NAS erreichbarkeit nur über Internet

[Gregor09]

Geht auch ohne Route, habe diese gleich wieder entfernt, da ich keine Verbesserung gemerkt habe. Habe auf den Endgeräten DYNDNS aufgelöst bekommen, wenn ich Beispielsweise den Google DNS 8.8.8.8 eingetragen habe. Ich konnte auch intern Pingen. Ich kann auch Pingen vom Dream Machine Netzwerk. Nur ich bekomme leider keine HTTPS Oder WEBDAV Verbindung hin

Über 5G/LTE Klappt es wunderbar aber im Netz der Dream Machine komm ich einfach nicht an das NAS Dran, ist zum verzweifeln, langsam hab ich auch keinerlei Ideen mehr was ich nich machen könnte.
Per IP Komme ich aus dem Dream Machine Netz nicht auf das NAS also da scheint irgendwas zu blockieren das liegt dann definitiv nicht an der Namensauflösung.

Im Fritzbox Netz habe ich sowohl mit der IP als auch der DYNDNS das NAS erreicht, da lag es am ersten Test wohl an der Namensauflösung über den Vodafone vorgegebenen DNS.

 

[Drewkev]

Per IP Komme ich aus dem Dream Machine Netz nicht auf das NAS

Dann würde ich persönlich mal auf die schnelle mit tracert rangehen oder sogar den Traffic mit WireShark sniffen, dann siehst du idealerweise wo's hängt.

 

[Raijin]

Freigabe in der Fritzbox eingerichtet, per Mobilfunk am Handy getestet, funktioniert einwandfrei.
Handy oder PC im Netz der Dreammachine Pro kann die DynDNS auflösen und bekommt die Gateway IP (100.150.200.221) zurück, kann aber keine Verbindung aufbauen. Egal ob Handy oder PC.
Nun Frage ich mich, warum dem so ist?

Ich würde an deiner Stelle DynDNS erstmal außen vor lassen. Du baust dir sonst womöglich einen Flaschenhals in dein eigenes Netzwerk ein, wenn du dich mit dem NAS verbinden willst.

Wenn man von innerhalb des Netzwerks auf die eigene WAN-IP zugreift, muss der Internetrouter "NAT-Loopback" unterstützen. Dabei merkt er im allerletzten Moment kurz bevor er die Verbindung zum Provider ins www routet, dass er selbst gemeint ist und dreht die Verbindung um 180°, um sie anschließend quasi wieder in den WAN-Port inkl. NAT-Engine zu schieben. Das heißt man geht "fast" über das Internet raus, aber belastet dennoch den WAN-Port, NAT und Portweiterleitungen im Internetrouter. Je nach Router kann das zu Performanceeinbußen führen, weil man einen unnötigen Umweg geht.

In solchen Szenarien richtet man entweder im lokalen DNS einen manuellen Eintrag für die DynDNS-Domain ein, der auf die lokale IP des eigentlichen Servers (hier: NAS) zeigt, oder aber man greift direkt mit der lokalen IP-Adresse auf das NAS zu.


Grundsätzlich irritiert mich dein Setup aber ein wenig. Normalerweise würde ich erwarten, dass die DreamMachine am WAN eine IP aus dem Fritzbox-Subnetz hat. Da die Fritzbox ja nicht im BridgeMode läuft, sondern als 08/15 Router, ist sie auch das einzige Gerät, das direkt im Internet hängt und eigentlich die WAN-IP haben sollte. In dem Fall wäre es eine simple Routerkaskade und du bräuchtest keinerlei Route in der DM, weil das Fritz-Netz einfach an ihrem WAN hängt und vollständig erreichbar ist. Sowas nennt man DIY-DMZ.

Ergänzung (3. August 2023)

Die angegebenen Routen sind im übrigen sinnfrei, weil sie entweder gar nicht funktionieren (Ziel+Gateway im selben Subnetz = "Gehe von der Küche ins Bad über die .. .. Wohnungstür?!?") oder überflüssig sind, weil sie bereits durch die Standardroute abgedeckt wären ("Gehe zum Briefkasten durch die Wohnungstür und gehe zum Rest der Welt durch die Wohnungstür"). Das Problem scheint aber an anderer Stelle zu liegen, nämlich bei AVM selbst:

Netzwerkgeräte, für die eine öffentliche IP-Adresse eingerichtet wird, beziehen ihre IP-Einstellungen nicht mehr von der FRITZ!Box und können daher weder auf andere Geräte im FRITZ!Box-Heimnetz, noch auf die FRITZ!Box-Benutzeroberfläche zugreifen.

Quelle: AVM

Eine DIY-DMZ wie bei einer Routerkaskade, ist so also nicht möglich, da die DMP quasi vereinfacht ausgedrückt an der Fritzbox vorbei bereits direkt ins Internet geht und gar nicht Teil des FritzNetzwerks ist.

 

[Raijin]

Wenn man das NAS also vom Heimnetzwerk isolieren möchte, wäre eine DMZ innerhalb der UDM Pro der richtigere Weg. Dazu im Unifi-Controller ein zusätzliches Netzwerk einrichten und als DMZ konfigurieren bzw. die Firewall-Regeln entsprechend setzen. Anleitungen dazu findet man im Internet. Das NAS stünde dann wieder wie zuvor physisch hinter der UDM, aber in einem separaten Netzwerk, der besagten DMZ mit eigenem Subnetz und eigenen Firewall-Regeln. Letztere werden so gesetzt, dass ein Zugriff vom Hauptnetzwerk der UDM auf das NAS erlaubt sind - inkl. der Antwortpakete vom NAS - aber das NAS selbst darf nicht von sich aus auf das Hauptnetzwerk zugreifen. Ein potentiell gekapertes NAS wäre also hinter der DMZ-Firewall der UDM gefangen und das Hauptnetzwerk sicher (abgesehen natürlich von möglichen infizierten Dateien auf dem NAS).

 

[Gregor09]

Vielen herzlichen Dank für die sehr ausführliche Hilfe!
Tatsächlich hatte ich die letzten Tage noch viel rumprobiert, es aber nicht ans laufen bekommen.
Schlussendlich habe ich es jetzt wieder so gemacht, dass das NAS in einem eigenen Netz an der Dream Machine Pro steht und ich Firewall Regeln erstellt habe, genau wie du sagst, dass kein Gerät kommunizieren darf, aber das NAS mit Angabe der IP und MAC schon, ich denke das war so richtig.
Und vom Hauptnetz darf man Speziell mit der IP der NAS Reden.
Oder was genau meinst du mit Antwortpaketen, wäre das nochmal anders zu konfigurieren?

Viele Grüße

 

[Raijin]

Oder was genau meinst du mit Antwortpaketen, wäre das nochmal anders zu konfigurieren?

Naja, man kann nicht einfach sämtlichen Traffic Haupt --> DMZ erlauben und sämtlichen Traffic DMZ --> Haupt verbieten. Darum geht's.
Dadurch könnte das NAS nicht mehr auf Verbindungsanfragen antworten und auch keine Daten übertragen - zB der Download einer Datei vom NAS auf den PC.

Deswegen muss eine DMZ-Firewall die Pakete auch anhand ihres Zwecks unterscheiden.

Eine DMZ-Firewall arbeitet vereinfacht dargestellt so:

ALLOW
Haupt -----> DMZ @ connection state = new
Haupt <----- DMZ@ connection state = established/related

Die Firewall erlaubt also einen Verbindungsaufbau aus dem Haupt-Netzwerk (PC) in die DMZ (NAS) und erlaubt auch die Antworten auf diese Verbindung, also die Bestätigung und im weiteren Verlauf die eigentlichen Inhalte (zB der Download einer Datei).

BLOCK
Haupt <----- DMZ@ connection state = new

Der Verbindungsaufbau aus dem DMZ-Netzwerk in das Haupt-Netzwerk wird jedoch geblockt. Das NAS darf also nicht aus eigenem Antrieb eine Verbindung zum PC aufbauen. Genau hier greift eben der Schutz, wenn ein NAS gekapert werden sollte, weil das NAS nur auf eingehende Anfragen reagieren darf, aber nicht in Eigenregie direkt das Hauptnetzwerk angreifen kann.



Je nach Anforderung kann man diese Regeln selbstverständlich noch weiter spezifizieren und nicht das gesamte Subnetz angeben, sondern einzelne IP-Adressen. Wobei man da auch klar sagen muss, dass eine IP-Adresse nicht zwingend eindeutig ist im Sinne der Unveränderbarkeit, ebensowenig die MAC-Adresse. Ist beispielsweise dein Admin-PC aus, kann sich ein anderer PC dessen IP-Adresse geben und ggfs auch die MAC-Adresse spoofen. Daher sind IP-/MAC-basierte Firewall-Regeln mit Vorsicht zu genießen.

Ich möchte allerdings darauf hinweisen, dass eine Firewall stets nur so sicher ist wie sie konfiguriert wurde. Fehlt das nötige Wissen dazu, stehen die Chancen gut, dass man sich unwissend Sicherheitslücken in die Firewall einbaut. Der bloße Einsatz eines fortgeschrittenen Routers wie zB einer UDM oder auch einer Hardware-Firewall mit pfSense/OPNsense, o.ä. bringt noch keinerlei Sicherheitsgewinn, wenn sie von Peter Planlos konfiguriert wurden - ganz allgemein formuliert.

Business Anschluss, statische IP bzw. gar ein öffentliches Subnetz implizieren, dass da kein 08/15 Privatanschluss läuft, sondern ein Unternehmen im weitesten Sinne. Ggfs wäre da fachliche Unterstützung durch einen IT-Dienstleister sinnvoll, sei es ein Systemhaus oder auch ein IT-Freelancer. Auch wenn computerbase.de durchaus viel KnowHow beherbergt, ist das kein Ersatz für einen nachprüfbaren Profi für ein Unternehmen. Ich könnte schließlich auch ein ambitionierter Hörgeräteakustiker sein, der mehr gefährliches Halbwissen verbreitet als Fachwissen. IT kostet Geld, ja, aber IT hält das Unternehmen auch am Laufen

 

[Gregor09]

Vielen herzlichen Dank für deine super ausführliche Antwort!
Genau so habe ich die Regeln, bloß ohne auf "connection state" zu achten, da arbeite ich mich mal genauer rein. Bzw. habe ich es anhand deiner Erklärung gut verstanden denke ich.

Es ist tatsächlich so, dass es ein Privat Anschluss ist, ich wollte eine statische IP und in jedem fall IP V4 haben, damit ich in Zukunft keine Probleme habe mit VPN oder Zugriff auf bestimmte sachen in meinem Netz.

Damals bei Unitymedia war das auch alles kein Problem das zu bekommen, wie es heute ausschaut weiß ich nicht, der Vertrag besteht schon sehr lange.

Bisher hatte ich sehr viel über VPN gemacht und nur sehr sehr wenig über Portfreigaben.
Da habe ich auch den Port auf Highports geändert damit durch Portscans nichts auffällt und auch 2 Faktor Authentifizierung, sichere Kennwörter etc. Eingerichtet, ich denke das dies schon recht sicher ist.
Auch automatisch eblockierung etc. habe ich gemacht. Teilweise auch mit Reverse Proxy.

Nur bei der Firewall kanne ich das mit dem connection state tatsächlich noch nicht, was dies genau bedeutet.

Vielen Dank dir nochmals für deine ausführliche und tolle Erklärung

Einen guten Start ins Wochenende wünsch ich dir