Zwei Netze, kein Zugriff über DynDNS aufs NAS

[Don-DCH]

Guten Morgen zusammen,
ich habe ein Problem, dass ich bei meinem iPhone und PC gerne carddav, calvdav und weitere dienste über mein NAS nutzen möchte, dies aber nur eingeschränkt funktioniert Anbei eine Erklärung . Ich hätte gerne eine Netztrennung, sprich beispielsweise Netz A: 192.168.44.X und Netz B192.168.55.X. Beide sind über die Unifi Dream Machine Pro durch Unternehmens bzw. Gast Netzwerk getrennt. In Netz A ist der PC und das iPhone. bei beiden ist meine dyndns eingetragen (Outlook und iPhone kontakt Account) welche auf meine Unifi Dream Machine Pro verweist, eine Portfreigabe verweist auf mein NAS in netz B. (NAS ist sowohl in Netz A und Netz B) das ganze funktioniert wenn das iPhone über Mobilfunk geht. Ist aber das iPhone im gleichen WLAN wie auch der PC (Netz A) dann können diese nicht über die Adresse auf das NAS zugreifen. Ändere ich die Portfreigabe auf Netz A klappt es. Nun ist die Frage wieso kann der PC nicht "rausgehen" zum 1 DNS und wieder zurück auf meinen Router und dann in das Netz B auf mein NAS? Kennt jemand die Problematik? ich hoffe man versteht einigermaßen was ich meine, ansonsten kann ich gerne noch eine Zeichnung versuchen anzufertigen


Versucht habe ich jetzt noch das Standardgateway anzupassen und dieses auf das jeweilige Netz umgetsellt beides kein erfolg. Geänderter DNS ebenfalls erfloglos.

Viele Grüße und Danke euch im Voraus!

 

[prian]

Sorry, ich habe jetzt nicht ganz verstanden was Du hier erreichen willst und wo-wann-welches Problem besteht.
Du willst also an das NAS , das über seine beiden NW-Schnittstellen in unterschiedlichen Netzen gleichzeitig ist zurgreifen?
Oder willst Du vom PC mit 192.168.44.10 auf das NAS über 192.168.55.X zugreifen?
Da hilft Dir ein anderes Standardgateway nicht weiter.

Ein Bild würde hier helfen um klar zu erkennen was Deine Absichten sind.

 

[TrueAzrael]

Muss gestehen dass ist eine Zeit lang her... Wie reagiert denn ein Router üblicherweise wenn er aus einem internen Netz seine eigene externe IP als Zieladresse bekommt? Sind dass dann interne Pakete oder externe? Eventuell gibt es nämlich eine Richtlinie die Geräten aus Netz A den Zugriff auf Geräte aus Netz B verweigert, von extern auf Netz B darf aber zugegriffen werden. Dazu müsste der Router aber checken, dass ein Gerät aus Netz A auf die externe Adresse des Routers zugreift und diese ins Netz B gemappt ist. Bin mir da nicht sicher glaube aber, dass das nicht üblich ist.

Gut, das es nicht funktioniert, ein NAS gehört nicht "offen" ins Internet!

Von extern (aus dem Internet) funktioniert es ja nur nicht aus dem eigenen Netz.

 

[GaborDenes]

Gut, das es nicht funktioniert, ein NAS gehört nicht "offen" ins Internet!

 

[Raijin]

Wie reagiert denn ein Router üblicherweise wenn er aus einem internen Netz seine eigene externe IP als Zieladresse bekommt?

Das nennt sich NAT-Loopback oder NAT-Hairpin und muss vom Router unterstützt und ggfs aktiviert werden.
Wenn eine DDNS-Domain aufgelöst wird und auf die öffentliche IP des Routers zeigt, dann läuft das so ab:

1) Der PC sieht die öffentliche Ziel-IP und schickt die Verbindung an sein Standard-Gateway, den Router.
2) Der Router sieht die öffentliche Ziel-IP, maskiert die Absender-IP mit seiner öffentlichen IP und merkt im letzten Moment, dass er ja selbst auch das Ziel ist.
3) Noch im WAN-Port dreht der Router die Verbindung um 180° und schickt sie in die NAT-Pipeline, die Portweiterleitungen.
4) Verbindung kommt am NAS an, Quell-IP = Öffentliche IP des Routers, weil diese in 2) schon geändert wurde
5) NAS schickt die Antwort an die Quelle (öffentliche IP des Routers)
6) Rückweg zum PC wie Hinweg

Wenn die Portweiterleitung aus 3) restriktiv wäre und zB auch auf die Quell-IP triggert (zB statische Firmen-IP), würde sie in diesem Fall NICHT triggern, weil NAT-Loopback-Traffic nach dem Drehen im WAN-Port 1:1 wie Traffic aus dem Internet gehandhabt wird und in diesem Falle die Quell-IP ja eine andere als die Firmen-IP wäre.

Deswegen ist NAT-Loopback auch mit Vorsicht zu genießen. J e d e s einzelne Datenpaket einer Verbindung, die im lokalen Netzwerk via NAT-Loopback läuft, wird einen Umweg über den Router und dessen WAN-Port inkl. Portweiterleitung nehmen. Abhängig von der Größe der Netzwerke und der WAN-<NAT>-LAN Leistung des Routers, kann das zu spürbaren Performanceeinbußen führen.


Besser ist es da, im lokalen DNS einen manuellen Eintrag hinzuzufügen, der die DDNS-Domain eben lokal auflöst, direkt mit der lokalen IP des Ziels. Bei verschiedenen Subnetzen würde der Router natürlich trotzdem einspringen müssen, um dazwischen zu routen, aber dann tut er dies ohne WAN und ohne NAT direkt von Netz zu Netz. Auch sieht das Ziel der Verbindung dann woher die Verbindung kommt, weil die Quelle in diesem Fall die lokale IP-Adresse des PCs wäre und eben nicht die öffentliche IP des Routers wie es bei NAT-Loopback der Fall wäre.



@Don-DCH : Kannst du vom PC aus denn die lokale IP des NAS anpingen und auch auf die dortigen Daten zugreifen? Wenn ja, würde ich den Weg über einen lokalen DNS-Eintrag gehen. Sofern du vielleicht pihole einsetzt, könnte man dort einen manuellen Eintrag vornehmen, in der UDM ist das soweit ich weiß nicht ganz so einfach. Schlimmstenfalls muss man in der UDM auf die CLI runter und zB mit static-host-mapping einen Eintrag für die DDNS-Domain generieren, mit der lokalen IP des NAS. Natürlich müssen die Clients im Netzwerk dann auch die UDM (oder eben pihole) als DNS verwenden und dürfen nicht direkt auf zB 8.8.8.8 zugreifen.

 

[prian]

@Raijin
Danke für Deine Erklärungen.
So wie ich den TE verstanden habe, sind doch beide Netze komplett voneinander getrennt.
Meiner Meinung nach sollte doch der Zugriff vom 192.168.44.X nicht auf 192.168..55.X intern möglich sein.
Deshalb versucht er wohl von innen aus dem .44.X über die externe Adresse auf die .55.X zu kommen.

Vielleicht verstehe ich es nicht richtig aber in meinem Fall wäre dann der Zugriff aus meinem Netz ins Gäste-WLAN intern nicht zu realisieren? Ich möchte das auch gar nicht.
Oder sollte genau das die Fritzbox "merken" und statt nach Außen zu senden würde meine Anfrage am WAN-Port ins Gäste-WLAN gesendet?

 

[Don-DCH]

Vielen Dank euch für die ausführlichen Antworten!
Ich habe nochmal eine Zeichnung angefertigt.
Vielleicht doch interessanter als ich dahcte zu erwähnen ist, dass ich eine feste iPV4 habe, wovon meine Fritzbox die Gateway Öffentliche bekommt und meine Dream Machine die öffentliche IP vom Provider, die Dream Machine ist als Exposed Host freigeschaltet, doppeltes NAT habe ich aber nicht, da ich direkt ja die öffentlcihe IP vom Router habe auf die mein DNS verweist, DNS möchte ich gerne nutzen, da ich von lets enrypt ein Zertifikat habe und damit auch keine Zertifikatsfehler bekomme

Das NAS steht quasi in beiden Netzen, Intern zum Administrieren nach außen Portfreigabe für die angegeben Dienste.

Ich hatte halt gehofft, dass der PC oder das iPhone im WLAN die dyndns erfragen beim router oder provider und über die portfreigabe gegangen wird den port gebe ich ja auch mit.

Ich hoffe damit ist es noch verständlicher geworden?

Viele Grüße

Ergänzung (17. November 2020)

Gut, das es nicht funktioniert, ein NAS gehört nicht "offen" ins Internet!

Was meinst du mit offen? Eine Router Firewall habe ich mit einer portfreigabe und das NAS hat auch ein eine aktiveierte Firewall, DOS schutz aktiviert,zu viele Anmeldeversuche werden blockiert sowie 2 faktor authentifizierung?

Ich kann nicht verstehen warum du so etwas schreibst? Ich habe nett um Hilfe geben und dann kommt so ein Kommentar? Was soll das? Anstatt zu helfen oder zu konkretisieren was du meinst? So ist doch wirklich neimandem geholfen.....

 

[h00bi]

Hast du beide Portfreigaben auf Port 5001? Eigentlich sollte die GUI sowas als Eingabe verhindern, aber man weiß ja nie.
Ich verstehe noch immer nicht warum die NAS in 2 Netze muss.

wieso kann der PC nicht "rausgehen" zum 1 DNS und wieder zurück auf meinen Router und dann in das Netz B auf mein NAS?

Warum hast du für solchen Kram keinen eigenen DNS Server?
Auf der UDM sollte man das doch konfigurieren können, oder?
Wir manipulieren die "internen" DNS Einträge einfach. Das spart das loopback.

remote.h00bi.org geht also gar nicht erst ins Internet raus sondern intern gibts als Antwort 192.168.0.111

 

[Don-DCH]

Habe nur eien Portfreigabe, habe dort dann die Netze gewechselt und mit dem 44 Netz ging es dann.

Zwei Netze eifnach als Trennung ich kann auch dann die Interne Verbindung kappen und das testen.
Das gleiche Problem habe ich allerdings bei meinem Smarthome Home Assitsant, dort habe ich auch ein Netz für IOT Geräte die nicht ins normale netzwerk sollen und noch ein paar iot geräte die aber ins normale netz müssen. Da habe ich dann die Portfreigabe auch auf das eine Netz geändert, dann ging der Zugriff von meinem Hauptnetz. Da hätte ich eigentlich auch gerne eigentlich vom anderen IOT Netz aus die Freigabe..

DNS Server ist meißt der Router bei mir. DNS wollte ich wegen den zertifikaten nicht manipulieren oder klappt das dennoch?
Lokal könnte ich in Outlook auch die interne IP benutzen, daher auch die 2 Netze aber ist auch kein Problem wenn ich die externe URL angebe mit SSL Zertifikat da meckert dann wenigstens kein Gerät

 

[Raijin]

Das NAS steht quasi in beiden Netzen, Intern zum Administrieren nach außen Portfreigabe für die angegeben Dienste.

Dir ist klar, dass du damit aber den Konzept des Gast-Netzwerks vollständig aushebelst? Innerhalb des Routers nach definierten Regeln bestimmten Traffic als Ausnahme zwischen Haupt- und Gast-Netzwerk zuzulassen ist kein Problem, dafür ist ein Router bzw. dessen Firewall ja da. Wenn du allerdings einen zweiten Übergabepunkt zwischen den Netzwerken herstellst, das NAS, ist diese Sicherheit nicht mehr gewährleistet, weil es nicht Aufgabe des NAS ist, Netzwerke zu trennen bzw. voneinander abzusichern.


Ich sehe hier ein konzeptionelles Problem. Die Tatsache, dass deine Portweiterleitung des Ports 5001 auf 55.11 funktioniert und die offenbar zweite Weiterleitung auf 44.11 nicht, liegt einfach darin begründet, dass eine Portweiterleitung nur weiterleitet und keine Pakete dupliziert. Wenn an der UDM Daten auf Port 5001 ankommen, können sie nur anhand EINER Weiterleitung weitergeleitet werden, nämlich der ersten. Sollte ein Router die Eingabe von doppelten Portweiterleitungen erlauben und nicht durch einen GUI-Fehler unterbinden, wird stets nur die erste Weiterleitung funktionieren, weil die zweite Weiterleitung niemals erreicht wird.

 

[Don-DCH]

Guten Abend,

habe jetzt das NAS nur noch in meinem nicht Heimnetz stehen. Leider komme ich innerhalb meines Heimnetzwerkes nicht per URL drauf. Es ist nur noch eine Verbindung direkt zum Router in das andere Netz vorhanden. Warum funktioniert es nicht, dass ich per URL Drauf zugreifen kann vom Heimnetzwerk allerdings vom Mobilfunk Netzwerk. Getestet sowohl mit dem iPHone als auch am PC ( Da aber nur Heimetzwerk Test)

Ja ich hatte ja immer nur eine Weiterleitung entsprechend einmal die 44.11 und einmal die 55.11.
Frage ich nur warum jetzt garnichts mehr intern erreichbar ist obwohl nur eine Netzwerkschnitstelle vorhanden ist?

Da läuft doch im Router was falsch oder?

 

[prian]

Für mich wird das immer verwirrender, sorry.

Dein NAS hat zwei Netzwerkschnittstellen, eine hört auf x.x.55.x und eine auf x.x.44.x
Soweit verstanden. Beide LAN-Anschlüsse hängen am selben Router, der dort jeweils ein eigenes Netz zur Verfügung stellt.
Du willst, dass die Netzwerkschnittstelle des NAS auf x.x.55.x von Außen erreichbar ist?
Also eine Portweiterleitung von Anfragen auf Port 5001 sollen auf dem NAS landen, ok?
Somit verstehe ich als Wunsch, dass z.B. test.dyndsn.org:5001 nach 192.168.55.x sollen?
Das wäre dann nur der simple Zugriff aus dem Internet auf das NAS, das ist mit dem Router ja leicht zu lösen.

Du willst auch noch intern, also im Netz x.x.44.x auf das NAS zugreifen, da es im selben Netzt auch zu finden ist , ist das ja auch kein Problem und soll nur der Web-Administration dienen?

Und jetzt verstehe nicht leider immer noch nicht, was nun noch gewünscht ist.
Der Zugriff intern (im LAN) von x.x.44.x auf das NAS mit x.x.55.x?

Sorry für die Nachfragerei.

 

[Raijin]

Warum funktioniert es nicht, dass ich per URL Drauf zugreifen kann vom Heimnetzwerk allerdings vom Mobilfunk Netzwerk.

Weil das zwei Paar Schuhe sind. Über Mobilfunk verbindest du dich real von außen via DDNS-Domain mit dem Router und über dessen Portweiterleitung mit dem NAS. Von innerhalb des Netzwerks muss der Router NAT-Loopback unterstützen und aktiviert haben, um die Verbindung mit der DDNS-Domain, seiner eigenen öffentlichen IP, von innen in dieselbe Portweiterleitung zu schicken. Ohne NAT-Loopback endet die Verbindung von innen auf die DDNS-Domain am Router.

Ich nutze Unifi nicht mit Router, also weder USG noch UDM, kann also nicht mit Sicherheit sagen ob man das erst einschalten muss. Bei den EdgeRoutern, die Serie ohne Unifi, muss man in der GUI explizit Hairpin NAT (synonym für NAT-Loopback) per Haken aktivieren.

Wenn NAT-Loopback aktiviert ist und es trotzdem nicht funktioniert, muss man die Verbindung debuggen. Als erstes prüfen ob die DDNS-Domain korrekt aufgelöst wird und als nächstes mittels tcpdump und/oder WireShark den Weg verfolgen. D.h. prüfen ob die Verbindung vom Smartphone am Router am 44er Interface ankommt und ob sie am 55er Interface wieder rausgeht und zu guter letzt ob sie beim NAS ankommt.

Aber wie gesagt, ich würde das stets mit einem lokalen DNS-Eintrag lösen und das sollte auch bei der UDM klappen. Dann wird die DDNS-Domain innerhalb deines Netzwerks mit der 55er IP des NAS aufgelöst und nicht mit der WAN-IP und das erleichtert die Sache grundlegend, weil man in der Firewall zwischen dem 44er und 55er Subnetz nur eine Allow-Regel für diese Verbindung anlegen muss.

 

[TrueAzrael]

Hast du eine "Gastnetzwerkfunktion" für das zweite Netz verwendet? Dann kann es nämlich gut sein, dass der Zugriff von und zum Gastnetz nur vom Internet aus gestattet ist. Verbindungen vom Gastnetzwerk ins eigentliche LAN bzw. vom LAN zum Gastnetzwerk werden da meist unterbunden.
Am besten per Hand ein zweites Netz anlegen und die Routing-/Firewall-Regeln selbst festlegen, dabei aber eben darauf achten, dass man sich a) nicht selbst aussperrt und b) keine Löcher aufreißt.

 

[Don-DCH]

Entschuldigt die späte Antwort. Habe jetzt nur die Netzwerkschnittselle nach außen eingetsellt, das hat auch nicht geklappt und wie @TrueAzrael schrieb habe ich das Gastnetzwerk gehabt, in welchem das NAS war, nun habe ich es mal temporär auf Unternehmensnetzwerk gestellt, dort sind ja ale Netze untereinander geroutet. das klappt alles soweit ganz gut. Nur stellt sich mir die Frage ob es möglich ist das der Verkehr zwischen den Netzen unterbunden wird ich allerdings zugriff über "draußen" sprich dyndns adresse habe? Geht das doer istd as nicht möglich weil es der gleiche router ist und es deshalb blockiert wird?

 

[Raijin]

Natürlich geht das. Du kannst in den Firewall-Einstellungen Regeln definieren, die bestimmten Datenverkehr erlauben oder blockieren.

google mal nach "unifi firewall regeln" und du wirst zahlreiche Tutorials finden, u.a. Videos wie dieses hier (unbewertet): Klick!

 

[Don-DCH]

Danke dir für die schnelle Antwort, wollte eigentlcihd ie Netze Komplett trennen und das mein PC dann quasi über die externe adresse in das andere Netz geht hmm das wird wohl nicht gehen. Dann müsste ich alles blokcieren und port xy dann durchlassen zwischen den netzen hmm

 

[Raijin]

Hier der Artikel von Ubiquiti zur Firewall: Klick!

 

[TrueAzrael]

Du kannst auch den Verkehr zwischen den beiden Netzen unterbinden und nur den Zugriff auf einen Host/Server erlauben in dem Fall dann halt vom eigentlichen Heimnetzwerk grundsätzlich kein Zugriff auf das "Gastnetzwerk" außer auf das NAS.

Edit: Selbst erlaubte Ports und Protokolle lassen sich meines Wissens beim Unifi konfigurieren.

 

[Don-DCH]

Hmm irgendwo habe ich einen Denkfehler, egal ob ich das NAS im Gast Netzwerk habe oder unternehmens Netzwerk mit blockierten Ports, wenn ich den Verkehr zum NAS erlauben will klappt es nicht.
Die Verteilung ist irgndwie nicht so durchsichtig gerade für mich wo ich welche Regel erstellen muss :/