Zugriff aus dem WWW

  • Hallo allerseits,


    ich muss zugeben, ich bin erstaunt, wieviele QNAP Besitzer sich zu einer solchen Comunity zusammengetan haben - alle Achtung!


    Um mein Problem besser beschreiben zu können, möchte ich erst einmal kurz die Hardware vorstellen:


    1. QNAP TS-431+
    2. Fritzbox 6360 cable


    Mein Problem ist, dass ich einen sicheren Zugang aus dem www auf mein QNAP suche. Ich möchte, von wo auch immer, auf meine Daten zugreifen können. Auch, so war das mal von mir angedacht, will ich gezielt einzelne Benutzer dazu berechtigen sich Daten von diesem NAS herunterzuladen. Upload von extern wäre natürlich auch schön aber kein muss.


    Jetzt habe ich mich an der QNAP Cloud angemeldet und über Portfreigaben auf meiner Fritzbox (Alle Geräte im Heimnetz dürfen Portfreigaben selbstständig verändern) angeklickt. Sofort wurden 4 Ports eingetragen, die dann offensichtlich eine Verbindung von & ins Internet ermöglichen. Und genau da fangen meine Zweifel an: ist das wirklich sinnvoll 4 Ports freizuschalten? Sind einige Port nicht überflüssig oder mache ich meine QNAP von außen angreifbar? Was viel schlimmer wäre, dass genau hierüber ein genereller Zugriff auf mein komplettes Netz möglich wäre. Ehrlich gesagt, ich traue dieser Sachen nicht so ganz und habe jetzt die Fragen: Ist das ganze sicher? Oder gibt es evtl. eine viel sicherere Methode? Über eine Antwort würde ich mich sehr freuen.

  • Hallo Frank1964,


    Du kannst ja einstellen, welche Dienste Du freigeben willst. Danach richtet sich dann auch die Freigabe in der Fritzbox. Ich würd es übrigens nicht mit UPNP automatisch machen lassen, das wäre mir zu unsicher. Ich habe den Automatismus per UPNP in der Fritze! bei den Portfreigaben abgeschaltet und mache nur manuelle Port forwardings. Alles andere kann dazu führen, dass Dein Intranet super-offen ist, weil irgend eine App oder Programm meint, es müsse nun mal ein "bisschen" freigeben!
    Wenn Du, wie du schreibst, Wert auf Sicherheit legst, schalt generell die Freigaben per UPNP aus!


    Das nächste ist, welchen Provider hast Du mit Kabel? Wenn das UM ist, wird Dein Vorhaben mit den Freigaben scheitern. UM nutzt Internet mittels IPv6 und für IPv4 einen DS-Lite-Tunnel (kannst Du in der Fritze auf der Startseite sehen). Damit kommst Du generell nicht aus dem WWW per IPv4 in die Fritze! rein, auch VPN geht damit nicht.
    Die QNAP Cloud scheint den DDNS Namen aber nur für IPv4 aufzulösen und daher geht dieser Weg höchstwahrscheinlich nicht. Ich komme jedenfalls nicht mit dem DDNS Namen von MyQNAPCloud rein, nur mit der temporären, momentanen IPv6 Adresse und die ist ja schnell veraltet.
    Auch die IPv6 Freigaben in der Fritze! helfen da leider nicht weiter. Du scheiterst im Prinzip schon am Eingang der Fritze! durch den DS-Lite Tunnel.


    Hast Du mal versucht, auf Deine freigegebenen Dienste / die freigegebene Webseite des QNAP von außen zuzugreifen?
    Hier kommst Du nur mit der QCloudLink App weiter. Damit fungiert die MyQNAPCloud als Proxy zwischen den externen Zugreifern und dem QNAP. Der Dienst publiziert dabei Deine freigegebenen Dienste und Ordner in die Cloud und dort kommst du mit einer Link-URL dran. Die IPv4 Freigaben in der Fritze! sind dabei überflüssig, da die Cloud und Q-Cloudlink anders miteinander kommunizieren.


    Wenn Du nur die Konfigseite des QNAP von extern haben willst, geht das auch mit einer MyFritz! Freigabe, wenn Du die schon nutzt (ist im Prinzip das Gleiche von AVM wie das DDNS in myQNAPCloud). Und die arbeitet komplett mit IPv6, somit kommst Du ohne Proxyunterstützung rein. Das hab ich schon so gebaut ( Die URL ist dann https://<dein-eingestellter-My-FRITZ!-Freigabename>.<deine-externe-MyFRITZ!-URL>:<dein eingestellter Port für https> ). Die My-Fritz! Freigabe, die Du in der Fritze! einstellst, wird an Deinen MyFritz! Account publiziert und daraus die o.g. Freigabe-URL registriert.
    Aber Du hast wohl keinen Zugriff auf die Dateien selbst auf dem NAS und freigegebenen Ordner, zumindest hab ich das momentan noch nicht hinbekommen (fummele da auch schon zwei Tage dran rum). Auch dürften die Berechtigungen über MyFritz!, wenn der Zugriff denn gehen sollte, nicht so ausgefeilt sein, wie mit Q-Cloudlink.


    Gruß, T.F.

  • Wenn das UM ist, wird Dein Vorhaben mit den Freigaben scheitern. UM nutzt Internet mittels IPv6 und für IPv4 einen DS-Lite-Tunnel (kannst Du in der Fritze auf der Startseite sehen).

    Nicht zwangsläufig. Leute mit älteren Verträgen oder Business Verträgen haben oft auch noch eine richtige IPv4 Adresse und keine IPv6 Adresse. Bei denen gibt es diese Probleme logischerweise nicht.

  • Ja, das stimmt, aber das wird über kurz oder lang komplett aussterben.
    Auch der Dualstack der Telekom wird irgendwann wegfallen und die werden entweder nur noch mit IPv6 oder mit DS Lite arbeiten.

  • aus dem Dilemma gibt es eigentlich nur einen Ausweg. Die müssten innerhalb weniger Tage alle ipv4 Adressen weltweit auf ipv6 umstellen. Nur in dieser ganz kurzen zwischenZeit sollten sie dualstack Un dualstack lite anbieten. Am besten machen sie vorher noch eine Umfrage wer Daten von außen in seinem internem Netz abruft. Dann kann man entscheiden wer mit dualstack und wer mit dualstecK lite angebunden wird.


    Am besten man erhebt für diejenigen die dual steckt wirklich benötigen eine kleine einmalige gebühr von 5€ oder so. Damit nicht jeder behaupten er würde es benötigen. Aber die Umstellung müsste dann eben wirklich weltweit innerhalb weniger Tage über die Bühne gehen. Und das wird die Schwierigkeit sein.

  • @angelluck: Prinzipiell die richtige herangehensweise aber bedenke, dass einigen (mich eingeschlossen) sich IPv6 noch nicht vollständig erschlossen hat.
    Man müsste vorher die Leute über die Konsequenzen der Umstellung und den notwendigen Handlungsbedarf instruieren und meiner Erfahrung nach lesen die Leute diese Anleitungen erst, nachdem die Probleme da sind.


    Dazu kommt, dass viele Leute nicht einschätzen können, ob sie nun DS oder DS-Lite brauchen, weil diese sich eventuell nicht selber um ihre Technik kümmern.


    Man könnte diese Klausel aber bei Neuverträgen einbauen um die Situation nicht noch zu verschlimmern.


    Prinzipiell hätte ich keine Probleme mit einer Zwangsumstellung aber dann bitte nicht vor Ende nächster Woche, wenn ich Zeit hatte mich damit zu beschäftigen und bei meinen Versuchen über die Fehler das nötige zu lernen. ;)

  • Ich wette mehr als 80% der Leute im Internet kennen sich mit IPv6 nicht aus. Das ist für die Umstellung aber völlig unerheblich, denn IPv4 kann nicht mehr sehr lange weiter gefahren werden.


    Du bist also sicher kein Einzelfall. Außerdem würde es viele Probleme, die wir aktuell haben gar nicht geben, wenn es einen harten Schnitt gäbe.


    Für den Standarduser ändert sich erst mal nicht viel, denn er wird die Websiten weiterhin entweder direkt per URL aufrufen oder per google suchen.


    Und wer nicht weiß ob er Daten die er in seinem Privaten Netzwerk liegen hat aus dem Internet aufruft, dem reicht in aller Regel DS-Lite. Während ich Firmen fast grundsätzlich DualStack geben würde.


    Könnte mir sogar vorstellen, dass es mithilfe des ein- und ausgehenden Traffic für den Provider ersichtlich ist, wer was benötigt.


    Aber seien wir mal ehrlich die meisten Privatleute könnten für 1 Monat oder so auch auf den DualStack verzichten, selbst wenn sie normalerweise VPN usw. nutzen. Also ich könnte sowas für einen begrenzten Zeitraum jedenfalls verschmerzen und würde deshalb die vorher vorgeschlagenen 5€ wahrscheinlich nicht zahlen. Andererseits sagt die Erfahrung, dass solche Dinge häufig länger dauern als angegeben und dann
    würden sich die 5€ vermutlich doch lohnen.



    Man könnte diese Klausel aber bei Neuverträgen einbauen um die Situation nicht noch zu verschlimmern.

    Welche Klausel? Umgestellt werden müssen über kurz oder lang eh alle.


    Das Eigentliche Problem besteht ja darin, dass IPv6 nicht abwärtskompatibel ist. Was sicher mit absicht so gestalltet wurde um irgendwann IPv4 komplett abstellen zu können.


    Aber während der Umstellung ist das extrem Nachteilig. Wahrscheinlich hätten sie einen Übergangsstandard einführen müssen. Sprich einen der mit IPv4 und IPv6 kompatibel ist, ich nenn ihn jetzt mal IPv5(auch wenn das nicht korrekt ist). So hätte man erstmal IPv5 gefahren und im Hintergrund alles schritt für schritt auf IPv6 umgestellt, wenn dann alle Geräte eine IPv6 Adresse haben könnte man IPv4 und IPv5 abschalten.


  • Aber während der Umstellung ist das extrem Nachteilig. Wahrscheinlich hätten sie einen Übergangsstandard einführen müssen. Sprich einen der mit IPv4 und IPv6 kompatibel ist, ich nenn ihn jetzt mal IPv5(auch wenn das nicht korrekt ist). So hätte man erstmal IPv5 gefahren und im Hintergrund alles schritt für schritt auf IPv6 umgestellt, wenn dann alle Geräte eine IPv6 Adresse haben könnte man IPv4 und IPv5 abschalten.

    War dafür nicht eigentlich DS gedacht und mittlerweile läuft es eher nach dem Motto: "Nichts hält so lange, wie ein gutes Provisorium"



    und bezüglich des ausreichens von DS-Lite bei Privatleuten
    Wenn man Sicherungen von Firmen extern anlegt, liegen die zumeist beim Chef zuhause, dieser muss aber von der funktionsweise prinzipiell keine Ahnung haben und somit kann er diese Entscheidung auch nicht treffen. In dem Fall kann zwar die Idee mit der Traffic-Überwachung greifen aber mal ehrlich, da macht sich doch keiner die Mühe da etwas auszuwerten.


    Aber ich glaube ich führe die Diskussion mal wieder OT

  • Und VPN geht meines Wissens gar nicht mit IPv6. Somit wäre also auch die sofortige Umstellung auf IPv6 und komplette Abschaltung von IPv4 gar nicht möglich bzw. noch schlimmer, als DS lite, weil dann gar keine Alternative mehr existieren würde....

  • War dafür nicht eigentlich DS gedacht und mittlerweile läuft es eher nach dem Motto: "Nichts hält so lange, wie ein gutes Provisorium"

    DS ist meiner Meinung nach nur ein Notbehelf, denn es löst das eigentliche Problem ja nicht. Es können nur so viele DS Anschlüsse geschaltet werden wie IPv4 Adressen vorhanden sind. Deshalb setzen ja so viele Provider DS-Lite ein, weil sie nicht genung IPv4 Adressen zum vergeben haben.


    Das Prinzip mit DS hätte vielleicht funktioniert wenn die Umstellung wesentlich früher gemacht worden wäre und das halt auch schnell. Dann hätte man tatsächlich einen fließenden Übergang gehabt, aber jetzt ist das eigentlich nicht mehr möglich. Da alle IPv4 Adressen aufgebraucht sind. Bzw. eben zum Teil rießige Adressblöcke bei irgendwelchen Unis und Firmen lagern, die sich diese sehr früh gesichert haben.


    Wenn man jetzt aber ein Zwischenprotokoll(IPv5) einführt das Kompatibel zu beiden Protokollen ist, oder eben eine Lösung bietet wie von dem einen Protokoll in das andere übersetzt wird. Könnte man einfach allen eine IPv5 Adresse geben und IPv4 im gleichen Zuge abschalten. Wenn dann Weltweit sagen wir 80% der Adressen umgestellt sind könnte man IPv6 einschalten und IPv5 abschalten.


    Warum bei 80% ? Um den Druck zur Umstellung für die letzten Provider zu erhöhen, ebenfalls umzustellen.
    Warum dann überhaupt noch auf IPv6 Umstellen? Damit es keinen Weg zurück gibt. Sonst wird man das alte Protokoll nie los.


    In dem Fall kann zwar die Idee mit der Traffic-Überwachung greifen aber mal ehrlich, da macht sich doch keiner die Mühe da etwas auszuwerten.

    Die Traffic Auswertung könnte man sicher automatisieren. Sprich wenn umgeschaltet wird muss der Techniker nur noch bei Kunde XY schauen auf was er umschalten muss. Klar eine geringe Fehlerquote bei der Auswertung würde es sicher dennoch geben aber der Kunde sollte ja ohnehin über die Umstellung informiert werden, wenn also danach was nicht funktioniert wird er sich bestimmt melden.




    Und VPN geht meines Wissens gar nicht mit IPv6. Somit wäre also auch die sofortige Umstellung auf IPv6 und komplette Abschaltung von IPv4 gar nicht möglich bzw. noch schlimmer, als DS lite, weil dann gar keine Alternative mehr existieren würde...

    VPN ist mehr oder weniger ein Spezialfall. Soweit ich weiß geht VPN mit IPv6 deshalb nicht weil auf beiden seiten IPv6 vorhanden sein muss. Man kann nicht von einer IPv4 Adresse eine VPN verbindung in ein IPv6 Netz aufauen und umgekehrt. Soweit ich weiß geht es aber wenn auf beiden Seiten eine IPv6 Adresse vorhanden ist. Wobei das noch weitere Anpassungen erfordert.


    ----
    Nachtrag:


    OpenVPN funktioniert mit IPv6 ab Version 2.3.0. Aktuell ist die Version 2.3.6 vom 07.12.16. Und dann gibt es aktuell auch noch Version 2.4_rc1 vom 02.12.16. Aber wie gesagt eben nur IPv6 zu IPv6 oder IPv4 zu IPv4.

    Einmal editiert, zuletzt von angelluck ()