Spätestens seit iPhone und Co sind viele Internetnutzer nahezu permanent online. Warum dann nicht von Unterwegs auf die Daten des eigenen NAS-Servers zugreifen? Zum Beispiel könnten Sie so mit dem Handy auf Ihre komplette Musiksammlung zugreifen, hätten Ihre Daten immer parat oder könnten Ihren Freunden den Zugriff auf gemeinsam genutzte Dateien gewähren. Das funktioniert tatsächlich, erfordert aber einige Konfigurationsarbeit.
In diesem Howto möchten wir Ihnen zeigen, wie Sie Ihren NAS-Server ins Internet bringen ohne für jedermann Tür und Tor zu Ihren Daten zu öffnen. Da die Konfiguration jedes Routers anders funktioniert, sollten Sie sich mit der Menüoberfläche Ihres Gerätes vertraut machen.
DDNS
Wer sich, wie die meisten Nutzer, über eine DSL-Verbindung ins Internet einwählt, erhält bei jeder Neueinwahl eine freie IP-Adresse aus dem Pool seines Internet Service Providers. Zusätzlich gibt es bei den meisten Providern noch einmal am Tag eine Zwangstrennung. Das führt dazu, dass Ihr Router mindestens einmal alle 24 Stunden eine neue Adresse bekommt.
Damit Sie sich nicht jeden Tag eine neue Adresse merken müssen, und Ihnen im Urlaub auch niemand der Daheimgebliebenen die aktuelle Adresse mitteilen muss, erstellen wir zunächst einen „dynamischen“ Domain Name System (DNS) Eintrag. Dabei handelt es sich um eine Internetadresse wie „beispiel.dyndns.org“, über die Sie von außen Zugriff auf Ihr Heimnetzwerk erhalten können.
Einen kostenlosen DDNS Eintrag können Sie bei einem der zahlreichen Anbieter, wie „dyndns.org“ oder „no-ip.com“ einfach online registrieren. Die automatische Synchronisation lässt sich dann im DSL-Router einrichten. Einige Hersteller, wie z.B. QNAP oder Synology bieten dies auch, inklusive Account-Erstellung, über die Weboberfläche ihrer NAS-Geräte an.
Network Adress Translation – NAT
Alle im Heimnetzwerk befindlichen Geräte erhalten von Ihrem Router eine eigene IP-Adresse aus einem Pool von speziell dafür reservierten, im Internet nicht vergebenen Adressen. 65.536 Adressen bietet z.B. der Bereich von 192.168.0.0 bis 192.168.255.255.
Dadurch hat nun zwar jedes im lokalen Netzwerk befindliche Gerät eine eigene Adresse und kann im LAN auch über diese erreicht werden, jedoch bietet Ihr Router nach Außen nur eine IP-Adresse bzw. Ihren neuen DDNS-Namen. Für eine Verbindung, welche vom Heimnetzwerk aus ins Internet initiiert wird, stellt das kein Problem dar. Der DSL-Router ist informiert, welches Gerät die Verbindung nach außen geöffnet hat. Somit kann er dann auch die entsprechende Gegenverbindung zurück zum Initiator im Heimnetzwerk aufbauen.
Für eine Verbindung ist neben der Zieladresse auch die Angabe eines Ports nötig, auf welchem das Zielgerät auf Verbindungsanfragen wartet. Weiterhin wird über den Port kommuniziert, um welche Art von Dienst es sich handelt. Die Portnummer darf dabei die Werte 0 bis 65535 annehmen, wobei für standardisierte Anwendungen Ports im Bereich 0 bis 1023 reserviert sind. Eine Übersicht dazu finden Sie hier.
Ihr Router verwirft jeden Verbindungsversuch von Außen, für den keine Anfrage aus dem Heimnetzwerk bestet. – Er weiß schließlich auch nicht, wohin das entsprechende Paket weitergeleitet werden muss. Außerdem bietet das natürlich für die Geräte in Heimnetzwerk schon ein gewisses Grundlevel an Sicherheit.
Genau diese Richtlinie möchten wir im Folgenden untertunneln. – Sie möchten schließlich von Außen auf Ihren Netzwerkserver zugreifen. Seien Sie sich darüber im Klaren, dass Sie mit den folgenden Schritten ein Stückchen Sicherheit aufgeben, da Ihr Netzwerkserver von nun an im Internet auffindbar und auch angreifbar sein wird. Nutzen Sie daher sichere Passwörter und deaktivieren Sie Zugriffsmöglichkeiten, die keine Passwörter benötigen (z.B. den Gast-Account).
Hierfür gibt es mehrere Möglichkeiten, von denen wir Ihnen mit UPNP und der manuellen Portweiterleitung zwei vorstellen möchten.
UPNP
Die einfachere der beiden Möglichkeit ist „Universal Plug and Play“. Für die Nutzung ist nur eine Aktivierung auf dem DSL-Router notwendig. Sobald ein Gerät im Heimnetzwerk einen Dienst über UPNP bereitstellt wird der DSL-Router informiert, welche Ports er für welchen Dienst zum Internet offen zu halten und auf Anfragen zu lauschen hat. Für einige Dienste gibt es bereits standardisierte UPNP-Protokolle.
Geht nun auf dem entsprechenden Port eine Anfrage ein, wird die Verbindung vom Router an den Netzwerkteilnehmer weitergeleitet, welcher die UPNP-Weiterleitung beim Router registriert hat.
Da dies alles automatisch abläuft und jeder Netzwerkteilnehmer über UPNP mögliche Verbindungswünsche beim Router anmelden kann, ist dies sicherheitstechnisch jedoch höchst bedenklich.
Manuelle Portweiterleitung
Als Alternative kann man auch alle von außerhalb zulässigen Verbindungsanfragen und deren Weiterleitung zum entsprechenden Gerät im Heimnetzwerk von vorn herein definieren. Dazu bieten die meisten Router im Konfigurationsmenü die Einrichtung so genannter „virtueller Server“.
Die Erfassung erfolgt dann meist über eine Tabelle in welcher man die Weiterleitungsregeln definiert, allgemein mit folgender Form: „IP des Gerätes im Heimnetzwerk“, „dessen Port(s)“, „externe Port(s)“, „zu verwendendes Netzwerkprotokoll“
Der Eintrag „192.186.7.25 | 5005 | 53728 | TCP“ könnte z.B. den Zugriff über „WebDAV“, was auf einem NAS mit der lokalen IP-Adresse „192.168.7.25“ auf Port „5005“ läuft, vom Internet aus über Port „53728“ mit dem TCP-Protokoll „http“ ermöglichen.
Der Dienst auf dem NAS wäre dann über das Internet mittels Webbrowser unter „http://DDNS-Name:53728“ erreichbar.
Allgemein ist es ratsam, möglichst hohe externe Portnummern zu wählen um die nun am Router offenden Ports für potentielle Angreifer nicht sofort entdeckbar zu machen. Außerdem vermeiden Sie es so, Ports von Standardanwendungen zu blockieren.
Bei einigen Diensten, wie z.B. FTP oder Webdav, ist es notwendig für die Antwort mehrere externe Ports zu reservieren. – Welche Ports benötigt werden, können Sie z.B. aus Wikipedia-Artikeln zum entsprechenden Protokoll erfahren.
Beispiel: Webinterface der Synology DiskStation freigeben
Soviel zur Theorie. Um die ganze Prozedur einmal zu demonstrieren, richten wir den externen Zugriff auf das Webinterface der Synology DiskStation ein: Über den Dateibrowser können sie dann auf den Datenbestand Ihres NAS zugreifen. Bei Netzwerkspeichern von QNAP und Thecus funktioniert das übrigens ganz ähnlich.
In nur 3 einfachen Schritten kommen Sie zum Ziel:
Schritt 1: Erst einmal muss Ihr dynamischer DNS-Eintrag konfiguriert werden. Öffnen Sie den DiskStation Manager und wählen sie im Bedienfeld den Eintrag „DDNS“. Wenn Sie bereits einen Eintrag besitzen, können Sie sich einfach einloggen. Andernfalls können Sie sich z.B. bei No-IP.com einen Eintrag registrieren.
Schritt 2: Da wir stets um Sicherheit bemüht sind, wollen wir das Webinterface nur per HTTPS freigeben. Öffnen Sie im Bedienfeld die Option „DSM-Einstellungen“. Im Reiter „HTTP-Dienst“ aktivieren Sie nun die HTTPS-Verbindungen und wählen eine Portnummer. Ich habe mich hier für die 1337 entschieden.
Schritt 3: Die Portweiterleitung muss jetzt noch aktiviert werden: Öffnen Sie dafür das Webinterface Ihres Routers und suchen nach der Option „virtueller Server“ oder „Portweiterleitung“. Hier tragen Sie die IP Ihrer DiskStation ein, für den internen sowie den externen Port wählen sie die eben vergebene Nummer (in meinem Fall 1337), das Protokoll ist TCP.
Sind die Einstellungen gespeichert, können sie über Ihren dynamischen DNS-Eintrag auf Ihre DiskStation zugreifen. Rufen Sie zum Test im Browser https://mein.dyndns.eintrag:1337 (DDNS-Name und Port entsprechend ersetzen) auf. Achten sie darauf, https anstelle von http zu verwenden. Vermutlich werden Sie darauf hingewiesen, dass die Verbindung nicht vertrauenswürdig ist. Das ist so auch ganz richtig, bestätigen Sie die Ausnahmeregel. Ab Sofort haben sie von überall Zugriff auf Ihre DiskStation. Achten Sie im Interesse Ihrer Sicherheit drauf, nur Passwörter zu vergeben, die eine gewisse Hürde darstellen und nicht sofort geknackt werden können.
Wer vor der Aufgabe steht, ein Storage-System zu konfigurieren, scheitert heute selten an der Hardware: Weil die in den letzten Jahren ziemlich günstig geworden ist, steht selbst kleinen Firmen mit relativ wenigen Benutzern oft ein völlig überdimensioniertes Storage mit 16 GB RAM und 8, 12 oder besser noch 16 CPU-Kernen zur Verfügung, das mit einer 10 GBit-Karte an den Uplink-Port des neu gekauften Profi-Switches angeschlossen wird. Man möchte schließlich für die nächsten 3 bis 5 Jahre gerüstet sein.