Unitymedia ConnectBox + FritzBox 7590 + NAS Synology DS918 + Wie Internetzugriff auf NAS???
Hallo zusammen,
ich probiere gerade herum, über das I-Net auf die FileStation meines NAS zuzugreifen.
Nun ist mir folgendes aufgefallen:
Von Unitymedia habe ich eine ConnectBox bekommen. Diese baut die Internetverbindung auf.
An der ConnectBox hängt meine FritzBox 7590. Diese verwaltet mein Heimnetz (TV, NAS, PS4, TAB, Smartphones, ...).
Ich muss dazusagen, dass ich keine Netzwerkprofi bin. In der ConnectBox wird der IP-Bereich 192.168.0.xxx angezeigt. In meiner Fritzbox läuft alles im Bereich 192.168.1.xxx.
1. Heißt das, dass ich von Internet nicht direkt auf die Fritzbox und somit auf Geräte (z.B. NAS) zugreifen kann?
2. Würde es ggf. eine Lösung geben?
3. Ich lese immer wieder im Netz von DS Lite, IPv4, IPv6, ... und das es da auch Zusammenhänge gibt?
Ich hoffe ihr könnt mir weiterhelfen.
Vielen Dank.
ich probiere gerade herum, über das I-Net auf die FileStation meines NAS zuzugreifen.
Nun ist mir folgendes aufgefallen:
Von Unitymedia habe ich eine ConnectBox bekommen. Diese baut die Internetverbindung auf.
An der ConnectBox hängt meine FritzBox 7590. Diese verwaltet mein Heimnetz (TV, NAS, PS4, TAB, Smartphones, ...).
Ich muss dazusagen, dass ich keine Netzwerkprofi bin. In der ConnectBox wird der IP-Bereich 192.168.0.xxx angezeigt. In meiner Fritzbox läuft alles im Bereich 192.168.1.xxx.
1. Heißt das, dass ich von Internet nicht direkt auf die Fritzbox und somit auf Geräte (z.B. NAS) zugreifen kann?
2. Würde es ggf. eine Lösung geben?
3. Ich lese immer wieder im Netz von DS Lite, IPv4, IPv6, ... und das es da auch Zusammenhänge gibt?
Ich hoffe ihr könnt mir weiterhelfen.
Vielen Dank.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 532632
Url: https://administrator.de/contentid/532632
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo
Als erstes solltest du mal prüfen wie deine Connect Box im Internet ist (öffentliche IPv4, DS lite....)
Und dann solltest du folgendes Tutorial von aqui mal lesen.
Kopplung von 2 Routern am DSL Port
Gruss fips
Als erstes solltest du mal prüfen wie deine Connect Box im Internet ist (öffentliche IPv4, DS lite....)
Und dann solltest du folgendes Tutorial von aqui mal lesen.
Kopplung von 2 Routern am DSL Port
Gruss fips
Ich kenn leider die Connectbox nicht aber das kannst du in den Internet oder WAN Einstellungen sehen ob die Connectbox ne öffentliche IP bezieht.
Evtl kanst du im Unitymedia Kundenportal dies auch einsehen. Evtl kannst du hier deine Connectbox hier auch in den Bridge-mode setzen. So kenn ichs aus dem Vodafone Portal. Dann hättest du auch gleich deine Router Cascade aufgelöst.
Oder in den Vertragsunterlagen.
Gruss fips
Evtl kanst du im Unitymedia Kundenportal dies auch einsehen. Evtl kannst du hier deine Connectbox hier auch in den Bridge-mode setzen. So kenn ichs aus dem Vodafone Portal. Dann hättest du auch gleich deine Router Cascade aufgelöst.
Oder in den Vertragsunterlagen.
Gruss fips
einfachster Weg: in der Connect box das Netz von 192.168.0.x auf 192.168.1.x stellen
In der Fritzbox per DHCP DNS und Standardgateway abholen oder beides manuell auf 192.168.1.1 setzen
Die Synology... natürlich könnte man an der Connect Box die eingehenden Ports forwarden (HTTPS, HTTP) aber das ist sicherheitstechnisch der Supergau, sowas ist in 3 Tagen gehackt und dich wird eine Ransomware um eine Handvoll Bitcoins bitten. Mach das bloß nicht. Gibt aber sichere Wege...
Variante a)
Synology selbst bietet eine Cloud-App an, die auf die Synology installiert wird (falls nicht schon da) und auch auf die Endgeräte ... hier übernimmt Synology das "Vermitteln" der Daten der Synology an das Endgerät und das ist auch einigermaßen sicher solange Synology selbst nicht gehackt wird
Variante b)
in Azure oder AWS ein VPC (ein virtuelles Netz) aufbauen, und dort einen VPN Adapter für point-to-site VPN hinzufügen. Viel mehr macht Synology da auch nicht. Bei Azure gibts dann nen VPN Client zum Runterladen, der die Verbindung mit zwei, drei Mausklicks aufbaut. Und in der Synology muß man den VPN Zugang per Hand konfigurieren.. für Azure und AWS gibts Testpakete die im 1. Jahre einige Dienste kostenlos beinhalten, aber der ausgehende Traffic kostet minimal Geld, ich meine so 50-75 Euro pro Terabyte bzw. ein paar Cent pro GB. Für das Szenario muß man allerdigns ein paar Watchdog-Dienste mit dazupacken um ein wenig gegen Hacks geschützt zu sein.
In der Fritzbox per DHCP DNS und Standardgateway abholen oder beides manuell auf 192.168.1.1 setzen
Die Synology... natürlich könnte man an der Connect Box die eingehenden Ports forwarden (HTTPS, HTTP) aber das ist sicherheitstechnisch der Supergau, sowas ist in 3 Tagen gehackt und dich wird eine Ransomware um eine Handvoll Bitcoins bitten. Mach das bloß nicht. Gibt aber sichere Wege...
Variante a)
Synology selbst bietet eine Cloud-App an, die auf die Synology installiert wird (falls nicht schon da) und auch auf die Endgeräte ... hier übernimmt Synology das "Vermitteln" der Daten der Synology an das Endgerät und das ist auch einigermaßen sicher solange Synology selbst nicht gehackt wird
Variante b)
in Azure oder AWS ein VPC (ein virtuelles Netz) aufbauen, und dort einen VPN Adapter für point-to-site VPN hinzufügen. Viel mehr macht Synology da auch nicht. Bei Azure gibts dann nen VPN Client zum Runterladen, der die Verbindung mit zwei, drei Mausklicks aufbaut. Und in der Synology muß man den VPN Zugang per Hand konfigurieren.. für Azure und AWS gibts Testpakete die im 1. Jahre einige Dienste kostenlos beinhalten, aber der ausgehende Traffic kostet minimal Geld, ich meine so 50-75 Euro pro Terabyte bzw. ein paar Cent pro GB. Für das Szenario muß man allerdigns ein paar Watchdog-Dienste mit dazupacken um ein wenig gegen Hacks geschützt zu sein.
Dort wirst Du sehen, welche IP-Adressen die "Außenwelt" von Dir sieht.
Da wird dann so etwas wie
Ihre IP-Adresse lautet:
2003:c1:XXXX:8e00:XXXX:4157:XXXX:d6f9
Ihre IPv4-Adresse lautet:
79.XXXX.203.XXXX
Sollte bei der IPv4-Adresse die Nummernbereiche 10.xxx.xxx.xxx, 172.16( bis 31).xxx.xxx oder 192.168.xxx.xxx stehen, so hast Du DS-Lite und Du kannst nur über v6 oder ein VPN-tunnel-relay auf Deine Systeme zugreifen.
Man sollte kurz vorm Schlafengehen und übermüdet keine Kommentare schreiben. Dann ist da nur die Hälfte dessen, was man schreiben wollte. (siehe Korrektur)
lks
Sollte bei der IPv4-Adresse die Nummernbereiche 10.xxx.xxx.xxx, 172.16( bis 31).xxx.xxx oder 192.168.xxx.xxx stehen, so hast Du DS-Lite und Du kannst nur über v6 oder ein VPN-tunnel-relay auf Deine Systeme zugreifen.
Da wird niemals eine IP nach RFC1918 stehen. Da steht im Fall von "DS-Lite" die öffentliche IP vom Carrier Gateway.
Er muss die dort stehende IP mit der in seiner "ConnectBox" vergleichen.
Ist diese identisch, dann handelt es sich um einen IPv4 Anschluss
Ist diese unterscheidlich, dann handelt es sich um "DS-Lite"
Zitat von @JudgeDredd:
Da wird niemals eine IP nach RFC1918 stehen. Da steht im Fall von "DS-Lite" die öffentliche IP vom Carrier Gateway.
Er muss die dort stehende IP mit der in seiner "ConnectBox" vergleichen.
Ist diese identisch, dann handelt es sich um einen IPv4 Anschluss
Ist diese unterscheidlich, dann handelt es sich um "DS-Lite"
Sollte bei der IPv4-Adresse die Nummernbereiche 10.xxx.xxx.xxx, 172.16( bis 31).xxx.xxx oder 192.168.xxx.xxx stehen, so hast Du DS-Lite und Du kannst nur über v6 oder ein VPN-tunnel-relay auf Deine Systeme zugreifen.
Da wird niemals eine IP nach RFC1918 stehen. Da steht im Fall von "DS-Lite" die öffentliche IP vom Carrier Gateway.
Er muss die dort stehende IP mit der in seiner "ConnectBox" vergleichen.
Ist diese identisch, dann handelt es sich um einen IPv4 Anschluss
Ist diese unterscheidlich, dann handelt es sich um "DS-Lite"
Welcher IP Bereich soll denn deiner Meinung nach bei DSLite beim Kunden auftauchen? Öffentliche IPs machen ja eben keinen Sinn. Sonst müsste der Provider den Bereich mehrfach verteilen um den Zweck zu erfüllen.
Richtig formuliert fehlt ein Satz das die Adresse auf dem Router beim Kunden überprüfr werden muss.
Welcher IP Bereich soll denn deiner Meinung nach bei DSLite beim Kunden auftauchen? Öffentliche IPs machen ja eben keinen Sinn. Sonst müsste der Provider den Bereich mehrfach verteilen um den Zweck zu erfüllen.
Ich wollte damit sagen, das auf der Webseite:
Rufe einfach die Seite https://www.wieistmeineip.de/ auf.
nicht die RFC1918 IP steht.
Rufe einfach die Seite https://www.wieistmeineip.de/ auf.
Das nützt dem TO bei einem DS-Lite Anschluss aber recht wenig. Schlimmer noch, es verwirrt ihn als blutigen Netzwerk Laien noch viel mehr.Grund ist das die Seite zwar eine öffentliche IP anzeigt, diese aber dann aber ggf. die des CGN Gateways des Providers ist.
Er kann einzig nur an der Connect Box selber sehen ob er eine öffentliche IP bekommen hat. Dazu in das WebGUI der ConnectBox gehen und dort gibt es garantiert so etwas wie einen WAN Port Status. Meist wird dieser schon im Dashboard des Routers direkt angezeigt und ganz sicher steht dort die am WAN/Internet Port vom Provider vergebene IP Adresse. Ist das eine private_IP kann man die Bemühungen gleich einstellen, denn dann ist der Anschluss ein DS-Lite oder einer mit CGN.
Remoter VPN Zugriff oder Port Forwarding (Was der TO dann hoffentlich NICHT macht !) sind dann technisch nicht möglich oder nur mit einem erheblichen Mehraufwand. Siehe dazu auch hier.
Ansonsten ist das ein klassisches Router Kaskaden Design aus 2 Routern mit doppeltem NAT (Connect Box und FritzBox)
Alle relevanten Details dazu findet man in diesen Tutorials:
Kopplung von 2 Routern am DSL Port
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ob der TO das als Laie allerdings alles durchdringen kann ist mehr als fraglich. Besser ist wohl er nimmt sich jemanden an die Hand der wenigstens ansatzweise versteht was er da macht.
Zitat von @Lochkartenstanzer:
Rufe einfach die Seite https://www.wieistmeineip.de/ auf.
Dort wirst Du sehen, welche IP-Adressen die "Außenwelt" von Dir sieht.
Da wird dann so etwas wie
Sollte bei der IPv4-Adresse die Nummernbereiche 10.xxx.xxx.xxx, 172.16( bis 31).xxx.xxx oder 192.168.xxx.xxx stehen, so hast Du DS-Lite und Du kannst nur über v6 oder ein VPN-tunnel-relay auf Deine Systeme zugreifen.
Man sollte kurz vorm Schlafengehen und übermüdet keine Kommentare schreiben. Dann ist da nur die Hälfte dessen, was man schreiben wollte. (siehe Korrektur)
lks
Dort wirst Du sehen, welche IP-Adressen die "Außenwelt" von Dir sieht.
Da wird dann so etwas wie
Ihre IP-Adresse lautet:
> 2003:c1:XXXX:8e00:XXXX:4157:XXXX:d6f9
>
> Ihre IPv4-Adresse lautet:
> 79.XXXX.203.XXXX
>
Sollte bei der IPv4-Adresse die Nummernbereiche 10.xxx.xxx.xxx, 172.16( bis 31).xxx.xxx oder 192.168.xxx.xxx stehen, so hast Du DS-Lite und Du kannst nur über v6 oder ein VPN-tunnel-relay auf Deine Systeme zugreifen.
Man sollte kurz vorm Schlafengehen und übermüdet keine Kommentare schreiben. Dann ist da nur die Hälfte dessen, was man schreiben wollte. (siehe Korrektur)
lks
Korrektur:
Guten Morgen allen,
nachdem ich den Kommentar heute Abend um 4 (die Nacht war lang ) kurz vorm Schlafengehen geschrieben habe, steht da nur die Hälfte drin, was ich sagen wollte. Also hier die Korrektur:
Mit dem Aufruf von https://www.wieistmeineip.de/ oder einer ähnliche Webseite stellst Du erstmal fest, ob Du nur Single- oder Dual-Stack (ggf. Lite) zur Verfügung hast. Wenn da sowas wie
Ihre IP-Adresse lautet:
> 2003:c1:XXXX:8e00:XXXX:4157:XXXX:d6f9
>
> Ihre IPv4-Adresse lautet:
> 79.XXXX.203.XXXX
>
hast Du zumindest Dual-Stack zur Verfügung. Sollte da nur eine IP-Adresse stehen (egal ob v4 oder v6), hast Du nur single Stack. Wenn da nur eine v4 steht, heißt da i.d.R, daß Du in Deinem LAN einen Fehler gemacht hast und kein v6 nutzt. Eher seltener ist heutzutage der Fall, daß der Provider kein v6 macht.
Wenn da nur eine v6-Adresse steht (bisher mir nicht untergekommen), bist Du ein Chinese ohne v4-konnektivität.
Dann schaust Du auf deinem Internetrouter, in Deinem Fall also die Unitymedia Connectbox, nach, welche IP-Adressen diese von Deinem Provider bekommen haben.
Die v6-Adresse sollte eine Andere sein, weil normalerweise der WAN-Port eine andere zugeteilt bekommt als das Netz dahinter und NAT bei v6 unüblich ist. Sollte bei der IPv4-Adresse die Nummernbereiche 10.xxx.xxx.xxx, 172.16( bis 31).xxx.xxx oder 192.168.xxx.xxx stehen, so hast Du DS-Lite und Du kannst nur über v6 oder ein VPN-Tunnel-Relay auf Deine Systeme zugreifen. Sollte da die gleiche IPv4-Adresse stehen, wie oben bei https://www.wieistmeineip.de/ so hast Du Glück und kannst durch VPN oder Portforwarding auf Deine Systeme zugreifen.
Sollte die ipv4-Adresse nicht aus dem RFC1918-Bereich sein, aber sich trotzdem von der obigen IP-Adresse unterscheiden, so macht der Provider vermutlich NAT oder leitet alles über einen Proxy um, so daß Du wieder wie bei dem Fall der RFC-1918-Adressen ein Tunnel-Relay brauchst.
Eine andere Methode sich relativ schnell Überblick zu verschaffen ist, einfach ein traceroute, z.b. zu google (8.8.8.8 und 2001:4860:4860::8888) zu machen. Anwortet hinter Deinem Internetrouter der nächste Hop mit einer RFC1918-Adresse, hast Du DS-Lite. Ansonsten muß man genauer nachschauen. mit der v6-Adresse kann man prüfen, ob v6-Konnektivität vorhanden ist.
So, ich hoffe ich konnte die Verwirrungen, die mein erster verwirrter Post hinterlassen hat, klären.
Also: Nicht übermüdet kommentieren, sonst kommt manchmal Murks raus.
lks
Vermutlich wird der TO als völliger Laie so oder so trotz Korrektur nur Netzwerk Bahnhof verstehen...?!
Zielführend für eine Hilfe zur Lösung ist aber in der Tat erstmal die grundsätzliche Klärung ob wir es hier mit DS-Lite zu tun haben oder nicht.
Desweiteren wichtig ist die Information ob die Connect Box als Router arbeitet und wir es hier mit einer Router Kaskade (siehe oben) zu tun haben oder ob die C-Box ein reines nur Modem ist und nur durchreicht. Sprich das Internet dann direkt an der FritzBox terminiert ist.
Diese 2 Punkte muss der TO wasserdicht klären damit es Sinn macht hier weiterzumachen.
Bei DS-Lite ist so oder so jede Liebesmüh umsonst, da technisch dann nicht oder nur mit erheblichem Aufwand, realisierbar.
Was vermutlich bei DS-Lite geht, ist auf dem NAS eins dieser unseligen Hersteller Apps zu installieren die über einen Vermittlungsserver eine IP Session offenhalten um diese dann für den Zugriff zu nutzen.
Klar, das man von sowas nur dringenst abraten kann. Nicht nur das diese Verbindung unsicher ist da nur simples, ungeschütztes Port Forwarding, es öffnet auch das NAS ins Internet. Etwas was man ganz sicher nicht möchte...
Ein VPN auf die FritzBox ist hier also immer erste Wahl. Ob das realisierbar ist mit dem Provider Vertrag den der TO hat dann eine ganz andere Frage...
Zielführend für eine Hilfe zur Lösung ist aber in der Tat erstmal die grundsätzliche Klärung ob wir es hier mit DS-Lite zu tun haben oder nicht.
Desweiteren wichtig ist die Information ob die Connect Box als Router arbeitet und wir es hier mit einer Router Kaskade (siehe oben) zu tun haben oder ob die C-Box ein reines nur Modem ist und nur durchreicht. Sprich das Internet dann direkt an der FritzBox terminiert ist.
Diese 2 Punkte muss der TO wasserdicht klären damit es Sinn macht hier weiterzumachen.
Bei DS-Lite ist so oder so jede Liebesmüh umsonst, da technisch dann nicht oder nur mit erheblichem Aufwand, realisierbar.
Was vermutlich bei DS-Lite geht, ist auf dem NAS eins dieser unseligen Hersteller Apps zu installieren die über einen Vermittlungsserver eine IP Session offenhalten um diese dann für den Zugriff zu nutzen.
Klar, das man von sowas nur dringenst abraten kann. Nicht nur das diese Verbindung unsicher ist da nur simples, ungeschütztes Port Forwarding, es öffnet auch das NAS ins Internet. Etwas was man ganz sicher nicht möchte...
Ein VPN auf die FritzBox ist hier also immer erste Wahl. Ob das realisierbar ist mit dem Provider Vertrag den der TO hat dann eine ganz andere Frage...