Fernzugriff auf den Netzwerkspeicher

Die Trennung des öffentlichen vom privaten Adressraum ist ein zuverlässiger Schutzmechanismus, der lokale Endgeräte in einem Heim- oder Firmennetzwerk vor ungewollten Zugriffen aus dem Internet bewahrt. Ein großer Nachteil hingegen ist, dass auch gewollte Zugriffe nur dann möglich sind, wenn eine entsprechende Konfiguration des Routers vorliegt, der als Bindeglied zwischen beiden Adressbereichen zum Einsatz kommt.

• Öffentliche IP-Adressen: Jeder Router bekommt vom zuständigen ISP eine öffentliche IP-Adresse zugewiesen, die ihn mit dem Internet verbindet und als Absenderadresse bei Serveranfragen dient. Die öffentliche IP ist bei Privatnutzern und den meisten geschäftlichen Akteuren im Internet in der Regel dynamisch. Das heißt: Die Adresse wird quasi zufällig und nur für einen bestimmten Zeitraum (etwa für 24 Stunden) an den Router vergeben. Da ein Fernzugriff aus dem Internet jedoch eine konstante Adresse voraussetzt, haben sich Techniken wie Dynamic DNS (DDNS) etabliert, mit denen sich dynamische IP-Adressen an unveränderliche Domains koppeln lassen.

• Private IP-Adressen: Schaut man sich den Aufbau eines Local Area Networks (LAN) an, das verschiedene Geräte zu einem Heim- oder Firmennetzwerk verbindet, finden sich auch hier IP-Adressen. Diese dienen jedoch allein der internen Kommunikation im LAN, werden von einem DHCP-Server (Dynamic Host Configuration Protocol) auf dem Router in der Regel automatisch vergeben und verbinden die einzelnen Hardware-Komponenten des Netzwerks wie PCs, Tablets, Smartphones oder Homeserver miteinander. Man spricht daher auch von LAN-IPs. Da private IP-Adressen nicht routbar sind, ist ein direkter Zugriff auf die IPv4-Adresse Ihres Netzwerkspeichers aus dem Internet nicht möglich. Stattdessen muss der Router, der als einzige Instanz im LAN eine öffentliche IP-Adresse besitzt, so konfiguriert werden, dass Zugriffe auf das NAS-System direkt an dessen private LAN-IP weiterleitet werden. Am besten funktioniert dies, wenn Netzwerkgeräten mit Serverdiensten eine statische LAN-IP-Adresse zugeteilt wird.

Möchte ein Gerät aus dem LAN mit dem Internet interagieren, erfolgt dies ausschließlich über den Router. Dieser nimmt Serveranfragen (z. B. beim Aufruf einer Website) aus dem lokalen Netzwerk entgegen und versendet diese mit der eigenen öffentlichen IP-Adresse an das entsprechende Ziel im World Wide Web. Sendet dieses als Antwort auf die Anfrage ein Datenpaket zurück, trägt der Router Sorge dafür, dass dieses an den ursprünglichen Auftraggeber im LAN weitergeleitet wird. Die Verteilung von IP-Paketen im lokalen Netzwerk erfolgt bei IPv4 durch eine Komponente des Routers, die NAT (Network Address Translation) genannt wird.

Registriert ein Router hingegen eingehende Datenpakete, die nicht explizit von einem Gerät im LAN angefordert wurden, werden diese aus Sicherheitsgründen umgehend verworfen. Dies gilt auch für gewollte Zugriffe auf den Netzwerkspeicher, sofern keine Portfreigabe für Zugriffe dieser Art konfiguriert wurde.

Um Ihren Netzwerkspeicher im Internet erreichbar zu machen, sind im Wesentlichen drei Schritte nötig, mit denen sich die beschriebenen Hürden überwinden lassen: Ermitteln Sie die interne IP-Adresse Ihres NAS-Systems, öffnen Sie entsprechende Ports für den Zugriff aus dem Internet und stellen Sie mittels DDNS sicher, dass Ihr Router trotz wechselnder öffentlicher IP-Adresse für Anfragen aus dem Internet erreichbar bleibt.

1. Feste IP-Adresse für das NAS-System ermitteln

Die internen IP-Adressen Ihres Netzwerks werden vom DHCP-Server Ihres Routers vergeben. In der Regel erhält jedes Netzwerkgerät dabei immer die gleiche IP-Adresse. Dazu speichert Ihr Router die MAC-Adresse des Netzwerkgeräts gemeinsam mit der zuerst vergebenen IP dauerhaft ab. Zu einer dynamischen Vergabe von IP-Adressen innerhalb des lokalen Netzwerks kommt es normalerweise nur, wenn Ihr Heim- oder Arbeitsnetzwerk mehr Netzwerkgeräte umfasst, als IP-Adressen am Router zur Verfügung stehen.

Um die IP-Adresse Ihres NAS-Systems zu ermitteln, rufen Sie die Bedienoberfläche Ihres Routers auf und lassen sich alle verbundenen Netzwerkgeräte anzeigen. Die AVM FRITZ!Box, eine weitverbreitete Router-Serie, bietet dazu beispielsweise den Menüpunkt „Heimnetz“. Hier entnehmen Sie die interne IP-Adresse Ihres NAS-Systems und notieren diese für den nächsten Konfigurationsschritt. Steht Ihr NAS-System in einem Unternehmensnetz, dessen Netzwerkgeräte die Anzahl der verfügbaren internen IP-Adressen Ihres Routers übersteigen, ist es ratsam, die Vergabe einer neuen IP-Adresse für Ihren Netzwerkspeicher explizit zu unterbinden. Bei der AVM FRITZ!Box klicken Sie dazu auf die „Bearbeiten“-Schaltfläche neben der IP-Adresse Ihres NAS-Systems und wählen die Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.

2. Ports für den Fernzugriff öffnen

Voraussetzung für den Fernzugriff auf Ihren Netzwerkspeicher ist, dass Sie die Firewall auf Ihrem Router so konfigurieren, dass diese bestimmte Anfragen aus dem Internet zulässt.

Um Ihr Heimnetzwerk von unerwünschten Zugriffen abzuschirmen, arbeitet auf Ihrem Router ein Paketfilter, der in der Standardkonfiguration lediglich die Datenpakete durchlässt, die von Endgeräten in Ihrem LAN angefordert wurden. Möchten Sie hingegen von unterwegs auf Ihr NAS-System zugreifen, um Daten herunterzuladen oder auf dem Netzwerkspeicher abzulegen, müssen Sie dafür Ausnahmeregelungen definieren. Denn auch solche Zugriffe wurden nicht intern initiiert und würden vom Router sonst aus Sicherheitsgründen verworfen. Öffnet man die Firewall für bestimmte Dienste wie FTP (File Transfer Protocol) oder SSH (Secure Shell), spricht man von einer sogenannten Portfreigabe. Eine solche stellen Sie in der Administrationsoberfläche Ihres Routers ein. Dazu öffnen Sie den entsprechenden Port für den gewünschten Dienst (z. B. FTP) und richten eine Weiterleitung zum NAS-System ein.

Moderne Netzwerkspeicher verfügen in der Regel über einen integrierten FTP-Server, der – sofern eine Verbindung zum Internet besteht – Anfragen von FTP-Clientprogrammen wie FileZilla oder WinSCP beantworten kann und so einen komfortablen Datenaustausch mit diversen Endgeräten ermöglicht.

Theoretisch stehen für die Netzwerkkommunikation 65.536 Ports zur Verfügung. Von diesen wurden die Ports 0 bis 1023 von der IANA (Internet Assigned Numbers Authority) als Standard-Ports für bestimmte Protokolle oder Anwendungen reserviert. Der FTP-Server Ihres Routers beispielsweise nimmt Anfragen aus dem Internet in der Regel auf Port 21 entgegen. Um dies zu gestatten, müssen Sie den entsprechenden Port nach außen hin öffnen und eine Weiterleitung eingehender Datenpakete an die feste LAN-IP Ihres Netzwerkspeichers einrichten. Dazu sind in der Administrationsoberfläche Ihres Routers unter dem Menüpunkt „Portfreigabe“ (je nach Router finden sich auch Bezeichnungen wie „Portforwarding“ oder „Portmapping“) vier Standardangaben notwendig:

• Der Port des Routers, der geöffnet werden soll (je nach Gerät und Hersteller auch „Public Port“, „External Port“ oder „Inbound Service“ genannt)

• Die private IP-Adresse des Netzwerkgeräts, an das die Datenpakete weitergeleitet werden sollen (auch „Private IP“ oder „Internal IP“)

• Der Port, an dem das Netzwerkgerät die Datenpakete entgegennehmen soll („Private Port“ oder „Internal Port“)

• Der Protokolltyp, der für die Datenübertragung genutzt werden soll („Type“)

Um eine Kommunikation mit dem FTP-Server Ihres NAS-Systems über das Internet zu erlauben, geben Sie sowohl für den Public Port am Router als auch für den Private Port am Netzwerkspeicher jeweils die Portnummer 21 an. Als private IP-Adresse nutzen Sie die feste LAN-IP, die Sie in Schritt 1 für Ihren Netzwerkspeicher ermittelt haben. Somit wird Ihr Router angewiesen, Anfragen und Datenpakete aus dem Internet, die an Port 21 ankommen, automatisch an den gleichnamigen Port Ihres Netzwerkspeichers weiterzuleiten. Damit es jedoch zu einer solchen Interaktion kommen kann, müssen Clientgeräte im Internet wissen, unter welcher Adresse Ihr Router zu erreichen ist. In Schritt 3 gilt es daher, eine konstante Kontaktadresse zu definieren.

3. Dynamic-DNS-Service einrichten

Eine bewährte Methode, einen Router dauerhaft über das Internet erreichbar zu machen, bietet Dynamic DNS. Dabei handelt es sich um einen Vermittlungsdienst, der von diversen Anbietern im Internet zum Teil kostenlos zur Verfügung gestellt wird. Um Dynamic DNS zu nutzen, registrieren Sie sich bei einem DDNS-Anbieter und richten über diesen eine Art Pseudo-Domain ein, die alle Anfragen automatisch auf die aktuelle dynamische IP-Adresse Ihres Routers umleitet. Das Grundprinzip ist dabei Folgendes: Immer wenn Ihr Router vom ISP eine neue dynamische IP-Adresse zugeteilt bekommt, meldet dieser den Adresswechsel automatisch dem DNS-Service. Dort wird jeweils die aktuelle dynamische IP-Adresse mit der statischen Pseudo-Domain verknüpft. Um über das Internet auf Ihren Netzwerkspeicher zuzugreifen, müssen Sie somit nur die statische Internetadresse und nicht die täglich wechselnde IP kennen.