Tipps & Tricks 12.02.2015, 13:48 Uhr

So mache ich mein NAS web-ready

Mit diesen Praxistipps zeigen wir Ihnen, wie Sie in wenigen Schritten den umfassenden Fernzugriff auf Ihrem NAS einrichten.
In der Regel haben viele Anwender ihren NAS nur im Heimnetzwerk in Betrieb. Dabei kann es so praktisch sein, wenn man mal unterwegs auf ein wichtiges Dokument oder auf die IP-Kamera zugreifen möchte. Manchmal bereitet die Einrichtung eines Fernzugriffs selbst fortgeschrittenen Anwendern Kopfschmerzen. In diesem Artikel zeigen wir anhand eines Synology-Modells, der Horizon-Box und der Fritz!Box, wie Sie einen Fernzugriff optimal einrichten.

Der QuickConnect-Assistent

Synology bietet mit dem fast selbsterklärenden QuickConnect-Dienst eine sehr einfache Möglichkeit für den Fernzugriff. Was steckt dahinter? Grosso modo ist das nichts anderes als eine Adressumleitung über Synology-Server: Ihre DiskStation sendet die IP immer an die Synology-Server in den USA oder England, die diese mit Ihrer festgelegten ID verknüpfen und anstehende Zugriffe an die IP weiterleiten.
QuickConnect rufen Sie einfach in der Systemsteuerung auf und befolgen den Einrichtungsassistenten
Quelle: IDG

Nur eingeschränkte Zugriffe auf Dienste

QuickConnect ist sicher nützlich, wenn man so schnell und einfach wie möglich einen Fernzugriff einrichten will. Das Ganze ist aber mit einigen Einschränkungen verbunden. So können Sie unter Umständen nicht auf einzelne Dienste wie Surveillance Station zugreifen, die bestimmte Portfreigaben benötigen. Ausserdem geht die Umleitung über Synology-Server teils mit Overhead-Einbussen einher (z.B. beim Abspielen von Mediendateien).
Den Einrichtungsassistenten für den QuickConnect-Dienst rufen Sie über die Systemsteuerung auf. Sofern noch nicht geschehen, ist eine simple Registrierung mit E-Mail-Adresse, Passwort und Wunsch-ID schnell erledigt. Danach ist der Speicherhort von extern über die gewählte QuickConnect-ID-Adresse erreichbar.
Nächste Seite: Fixe IP-Adresse einrichten

Fixe IP-Adresse einrichten

Manuelle Konfiguration

Im Folgenden zeigen wir Ihnen Schritt für Schritt, wie Sie den Synology-NAS manuell konfigurieren. Das Einrichtungsprinzip gilt aber für alle NAS-Geräte. Um über das Internet auf den Netzwerkspeicher zuzugreifen, müssen Sie zuerst dem NAS-Server eine fixe IP-Adresse zuweisen. Abhängig von Ihrem NAS-Hersteller und Router unterscheiden sich die Einstellungsoptionen, das Prinzip aber immer dasselbe.

1. manuelle IP-Konfiguration wählen

Um einen professionellen Fernzugriff einzurichten, öffnen Sie die Konfiguration Ihres NAS, suchen in der Systemsteuerung nach dem Eintrag Netzwerk. Klicken Sie im Reiter Netzwerk-Einstellung bei der aktiven LAN-Verbindung auf die Schaltfläche Bearbeiten. Wählen Sie anstelle der automatischen Netzwerkkonfiguration (DHCP) die manuelle Konfiguration.
So sieht eine typische manuelle IP-Einrichtung unter dem Synology DSM 5.1 aus
Quelle: IDG

2. IP, Gateway und DNS richtig einstellen

Ihrem NAS weisen Sie nun eine feste IP zu. Die Fritz!Box als Beispiel nutzt standardmässig die IP-Adresse 192.168.178.1 – heisst: Sie müssen eine IP im selben Adressbereich wählen (z.B. 192.168.178.100). In der Regel reicht es, die zuvor als automatisch zugewiesene IP-Adresse zu übernehmen. Als Teilnetzmaske geben Sie 255.255.255.0 an. Als Standard-Gateway und DNS-Server wählen Sie die (interne) IP-Adresse Ihres Routers (meist 192.168.1 oder 192.168.178.1).
Nächste Seite: Dyndns-Eintrag vornehmen

Dyndns-Eintrag vornehmen

3. Die IP richtig umleiten lassen

Mithilfe eines dynamischen Namensservice (Dynamic DNS) können Sie sicherstellen, dass Ihr Zielrechner immer unter einer festen URL erreichbar ist. Denn die meisten Privatsurfer haben eine dynamische IP mit der sie sich ins Netz verbinden, und diese kann alle 24 Stunden ändern.
Es gibt diverse Anbieter, die eine solche Umleitung gratis als Dienstleistung anbieten. Synology in unserem Fall offeriert sogar einen eigenen Dyndns-Server. Wer ein NAS in Betrieb hat, dem der Hersteller keine solche Dienstleistung anbietet, kann auf einen Gratisanbieter wie Noip.com zurückgreifen. Wir erklären kurz, wie Sie in beiden Szenarien vorgehen.

Variante 1: der Synology-DDNS-Dienst

Suchen Sie über die Systemsteuerung nach dem Menüpunkt Externer Zugriff. Unter dem Reiter DDNS wählen Sie Synology aus dem Drop-down-Liste als Dyndns-Anbieter. Klicken Sie auf die blaue Aufforderung Melden Sie sich in einem MyDS-Konto an oder registrieren Sie eines. Geben Sie eine E-Mail-Adresse ein, bestimmen ein Passwort für den DynDNS-Account und klicken Sie auf OK (die Datenschutzbestimmen nehmen Sie als einverstanden entgegen).
Synology bietet über den DDNS-Manager als Serviceanbieter seinen eigenen Dyndns-Dienst an, die Registrierung geht schnell
Quelle: IDG
Danach reservieren Sie einen beliebigen Hostnamen, der gerade frei ist: z.B. meinesyno.synology.me. Hat alles geklappt, wird der neu hinzugefügte DynDNS-Host im Synology-DDNS-Client als aktive Verbindung (grün) angezeigt.

Variante 2: Gratis-Dyndns-Anbieter

Bei einem Anbieter wie Noip.com verfahren Sie analog wie im vorherigen Beispiel. Öffnen Sie die Registrierungsseite von Noip.com. Eröffnen Sie ein neues Konto mit Benutzernamen, Passwort und Ihrer E-Mail-Adresse. Unter dem Menüpunkt Hosts/Redirects legen Sie einen beliebigen Gratis-Hostnamen fest und wählen eine der angebotenen Wunsch-Domains zur Umleitung (z.B. «sauschaf».ddns.net).
Bei Noip.com verwalten Sie freie Dyndns-Adressen unter dem Menüpunnkt Hosts/Redirects
Quelle: IDG
In der Systemsteuerung des DSM 5.1 öffnen Sie wieder den Menüpunkt Externer Zugriff. Unter dem Reiter DDNS fügen Sie die neu eingerichtete Dyndns-Adresse (z.B. sauschaf.ddns.net) hinzu. Wählen Sie im Synology-DDNS-Assistenten den Anbieter (in diesem Fall «Noip.com») aus der Drop-down-Liste der Service-Anbieters und übernehmen die Login-Information (Benutzername/E-Mail und Passwort) des Dyndns-Kontos.
Nächste Seite: Portweiterleitung einrichten

Portweiterleitung einrichten

4. Portweiterleitungen einrichten

Für externen NAS-Zugriff ist das Freischalten einiger Ports erforderlich.
Aus Sicherheitsgründen sollte man sich hierbei an die Faustregel halten: nur so viele Ports wie nötig! Nämlich für die Dienste, auf die Sie auch von extern wirklich Zugriff benötigen. In der Regel helfen hierbei die Anleitungen bzw. Herstellerseiten der NAS-Anbieter mit Schritt-für-Schritt-Anleitungen. Synology als Beispiel gewährt Anwendern auf der FAQ-Seite einen guten Überblick. Portweiterleitungen lassen sich auf praktisch allen Routern einrichten. Auf der Fritz!Box muss zunächst der «Expertenmodus» aktiviert werden. 
Wie Sie der FAQ-Seite entnehmen, sind bestimmte Portbereiche wie 5000/5001 und Port 80/21 unabdingbar, um überhaupt eine gesicherte Datenverbindung aufzubauen. Wer aus der Ferne Datensicherungsdienste wie «Time Backup» nutzt, sollte z.B. zusätzlich Port 873 öffnen. Wer auf die Surveillance Station zugreift, sollte zusätzlich die Ports 9000 und 9001 für eine gesicherte Verbindungen offen halten etc.

Konfigurationsbeispiel

Soweit so gut. Nun geht es ans Eingemachte. Öffnen Sie das Web-Interface Ihres Routers. Bei der Horion-Box navigiert man zum Menüpunkt Fortgeschritten, dann zum Eintrag Weiterleitung. Die einzelnen Portweiterleitungen lassen sich über das Bedienmenü Zeile hinzufügen im Router nachtragen.
Da viele Anwender in diesem Zusammenhang mit der Horizon-Box Mühe haben, zeigen wir Ihnen im Bild eine Übersicht der wichtigsten Porteinstellungen, die mit einem Synology-NAS funktionieren.
Tragen Sie am besten genau diese Portweiterleitungen ein, um Zugriff auf die wichtigsten Grundfunktionen des NAS zu erlangen
Quelle: IDG
Nächste Seite: Überprüfung und Fehlersuche

Überprüfung und Fehlersuche

5. Überprüfen, ob der Zugriff klappt

Haben Sie alle Schritte befolgt, ist es an der Zeit, den Fernzugriff zu überprüfen.
Am besten geht das auf die Schnelle mit einem Handy übers mobile Datennetz. Dazu geben Sie im mobilen Webbrowser die eingerichtete Dyndns-Adresse als URL ein. Diese kann exemplarisch etwa wie folgt aussehen: https://sauschaf.ddns.net. 
Hat alles geklappt – Glückwunsch: Ihr NAS ist nun von aussen erreichbar. Funktioniert der Zugriff von aussen nicht (z.B. am Arbeitsplatz), kann es daran liegen, dass die Systemadministratoren bestimmte Portbereiche mit einer Firewall blockieren.

Falls nicht: Ports und Firewall-Einstellungen überprüfen

Erlangen Sie selbst über eine mobile Internetverbindung keinen Zugriff, beginnt die Fehlersuche in der Regel bei den eingerichteten Portweiterleitungen. Mit einem Portal wie canyouseeme.org überprüfen Sie, ob die Freischaltung der jeweiligen Ports funktioniert. Ansonsten kontrollieren Sie, ob z.B. auf dem NAS eine zusätzliche Firewall aktiv ist, die einzelne Ports aussperrt. Meist führen einfache Schritt-für-Schritt-Assistenten durch die NAS-Firewalls, damit bestimmte Dienste immer von aussen erreichbar sind.
Klappt es mit einem NAS-Gerät eines anderen Herstellers nicht, kann der Router die Ursache sein: Netzwerkspeicher ohne eigenen Software-Dyndns-Client erfordern (im Gegensatz zur Horizon) einen Router, der die Einrichtung eines Dyndns-Kontos ermöglicht.
Auf mehreren Seiten lesen
Artikel drucken
Autor(in) Simon Gröflin
Kommentare
Avatar
Simon Gröflin
13.02.2015
Berechtigte Einwände Gut, mit nem VPN Access hast halt je nachdem auch wieder Overhead, oder nicht? Schlussendlich sitzt man immer noch hinter einem NAT. Den Zugriff auf den NAS kann man zusätzlich per Zeitplansteuerung einschränken. Ohne Ports 5000/5001 kommst eben nicht auf den SSL-(Https-)Zugriff der Syno. Klar: Ein sicheres Passwort ist immer oberste Devise. Zugegeben: Die Portauswahl könnte man noch etwas eingrenzen. Das hier sind exemplarisch einfach meine persönlichen Settings auf der Horizon-Box. Ich werde die gerne noch anpassen. Danke für den Kommentar. Lg Simon
Avatar
Telaran
13.02.2015
Einerseits finde ich es super, dass ihr solche Anleitungen macht, aber andererseits sehe ich auch so, dass Thema Sicherheit doch sichtbarer/präsenter sein sollte (also eher als erster Absatz und mit Warnhinweis, Fett, etc pp). Gerne mehr solche Artikel (nur Fairerweise müsstet ihr ähnliche auch für die Konkurrenzprodukte online stellen) Das mit dem VPN ist sicher eine Idee, aber ich denke auch, dass es für viele Anwender "zuviel" wäre und je nach Gerät/System kann man nicht so einfach eine VPN Verbindung zu sich nach Hause aufbauen (Port-Blocks, Gerätespezifische Probleme, etc pp). Vielleicht als erweiterter Artikel? Was aber Sinn machen könnte: Sicherheit - Automatische Blockierung. Sobald man Dienste nach Aussen öffnet, sollte dieser Schutz drin ein. Einerseits als Hürde, andererseits auch als kleiner Hinweis (ist meine URL bekannt, wissen die was ich drauf habe, etc pp). Den Zugriff auf den NAS kann man zusätzlich per Zeitplansteuerung einschränken. Ohne Ports 5000/5001 kommst eben nicht auf den SSL-(Https-)Zugriff der Syno. Man kann durchaus die Ports der Synology Box ändern: Systemsteuerung - Netzwerk - DSM Einstellung Natürlich löst das nicht alle Probleme, aber es ist durchaus denkbar, dass Malware-Programmierer nicht zwingend einen Portscan machen (um nicht aufzufallen oder zu faul dafür sind) und eher die Standard-Ports abklappern. Weiter funktioniert alles weiterhin. Portweiterleitungen können eingerichtet werden, Quickconnect geht, Apps funktionieren auch (entweder via Quickconnect ID oder in der URL den Port mitgeben) Es spricht nichts dagegen und es ist zumindest eine "kleine" Sicherheitssteigerung. Ich habe fast alle "Standardports" angepasst und bin damit bisher gut gefahren.
Avatar
dst
13.02.2015
Gut, mit nem VPN Access hast halt je nachdem auch wieder Overhead, oder nicht? Schlussendlich sitzt man immer noch hinter einem NAT. Den Zugriff auf den NAS kann man zusätzlich per Zeitplansteuerung einschränken. Mit OpenVPN, VPN, SSH usw. hat man im allgemeinen immer Overhead, dafür hat man eben eine sichere Verbindung. Ich streame sogar Musik via OpenVPN auf mein Android von Unterwegs und habe da keine schlechten Erfahrungen gemacht. Ohne Ports 5000/5001 kommst eben nicht auf den SSL-(Https-)Zugriff der Syno. Klar: Ein sicheres Passwort ist immer oberste Devise. Zugegeben: Die Portauswahl könnte man noch etwas eingrenzen. Das hier sind exemplarisch einfach meine persönlichen Settings auf der Horizon-Box. Ich werde die gerne noch anpassen. Danke für den Kommentar. Lg Simon Das Problem ist, das die Programmbibliotheken der Synology oftmals recht alt sind (Heartbleed) und wenn mal eine CVE http://www.cvedetails.com/vendor/11138/Synology.html rauskommt dann dauert es gefühlte Ewigkeit bis ein Update verfügbar ist. Gutes Beispiel warum man Port 5000 nicht ins Internet stellen soll: SynoLocker http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker Ich finde das Thema Portweiterleitung kann man schon bringen, dennoch wünsche ich mir etwas mehr "Sicherheit" und eine sensibilisierung zu diesem Thema. Zugriffsversuche aus China und Russland sind bei mir nicht wenige und es wäre fatal wenn ich ein System ins Netz stelle die potentiell Schaden nehmen könnte. Bei der Quickconnect ID hast du übrigens den Nachteil das der Traffic via Relay Server geht, sofern du keine Port-Forwarding hast. Gruss Dany
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.