SUB-Domain für Router und NAS über DynDNS

Started by Gafzgarrr, August 23, 2023, 09:20:36 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 23, 2023, 09:20:36 PM
Hallo in die Runde,

ich bin nicht ganz Sicher ob es ein 100% OPNsence Thema ist, aber ich frage dennoch mal nach.
Ich habe eine Sence als Router und dahinter ein Synology NAS.
Mein Internet Anschluss läuft über Vodafone und ich bekommen natürlich nur eine öffentliche, dynamische, IP Adresse.
Ich habe zwei DynDNS Domains bei Strato, besser gesagt, zwei SUB-Domanins:
router.meinstrato.de
nas.meinstrato.de

Wie die Namen schon sagen soll router.meinstrato.de auf die Opnsense für VPN Dienste zugreifen, und nas.meinstrato.de auf das Snyology NAS.

Die Verbindung zu router.meinstrato.de klapt hervorragend, allerdings komme ich nicht auf nas.meinstrato.de!
Der DynDNS ist aber registriert und wird auf beiden Seiten als aktiv angezeigt.
Wenn ich aber von außen auf das NAS möchte kommt immer "Connection timed out".

Im Grunde zeigen ja beide DynDNS Einträge auf die selbe öffentliche IP. Was muss ich tun, damit die Weiterleitung durch die Sence als Router an das NAS erfolgt?
Oder habe ich da einen Denkfehler und das geht sowieso und ich müsste noch irgendwas an den Firewall Regeln anpassen?
Ich sehe im Logfile viele wechselnde Ports, die kann ich doch nicht einfach alle freigeben?

Mir fehlt die Initiale Grundidee wie ich hier verfahren muss.

Danke für eure hilfe.
August 23, 2023, 09:48:38 PM #1
Mal ganz doof gefragt:
Wenn du ein VPN Server auf der Sense hast, wozu dann noch die Syno dem Internet aussetzen?
Für Filesharing mit Dritten ohne VPN Zugang würde ich mir auch bei Syno was anderes einfallen lassen...
i am not an expert... just trying to help...
August 23, 2023, 09:52:39 PM #2
Ja für Photo-Sharing bzw. Dateisharing. Die "älteren Leute" sind nicht in der Lage VPN auf ihren Handys oder gar PCs vorher einzuschalten.
Also "kontrolliere" Löcher für eben Fotos vom letzten Urlaub über einen Link für eine gewisse Zeit freigeben.

Noch ein Nachtrag: über den Synology-DYN-DNS "QuickConnect" funktioniert es lustiger weise. Ich nehme an da wird eigentlich kein unterschied sein ob Synology Dienst oder direkter DYN DNS, daher fällt ziemlich sicher eine Firewall raus oder?
August 23, 2023, 10:08:19 PM #3
Ich kenne Syno und den Dienst nicht, nehme aber an, dass für diesen Dienst über einen externern Server von Syno kommuniziert bzw. die Verbindung hergestellt wird (NAS und Client melden sich beim Server und bauen darüber die Verbindung auf, ohne Portfreigabe, etc.).
Absicherung durch eine Firewall (egal ob Sense oder auf der Syno) macht in jedem Fall Sinn, so kann man wenigstens die Adressbereiche einschränken, zB auf Europa oder wie man es eben braucht.

Du wirst hierbei eher ein Problem der Portfreigabe haben. Du musst ja den benötigten / verwendeten Port (zB 8080) an das NAS weiterleiten. Von welchen Ports die Verbindungen aufgebaut werden ist relativ egal, du leitest ja den Port weiter, auf dem der Dienst läuft...
i am not an expert... just trying to help...
August 25, 2023, 04:15:47 PM #4
Quote from: Gafzgarrr on August 23, 2023, 09:52:39 PM
Ja für Photo-Sharing bzw. Dateisharing. Die "älteren Leute" sind nicht in der Lage VPN auf ihren Handys oder gar PCs vorher einzuschalten.
Also "kontrolliere" Löcher für eben Fotos vom letzten Urlaub über einen Link für eine gewisse Zeit freigeben.

Noch ein Nachtrag: über den Synology-DYN-DNS "QuickConnect" funktioniert es lustiger weise. Ich nehme an da wird eigentlich kein unterschied sein ob Synology Dienst oder direkter DYN DNS, daher fällt ziemlich sicher eine Firewall raus oder?
Ok, was läuft denn genau auf dem synology. Wie kann man die Bilder sich anschauen? Du musst schon ein paar mehr Infos geben wie die älteren Menschen auf die Bilder zugreifen. So kann ich nicht genau sagen wie du es lösen kannst?


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 25, 2023, 04:56:06 PM #5
Hi, auf dem NAS läuft ein Dienst von Synology "Photos" und dieser stellt über über einen https Link der folgenden String-Strukutr hat, die Bilder zur verfügung
https://nas.meinstrato.de/photo/individuellercode

Und genau dieser Link funktioniert, wenn ich aber den STring "nas.meinstato.de" durch "quickconnect.to/meinsynoaccout" ändere klappt der zugriff.

August 25, 2023, 05:54:21 PM #6
Weil quick connect halt keine eingehende Verbindung erfordert. Server und Client melden sich bei einem Syno Server und bauen so die Verbindung auf:
https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_quickconnect?version=7
Das hat nichts damit zu tun, was Du (vermutlich) vor hast!

Willst Du diesen Dienst partout nicht nutzen?
Oder willst Du nur, dass die Fotodienste über deine eigene Domain erreichbar sind? Dann setze die Domain doch einfach auf den quick connect Link und fertig... damit setzt Du Dein NAS auch nicht dem Internet aus (wobei fraglich bleibt wie sicher solche Dienste wie quick connect wirklich sind).
i am not an expert... just trying to help...
August 25, 2023, 08:04:41 PM #7
Ok, da es sich um einen http(s) Dienst handelt könnte man es über einen Reverse Proxy probieren. Wir über Router.deinedomsin.de sich eine Webseite aufgerufen?


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 25, 2023, 10:56:15 PM #8
Ehrlich gesagt bin ich unschlüsslig.
Einerseits ist der Dienst QuickConnect schon gut, aber eigene Domain gefällt mir besser.
Evtl. muss ich es mal mit ner CNAME Umleitung versuchen sodass nas.meinstrato.de auf die QuickConnect ID weiterleitet.
Wenn ich "router.meinedomain.de" aufrufe komme ich auf die OPNsence aber ohne Website, da ist alles bis auf die VPN Ports blockiert.

Ich habe halt bei dem TEilen des Links festgestllt, dass kein definierter Port sondern irgendwelche Random Ports verwendet werden. Habe bisher nicht rausgefunden wie und ob ich diese Fixen könnte.
Wenn ich die nicht fixe, kann ich ja nur das Ganze NAS ins Netz stellen und das fände ich jetzt auch nicht so geil.
August 26, 2023, 09:32:21 AM #9
Unklar was du mit "teilen des links" meinst, aber falls du damit den quick connect Dienst meinst, dann nochmal:
Das ist nicht mit der Erreichbarkeit über Portfreigaben / Weiterleitungen zu vergleichen. Natürlich nehmen NAS und Client hier irgendwelche Ports um sich mit dem Syno Server zu verbinden.
Bei Zugriff über Portweiterleitung wird nur ein Port benötigt und zwar der, auf dem dsr Dienst lauscht und das wird mit hoher Wahrscheinlichkeit per default 8080 oder 443 sein. Dieser eine Port muss dann weitergeleitet werden, aber welcher das ist können wir nur raten. Du musst also schauen welcher Port für diesen Dienst eingestellt ist und diesen an das NAS weiterleiten.
i am not an expert... just trying to help...
August 27, 2023, 11:45:46 AM #10
@Gafzgarrr am besten googlest du mal. synology hat glaube ich eine recht gute dokumetation welche dienste welche ports benötigen. da musst du dich halt mal selber schlau machen.
- ich persönlich würde es über einen reverse proxy mit LE Zertifikat machen.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
Print
Go Up Pages1
User actions