Wie kann ich vom Internet aus auf mein NAS zugreifen?

  • Zunächst sollte überlegt werden, ob der Zugriff vom Internet aus zwingend erforderlich ist!
    Ein schlecht konfigurierter Zugang bietet eine gute Angriffsfläche für Hacker und solche die es werden wollen.


    Wenn der Zugang vom Web aus eingerichtet werden soll, sollte folgende Vorgehensweise gewählt werden:


    1. Prüfen ob der Internetrouter sogenanntes dynamisches DNS unterstützt, da der Router seine öffentliche IP besser kennt als jedes netzinterne Gerät.


    2. DynDNS auf dem Router einrichten (dazu ist es i.d.R. erforderlich, sich bei einem entsprechenden Diensteanbieter zu registrieren!)


    3. Je nach nach gewünschtem Zugriff muss ein Portforwarding eingerichtet werden.


    Portforwarding beschreibt einfach nur die Weiterleitung eines Ports vom Router auf einen Port eines internen Gerätes. Leider sind sich die Routerhersteller bezüglich der verwendeten Begriffe nicht ganz einig, denn bei einigen heist es DMZ*, bei anderen Dienste oder auch Portforwarding.


    Wie es bei Deinem Router heisst, kannst Du eigentlich nur durch intensives Studium des Handbuches herausfinden.
    Unter http://portforward.com/ gibt es jedoch eine gute Hilfestellung für die gebräuchlichsten Router um das Weiterleiten bestimmter Ports einzurichten, leider ist die Seite in englisch und wird über Werbung finanziert.
    Wer es lieber in deutsch haben möchte, kann sich i.d.R. auf den Herstellerseiten eine kurze Anleitung ansehen oder in speziellen Foren fündig werden (hier möge sich bitte jeder selbst an eine Suchmaschine seiner Wahl wenden).


    4. Zugriff testen (lassen!)
    Um zu testen ob der nun eingerichtete Zugriff funktioniert, solltet Ihr eine Person Eures Vertrauens bitten, auf Eurer so erstellte Zugriffsmöglichkeit zuzugreifen. (also z.B. der Zugriff auf http://Dein.DynDNS.Name ) Der Test vom eigenen Netz heraus kann, muss aber nicht klappen, da dies sehr abhängig vom verwendeten Router ist! (Einige Router lassen Zugriffe aus dem internen Netz über die externe Schnittstelle auf eine interne Ressource nicht zu.)


    Folgende Fallstricke gilt es beim Portforwarding zu beachten:
    - Es werden zu wenig Ports weitergeleitet!
    Da ja der Ansatz so sein sollte, das man nur das tatsächlich weiterleitet, was auch zwingend weitergeleitet werden muss, kann es bei dem ein oder anderen Dienst zu wenig sein. Als Beispiel sei hier lediglich FTP aufgeführt, das mit nur einem geöffneten Port 21 alleine nie funkionieren wird. Die Folge wird sein, dass Ihr Euch sehr ärgert, auf mich und das Forum schimpf, aber den Dienst nie von außen nutzen könnt (boshafter weise könnte ich sagen: "das ist sicher !")


    - Es werden zu viele Ports weitergeleitet!
    Wenn man sich nicht besonders gut auskennt und die Folgen nicht absehbar sind, neigt man u.U. auch dazu "im Bausch und Bogen" die Ports weiterzuleiten, frei nach dem Motto "Viel hilft viel". Die Folgen hiervon brauche ich wohl nicht weiter darzulegen, als das die Angriffsfläche unnötig vergrößert wird.


    - Es werden schlicht die falschen Ports weitergeleitet!
    Nehmen wir an Du möchtest HTTPS (Port 443) weiterleiten, unterschlägst jedoch das "S" und leitest statt dessen nur den Port 80 weiter. Weil aber gerade Deine Freundin anruft, vergisst Du schlicht alles um Dich herum und denkst die nächsten 20 Jahre nur noch an das eine, aber nicht mehr an den geöffneten Port 80. (ich gebe zu, dass dies ein sehr konstruiertes Beispiel ist :) )
    Nun ist aber noch immer der Port 80 geöffnet und dieser bietet ebenfalls Angriffsfläche!


    Also bevor Du Dich mit dem Gedanken trägst Portforwarding einzurichten, beschäftige Dich wenigstens rudimentär mit dem Dienst (und den damit verbundenen Protokollen und Ports) den Du weiterleiten möchtest. Nimm Dir ausreichend Zeit um Deinen Router zu konfigurieren und lasse Dich nicht ablenken ;)
    Wenn Du meinst Du hast alles richtig gemacht, bitte einen guten Freund Dein Netzwerk von außen also vom Internet her auf offene Ports zu testen (Achtung hier greift leider der Hackerparagraph, der bereits den Besitz von Hackingtools und dazu gehören auch Netzwerkscanner! unter Strafe stellt). Erst wenn Ihr sicher seid, dass alles so funktioniert wie Ihr es tatsächlich wollt, solltet Ihr den Dienst aktivieren und die dazugehörigen Daten auf dem NAS ablegen.


    Eine weitaus bessere und sicherere Variante den Zugriff vom Internet aus zu ermöglichen wird mit Virtual Private Network kurz VPN bezeichnet.
    Diese Variante erfordert jedoch einen Router, der das Verfahren unterstützt und meistens wird noch eine spezielle Software benötigt, welche den sogenannten VPN-Tunnel aufbaut. Der Vorteil dieser Variante liegt jedoch darin, dass der Zugriff von außen nicht nur auf das NAS beschränkt ist und der gesamte Netzwerkverkehr verschlüsselt ist.


    Bei VPN-fähiger Hardware sollte dieser Variante immer der Vorzug gegeben werden!


    Eine weitere mögliche Vorgehensweise zum Zugriff via Internet beschreibt Qnap auf der Internetseite:
    http://www.qnap.com/de/pro_application.asp?ap_id=130


    * Vorsicht, wenn es nur den Punkt DMZ gibt:
    DMZ sollte nie aktiviert werden, da man damit das KOMPLETTE NAS zum Internet öffnet.