Externer Zugriff auf Serverdienste im LAN (Nextcloud auf einer Synology DiskStation mit DSM 6)

Bisher hab ich dieses Thema ausgespart, zum einen hat es mit den bisherigen Nextcloud-Artikeln nichts oder nur indirekt zu tun gehabt. Zum anderen habe ich den externen Zugriff noch unter DSM 5 eingerichtet. Die DiskStation hat die Einstellungen auf DSM6 übernommen, doch dort sind viele Punkte nicht mehr dort wo sie vorher waren bzw. nicht mehr vorhanden. Da aber Nachfrage an dem Thema besteht, habe ich mich beschlossen doch einen Artikel darüber zu schreiben und die Konfiguration auf DSM 6 rekonstruiert.

Das Tutorial funktioniert (abgesehen vom DiskStaion-Teil) für alle Server-Dienste in eurem LAN. Für das Tutorial verwende ich als Dienst den Webserver der DiskStation und als Anwendung Nextcloud. Das ganze Funktioniert aber auch mit jeder beliebigen Anwendung die auf der WebStation laufen. Über diesen Web könnt ihr auch andere Synology-Pakete verfügbar machen, wie etwa DSM selbst oder die Photo Station oder die Video Station. Dazu sind aber auf der DiskStation zusätzliche Einstellungen notwendig um die Sicherheit zu erhöhen. Diese kann ich im Rahmen dieses Artikels nicht alle abdecken. Eventuell werde ich mich dem in einem zukünftigen Artikel annehmen.

Voraussetzungen

  • Eine installierte Nextcloud-Instanz auf eurer DiskStation. Wie das geht, findet ihr hier.
  • Einen konfigurierbaren (NAT/Portforwarding, optional DDNS) Router der mit dem Internet verbunden ist. Hier gibt es einige Stolpersteine, mehr dazu, weiter unten.
  • Eine der beiden Optionen:
    • entweder eine statische IP, die hat man in der Regel nicht als Privatkunde, bei manchen Providern kann man aber nachfragen, ob man eine bekommen kann. Andere Provider erlauben auch Privatkunden das Bestellen von Business-Paketen, die haben meist eine statische IP und sind oft nur minimal teurer als Privat-Pakete.
    • oder einen Account bei einem DDNS-Anbieter, mehr dazu, weiter unten.
  • (Optional) Eine eigene Domain. Natürlich könnt ihr die Nextcloud/DiskStation auch über die (statische) IP aufrufen, DDNS-Anbieter stellen meist Domains im Format <EinName>.<DDNSAnbieter>.<com/net/…> zur Verfügung.

DDNS einrichten

Habt ihr keine statische IP, kommt ihr um DDNS nicht herum, es sei denn ihr wollt jedes mal nach Ablauf der IP die neue IP im DNS eures Domainanbieters eintragen. Synology bietet euch für eure registrierte DiskStation eine Subdomain mit DDNS an und zwar kostenlos. Der Vorteil ist, neben den nicht vorhandenen Kosten, dass ihr den Synology-DDNS-Account direkt in der DiskStation eintragen könnt. Nachteil: Ihr habt nur genau eine Subdomain zur Verfügung <EureDS>.synology.me. Normalerweise reicht das auch vollkommen aus. Ihr habt ja auch nur eine externe IP. Selbst wenn ihr mehrere Dienste von außen aufrufen wollt – die vielleicht auch auf anderen Rechnern/Servern laufen und nicht auf der DS – dann ist das kein Problem. Mit dem DDNS-Hostnamen erreicht ihr über eure externe IP euren Router, der ist dann dafür zuständig die Anfrage zum richtigen Host in eurem LAN weiterzuleiten.

Solltet ihr verschiedene (Sub)Domains bzw. virtual Hosts verwenden wollen, braucht ihr einen weiteren DDNS-Anbieter, bzw. einen Anbieter der euch mehrere Subdomains erlaubt. Habt ihr z.B. keine eigene Domain, könnt ihr die verschiedenen Subdomains des DDNS-Anbieters für verschiedene Dienste zu nutzen (siehe vhost). DiskStation sowie einige Router haben Vorkonfigurierte Anbieter eingespeichert. Einige Router, wie auch die DS erlauben das Hinzufügen von Anbietern.
Ihr müsst jetzt mehrere Dinge prüfen. Es empfiehlt sich DDNS am Router zu konfigurieren, kann euer Router das nicht, könnt ihr auf die DS ausweichen. Informiert euch über das Angebot der vorkonfigurierten Anbieter, sollte euch keiner zusagen, könnt ihr einen anderen Anbieter wählen. Kann euer Router keine eigenen Anbieter hinzufügen, müsst ihr wieder auf die DS ausweichen.
Ich verwende den DDNS-Dienst von Synology selbst sowie spDyn, hab aber auch schon einige andere Dienste getestet. Solltet ihr nach einer Alternative zu Synology suchen, kann ich spDyn empfehlen, der deutsche Anbieter ist kostenlos und erlaubt bis zu 5 Hosts (im Normalfall reicht einer, da ihr ja nur einen Internetanschluss und somit eine externe IP habt, vor allem wenn ihr eine eigene Domain habt und diese auf eure DDNS Subdomain verweisen lasst), dazu lässt sich spDyn via DiskStation updaten (DS Konfig muss erweitert werden). Außerdem kann für jeden Host ein eigener Update-Token erstellt werden. Der Token ersetzt beim Updater das Passwort und der Hostname ersetzt den Nutzernamen des Accounts. Mit dem Token kann man sich nicht in den Account einloggen und mit dem Token kann nur der zugehörige Host upgedatet werden. Somit bleibt der Account sicher. Habt ihr einen besseren Anbieter, könnt ihr gerne einen Kommentar hinterlassen. Das Prinzip ist bei allen gleich. Ihr legt euch eine Subdomain an die mit eurer externen IP verknüpft wird. Da sich diese aber laufend ändert, bieten DDNS-Anbieter eine API, über die die IP aktualisiert werden kann. Bekommt ihr eine neue IP von Provider zugewiesen, muss jemand in eurem Netzwerk den DDNS-Anbieter benachrichtigen. Da der Router als Erster die neue Adresse mitbekommt ist es besser diesen das Update zu überlassen. Sollte der Router das nicht können, könnt ihr eben auch auf die DiskStation ausweichen, hier kann es aber zu einer kurzen Verzögerung bei der Aktualisierung kommen, vor allem wenn die DS nicht 24/7 im Betrieb ist. Habt ihr außer der DS keine anderen Server in eurem Netzwerk, sollte das aber kein Problem sein.
Fügt einen neuen Host hinzu und wählt eine Subdomain aus. Als IP wird meist die aktuelle externe IP automatisch eingetragen, der Wert ist erstmal egal und wird später automatisch angepasst.
Generiert den Update-Token, sofern euer Anbieter das Feature bereitstellt.
Wollt ihr den Synology DDNS-Dienst verwenden, müsst ihr euch auf synology.com anmelden und eure DiskStation registrieren. Da nur eine Subdomain zur Verfügung steht, kann ich die einzelnen Schritte leider nicht beschreiben.

Neuen Hosteintrag hinzufügen
Der DDNS-Account verbindet einen Domainnamen mit eurer externen IP.
Synology DDNS Service
Erfolgreich eingerichteter DDNS-Service von Synology.

Konfiguration der DiskStation

DDNS

Sollte euer Router den DDNS-Anbieter eurer Wahl nich vorkonfiguriert haben – und ihr ihn nicht selbst konfigurieren können – nutzt ihr die DiskStation als Update-Client.

  1. Öffnet das Kontrollzentum.
  2. Geht auf den Punkt „Externer Zugriff“.
  3. In der DDNS-Tabelle klickt auf „Hinzufügen“ und sucht im Dropdown euren Anbieter. Habt ihr ihn gefunden, macht bei Punkt 6 weiter.

    DDNS Verwaltung
    DDNS-Account über die DiskStation aktualisieren
  4. Ist euer Anbieter nicht in der Liste schließt das Fenster wieder und klickt auf „Anpassen“.
  5. Vergebt einen Namen und fügt die Update-URL ein. Die Update-URL stellt der DDNS-Anbieter zur Verfügung und kann immer etwas abweichen. __HOSTNAME__ und __MYIP__ sind hingegen Variablen der DiskStation, achtet darauf dass es sich bei den _ um doppelte _ handelt.

    weitere DDNS Anbieter hinzufügen
    Die DiskStation ermöglicht das Hinzufügen weiterer Anbieter, auf diese weise können auch mehrere Einträge für den selben Anbieter gemacht werden.
  6. Gebt die Daten für euren DDNS-Account ein. Hostname ist die Subdomain die ihr euch ausgesucht habt. Benutzt ihr einen Update-Token ersetzt dieser das Passwort.
  7. Habt ihr alles richtig eingegeben, zeigt euch die DiskStation sofort ob das Aktualisieren funktioniert, oder ob es einen Fehler gibt.

    DDNS erfolgreich eingerichtet
    Die DiskStation zeigt an ob der DDNS-Account aktualisiert werden konnte

NAT

Prinzipiell könnt ihr NAT am Router direkt über die DiskStation konfigurieren, wenn ihr einen kompatiblen Router habt. Wenn nicht, konfiguriert ihr NAT direkt am Router.
Hinweis: Selbst wenn euer Router unterstützt wird, solltet ihr zur Sicherheit einen Blick ins Routermenü werfen, ob auch alles Richtig ist. Bei meinem TP Link wurden die Einstellungen zwar übertragen, allerdings im Unterpunkt PnP und nicht unter NAT.
Ich empfehle nur Port 443 (https) einzutragen, wenn ihr keine zwingende Verwendung für Port 80 habt. Das erhöht die Sicherheit, euer Webserverver ist dann nicht unter http erreichbar und ihr braucht auch nicht http auf https umzuleiten.

Routerkonfiguration

Viele Provider stellen eigene Modem/Router-Kombis bereit die oft eine stark beschnittene Firmware haben. Einige davon kann man als reinen AccessPoint konfigurieren, die Einwahl macht dann der eigene Router oder die Provider-Geräte lassen sich komplett durch eigene Geräte ersetzen. Ist das nicht möglich kann nur noch Doppel-NAT (langsam) oder eine DMZ abhelfen.
Für die weiteren Schritte gehe ich davon aus, dass ihr den Router, der mit dem Internet verbunden ist, entsprechend konfigurieren könnt.

DHCP – statische IP-Vergabe

Damit die weiteren Schritte funktionieren, muss die DiskStation immer die selbe lokale IP-Adresse zugewiesen bekommen. Die Standardeinstellung vieler Router vergibt die IP-Adressen dynamisch und zeitlich begrenzt. In den DHCP-Einstellungen des Routers gibt es meist eine Tabelle für statische IP-Adressen. Hier müsst ihr nur die MAC-Adresse eurer DS eingeben und ihr die gewünschte IP zuweisen.

DDNS

Optional könnt ihr noch DDNS am Router einrichten. Kann euer Router das nicht, könnt ihr das auch über die DiskStation machen (siehe oben). Habt ihr DDNS schon auf der DiskStation eingerichtet, braucht ihr es am Router nicht mehr zu machen.
Hier kann ich euch keine genaue Anleitung geben, da mein Router diese Option nicht hat. Die Einstellung kann je nach Router und Firmware unterschiedlich sein. Am besten ihr googelt nach eurem Router und DDNS, dann solltet ihr Anleitungen finden.

NAT

Damit die DiskStation über das Internet erreichbar ist, muss am Router NAT konfiguriert werden können. Die folgenden Schritte sind nur notwendig, wenn euer Router nicht über die DS konfiguriert werden kann, oder wie bei mir, die Einstellungen vom Router falsch übernommen werden.

  1. Geht in das entsprechende Menü auf eurem Router.
  2. Fügt einen neuen Eintrag hinzu
  3. Beim NAT wird der Zugriff auf die externe IP + Port auf eine interne IP und den selben Port umgeleitet, wird auch auf einen anderen Port umgeleitet, spricht man vom Portforwarding. Für unsere Zwecke reicht ein einfaches NAT. Gebt also als externen Port/Service Port (oder wie immer es bei eurem Router heißt) 443 für https an. Als internen Port ebenfalls 443 und als IP, die Adresse eurer DiskStation im LAN.
    Hinweis: Es ist wichtig, dass ihr eurer DiskStation eine statische, lokale IP zuweist. Das geht in den DHCP-Einstellungen des Routers. Standardeinstellung ist meist die zufällige vergabe von IP-Adressen.

    Network-Address-Translation
    Umleiten der externen IP/Port-Kombination auf eine Interne IP/Port-Kombination.

Gebt nur die Ports frei, die ihr auch Tatsächlich braucht. Ports die nicht benötigt werden, bieten eine zusätzliche Angriffsfläche von außen. Wenn ihr keine Dienste habt die unbedingt den Port 80 benötigt (Webseite/Blog ohne https) gebt ihn gar nicht erst frei. Dann braucht ihr euch auch keine Gedanken darüber zu machen, http-Zugriffe auf https umzuleiten. Habt ihr den http-Port in Verwendung, überlegt euch auf https (Port 443) umzusteigen und den Port 80 zu schließen. Um https nutzen zu können, braucht ihr ein SSL-Zertifikat. Das könnt ihr über die DS erledigen (siehe unten). Im Bild seht ihr zwar einen Eintrag für den Port 80, der ist aber deaktiviert, warum das so ist, könnt ihr ebenfalls im SSL-Teil nachlesen.

Testet jetzt ob ihr den Webserver eurer DiskStation erreicht. Gebt im Browser (nutzt euer Smartphone oder ein anderes Gerät, dass nicht im selben LAN hängt) die Subdomain, die ihr in eurem DDNS-Account eingestellt habt, auf (achtet auf das https:// wenn ihr den Port 80 nicht freigegeben habt). Ihr solltet das blaue Testbild der WebStation sehen, sofern ihr die index.php im /web-Ordner nicht getauscht/geändert habt oder sonstige Umleitungen eingestellt habt. Mit https://euer.ddns.com/<NextcloudFolder> solltet ihr auf eure Nextcloud zugreifen können.
Nextcloud wird sich eventuell mit der Nachricht melden, dass die Domain die ihr nutzt, nicht in der Liste der „Trusted Domains“ eingetragen ist. Klickt auf den Button um die Domain automatisch in das config-File einzutragen. Ihr müsst euch danach mit dem Nextcloud-Adminkonto einloggen. Alternativ findet ihr den Punkt im config.php eurer Nextcloud-Installation.

untrusted domain
Domains werden als nicht vertrauenswürdig eingestuft, wenn sie nicht im config-FIle eingetragen wurden.

Domain einrichten

Wenn ihr eure eigene Domain nutzen wollt, geht in die DNS-Einstellungen eurer Domain-Verwaltung. Ihr müsst einen CNAME-Eintrag hinzufügen. Eure (Sub-)Domain verweist auf eure DDNS-Domain.

cname Eintrag
cname Eintrag: lasst eure (Sub-)Domain auf eure DDNS-Domain verweisen

Tragt auch diese Domain unter „Trusted Domains“ in die config.php eurer Nextcloud ein. Jetzt solltet ihr auch mit eurerdomain.com/<nextcloudname> auf eure Nextcloud zugreifen können. Ihr könnt auch problemlos mehrere (Sub)-Domains auf euren DDNS-Hostnamen zeigen lassen. Das ist vorallem bei der Verwendung von vhosts hilfreich.

https-Verschlüsselung/SSL-Zertifikat

Eure Nextcloud ist zwar über den https-Port erreichbar, allerdings noch nicht abgesichert, da euch das Zertifikat fehlt. Im Browser werdet ihr mit einer entsprechenden Sicherheitswarnung darauf hingewiesen.
In der DiskStation könnt ihr ein Zertifikat generieren. Ihr habt mehrere Möglichkeiten, neben extern erworbenen Zertifikaten könnt ihr ein eigenes Zertifikat generieren lassen oder euch eines von Let’s Encrypt holen. Das eigene Zertifikat hat den Vorteil, dass ihr ein Verfallsdatum weit in der Zukunft angeben könnt und somit nicht erneuern müsst. Angeblich hat die NSA Zugriff auf diverse CAs (die Aussteller der Root-Zertifikate, gegen die die eigenen Zertifikate geprüft werden) und somit könnte die NSA SSL-Zertifikate dieser CAs umgehen. Bei selbstsignierten Zertifikaten ist das nicht der Fall.  Nachteil ist, dass ihr von Browsern Sicherheitswarnungen bekommt (selbst nach dem Importieren des Zertifikats in Chrome habe ich die Meldung nicht wegbekommen) und dass einige Clients/Smartphone Apps keine selbstsignierten Zertifikate erlauben. Ein Let’s Encrypt-Zertifikat ist ein vertrauenswürdiges Zertifikat und wird von allen Browsern und Clients erkannt. Nachteil, ihr müsst das Zertifikat alle 90 Tage erneuern. Das geht zwar recht flott und ihr werdet vorher per Mail benachrichtig, kann aber dennoch lästig sein.

Let’s Encryp Zertifikat einrichten

  1. Damit das Zertifikat angefordert werden kann, muss eure DiskStation über den Port 80 erreichbar sein. Auch für das Erneuern des Zertifikats muss der Port 80 erreichbar sein. Fügt eurer NAT-Konfiguration also einen Eintrag für den externen Port 80 auf den internen Port 80 und die IP eurer DS ein. Vorhin habe ich noch gesagt den Port 80 freizugeben wäre ein Sicherheitsrisiko. Nach dem Einrichten könnt ihr den Port auch gleich wieder schließen. Für das Erneuern müsst ihr ihn wieder kurz öffnen und dann wieder schließen. Je nach Router-Firmware könnt ihr den Eintrag in der NAT-Tabelle einfach deaktivieren und müsst ihn nicht jedes mal neu anlegen.
  2. Öffnet das Kontrollzentrum.
  3. Klickt auf Sicherheit.
  4. Aktiviert den Zertifikat-Tab.
  5. Klickt auf „Hinzufügen“.
  6. Wählt „neues Zertifikat hinzufügen“.
  7. Wählt „Let’s Encrypt Zertifikat“.
  8. Einstellungen:
    1. Gebt euren Domainnamen – für den das Zertifikat gelten soll – an. Ihr könnt für alle Domains und Dienste ein einziges Zertifikat erstellen oder auch für jede Domain ein eigenes. Habt ihr unterschiedliche externe Benutzer, empfiehlt es sich mehrere Zertifikate anzulegen.
    2. Gebt eine Emailadresse an.
    3. Gebt bei alternativen Namen wieder euren Domainnamen an und andere Domainnamen die für das Zertifikat gelten. Hier könnt ihr auch die interne IP sowie den Namen eurer DS angeben unter der ihr sie im LAN erreicht.
  9. Fordert das Zertifikat an.

Let’s Encrypt limitiert die Anzahl an Zertifikaten pro Domain, das macht es schwierig für DDNS-Hostnamen. Habt ihr keine eigene Domain versucht euer Glück mit eurem DDNS-Hostnamen. synology.me funktioniert nicht mehr. Andere Anbieter wie spDyn bieten verschiedene Domains zu Auswahl, eventuell funktionieren diese noch. Alternativ könnt ihr ein selbstsigniertes Zertifikat anlegen.

vhost Einrichten (optional)

Die Einrichtung eines vhosts ist optional. Mit einem Virtual Host könnt ihr für eine bestimmte Domain einen eigenen Document-Root angeben. Eure Domain landet im Standard-Document-Root also /web auf der DiskStation. Durch den vhost könnt ihr angeben in welchem Unterordner von /web ihr stattdessen landet. Wollt ihr also statt mit meinedomain.com/<Nextcloud> direkt mit meinedomain.com auf eure Nextcloud zugreifen, müsst ihr entweder einen vhost einrichten oder eine Umleitung mittels .htaccess einrichten. Der vhost kann aber noch mehr, im gegensatz zur .htacces könnt ihr noch die Version eures Webservers und für PHP festlegen.

  1. Öffnet im DSM die WebStation.
  2. Klickt auf virtueller Host.
  3. Klickt auf „Hinzufügen“.
  4. Gebt den Hostname an den ihr vorhin eingerichtet hab.
  5. Setzt den Haken bei Port 80/443
  6. Wählt als Document-Root den Installationsordner eurer Nextcloud.
  7. Aktiviert HSTS und HTTP/2.
  8. Wählt den Webserver und die PHP-Version die ihr verwenden wollt. Nextcloud läuft mittlerweile auch auf Apache 2.4 und PHP 7.0, für ein Update ist es aber ratsam auf 2.2 und 5.6 zurückzustellen. Das könnt ihr hier auch jeder Zeit ändern.
Virtual Host
Weist einem Hostnamen einen neuen Document-Root zu.

Eure Nextcloud ist jetzt direkt erreichbar, ohne die Angabe des Unterordners. Vergesst aber nicht, solltet ihr andere Webseiten/Dienste über den Webserver laufen haben, dass diese nicht unter dem angegebenen Hostnamen erreichbar sind. Entweder ihr richtet euch eine 2. Subdomain ein die ebenfalls auf euren DDNS-Hostnamen zeigt und somit wieder im Document-Root landet, oder ihr konfiguriert für jede Website/Dienst eine eigene Subdomain + vhost.

Namensauflösung im LAN (optional)

Folgendes gilt nur, wenn ihr eine DDNS-Subdomain alleine nutzt. Habt ihr eine eigene Domain eingerichtet, sollte das Problem nicht auftreten.
Würdet ihr im LAN nun die eingerichteten DDNS-Hostnamen versuchen aufzurufen, würdet ihr einen Fehler im Browser erhalten (Host nicht erreichbar).
Damit jetzt im LAN der DDNS-Hostname richtig aufgelöst werden kann, brauch ihr einen eigenen DNS mit den entsprechenden Einträgen. Glücklicherweise bietet euch Synology dafür gleich eine Lösung.

  1. Ladet euch das DNS-Server-Paket aus dem Paketzentrum herunter und aktiviert es.
  2. Öffnet den DNS-Server.
  3. Erstellt eine neue Master-Zone.

    neuer Zoneneintrag
    neuer Zoneneintrag
  4. Wählt als Typ „Forward Zone“ und gebt euren DDNS-Domainnamen ein (z.B. meineDS.synology.me), die restlichen Einstellungen könnt ihr aus dem Screenshot übernehmen.

    Forward Zone
    Die Forward Zone übersetzt euren Domainnamen in eine IP-Adresse.
  5. Klickt auf den Eintrag und wählt Bearbeiten -> Resourceneinträge. Ergänzt die Liste damit sie wie auf dem Screenshot aussieht.

    Ressourceneinträge
    Zwei Einträge sind eventuell schon angelegt, fehlende Einträge kann man einfach über den „Erstellen“-Button hinzufügen.
  6. Geht jetzt auf Bearbeiten -> SOA-Eintrag. Die Einstellungen sollten in etwa wie auf dem Screenshot aussehen.

    SOA-Eintrag
    SOA-Eintrag
  7. Erstellt jetzt wieder eine neue Master-Zone, wählt aber diesmal als Typ „Reverse Zone“. Als Domainname müsst ihr euer lokales IP-Netz eingeben und zwar nur die ersten 3 Blöcke und das in umgekehrter Reihenfolge (Beispiele: euer lokales Netz lautet 192.168.0.0 –> gebt 0.168.192 ein, eurer lokales Netz lautet 10.0.0.0 –> gebt 0.0.10 ein).

    Reverse-Zone
    Eine Reverse-Zone dient zur umgekehrte Auflösung, also von der IP-Addresse zum Hostnamen.
  8. Bearbeitet die Resourceeinträge und gebt für die beiden PTR-Einträge die lokale IP eurer DiskStation rückwärts ein.

    Resourceeinträge der Reverse-Zone
    Ergänzt die Resourceeinträge mit der IP eurer DS.
  9. Der SOA-Eintrag sollte folgendermaßen aussehen:

    SOA-Eintrag der Reverse-Zone
    SOA-Eintrag der Reverse-Zone
  10. Euer DNS-Server ist jetzt fertig konfiguriert, damit die Hosts in eurem LAN auf wissen, wem sie die Anfrage zur Namensauflösung schicken sollen, müsst ihr ihnen die Adresse des DNS-Servers mitteilen. Öffnet dazu eure Router-Konfiguration und geht in die DHCP-Einstellungen, dort könnt ihr mehrere DNS-Server hinterlegen, die dann an alle Hosts übermittelt werden. Als ersten DNS-Server gebt ihr die lokale IP eurer DS an, als zweiten DNS gebt ihr die Gateway-Adresse eures Routers an. Die Gateway-Adresse ist eine IP aus dem lokalen Netz, meist ist es die Adresse mit .1 am Schluss. Es ist die selbe IP mit der ihr Das Router-Konfigurationsmenü im Browser aufruft. Ihr findet sie meist auch auf der Rückseite des Routers. Anfragen die euer eigener DNS nicht auflösen kann werden so an den Router weitergeleitet, der die Anfrage dann an den DNS des Providers weitergibt. Gebt in der Commandline eures Rechners ipconfig /flushdns ein, damit die EInstellungen übernommen werden.
    Solltet ihr Probleme mit dem lokalen DNS haben (z.B. keine Seiten mehr im Netz erreichen), könnt ihr den DNS auf der DS anhalten bzw. die Einträge in den DHCP-Settings löschen. Danach gebt wieder ipconfig /flushdns ein. Jetzt könnt ihr wieder das Internet zum Troubleshooten verwenden. Eventuell funktioniert der Eintrag der Gateway-Adresse nicht. Je nach Router und/oder Provider müsst ihr direkt die DNS-Server-Adresse eures Providers eingeben. Es gibt auch frei nutzbare, unabhängige DNS-Server die ihr nutzen könnt.

 

Ich hoffe ihr könnt die DiskStation jetzt über das Internet erreichen. Wie schon erwähnt, habe ich den externen Zugriff noch unter DSM 5 eingerichtet. Solltet ihr etwas entdecken, dass ich übersehen haben, schreibt mir einen Kommentar. Eventuelle Lücken werde ich dann in der Anleitung schließen.

Ich bin leider kein Netzwerk(sicherheits)spezialist. Das Thema Sicherheit ist sowieso ein Thema für sich. Ich kann euch nur empfehlen euch etwas einzulesen. Lasst euch nicht paranoid machen, nehmt das Thema aber auch nicht auf die leichte Schulter. Mit eingeschränkter Portfreigabe und SSL-Zertifikat seit ihr schon auf einem guten Weg. Nachdem ihr alles konfiguriert habt und alles läuft wie ihr das wollt, testet aber auf jeden Fall, ob auch NUR das läuft was ihr wollt. Testet ob ihr von außen auf Dienste zugreifen könnt, die ihr nicht freigeben wollt. Testet, ob ihr über http zugreifen könnt etc. Beachtet auch, dass einige Dienste auf der DiskStation den Port teilen (DSM und Video Station). Die DiskStation hat eine eigene Firewall die ihr konfigurieren könnt. Dazu werde ich noch einen eigenen Artikel schreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.