Fixe IP vs DDNS vs Fritzbox

[Brati23]

Hallo zusammen

Ich spiele mit dem Gedanken mir einen unraid Server zu bauen. Erst möchte ich aber alles durchspielen (Hard- und Software) und bin bei Fragen angelangt die sich mir schon länger stellen. Ich sehe in der Materie einfach nicht ganz durch. Danke schonmal für Eure Erläuterungen.

Ich möchte meinen Server (unraid oder VM Win10) von ausserhalb (Internet) erreichbar machen. Zur Verfügung habe ich:

• Eine Fritzbox 7490
• Ein webhosting (extern gemietet, Domains/Subdomain unlimitiert, My SQL Datenbank 1GB)

Auf der Fritze ist VPN eingerichtet und funktioniert. Könnte ich ggf. mein Myfritzkonto für meine Zwecke "nutzen"? (Ja könnte ich. Wurde aber über eine Web(sub)domain home.brati23.de mit Weiterleitung per cname (einstellbar in den Optionen vom Webhost) --> auf goip.de -->Fritzbox gelöst)
VPN selbst würde ich ressourcentechnisch später lieber auf dem Server laufen lassen falls das geht bzw. keine anderen Nachteile bringt.

Mein Anbieter wechselt nur etwa zwei mal im Jahr oder bei Stromausfall die IP. Trotzdem wird, zumidest mit der DS120j, nach jedem IP wechsel wieder neu abgeglichen was zwar keinen traffic verursacht, aber die HDD zwei Tage "durchrattern" lässt. (läuft bewusst nicht über Quickconnect)
Ausserdem möchte ich von ausserhalb auf meinen Emby Server zugreifen. (lieber nicht über VPN bei Filmen?) Klar gehts mit Emby Connect, aber ich brauch ja eh eine Lösung auch ausserhalb von Emby.

Eine statische IP möchte ich auch nicht zwingend. Da wurde mir ins Ohr gesetzt es sei unsicher weil eben die IP nie wechselt. Wobei ich nicht glaube, dass ein Angriff an einer wechelnden IP scheitert.
(Es ist nicht unsicherer sondern einfach weniger anonym)

Das mit der Portweiterleitung ist mir einigermassen klar.

Wie würdet Ihr vorgehen bzw. habt Ihr es gelöst?
Grüsse Brati

 

[Tunguska]

Mein Anbieter wechselt nur etwa zwei mal im Jahr oder bei Stromausfall die IP.

Eine statische IP möchte ich auch nicht zwingend. Da wurde mir ins Ohr gesetzt es sei unsicher weil eben die IP nie wechselt.

Das wirst du wohl noch etwas genauer erklären müssen. Denn nach dem Text da oben wechselt deine IP praktisch nie.

 

[LasseSamenström]

Benutz ddns.. Einfach & unkompliziert. Lässt sich ja auch in der FB einrichten. VPN in einer VM einrichten und Port 1194 freigeben - feste IP'S vergeben.
Den Rest solltest du selber schaffen.

 

[kamanu]

Ich weiß ja nicht, wo du deine Domains liegen hast. Meine liegen bei Strato. Da isses dann überhaupt kein Problem die Fritzbox via DDNS zum Beispiel die IP für die Subdomain zuhause.example.de aktualisieren zu lassen. Es müssten auch noch weitere Provider in der fritzbox gelistet sein. Einfach mal nachschauen.

 

[DeusoftheWired]

Könnte ich ggf. mein Myfritzkonto für meine Zwecke "nutzen"?

Ja. Laß deine gemietete Domain auf deinen MyFRITZ!-Namen zeigen. kamanus Vorschlag, die FRITZ!Box die Aktualisierung bei deinem Domainanbieter erledigen zu lassen, ist natürlich noch besser. Dann sparst du dir den Umweg über MyFRITZ!

Eine statische IP möchte ich auch nicht zwingend. Da wurde mir ins Ohr gesetzt es sei unsicher weil eben die IP nie wechselt. Wobei ich nicht glaube, dass ein Angriff an einer wechelnden IP scheitert.

Etwas soll sicher durch starke Passwörter (bzw. gleich Schlüsseldateien zur Anmeldung), regelmäßig eingespielte Aktualisierungen und nicht unnötigerweise angebotene Dienste sein, nicht durch den Wechsel einer IP. Würde eine statische IP angreifbar machen, wäre ja alles kommerziell Gehostete angreifbar, da statische IP. Eine statische IP spart dir den Umweg über DynDNS-Dienste wie eben MyFRITZ! und man hat sie nach einer Weile sogar im Kopf.

 

[GrumpyCat]

Statische oder beinahe statische IP zuhause ist nicht wirklich ein Sicherheitsrisiko, aber blöd, weil alle Zugriffe von Dir nach außen eben auch unter dieser IP erscheinen, d.h. Du bist relativ einfach für Diensteanbieter zu tracken (=> Datenschutz). Musst Du selbst wissen, ob das ein Problem für Dich ist oder nicht.

Fritzbox-VPN ist im allgemeinen ziemlich langsam. Würde ich nicht benutzen, ebenso wie den Rest der AVM-Infrastruktur, denn man macht sich sonst ja nur abhängig von.

Das "Durchrattern" der DS120j wird nicht mit IP-Wechseln zu tun haben, wieso auch. Macht die vielleicht einfach ein fsck nach Stromausfall oder so?

Das einfachste und letztendlich vermutlich langfristig stressärmste dürfte sein, sich irgendwo eine 2€-VM mit statischer IP zu besorgen, darauf Wireguard (Server) zu installieren, von Deinem Haus-Server dorthin eine VPN-Verbindung aufzubauen und den Wireguard-Server so zu konfigurieren, dass er entsprechende Portforwards durch den VPN-Tunnel macht. Nach außen erscheint Dein Haus-Server dann unter der IP der VM.
Dann bist Du weitgehend unabhängig von anderen Anbietern oder auch der genauen Technik Deines Internetanbieters (z.B. würde DDNS die Grätsche machen, falls er irgendwann auf DS Lite umstellt) oder ob Du zuhause eine statische IP hast oder nicht.

 

[DonConto]

1. Hänge keinen Service direkt ins Internet
2. Wenn du vom Internet auf deine Systeme zuhause zugreifen willst, richte dir ein VPN ein. Ein VPN ist dafür gemacht sicher zu sein und im Internet zu hängen. Bastelprojekte wie unraid nicht. Aktualisiert eh meist kein Anwender regelmässig.
3. Ein IPSec/OpenVPN auf der Fritzbox dürfte ziemlich langsam sein. Spielt natürlich keine Rolle wenn man eh nur 5 MBit/s upload hat. Ich kenne aber keine Fritzen oder Handys oder Tablets, die ne ordentliche IPSec/OpenVPN Performance haben.
4. Wenn du schnelles VPN willst, nimmst du lieber Wireguard. Läuft auch auf nem Raspberry 4 mit mehr Bandbreite als dein Internet her gibt. Oder, bzw ganz besonders, auf dem Client (Handy/Tablet?).
5. Statische IPs sind nicht sicherer oder unsicherer. Aber dynamische IPs sind anonymer. Um auf Nummer sicher zu gehen würde ich also trotzdem ein DynDNS einrichten - muss ja nicht auf der Syno sein.

 

[Brati23]

Das wirst du wohl noch etwas genauer erklären müssen. Denn nach dem Text da oben wechselt deine IP praktisch nie.

Da hast Du recht. Sie wechselt nicht oft. Dank der anderen Beiträge ist mir jetzt aber klar: Es ist nicht unsicherer sondern einfach weniger anonym.

Benutz ddns.. Einfach & unkompliziert. Lässt sich ja auch in der FB einrichten. VPN in einer VM einrichten und Port 1194 freigeben - feste IP'S vergeben.

Klingt doch schonmal nach einem Plan

Es müssten auch noch weitere Provider in der fritzbox gelistet sein. Einfach mal nachschauen.

Werde ich machen danke. Gute Idee.

Das "Durchrattern" der DS120j wird nicht mit IP-Wechseln zu tun haben, wieso auch. Macht die vielleicht einfach ein fsck nach Stromausfall oder so?

Die DS syncht 2-Weg mit einer anderen externen DS und macht wöchentlich Hyper Backups dort hin. Um die Server Adresse also die IP in Cloud Station ShareSync zu wecheln muss die Verbindung gelöscht und neu eingerichtet werden. Mit der "neu" eingerichteten Verbindung wird dann logischerweise wieder von vorne abgeglichen. Wurde mir von Syno so bestätigt.

Das einfachste und letztendlich vermutlich langfristig stressärmste dürfte sein, sich irgendwo eine 2€-VM mit statischer IP zu besorgen, darauf Wireguard (Server) zu installieren, von Deinem Haus-Server dorthin eine VPN-Verbindung aufzubauen und den Wireguard-Server so zu konfigurieren, dass er entsprechende Portforwards durch den VPN-Tunnel macht. Nach außen erscheint Dein Haus-Server dann unter der IP der VM.

Klingt interessant danke. Ich muss mich erst einarbeiten.

1. Hänge keinen Service direkt ins Internet

Verstanden und gespeichert.

3. Ein IPSec/OpenVPN auf der Fritzbox dürfte ziemlich langsam sein. Spielt natürlich keine Rolle wenn man eh nur 5 MBit/s upload hat.

Meine Leitung ist nicht sooo der bringer: ↓ 113,7 Mbit/s↑ 36,3 Mbit/s Da muss ich ggf. eine Abo-Stufe höher. Falls die Kupferleitung es denn zulässt.

4. Wenn du schnelles VPN willst, nimmst du lieber Wireguard. Läuft auch auf nem Raspberry 4 mit mehr Bandbreite als dein Internet her gibt.

Klingt interessant danke. Ich muss mich ebenfalls erst einarbeiten. Ein Pi4 liegt aber zufällig noch rum.

Ich bedanke mich für Eure schnelle Hilfe und die vielen Inputs. Ist echt eine nette und kompetente community hier. Hut ab!

 

[Brati23]

Also Schritt eins: DDNS

Wenn ich Euch richtig verstanden habe stehen folgende drei Möglichkeiten im Raum.
1: MyFRITZ! Adresse
2: Fritzbox mit der IP/Adresse der Subdomain vom Host verknüpfen
3: 2€-VM mit statischer IP
Da würde es doch Sinn machen bzw. wäre einfacher direkt über die MyFRITZ! Adresse zu gehen? Scheint ja betreffend Datenschutz und oder Geschwindigkeit keinen Unterschied zu machen siehe unten.
Oder habe ich bei Option 2 und 3 eine andere IP nach aussen?
Zitat Raijin:
Ein DDNS legt einen Telefonbucheintrag für deine aktuelle WAN-IP unter der DDNS-Domain an, sonst nichts. Ein DDNS bekommt niemals auch nur ein einziges Bit deiner Verbindungen mit, niemals. Das ist technisch gar nicht möglich, weil ein Telefonbuch auch nicht deine Telefonate belauschen kann.....

Edit: Oder wird Schritt eins durch Schritt zwei: VPN obsolet? Ich brauch ja für das VPN auch ne statische IP/Name oder? Obwohl ich dann wie im Heimnetzwerk bin. Ich muss ja erst dahin kommen.

 

[DeusoftheWired]

Da würde es doch Sinn machen bzw. wäre einfacher direkt über die MyFRITZ! Adresse zu gehen?

Das kommt darauf an, ob du die Daten über deine MyFRITZ!-Adresse oder deine Domain erreichbar machen möchtest. Normalerweise kauft/mietet man eine Domain ja gerade deshalb, weil das etwas schicker aussieht als die Subdomain bei einem DDNS-Anbieter (und man noch diverse andere Möglichkeiten Richtung DNS hat, die mit einer reinen Subdomain nicht möglich sind). Wenn du über brati23.de erreichbar sein willst, brauchst du den Umweg über MyFRITZ! nicht zu gehen, solange die FRITZ!Box das Aktualisieren ihrer IP bei deinem Registrar unterstützt.

Reicht es dir aus, sfh14jb.myfritz.net zu heißen, kannst du natürlich auch nur MyFRITZ! verwenden. Dann kannst du aber deine Domain kündigen.

 

[Brati23]

Hey, danke für den Support.
Die Domain habe ich wegen einer Homepage gemietet.
Sagen wir es ist brati23.de. Dann erstelle ich im CMD vom Hosting eine Unterdomäne sagen wir brati23.de/test (brat24.de wird nicht gehen oder?)
Dann richte ich in der Fritzbox bei DDNS die Adresse brati23.de/test ein und verbinde mich ab da wenn von ausserhalb über VPN mit brati23.de/test? Dank VPN ohne mehr Ports zu öffnen.
Solange die FRITZ!Box das Aktualisieren ihrer IP bei meinem Registrar unterstützt versteht sich.

 

[Bob.Dig]

Ein beliebiges Webhosting unterstützt möglicherweise aber auch keine anderweitige Verwendung deiner Domain, würde ich mal vermuten. Kommt wohl auf das Paket an.

 

[Brati23]

Ein beliebiges Webhosting unterstützt möglicherweise aber auch keine anderweitige Verwendung deiner Domain, würde ich mal vermuten. Kommt wohl auf das Paket an.

Danke für den Hinweis. Kläre ich ab. Aber trotzdem die Frage. Wie soll sie das nicht unterstützen? brati23.de/test bleibt brati23.de/test oder?

 

[DeusoftheWired]

Eine Subdomain kommt immer davor. Das mit einem Slash hinten abgetrennte sind nur Verzeichnisse. Eine Subdomain wäre dann also z. B.

vpn.brati23.de

 

[foo_1337]

Such dir einen xbelibigen dyndns anbieter, der von der FB supported wird, aus (achtung, je nach anbieter gibt es Einschränkungen bzw. man muss bezahlen). Auf den FQDN, den du da bekommst, setzt du einen CNAME für home.brati23.de. Den DDNS Anbieter trägst du dann in der Fritzbox ein, damit er sich immer aktualisiert.

brati23.de/home ginge zwar auch, dazu brauchst du jedoch einen httpd/reverse proxy, welcher einen 301 zu der subdomain macht.

 

[Brati23]

Danke für die Info @DeusoftheWired
Gute Idee @foo_1337 Vieleicht geht es auch direkt. Ich kann auf "Benutzerdefiniert" bei den DDNS Einstellungen in der Fritze.
Könnt Ihr Euch mal kurz die Bilder anschauen? Sieht das so richtig aus? Müsste die IP ??? irgendwo beim Hoster zu finden sein?
Wie kontrolliere ich jetzt ohne Port öffnen ob die Weiterleitung funktioniert?

 

[DeusoftheWired]

Am einfachsten ist es, du suchst mit einer Suchmaschine nach name-deines-domainverwalters fritzbox dyndns, weil du höchstwahrscheinlich nicht der erste sein wirst, der seine FRITZ!Box dazu benutzen will, die aktuelle IP zum Domainverwalter zu melden. Bei welchem Domainanbieter bist du denn?
Leider ist das Verfahren nicht standardisiert. Jeder Anbieter möchte die Daten in einem anderen Format mit anderen Angaben. Wenn der Anbieter doof ist, ist es auch möglich, daß es nur über sein Webseite geht und er keinen Weg für die automatisierte Aktualisierung bietet.

So sieht’s für den DynDNS-Dienst aus, den ich nutze, https://freedns.afraid.org/. Das Feld „Update-URL“ ist von Anbieter zu Anbieter verschieden, gibt wie gesagt leider keinen Standard. Hier ist es https://freedns.afraid.org/dynamic/update.php?-44-stellige-zufällige-Zeichenkette. Das Feld „Update-URL“ bitte auch nicht mit dem Feld „Domainname“ verwechseln. Wie der Name schon sagt, kommt da die URL rein, die der Anbieter zum Aktualisieren von IP-Angaben zu deiner (Sub-)Domain vorsieht. Das ist selten deine eigentliche (Sub-)Domain, häufiger irgendwas wie aus dem Beispiel von freedns.afraid.org.

Weil du die Daten für die Subdomain home.brati23.de aktualisieren möchtest, muß im Feld „Domainname“ auch home.brati23.de stehen.

Benutzername und Kennwort dürfen nicht leer sein. Da kommen die Anmeldedaten rein, die du bei deinem Domainregistrar benutzt. Ansonsten könnte man ja einfach wildfremde Domains aktualisieren.

Müsste die IP ??? irgendwo beim Hoster zu finden sein?

Der Hoster bist doch du. Die Webinhalte liegen auf einer Büchse bei dir zu Hause. Dein Zuhause hat eine wechselnde IP, die dein Domainanbieter nicht wissen kann. Deshalb mußt du sie ihm ja mitteilen.

Wie kontrolliere ich jetzt ohne Port öffnen ob die Weiterleitung funktioniert?

Welche Weiterleitung? Die von deiner MyFRITZ!-Adresse zu home.brati23.de? Von home.brati23.de zu deiner MyFRITZ!-Adresse?

 

[till69]

Ich kenne aber keine Fritzen oder Handys oder Tablets, die ne ordentliche IPSec/OpenVPN Performance haben.

Eine 7590 kann IPsec inzwischen in Hardware mit ordentlicher Performance.

Also Schritt eins: DDNS

Wozu?

Eine CNAME Eintrag bei Deiner Domain reicht vollkommen:

xxx.deinedomain.de -> aaabbbcccddd.myfritz.net

 

[foo_1337]

Naja, wenn man unbedingt myfritz mag... Dank let's encrypt ist das eher ungeil geworden (Stichwort: CT Protokolle). Wer es nicht weiß: Somit lassen sich problemlos alle myfritz Hostnamen sammeln und bei der nächsten Fritzbox Lücke hat man direkt eine schöne Liste. https://transparencyreport.google.com/https/certificates

 

[Brati23]

Jeder Anbieter möchte die Daten in einem anderen Format mit anderen Angaben.

Ich habe eine Anfrage an den Hoster geschrieben. Mit Screenshot was ich da eintragen soll. Es ist ein kleiner Hoster die Suchmaschine hat nichts gefunden.

Der Hoster bist doch du. Die Webinhalte liegen auf einer Büchse bei dir zu Hause.

Stimmt. Habe ich falsch überlegt. Ist jetzt zwar nicht soo komplex aber ich mach mir glaub besser ne Zeichnung. gg

Wozu?
Eine CNAME Eintrag bei Deiner Domain reicht vollkommen:
xxx.deinedomain.de -> aaabbbcccddd.myfritz.net

Bei IP (??? siehe Bild Post#16) eintragen? Oder was kommt da rein? Plan B oder C. Mal die Antwort abwarten.

Danke danke für den Support!