten.
VPN Zugang über iPhone App:
Hier muss ich nur noch schaun, wie ich die beiden Datei erfolgreich übertragen bekomme. Über iTunes habe ich bereits
probiert, die beiden Dateien schon 1:1 ins OpenVPN App Verzeichnis zu kopieren, Zertifikat wird hier aber noch nicht erkannt.
In der OpenVPN-App musst du unter Zertifikat keins angeben, das ist nur für den Fall gedacht das du die Authentifizierung über Client-Zertifikate machst und nicht über Kennwörter. Das Zertifikat was in der ZIP-Datei dabei ist, ist das öffentliche Server-Zertifikat deines QNAP, welches OpenVPN zur Überprüfung der Identität deine NAS benutzt.

Grüße Uwe
Bitte warten ..
Mitglied: colinardo
13.08.2013, aktualisiert um 16:53 Uhr
> Hier könnte ich den Zeitinterwall natürlich einstellen, was ich über die Cloud Konfiguration leider nicht
> kann. Hier gibt es mit Sicherheit auch keine Möglichkeit, oder?
Müsste ich mal per SSH auf meinem NAS nachschauen ob ich eine passende Konfiguration finde in der sich das Intervall anpassen lässt, melde mich dazu später nochmal.
Habe im Moment nicht die aktuellste Firmware auf meinem NAS drauf, aber die Konfigurationsdatei in der das Aktualisierungsintervall für den MyCloudNAS-Dienst hinterlegt ist, ist folgende /etc/config/qnapddns.conf. In dieser steht folgende Zeile:
Check External IP = 60
wobei das Intervall in Minuten angegeben werden muss.
Jetzt fragst du dich sicherlich, wie komme ich an die Datei ran ?und wie kann ich diese bearbeiten ?
Dazu musst der SSH-Dienst auf deinem NAS aktiviert sein. Dann kannst du dich z.B. mit Putty oder WinSCP mit diesem verbinden und dich mit einem Admin-Account einloggen. Dort dann in den o.a. Ordner navigieren und die Datei deinen Wünschen entsprechend anpassen und abspeichern.
Danach dein NAS neu starten.
Hinweis: Wenn du mit Putty arbeitest solltest du dich ein wenig mit der Unix-Kommandozeile auskennen, da dort Standardmäßig nur VI als Editor bereitsteht(Ein Editor wie "nano" lässt sich per QPKG nachrüsten), der in der Bedienung etwas eigenwillig ist. Alternativ nutze WinSCP, da tust du dich am Anfang leichter(auf dem QNAP unter Telnet/SSH > SFTP aktivieren).

Grüße Uwe
Bitte warten ..
Mitglied: VoDa81
13.08.2013 um 22:39 Uhr
Chapeau !!! Echt Hammer die Antworten. Dank Dir/Euch für die so immer schnellen & vor allem qualitativen Antworten, das hilft mir echt weiter

Ich werde das jetzt noch mal über myQNAPcloud probieren, indem ich die Zeit herunter setze. Parallel werde ich mir aber auch mal no-ip.com anschaun. Das scheint ja laut oben beschriebener Erfahrung auch besser zu funktionieren.

Mein Problem habe ich auch in den Griff bekommen. Hatte mit der Umstellung zu tun, bei mir musste aber noch in den Cloud Einstellungen das My DDNS aktiviert werden, erst dadurch war mein NAS auch wieder erreichbar. Grundsätzlich bin ich aber auch hier lieber flexibel & möchte nicht über die internen Standardprogramme gehen, das würde ich dann wohl deaktivieren, wenn ich auf einen anderen Anbieter (no-ip.com) gehe.

Die Config habe ich mit Notepad++ angepasst, damit klappt dies 1a. Leider übernimmt er das nicht sauber. Mache ich da was falsch?
Habe folgende Zeilen hinzugefügt:
(13) route 192.168.2.0 255.255.255.0 (Der Router hat die 192.168.2.1)
(14) ifconfig-push 10.8.0.10 10.8.0.1 (Hier würde/sollte ich die feste IP *.8.10 erhalten)
Füge ich die Route hinzu, kommt zumindest die VPN-Anmeldung zu Stande. Möchte ich die feste IP Adresse setzen, kommt es erst gar nicht zur Benutzername + Kennwort Abfrage.

Die QNAP App's scheinen über die Funktion CloudLink (Beta) zu laufen (z.B. QFILE), zumindest muss ich hier nichts weiteres wie den myQNAPcloud Namen eintragen. Würde hier aber auch gerne über den VPN Tunnel gehen. Habe ich es richtig verstanden, dass ich dies über die händige VPN-Einrichtung per PPTP einrichten "muss", ohne die Zertifikatsdaten zu übertragen? Das klappt (zumindest in meinem eigenen (W)LAN) leider noch nicht, wobei ich wohl auch gerne die Aktivierung des PPTP Zugangs auf dem NAS vermeiden würde.


Beste Grüße & großes Dankeschön,
Volker
Bitte warten ..
Mitglied: colinardo
14.08.2013 um 08:57 Uhr
Zitat von VoDa81:

Die Config habe ich mit Notepad++ angepasst, damit klappt dies 1a. Leider übernimmt er das nicht sauber. Mache ich da was
falsch?
Habe folgende Zeilen hinzugefügt:
(13) route 192.168.2.0 255.255.255.0 (Der Router hat die 192.168.2.1)
(14) ifconfig-push 10.8.0.10 10.8.0.1 (Hier würde/sollte ich die feste IP *.8.10 erhalten)
Füge ich die Route hinzu, kommt zumindest die VPN-Anmeldung zu Stande. Möchte ich die feste IP Adresse setzen, kommt es
erst gar nicht zur Benutzername + Kennwort Abfrage.
Ja stimmt das "ifconfig-push" geht beim Windows-OpenVPN-Client nicht auch ein "ifconfig" mit Parametern hat bei meinem Test nicht zum Erfolg geführt. Alternativ kannst du die feste IP in die Adapter-Einstellungen des TAP-Win32 Netzwerkadapters eintragen.

Die QNAP App's scheinen über die Funktion CloudLink (Beta) zu laufen (z.B. QFILE), zumindest muss ich hier nichts weiteres wie den myQNAPcloud Namen eintragen. Würde hier aber auch gerne über den VPN Tunnel gehen. Habe ich es richtig verstanden, dass ich dies über die händige VPN-Einrichtung per PPTP einrichten "muss", ohne die Zertifikatsdaten zu übertragen? Das klappt (zumindest in meinem eigenen (W)LAN) leider noch nicht, wobei ich wohl auch gerne die Aktivierung des PPTP Zugangs auf dem NAS vermeiden würde.
Die Applikation myQnapCloudConnect erfordert das PPTP auf dem NAS aktiviert ist, da dies inzwischen leicht zu knacken ist würde ich die Nutzung nicht empfehlen. QFile kann sich entweder lokal über die IP verbinden oder du leitest den Verwaltungsport des NAS (8080) auf deinem Router an das NAS weiter(das ist dann das CloudLink was Qnap meint). Da du aber vorher eine Verbindung via OpenVPN in dein Netzwerk herstellst brauchst du das auch nicht machen, sondern übergibst QFile die NAS-OpenVPN-IP 10.8.0.1 zum connecten.

Wenn noch weitere Fragen zum Thema sind, schick mir die per PM um die beteiligten hier nicht weiter zu nerven.

Grüße Uwe
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...