Aktuelles
router-security.de Forum

Du hast fragen zum Thema Router, Netzwerktechnik, Firewall und Netzwerksicherheit? Registrieren dich noch heute kostenlos hier im Forum, um Mitglied zu werden! Sobald du angemeldet bist, kannst du dich an dieser Seite beteiligen, indem Du eigenen Themen und Beiträge verfasst und du kannst mit anderen Mitgliedern über Ihren privaten Posteingang in Verbindung treten!

Sonstige Router Zugriff aus dem Internet auf ein NAS im Heimnetz ermöglichen

Sonstige Router

CapFloor

Moderator
Teammitglied
Es kommt des Öfteren vor, dass man auf ein NAS, das man in seinem Heimnetz betreibt, "von außen", d.h. aus dem Internet, zugreifen will. Der Zugriff kann sich auf verschiedene Funktionen des NAS beziehen: Die Web-Oberfläche (Port 80 für http oder Port 443 für https) oder z.B. auch den ssh-Zugang (Port 22) des NAS.

Zugriffe aus dem Internet werden normalerweise durch die Firewall des Internet-Routers unterbunden, um das Heimnetzwerk vor "unerwünschte Eindringlingen" zu schützen. Um dennoch aus dem Internet wohl definierte Services auf dem (Heim-)NAS nutzen zu können, müssen die relevanten Ports - im Beispiel 80 für die Web-Oberfläche und 22 für den ssh-Zugang - vom Internet-Router auf das NAS im Heimnetz "weitergeleitet" werden.

Zwei Voraussetzungen müssen für eine erfolgreiche Portweiterleitung erfüllt sein:

1. Dem NAS-Gerät muss im LAN eine feste IP zugeordnet werden. Diese muss außerhalb des DHCP-Bereichs des Internet-Routers liegen. Der DHCP-Bereich ist der IP-Adress-Pool, aus dem der Router den Clients, die eine Adresse automatisch beziehen wollen, eine IP-Adresse zuweist. Angenommen, der Router hat die IP-Adresse 192.168.178.1 und den DHCP-Bereich 192.168.178.20-192.168.178.253, dann könnte das NAS z.B. folgende IP-Konfiguration erhalten: IP - 192.168.178.2, Netzmaske - 255.255.255.0, DNS-Server & Standard-Gateway - 192.168.178.1 - die IP-Adresse des NAS kann in diesem Beispiel zwischen 192.168.178.2 und 192.168.178.19 variiert werden.

2. Die öffentliche IP-Adresse des Internet-Routers sollte bei einem DynDNS Dienst, z.B. no-ip.com, registriert werden. Dann kann der Internet-Router unter einem symbolischen Namen, wie z.B. mylittleworld.no-ip.com, aus dem Internet erreicht werden und nicht nur unter seiner aktuellen, öffentlichen IP-Adresse, wie z.B. 94.79.183.162 - die sich oft auch noch alle 24 Stunden ändert.

Nachdem die öffentliche IP-Adresse des Internet-Routers bei einem DynDNS Dienst registriert ist und das NAS eine feste IP-Konfiguration im LAN erhalten hat, muss abschließend die Port-Weiterleitung eingerichtet werden. Bei einer Fritzbox wird dazu im Menü "Internet->Freigaben->Portfreigaben->Neue Portfreigabe" gewählt. Andere Router besitzen die gleichen Funktionen in unterschiedlicher Menü-Struktur. Die angehängten Screenshots zeigen eine Portfreigabe für einen http-Server und für einen ssh-Zugang - bezogen auf die Beispielkonfiguration mit einer AVM Fritzbox.

Damit kann die Web-Oberfläche des NAS mit "http://mylittleworld.no-ip.com:8585" angesprochen und der ssh-Zugang über "ssh mylittleworld.no-ip.com:50022" genutzt werden.

Der Test, ob die Portweiterleitung auch funktioniert, sollte nicht aus dem eigenen Heimnetz heraus geschehen. Vielmehr muss ein anderer Internetzugang, z.B. mit dem Smartphone über das Funknetz, benutzt werden (- warum? -).

Im Beispiel werden bewusst nicht die Standard-Ports (80 bzw. 22) für die beiden Standard-Services von außen erreichbar gemacht, und zwar aus zwei Gründen:

1. Zur Erhöhung der Sicherheit - wenigstens ein kleines Stück: Port-Scanner aus dem Internet scannen üblicherweise die Standard Ports, Nicht-Standard Ports werden seltener gescannt und erlauben dann auch nicht sofort den Rückschluss auf den dahinter liegenden Service.
2. Viele Internet-Router benutzen bestimmte Service-Ports für sich selbst, wie z.B. die Ports 80 und 443 für den Zugriff auf ihre eigene Web-Oberfläche. Um hier Zugriffskonflikte zu vermeiden, sollten "freie" Ports für die Zugriffe auf das NAS genutzt werden. Bei der Portweiterleitung wird der (externe) Nicht-Standard Port wieder auf einen (internen) Standard-Port des NAS abgebildet ("Portmapping"), damit die NAS-Konfiguration diesbzgl. nicht verändert werden muss.

Durch Variieren der Portnummern können auf diese Art ganz verschiedene Services des NAS-Gerätes zur Benutzung aus dem Internet "freigegeben" werden. Aber Vorsicht: Damit werden auch ungebetene Gäste angelockt, die durch Tricks u.U. diese "offenen Ports" nutzen, um unbefugt Daten vom NAS anzuzapfen oder sich Zugang zum Heimnetz zu verschaffen. Deshalb sollte diese Art der "Portfreigabe" im Internet nur auf das wirklich notwendige Maß beschränkt bleiben.

Beispiel: Port-Weiterleitung auf einen Web-Server, z.B. Web-Oberfläche eines NAS:
Port Web-Server.JPG

Beispiel: Port-Weiterleitung für den ssh-Zugang eines NAS:
Port ssh.JPG
 
Zuletzt bearbeitet:

LupusE

Moderator
Teammitglied
Ich habe noch nie verstanden, warum der Router eine Firewall zum Blocken benötigt.
Ich baue eine Verbindung zu meinem Provider auf. Ich bekomme eine IP, und aus dem Internet kann nun jeder meinen Router erreichen. Der hat hoffentlich keinen Port80 auf WAN aktiv. Was macht also derjenige, der von außen drauf will? Er scannt alle Port nach Services ... Und dann? Ich habe doch keinen Service laufen,
Erst, wenn ich einen Port weiterleite, dann macht die Firewall doch Sinn, um zu kontrollieren ob die Anfrage sinnvoll/berechtigt ist.

Anders sieht es aus, wenn ich eine Verbindung von innen nach außen aufbaue. Dann muss das NAT sich um den Rückkanal kümmern, und hier kann es durchaus sinnig sein das von der Firewall prüfen zu lassen. Aber schützt die Firewall auf dem Router wirklich vor Zugriffe auf das interne Netz?
 

CapFloor

Moderator
Teammitglied
Hi,
Der hat hoffentlich keinen Port80 auf WAN aktiv. Was macht also derjenige, der von außen drauf will? Er scannt alle Port nach Services ... Und dann? Ich habe doch keinen Service laufen,
Die Argumentation gilt nur, wenn man genau eine öffentliche IP vom Provider bekommt, die dann zwangsweise dem Zugangsrouter zugewiesen ist. Bei Zuweisung von Subnetzen durch den Provider besitzen mehrere Geräte im Netzwerk eine öffentliche IP. Das gilt insbesondere für Zugänge, die auch IPv6 fähig sind. Dort haben üblicherweise alle IPv6-fähigen Geräte im LAN öffentliche IP-Adressen.
Dann muss das NAT sich um den Rückkanal kümmern, und hier kann es durchaus sinnig sein das von der Firewall prüfen zu lassen.
GeNATteter Verkehr kann nicht gefiltert werden durch eine Firewall, da es sich um eine bestehende Punkt-zu-Punkt Verbindung handelt. Da reden normalerweise genau zwei Teilnehmer miteinander - IP-Adresse / Port der Quelle und des Ziels stehen fest.
Oft wird übrigens ein NAT als Teil der Firewall implementiert - die beiden Funktionen können also nicht getrennt voneinander geschaltet werden bei Consumer-Routern

Aber schützt die Firewall auf dem Router wirklich vor Zugriffe auf das interne Netz?
Ja, wenn es Geräte mit öffentlichen IP-Adressen im LAN - oft eine DMZ - gibt. Private IP-Adresse werden "im Internet" nicht geroutet, Geräte mit privaten IP-Adressen im LAN-Segment können im regulären Betrieb gar nicht aus dem Internet adressiert werden. Dafür wird eine Firewall nicht benötigt - außer es kommen am WAN gefakte IP-Pakete mit privaten IP-Zieladressen an, die eine Firewall (hoffentlich) erkennt und verwirft.

Außerdem gibt es ja eventuell auch eine Notwendigkeit zur Trennung von verschiedenen IP-Netzwerksegmenten im LAN. Das kommt inzwischen auch häufiger im Privatbereich vor, da man sein Heim- vom Gast- und IOT-Netzwerk trennen möchte. Das erledigt die Firewall im Router natürlich auch.

VG
 

LupusE

Moderator
Teammitglied
Vielen Dank für die Ausführung.
Ich habe hier irgendwie mehr eine Fritz!Box im Kopf. Die einzige Trennung ist das Netz und das Gastnetz. Ich bin gespannt ob sich durch IOT/Smarthome in Zukunft ein anderer Hersteller behaupten kann.
 
Oben