Synology DiskStation aus dem Internet zugänglich machen, mit Port Forwarding
Regen. Ich nutze die Zeit für einen Post zu der Frage, wie ich https für mein Synology DiskStation NAS einrichte. Ohne https sollte man sich nicht über das Internet außerhalb seines eigenen Netzwerks an der DiskStation anmelden. Spätestens, wer gleichzeitig die Surveillance Station benutzt, um auch von unterwegs Zugriff auf seine Kameras zu haben (z.B. mittels der Synology DS cam-App via Handy), der muss genau das tun - sich via Internet auf seiner DiskStation anmelden. Und das sollte natürlich möglichst sicher sein.
Leider hat sich die Landschaft der freien DNS Services in den letzten Jahren etwas gelichtet. Ein verbliebener Anbieter (Stand 16.7.2017), den ich empfehlen kann, ist Duck DNS. Im Prinzip muss man sich auf der Seite zunächst einmal anmelden/einloggen und kann sich dann einen Namen ausdenken, unter dem ein eigenes Gerät aus dem Internet erreichbar sein soll. Der bekommt dann beispielsweise diese Form:
Damit die DiskStation auf Anfragen aus dem Internet reagiert, sind in der Firewall entsprechende Freigaben einzurichten. Hierzu wechselt man in "Systemsteuerung/Sicherheit" auf den Reiter "Firewall" und klickt auf den Button "Regeln bearbeiten" für das aktive Profil. Dann wählt man im DropDown Menü oben rechts "LAN" aus. Nun mit "Erstellen" eine neue Regel erstellt und in dieser für das TCP Protokoll den Port 54321 freigeben. Außerdem muss die DiskStation auf den Port 5001 lauschen. Dafür wird eine weitere Regel erstellt, bei der man aber nicht den Port vorgeben muss, sondern aus der "Liste der eingebauten Anwendungen" auswählen kann. Hier wählt man "Verwaltungsprogrammoberfläche / Port 5001".
Es sei angemerkt, dass es eigentlich keinen Sinn macht, den Port 54321 in der DiskStation freizugeben. Denn eigentlich sollte mit der Konfiguration oben ja die Fritzbox alle externen Anfragen auf diesen Port auf den internen DiskStation Port 5001 weiterleiten (natten). Ich musste aber feststellen, dass ohne diese Portfreigabe DS cam nicht einwandfrei funktioniert. Insofern muss man wohl in den sauren Apfel beißen und beide Ports öffnen.
Einen Namen für das Kind
Zunächst muss die DiskStation überhaupt mal aus dem Internet erreichbar sein. Und zwar über eine Namensauflösung via Dynamic DNS, denn wer will schon immer die i.d.R. wechselnde IP-Adresse seines DSL-/Kabel-/Sonstwas-Anschlusses in den Browser oder die DS cam-App eingeben müssen.Leider hat sich die Landschaft der freien DNS Services in den letzten Jahren etwas gelichtet. Ein verbliebener Anbieter (Stand 16.7.2017), den ich empfehlen kann, ist Duck DNS. Im Prinzip muss man sich auf der Seite zunächst einmal anmelden/einloggen und kann sich dann einen Namen ausdenken, unter dem ein eigenes Gerät aus dem Internet erreichbar sein soll. Der bekommt dann beispielsweise diese Form:
einen-namen.duckdns.orgund unter
http://einen-namen.duckdns.orgoder eben
https://einen-namen.duckdns.orgist man dann künftig erreichbar.
Hello World - Port Forwarding mit der Fritz!Box
Der folgende Weg eignet sich natürlich prinzipiell auch, um andere Geräte vom Internet aus erreichbar zu machen. Gut ist ein Router, der am besten selbst die Möglichkeit bietet, einen DynDNS-Service einzutragen und Anfragen an ein bestimmtes Gerät im LAN weiterzuleiten. Die meisten Fritz!Boxen können das. Vorteil: Die Firewall der DiskStation kann dann so konfiguriert werden, dass sie Anmeldungen nur aus dem LAN erlaubt. Das ist wesentlich sicherer, als wenn Anmeldungen direkt aus dem Internet erlaubt würden.
Falls der Router keine DynDNS-Möglichkeiten bietet, bleibt aber nur, die Eintragungen in der DiskStation selbst vorzunehmen und die DS Firewall zu öffnen, so dass Anmeldungen direkt aus dem Internet erlaubt werden.
Ich beschreibe hier den Weg, wie es in einer Konfiguration mit einer Fritz!Box funktioniert:
Wenn man bei DuckDNS.org eine Domain erzeugt hat, findet man unter "install/fritzbox" ein DropDown Menü, über das man eben diese Domain auswählt. Die dann in grün angezeigte alternative url (also die zweite URL) kopiert man sich.
http://www.duckdns.org/update?domains=einen-namen&token=der-token-wie-man-ihn-von-duckdns-bekommt&ip=
Im Admin-Menü der Fritz!Box wählt man dann unter "Internet/Freigaben/DynDNS" den DynDNS-Anbieter "Benutzerdefiniert". DuckDNS ist leider nicht einer der vorinstallierten Anbieter. In das Feld "Update-URL" wird dann die eben kopierte URL eingetragen. Das Feld "Domainname" wird angepasst auf die URL, unter der eure DiskStation erreichbar sein soll. In unserem Beispiel trägt man also "einen-namen.duckdns.org" ein. Der "Benutzername" ist "einen-namen". Das "Kennwort" für die Fritz!Box ist der Token, den man ebenfalls auf der DuckDNS-Seite erhält.
Als nächstes will man eine Portweiterleitung einrichten. Man macht es potentiellen Angreifern schwerer, wenn man im Internet nicht den Standardport verwendet, auf dem die Diskstation mit dem Admin-Login normalerweise lauscht. Sagen wir, wir überlegen uns Port 54321. Dann sollte der erste Blick in die Liste der Standardisierten Ports gehen, damit wir am besten keinen Port wählen, der schon vergeben sein könnte. Eine hohe 5-stellige Portnummer macht sich i.d.R. gut.
In der Fritz!Box wechselt man jetzt zu "Internet/Freigaben/Portfreigaben" und fügt ggfs. ein neues Gerät über den Button "Gerät für Freigaben hinzufügen" der Liste zugänglicher Geräte hinzu und wählt als neues Gerät eben die DiskStation aus.
Wenn man dieses Gerät jetzt bearbeitet, kann man auch eine "Neue Freigabe" erstellen. In das Pop-Up Fenster trägt man im Feld "Bezeichnung" eine freie Bezeichnung für diese Freigabe ein. Geeignet wäre wohl sowas wie "DiskStation Admin" oder eben "DS cam", je nachdem, was man über den Port vorhat. Der Name dient nur der eigenen Wiedererkennung. Das "Protokoll" ist TCP und "Port an Gerät" ist 5001 bis 5001. Dies ist der Standardport für abgesicherte Admin-Logins der DiskStation (vgl. Standardports der DiskStation). Da wir aber nicht diesen Port, sondern unseren Port 54321 im Internet exponieren wollen, tragen wir 54321 in das Feld "Port extern gewünscht" ein. Die grauen Felder unten zeigen nur den aktuellen Status an, hier wird nichts eingegeben und die Portnummer wird automatisch übernommen.
Mit der Konfiguration der Fritz!Box ist man jetzt soweit fertig.
Wenn man dieses Gerät jetzt bearbeitet, kann man auch eine "Neue Freigabe" erstellen. In das Pop-Up Fenster trägt man im Feld "Bezeichnung" eine freie Bezeichnung für diese Freigabe ein. Geeignet wäre wohl sowas wie "DiskStation Admin" oder eben "DS cam", je nachdem, was man über den Port vorhat. Der Name dient nur der eigenen Wiedererkennung. Das "Protokoll" ist TCP und "Port an Gerät" ist 5001 bis 5001. Dies ist der Standardport für abgesicherte Admin-Logins der DiskStation (vgl. Standardports der DiskStation). Da wir aber nicht diesen Port, sondern unseren Port 54321 im Internet exponieren wollen, tragen wir 54321 in das Feld "Port extern gewünscht" ein. Die grauen Felder unten zeigen nur den aktuellen Status an, hier wird nichts eingegeben und die Portnummer wird automatisch übernommen.
Mit der Konfiguration der Fritz!Box ist man jetzt soweit fertig.
Es sei noch darauf hingewiesen, dass man aus Sicherheitsgründen "selbstständige Portfreigaben" in der Fritz!Box für die DiskStation nicht erlauben möchte. Noch viel weniger ist es notwendig, die DiskStation gleich als "Exposed Host" freizugeben, das wäre völlig unsicher. Also Finger weg von den entsprechenden Checkboxen im Fritz!OS.
Hinweis: Portforwarding dürfte ein Feature sein, das kleinere Fritz!Boxen nicht bieten (Erkenntnis nicht gesichert) und auch viele andere einfachere Router nicht unbedingt. Wer hier systembedingt scheitert, der muss dann eben doch den Standardport in der Firewall der DiskStation im Internet freigeben.
Diese Konfiguration funktioniert seit Jahr und Tag einwandfrei mit einer Fritz!Box 7490, mittlerweile unter Fritz!OS 6.83, und dürfte so auch für viele andere Fritz!Boxen gelten, die die angesprochenen Features grundsätzlich bieten.
Internetzugriff im Synology DSM einrichten
Hinweis: weitere Regeln sind geweißt |
Es sei angemerkt, dass es eigentlich keinen Sinn macht, den Port 54321 in der DiskStation freizugeben. Denn eigentlich sollte mit der Konfiguration oben ja die Fritzbox alle externen Anfragen auf diesen Port auf den internen DiskStation Port 5001 weiterleiten (natten). Ich musste aber feststellen, dass ohne diese Portfreigabe DS cam nicht einwandfrei funktioniert. Insofern muss man wohl in den sauren Apfel beißen und beide Ports öffnen.
Wer noch mehr Sicherheit will, wählt nur eine spezifische Region, für die die neuen Regeln gelten sollen. Beispielsweise Deutschland. Auf Anfragen von ausländischen IP-Kreisen sollte die DiskStation dann gar nicht mehr antworten. Wer in den Urlaub fährt und z.B. von Thailand aus auf seine Home-Security-Kameras blicken will, der fügt temporär "Thailand" als zulässige Region den Regeln hinzu.
Die Verwaltungsprogrammoberfläche mit Port 5000 lassen wir schön ohne Checkmark, denn wir wollen uns ja nur über das sichere https einloggen und den unsicheren Weg über http gar nicht erst anbieten. Wenn, dann öffnen wir die "Verwaltungsprogrammoberfläche / Port 5000" nur für einen spezifischen IP-Kreis, der dem unseres internen LANs entspricht. Dann kann man sich auch ohne https einloggen, solange man sich zuhause im LAN bzw. WLAN befindet.
Die Verwaltungsprogrammoberfläche mit Port 5000 lassen wir schön ohne Checkmark, denn wir wollen uns ja nur über das sichere https einloggen und den unsicheren Weg über http gar nicht erst anbieten. Wenn, dann öffnen wir die "Verwaltungsprogrammoberfläche / Port 5000" nur für einen spezifischen IP-Kreis, der dem unseres internen LANs entspricht. Dann kann man sich auch ohne https einloggen, solange man sich zuhause im LAN bzw. WLAN befindet.
Wichtig ist, dass es ganz unten am Ende der Liste heißt "Wenn keine Regel zutrifft: Zugriff verweigern". Ist das nicht gesetzt, nützt das ausgefeilste Regelwerk nichts.
Wenn man alles richtig gemacht hat, ist die DiskStation jetzt theoretisch aus dem Internet erreichbar. Fehlt noch die Einrichtung eines https Zertifikats, damit das ganze funktioniert. Dies beschreibe ich im folgenden Blogpost.
Wenn man alles richtig gemacht hat, ist die DiskStation jetzt theoretisch aus dem Internet erreichbar. Fehlt noch die Einrichtung eines https Zertifikats, damit das ganze funktioniert. Dies beschreibe ich im folgenden Blogpost.
Kommentare
Kommentar veröffentlichen