Fern­zu­griff auf den Netz­werk­spei­cher

Die Trennung des öf­fent­li­chen vom privaten Adress­raum ist ein zu­ver­läs­si­ger Schutz­me­cha­nis­mus, der lokale Endgeräte in einem Heim- oder Fir­men­netz­werk vor un­ge­woll­ten Zugriffen aus dem Internet bewahrt. Ein großer Nachteil hingegen ist, dass auch gewollte Zugriffe nur dann möglich sind, wenn eine ent­spre­chen­de Kon­fi­gu­ra­ti­on des Routers vorliegt, der als Bin­de­glied zwischen beiden Adress­be­rei­chen zum Einsatz kommt.

• Öf­fent­li­che IP-Adressen: Jeder Router bekommt vom zu­stän­di­gen ISP eine öf­fent­li­che IP-Adresse zu­ge­wie­sen, die ihn mit dem Internet verbindet und als Ab­sen­der­adres­se bei Ser­ver­an­fra­gen dient. Die öf­fent­li­che IP ist bei Pri­vat­nut­zern und den meisten ge­schäft­li­chen Akteuren im Internet in der Regel dynamisch. Das heißt: Die Adresse wird quasi zufällig und nur für einen be­stimm­ten Zeitraum (etwa für 24 Stunden) an den Router vergeben. Da ein Fern­zu­griff aus dem Internet jedoch eine konstante Adresse vor­aus­setzt, haben sich Techniken wie Dynamic DNS (DDNS) etabliert, mit denen sich dy­na­mi­sche IP-Adressen an un­ver­än­der­li­che Domains koppeln lassen.

• Private IP-Adressen: Schaut man sich den Aufbau eines Local Area Networks (LAN) an, das ver­schie­de­ne Geräte zu einem Heim- oder Fir­men­netz­werk verbindet, finden sich auch hier IP-Adressen. Diese dienen jedoch allein der internen Kom­mu­ni­ka­ti­on im LAN, werden von einem DHCP-Server (Dynamic Host Con­fi­gu­ra­ti­on Protocol) auf dem Router in der Regel au­to­ma­tisch vergeben und verbinden die einzelnen Hardware-Kom­po­nen­ten des Netzwerks wie PCs, Tablets, Smart­phones oder Ho­me­ser­ver mit­ein­an­der. Man spricht daher auch von LAN-IPs. Da private IP-Adressen nicht routbar sind, ist ein direkter Zugriff auf die IPv4-Adresse Ihres Netz­werk­spei­chers aus dem Internet nicht möglich. Statt­des­sen muss der Router, der als einzige Instanz im LAN eine öf­fent­li­che IP-Adresse besitzt, so kon­fi­gu­riert werden, dass Zugriffe auf das NAS-System direkt an dessen private LAN-IP wei­ter­lei­tet werden. Am besten funk­tio­niert dies, wenn Netz­werk­ge­rä­ten mit Ser­ver­diens­ten eine statische LAN-IP-Adresse zugeteilt wird.

Möchte ein Gerät aus dem LAN mit dem Internet in­ter­agie­ren, erfolgt dies aus­schließ­lich über den Router. Dieser nimmt Ser­ver­an­fra­gen (z. B. beim Aufruf einer Website) aus dem lokalen Netzwerk entgegen und versendet diese mit der eigenen öf­fent­li­chen IP-Adresse an das ent­spre­chen­de Ziel im World Wide Web. Sendet dieses als Antwort auf die Anfrage ein Da­ten­pa­ket zurück, trägt der Router Sorge dafür, dass dieses an den ur­sprüng­li­chen Auf­trag­ge­ber im LAN wei­ter­ge­lei­tet wird. Die Ver­tei­lung von IP-Paketen im lokalen Netzwerk erfolgt bei IPv4 durch eine Kom­po­nen­te des Routers, die NAT (Network Address Trans­la­ti­on) genannt wird.

Re­gis­triert ein Router hingegen ein­ge­hen­de Da­ten­pa­ke­te, die nicht explizit von einem Gerät im LAN an­ge­for­dert wurden, werden diese aus Si­cher­heits­grün­den umgehend verworfen. Dies gilt auch für gewollte Zugriffe auf den Netz­werk­spei­cher, sofern keine Port­frei­ga­be für Zugriffe dieser Art kon­fi­gu­riert wurde.

Um Ihren Netz­werk­spei­cher im Internet er­reich­bar zu machen, sind im We­sent­li­chen drei Schritte nötig, mit denen sich die be­schrie­be­nen Hürden über­win­den lassen: Ermitteln Sie die interne IP-Adresse Ihres NAS-Systems, öffnen Sie ent­spre­chen­de Ports für den Zugriff aus dem Internet und stellen Sie mittels DDNS sicher, dass Ihr Router trotz wech­seln­der öf­fent­li­cher IP-Adresse für Anfragen aus dem Internet er­reich­bar bleibt.

1. Feste IP-Adresse für das NAS-System ermitteln

Die internen IP-Adressen Ihres Netzwerks werden vom DHCP-Server Ihres Routers vergeben. In der Regel erhält jedes Netz­werk­ge­rät dabei immer die gleiche IP-Adresse. Dazu speichert Ihr Router die MAC-Adresse des Netz­werk­ge­räts gemeinsam mit der zuerst ver­ge­be­nen IP dauerhaft ab. Zu einer dy­na­mi­schen Vergabe von IP-Adressen innerhalb des lokalen Netzwerks kommt es nor­ma­ler­wei­se nur, wenn Ihr Heim- oder Ar­beits­netz­werk mehr Netz­werk­ge­rä­te umfasst, als IP-Adressen am Router zur Verfügung stehen.

Um die IP-Adresse Ihres NAS-Systems zu ermitteln, rufen Sie die Be­dien­ober­flä­che Ihres Routers auf und lassen sich alle ver­bun­de­nen Netz­werk­ge­rä­te anzeigen. Die AVM FRITZ!Box, eine weit­ver­brei­te­te Router-Serie, bietet dazu bei­spiels­wei­se den Menüpunkt „Heimnetz“. Hier entnehmen Sie die interne IP-Adresse Ihres NAS-Systems und notieren diese für den nächsten Kon­fi­gu­ra­ti­ons­schritt. Steht Ihr NAS-System in einem Un­ter­neh­mens­netz, dessen Netz­werk­ge­rä­te die Anzahl der ver­füg­ba­ren internen IP-Adressen Ihres Routers über­stei­gen, ist es ratsam, die Vergabe einer neuen IP-Adresse für Ihren Netz­werk­spei­cher explizit zu un­ter­bin­den. Bei der AVM FRITZ!Box klicken Sie dazu auf die „Be­ar­bei­ten“-Schalt­flä­che neben der IP-Adresse Ihres NAS-Systems und wählen die Option „Diesem Netz­werk­ge­rät immer die gleiche IPv4-Adresse zuweisen“.

2. Ports für den Fern­zu­griff öffnen

Vor­aus­set­zung für den Fern­zu­griff auf Ihren Netz­werk­spei­cher ist, dass Sie die Firewall auf Ihrem Router so kon­fi­gu­rie­ren, dass diese bestimmte Anfragen aus dem Internet zulässt.

Um Ihr Heim­netz­werk von un­er­wünsch­ten Zugriffen ab­zu­schir­men, arbeitet auf Ihrem Router ein Pa­ket­fil­ter, der in der Stan­dard­kon­fi­gu­ra­ti­on lediglich die Da­ten­pa­ke­te durch­lässt, die von End­ge­rä­ten in Ihrem LAN an­ge­for­dert wurden. Möchten Sie hingegen von unterwegs auf Ihr NAS-System zugreifen, um Daten her­un­ter­zu­la­den oder auf dem Netz­werk­spei­cher abzulegen, müssen Sie dafür Aus­nah­me­re­ge­lun­gen de­fi­nie­ren. Denn auch solche Zugriffe wurden nicht intern initiiert und würden vom Router sonst aus Si­cher­heits­grün­den verworfen. Öffnet man die Firewall für bestimmte Dienste wie FTP (File Transfer Protocol) oder SSH (Secure Shell), spricht man von einer so­ge­nann­ten Port­frei­ga­be. Eine solche stellen Sie in der Ad­mi­nis­tra­ti­ons­ober­flä­che Ihres Routers ein. Dazu öffnen Sie den ent­spre­chen­den Port für den ge­wünsch­ten Dienst (z. B. FTP) und richten eine Wei­ter­lei­tung zum NAS-System ein.

Moderne Netz­werk­spei­cher verfügen in der Regel über einen in­te­grier­ten FTP-Server, der – sofern eine Ver­bin­dung zum Internet besteht – Anfragen von FTP-Cli­ent­pro­gram­men wie FileZilla oder WinSCP be­ant­wor­ten kann und so einen kom­for­ta­blen Da­ten­aus­tausch mit diversen End­ge­rä­ten er­mög­licht.

Theo­re­tisch stehen für die Netz­werk­kom­mu­ni­ka­ti­on 65.536 Ports zur Verfügung. Von diesen wurden die Ports 0 bis 1023 von der IANA (Internet Assigned Numbers Authority) als Standard-Ports für bestimmte Pro­to­kol­le oder An­wen­dun­gen re­ser­viert. Der FTP-Server Ihres Routers bei­spiels­wei­se nimmt Anfragen aus dem Internet in der Regel auf Port 21 entgegen. Um dies zu gestatten, müssen Sie den ent­spre­chen­den Port nach außen hin öffnen und eine Wei­ter­lei­tung ein­ge­hen­der Da­ten­pa­ke­te an die feste LAN-IP Ihres Netz­werk­spei­chers ein­rich­ten. Dazu sind in der Ad­mi­nis­tra­ti­ons­ober­flä­che Ihres Routers unter dem Menüpunkt „Port­frei­ga­be“ (je nach Router finden sich auch Be­zeich­nun­gen wie „Port­for­war­ding“ oder „Port­map­ping“) vier Stan­dard­an­ga­ben notwendig:

• Der Port des Routers, der geöffnet werden soll (je nach Gerät und Her­stel­ler auch „Public Port“, „External Port“ oder „Inbound Service“ genannt)

• Die private IP-Adresse des Netz­werk­ge­räts, an das die Da­ten­pa­ke­te wei­ter­ge­lei­tet werden sollen (auch „Private IP“ oder „Internal IP“)

• Der Port, an dem das Netz­werk­ge­rät die Da­ten­pa­ke­te ent­ge­gen­neh­men soll („Private Port“ oder „Internal Port“)

• Der Pro­to­koll­typ, der für die Da­ten­über­tra­gung genutzt werden soll („Type“)

Um eine Kom­mu­ni­ka­ti­on mit dem FTP-Server Ihres NAS-Systems über das Internet zu erlauben, geben Sie sowohl für den Public Port am Router als auch für den Private Port am Netz­werk­spei­cher jeweils die Port­num­mer 21 an. Als private IP-Adresse nutzen Sie die feste LAN-IP, die Sie in Schritt 1 für Ihren Netz­werk­spei­cher ermittelt haben. Somit wird Ihr Router an­ge­wie­sen, Anfragen und Da­ten­pa­ke­te aus dem Internet, die an Port 21 ankommen, au­to­ma­tisch an den gleich­na­mi­gen Port Ihres Netz­werk­spei­chers wei­ter­zu­lei­ten. Damit es jedoch zu einer solchen In­ter­ak­ti­on kommen kann, müssen Cli­ent­ge­rä­te im Internet wissen, unter welcher Adresse Ihr Router zu erreichen ist. In Schritt 3 gilt es daher, eine konstante Kon­takt­adres­se zu de­fi­nie­ren.

3. Dynamic-DNS-Service ein­rich­ten

Eine bewährte Methode, einen Router dauerhaft über das Internet er­reich­bar zu machen, bietet Dynamic DNS. Dabei handelt es sich um einen Ver­mitt­lungs­dienst, der von diversen Anbietern im Internet zum Teil kostenlos zur Verfügung gestellt wird. Um Dynamic DNS zu nutzen, re­gis­trie­ren Sie sich bei einem DDNS-Anbieter und richten über diesen eine Art Pseudo-Domain ein, die alle Anfragen au­to­ma­tisch auf die aktuelle dy­na­mi­sche IP-Adresse Ihres Routers umleitet. Das Grund­prin­zip ist dabei Folgendes: Immer wenn Ihr Router vom ISP eine neue dy­na­mi­sche IP-Adresse zugeteilt bekommt, meldet dieser den Adress­wech­sel au­to­ma­tisch dem DNS-Service. Dort wird jeweils die aktuelle dy­na­mi­sche IP-Adresse mit der sta­ti­schen Pseudo-Domain verknüpft. Um über das Internet auf Ihren Netz­werk­spei­cher zu­zu­grei­fen, müssen Sie somit nur die statische In­ter­net­adres­se und nicht die täglich wech­seln­de IP kennen.