Beim Clubabend über NAS (Netzwerkfestplatte), vorgetragen von Walter Gruber war ein wesentliches Merkmal der Zugriff von außerhalb des LAN auf die Konfiguration. Ich weiß nicht, wie es den anderen Zuhörern ging aber gerade dieser Fernzugriff ist etwas, was das NAS besonders wertvoll macht. Und ein solcher Zugang ist auch ganz ohne NAS recht nützlich. Dieser Beitrag ist durch wesentliche Tipps von Walter entstanden, für die ich mich herzlich bedanke und die ich auf diesem Wege unseren Mitgliedern bekannt geben möchte.


Meine Daten im Internet

Meine bisherige Arbeitstechnik war die, dass ich alles, was öffentlich erreichbar sein sollte, entweder in einer der kostenlosen Clouds oder als Teil einer Webseite gespeichert habe.

Beispiel für Speicherung in der Cloud

Alle Dokumentationen zu unseren Clubabenden werden auf OneDrive gespeichert. Etwa finden sich die Unterlagen zum Clubeband „NAS“ hier:
https://1drv.ms/f/s!AikZwmy7gTLqrJdzpnMT05rNB4CEeQ also eine typische Onedrive-Adresse,

Beispiel für Speicherung am Webspace

Als Rapid-Anhänger, sammle ich alle Arten von Bilder. Eine schöne Sammlung sind Bilder aller Rapid-Mannschaften seit 1889:
http://klubderfreunde.at/anhaenger/ewkil-rapid/bilder/alle-kader/. Eigentlich ist das eine WordPress-Seite, aber die ganze Wahrheit ist, dass hier in eine WordPress-Seite ein iframe eingefügt ist, dass den Bildinhalt einfügt. Die Miniaturbilder findet man so: http://ewkil.at/_Mannschaft/thumbnails.html. Man sieht: keine Spur von WordPress, eine ganz normale Html-Seite

Kurz: Wenn ich bisher etwas im Internet publizieren wollte, machte ich das bisher immer über eine Cloud oder über den ClubWebSpace.

Ein NAS ändert vieles

Der Vortrag von Walter zeigte uns aber auch die Möglichkeit, Inhalte aus dem eigenen LAN zu publizieren, ohne sie irgendwohin übertragen zu müssen. Genau diesen Vorgang wollte ich nachstellen, um überhaupt die Voraussetzungen für ein NAS mit Fernzugriff zu schaffen. Ein solcher Zugang kann ja auch ganz unabhängig von einem NAS nützlich sein.

Voraussetzungen

Wir Anwender mit einem Internetzugang sind über einen Access-Provider mit dem Internet verbunden. Als Zugangsgerät dienen Geräte, die wir als „Router“ bezeichnen aber in Wahrheit sind die Router „Multifunktionsgeräte für das Internet“. Ein solcher Router umfasst viele Komponenten, die man auch in Servern findet und für die in der Anfangszeit des Internet mehrere, oft sehr teuere Geräte erforderlich waren. Durch den Umstand, dass jeder Haushalt einen Internet-Anschluss hat, entstand ein Massenmarkt und heute werden diese Geräte ähnlich wie ein Handy im Rahmen eines Vertrags als ein Ratenkauf bezahlt. Kauft man einen solchen Router ohne Vertrag, kostet er etwa 100,- bis 400.- Euro, je nach Ausstattung und Leistungsfähigkeit.

Alle Router funktionieren ganz ähnlich, egal, ob der Zugang über eine Telefonleitung, eine Kabelanbindung oder über einen Funkkanal erfolgt. Mit der Anbindung ändert sich nur der Anschlusstyp und einige Einstellungen im Bereich „WAN“. Alles andere ist gleich. Wenn man daher einen Router wie etwa die Fritzbox hat, sind die in der Folge erwähnten Einstellungen ganz ähnlich.

Ein Router verbindet uns mit dem Internet und er liefert uns auch ein Netz, in dem wir praktisch beliebig viele Endgeräte einbinden können. Aber dieses Netz ist nicht Teil des Internet. Niemand aus dem Internet kann mit diesem Netz eine Verbindung aufbauen, weil es ein privates Netz ist. Man erkennt dieses Netz an der IP, beginnend mit 10.x.x.x oder 192.168.x.x.

Umgekehrt geht das schon, als Teilnehmer an diesem lokalen Netz kann ich Anfragen an das Internet senden und der Router sorgt dafür, dass ich die Reaktionen dieser Anfragen zu sehen bekomme. Umgekehrt geht das aber nicht. Niemand im Internet könnte zum Beispiel meinen Drucker ansprechen, weil mein Drucker (und alle anderen Geräte) keine öffentliche Internet-Adresse hat.

Ich kann zum Beispiel auf meinem Rechner einen Webserver betreiben und darauf eine Homepage einrichten, doch niemand könnte diese Seite sehen. Daher kopieren wir ja auch eine solche lokale Webseite mit Ftp auf einen öffentlich zugänglichen Webserver.

Wie kann man einen lokalen Rechner ins Internet stellen?

Würde ich einen meiner Rechner im LAN ins Internet stellen können, dann hätte ClubComputer (und andere Internet-Provider) nichts mehr zu tun. Aber eine solche Publikation ist nur bedingt praktisch, weil ich mich plötzlich um Dinge kümmern muss, die ansonsten alle der Provider erledigt. Zum Beispiel muss ich dafür sorgen, dass der Rechner immer eingeschaltet ist und das belastet die Stromrechnung. Wir haben gehört, dass ein NAS besonders energiesparend ist und sich daher für einen solchen Einsatz besonders eignet.

Dazu kommt, dass diese Publikation ein Geschäftsfeld eines Providers ist und dieser daher gar kein Interesse hat, dass ich ihn mit meinem privaten Webserver umgehe, und daher ist auch alles ein bisschen komplziert.

In der Grundeinstellung eines Routers kann man also nichts im Internet sichtbar machen. Alle lokalen Geräte sind hinter einer Firewall versteckt und Zugriffe von außen werden verunmöglicht.

Welche IP habe ich?

Um das festzustellen, bemüht man normalerweise das Kommandozeilenprogramm IPCONFIG. Man erhält (Auszug)

Ethernet-Adapter Ethernet 5:

Verbindungsspezifisches DNS-Suffix:
 Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
 Physische Adresse . . . . . . . . : 70-4D-7B-88-9E-69
 DHCP aktiviert. . . . . . . . . . : Ja
 Autokonfiguration aktiviert . . . : Ja
 Verbindungslokale IPv6-Adresse  . : fe80::a548:dc30:9ebd:82c8%11(Bevorzugt)
 IPv4-Adresse . . . . . . . . .  . : 192.168.1.100(Bevorzugt)
 Subnetzmaske . . . . . . . . .  . : 255.255.255.0
 Lease erhalten. . . . . . . . . . : Freitag, 23. Februar 2018 09:56:59
 Lease läuft ab. . . . . . . . . . : Samstag, 24. Februar 2018 21:57:02
 Standardgateway . . . . . . . . . : 192.168.1.1
 DHCP-Server . . . . . . . . . . . : 192.168.1.1
 DHCPv6-IAID . . . . . . . . . . . : 1500532091
 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-21-0B-63-2A-70-4D-7B-88-9E-69
 DNS-Server . . . . . . . . . .  . : 192.168.1.1
 192.168.1.1
 NetBIOS über TCP/IP . . . . . . . : Aktiviert

Man sieht, dass man sich in einem lokalen Netz befindet (192.168.1.100) und dass das Gateway 192.168.1.1. ist. Dorthin gehen also alle Pakete, die im lokalen Netz keinen Abnehmer finden. Wie es weiter geht, wissen wir daraus nicht.

Wie sieht mich das Internet?

Wenn mein Router aber Anfragen ins Internet sendet, dann kann er diese lokalen Adressen nicht anwenden, er muss eine öffentliche IP-Adresse haben. In manchen Routern kann man diese Adresse in den Einstellungen eingetragen finden, in meinem Funkrouter aber nicht. Man verwendet daher dazu einen Webdienst und ruft dazu https://whatsmyip.com/.

Gibt man nun diese Adresse http://178.114.207.247 im Browser ein, passiert nichts!

Was sollte auch passieren? Ja, es ist zwar meine eigene IP-Adresse, wenn ich surfe, aber auf dieser Adresse ist (noch) kein Dienst erreichbar. Ein Rechner, der im Internet ansprechbar sein soll, muss einen der gängigen Internetdienste installiert haben, zum Beispiel einen Webserver.

Webserver installieren

Der Anlass für diesen Artikel war der Vortrag über NAS. Und ein solches NAS kann im Auslieferungszustand sehr viele Dinge, die alle im Internet sichtbar sein können, darunter auch ein Webserver. Wenn man noch kein NAS hat, kann jeder PC auch als Webserver arbeiten. Allerdings nicht im Grundzustand. Man muss den Server über „Programme und Funkionen“ installieren. Hier gibt es eine Anleitung dazu: https://clubcomputer.at/2017/11/14/webserver/

Den so installierten Webserver spricht man aus dem lokalen Netz so an: http://127.0.0.1/ oder http://localhost oder http://192.168.1.100/ (wenn 192.168.1.100 die Adresse des Rechner ist). Und was sieht man da? Man sieht den Output der vorkonfigurierten Startdatei iistart.htm:

An ihrer Stelle kann man beliebige andere Dateien setzen, die man über Menüs oder auch ganz ohne Menüs im Internet sehen kann. Die Dateien befinden sich im Installationszustand im Ordner c:\inetpub\wwwroot.

Routereinstellungen

Dass man diesen lokalen Webserver noch immer nicht im Internet sieht, ist nicht verwunderlich, denn es wurde ja noch nicht festgelegt, welche der lokalen IP-Adressen im Internet sichtbar sein soll und auch ist die Firewall restriktiv eingestellt und erlaubt keinen Zugriff von außen.

 

Port-Forwarding

Man muss noch festlegen, welcher Port auf welcher IP-Adresse freigegeben werden soll. In meinem Fall habe ich den Port 80 für den Webserver freigegeben.

DMZ (Demilitarisierte Zone)

Achtung: für den Betrieb eines einzelnen Webdienstes ist der folgende Abschnitt „DMZ“ nicht erforderlich, und die DMZ kann abgeschaltet bleiben. Wendet man sie nämlich an, wird das so konfigurierte Gerät ohne Einschränkung ins Internet gestellt und ist dort allen möglichen Angriffen ausgesetzt. 

Die DMZ ist ein Bereich außerhalb des lokalen Netzes, der sich im Internet befindet. Ein Gerät, das sich dort befindet, hat – vom Internet her gesehen – meine öffentliche IP-Adresse. Das folgende Bild zeigt die Einstellungen des Huawei-Routers  E5186s-22a, der bis etwa Mitte 2017 von Drei zu den damaligen Internet-Tarifen mit einer 24-monatigen Bindung mitgegeben wurde. Zwei dieser Einstellungen betreffen die „DMZ“ und das „Port-Forwarding“.

Die meisten Router erlauben es, eine wählbare lokale Adresse in die DMZ zu bringen. Dazu eignet sich natürlich der eigene Rechner. Wie man im Bild sieht, wurde dort die Adresse 192.168.1.100 eingetragen und die DMZ aktiviert. Man darf nicht vergessen, auf „Übernehmen“ zu klicken.

Das war aber nur eine Demo, bitte nicht benutzen, wenn Port Forwarding genügt und bei einem Webserver genügt das.

Provider-Einstellungen

Auch, wenn wir das nun alles auf dem Router konfiguriert haben, fehlt noch eine Kleinigkeit. Man muss diese Zugriffsform beim Access-Provider aktivieren und das funktioniert über die Verwaltungsoberfläche https://www.drei.at/selfcare. Wenn man die Seite anzeigt, erkennt der Provider selbsttätig, dass man Kunde von Drei ist. Man wird aufgefordert, das bei Vertragsabschluss vereinbarte Kundenkennwort einzugeben. Je nachdem, ob man in Zukunft automatisch eingeloggt werden will, wählt man die entsprechende Schaltfläche.

Nach dem Login betritt man die „Einstellungen“ und wählt dort den Punkt „Datendienste und Roaming/Ausland“.

Hinter dem „I“ versteckt sich folgende Information: „Mit EIN können Sie ihr Modem über das Internet erreichen, um zum Beispiel Server zu betreiben oder Fernwartungen durchzuführen.“ Und genau diesen Punkt muss man aktivieren, damit die Verbindung zum Internet auch erfolgt.

Geduld

Hat man alles das erledigt, will man endlich einen Erfolg sehen und gibt die öffentliche Adresse ein, die man über whatismyip.com erfahren hat. Leider noch immer kein Erfolg! Da ich meinte, alles richtig gemacht zu haben, schrieb ich alle meine Einstellungen an den Drei Kundendienst mit der Bitte um Support und ging schlafen. Am Morgen schaute ich die IP-Adresse wieder nach und siehe da, sie hat sich verändert. Und da geschieht alle 24 Stunden. Das ist normal.

Doch jetzt hat der Zugriff funktioniert. Offenbar ist es so, dass die Einstellungen „im Amt“ immer bei einem dieser IP-Wechsel wirksam werden!

Achtung beim Testen

Beim Testen muss man darauf achten, wo sich das testende Programm befindet. Befindet man sich im LAN bekommt man auf die öffentliche IP-Adresse eine andere Antwort als würde man sich irgendwo außerhalb befinden.

Ping-Test

Mit Ping wird überprüft, ob ein Rechner existiert und auf den Ping-Befehl reagiert. Man muss diesen Ping-Befehl von außerhalb des eigenen Netzes absetzen und dazu eignet sich einer der kostenlosen Dienste dieser Art, zum Beispiel http://www.ipfingerprints.com/ping.php. Setzt man diesen Ping-Befehl ab, erhält man:;

Die Namensauflösung ist mit wireless.dyn.drei.com in Ordnung, allerdings gibt es von der IP-Adresse keine Antwort Lost=“Yes“. Der Grund ist, dass man in der Firewall des Routers den Ping-Befehl explizit ausschalten kann und er auch im Grundzustand tatsächlich ausgeschaltet ist. Daher wurde für diese Testphase der Ping-Befehl in den Firewall-Einstellungen aktiviert.

Nach der Testphase kann man ihn wieder abdrehen.

Mit dieser Änderung ergibt der Remote-Ping-Befehle die Antwort Lost=“No“.

Web-Server-Test

Mit dieser letzten Maßnahme ist der Webserver endgültig online und man kann ihn mit http://178.114.207.247 aufrufen. Zum Testen verwendet man am einfachsten das eigene Handy, bei dem aber WLAN deaktiviert wird, damit es nicht im selben Netz ist wie unser lokales Netz. Damit sollte der Inhalt des Webserver zu sehen sein.

Es geht aber auch ohne Handy, indem man „den eigenen Rechner in den USA“ dazu verwendet. Im Artikel „UNIX, Terminalversion“ wird der kostenlose Dienst eines Terminalzugang zu einem UNIX-System vorgestellt. Man verbindet sich mit Putty oder einem anderen Telnet-Client zu sdf,org, loggt sich ein und benutzt den zeilenorientierten Browser lynx mit dem Aufruf lynx 178.114.207.247/iisstart.htm und erhält den Textanteil der Serverantwort zu sehen. Alles bestens!

Eintagsfliege

Aber dieser externe Zugriff funktioniert nur 24 Stunden lang. In den Nachtstunden ändert der Provider die öffentliche IP und man muss für den Zugriff von außen wieder eine andere IP benutzen. Daher eignet sich diese tageweise vergebene IP auch nicht dazu, in einem DNS eingetragen zu werden, um mit einem sprechenden Namen statt mit einer IP zu arbeiten. Für Experimente ist das kein Problem aber es ist keine Dauerlösung.

DDNS

Dynamisches DNS ist ein Mechanismus, mit dem man nun mit Hilfe eines meist kostenpflichtigen Dienstes und einer besonderen Router-Konfiguration eine sprechende Adresse für das eigene LAN bekommt.

Solche Dienste sind: DynDNS.org oder no-ip (und andere). DynDNS kostet 40,- Euro pro Jahr. no-ip ist kostenlos, erfordert aber eine monatliche Bestätigung der Adresse. Ich wählte zunächst letzteres, weil  die Situation später mit Synology wieder ein bisschen anders ausschauen wird und man diese Konfiguration neu festlegen muss.

Man registriert sich als User bei noip.org, bestätigt seine E-Mail-Adresse. Danach trägt man einen gewünschten Usernamen (ffiala48) und ein Passwort ein. Als Hostnamen wählte ich ffiala.ddns.net, Als IP-Adresse wird automatisch jene Adresse eingetragen, unter der mich noip.org sieht.

Jetzt muss man noch den Router im Menüpunkt DDNS konfigurieren und auch dort den Domänennamen, den Usernamen und das Passwort eintragen.

Ab sofort ist mein Heimrechner im Internet. Viel kann man noch nicht sehen aber das wird schon. Außerdem ist der Rechner ja nur zur Demonstration aktiviert worden und soll später durch ein NAS ersetzt werden.

http://ffiala.ddns.net liefert

1KAX1EzCbDhpD3cYzzWD6wouWUsmk1TyYn

und http://ffiala.ddns.net/iisstart.htm liefert:

Bleibt noch die Frage, was denn dieses 1KAX1EzCbDhpD3cYzzWD6wouWUsmk1TyYn ist. Das ist eine meiner Bitcoin-Adressen, ein Relikt aus den Versuchen mit Bitcoin. Wenn also wer etwas einzahlen will, bitte sehr!


Ergänzungen

Keine solchen Einstellungen im Router

Es kann sein, dass ein Router diese Einstellungen für DMZ, DDNS und PortForwarding nicht anbietet. Fortgeschrittene Geräte wie jene von Fritzbox sollten das aber jedenfalls können. Und wenn die Methode benötigt wird, kann man einen besseren Router kaufen. Die Alternative ist, auf einen anderen Tarif  (Business) umzusteigen, der eine fixe IP-Adresse bietet.

Anruf von Drei

In dem Artikel steht, dass ich nach Durchführung aller Einstellungen ziemlich ratlos war und eine Anfrage an Drei gerichtet habe. Am Vormittag hat dann alles bestens funktioniert, weil ein neue IP-Adresse vergeben wurde. In diesen Minuten (Samstag Nachmittag) bekam ich einen Anruf von Drei wegen meine gestrigen Anfrage und der Spezialist fragte mich nach der Situation. Ich konnte ihm melden, dass nunmehr alles funktioniert. Er hat mich noch darauf aufmerksam gemacht, dass ein Synology-NAS mit dem Quick-Connect eine praktisch vollautomatische Verbindungsmethode genau für diesen Betriebsfall anbietet und er sagte, dass damit die Einstellungen im Router nicht mehr nötig wären. Hat mich beeindruckt, der Anruf von Drei; fast so gut wie der von der ClubComputer-Hotline!

Keine ausreichende Sicherheit

Ein wichtiges Argument ist, dass durch den offenen Port, Angriffe auf den jeweils freigegebenen Dienst möglich sind. Ja, aber ich kenne Leute, die auch Telebanking und auch gleich das ganze Internet ablehnen. Und es stimmt „ohne Freud, kein Leid“. Schließlich sind wir mit unseren Experimenten in guter Gesellschaft. Wenn ich richtig informiert bin, sind alle Gamer dieser Welt mit solchen Methoden untereinander vernetzt.

Zur Werkzeugleiste springen