Um Ihren Netzwerkspeicher im Internet erreichbar zu machen, sind im Wesentlichen drei Schritte nötig, mit denen sich die beschriebenen Hürden überwinden lassen: Ermitteln Sie die interne IP-Adresse Ihres NAS-Systems, öffnen Sie entsprechende Ports für den Zugriff aus dem Internet und stellen Sie mittels DDNS sicher, dass Ihr Router trotz wechselnder öffentlicher IP-Adresse für Anfragen aus dem Internet erreichbar bleibt.
1. Feste IP-Adresse für das NAS-System ermitteln
Die internen IP-Adressen Ihres Netzwerks werden vom DHCP-Server Ihres Routers vergeben. In der Regel erhält jedes Netzwerkgerät dabei immer die gleiche IP-Adresse. Dazu speichert Ihr Router die MAC-Adresse des Netzwerkgeräts gemeinsam mit der zuerst vergebenen IP dauerhaft ab. Zu einer dynamischen Vergabe von IP-Adressen innerhalb des lokalen Netzwerks kommt es normalerweise nur, wenn Ihr Heim- oder Arbeitsnetzwerk mehr Netzwerkgeräte umfasst, als IP-Adressen am Router zur Verfügung stehen.
Um die IP-Adresse Ihres NAS-Systems zu ermitteln, rufen Sie die Bedienoberfläche Ihres Routers auf und lassen sich alle verbundenen Netzwerkgeräte anzeigen. Die AVM FRITZ!Box, eine weitverbreitete Router-Serie, bietet dazu beispielsweise den Menüpunkt „Heimnetz“. Hier entnehmen Sie die interne IP-Adresse Ihres NAS-Systems und notieren diese für den nächsten Konfigurationsschritt. Steht Ihr NAS-System in einem Unternehmensnetz, dessen Netzwerkgeräte die Anzahl der verfügbaren internen IP-Adressen Ihres Routers übersteigen, ist es ratsam, die Vergabe einer neuen IP-Adresse für Ihren Netzwerkspeicher explizit zu unterbinden. Bei der AVM FRITZ!Box klicken Sie dazu auf die „Bearbeiten“-Schaltfläche neben der IP-Adresse Ihres NAS-Systems und wählen die Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.
2. Ports für den Fernzugriff öffnen
Voraussetzung für den Fernzugriff auf Ihren Netzwerkspeicher ist, dass Sie die Firewall auf Ihrem Router so konfigurieren, dass diese bestimmte Anfragen aus dem Internet zulässt.
Um Ihr Heimnetzwerk von unerwünschten Zugriffen abzuschirmen, arbeitet auf Ihrem Router ein Paketfilter, der in der Standardkonfiguration lediglich die Datenpakete durchlässt, die von Endgeräten in Ihrem LAN angefordert wurden. Möchten Sie hingegen von unterwegs auf Ihr NAS-System zugreifen, um Daten herunterzuladen oder auf dem Netzwerkspeicher abzulegen, müssen Sie dafür Ausnahmeregelungen definieren. Denn auch solche Zugriffe wurden nicht intern initiiert und würden vom Router sonst aus Sicherheitsgründen verworfen. Öffnet man die Firewall für bestimmte Dienste wie FTP (File Transfer Protocol) oder SSH (Secure Shell), spricht man von einer sogenannten Portfreigabe. Eine solche stellen Sie in der Administrationsoberfläche Ihres Routers ein. Dazu öffnen Sie den entsprechenden Port für den gewünschten Dienst (z. B. FTP) und richten eine Weiterleitung zum NAS-System ein.
Moderne Netzwerkspeicher verfügen in der Regel über einen integrierten FTP-Server, der – sofern eine Verbindung zum Internet besteht – Anfragen von FTP-Clientprogrammen wie FileZilla oder WinSCP beantworten kann und so einen komfortablen Datenaustausch mit diversen Endgeräten ermöglicht.
Theoretisch stehen für die Netzwerkkommunikation 65.536 Ports zur Verfügung. Von diesen wurden die Ports 0 bis 1023 von der IANA (Internet Assigned Numbers Authority) als Standard-Ports für bestimmte Protokolle oder Anwendungen reserviert. Der FTP-Server Ihres Routers beispielsweise nimmt Anfragen aus dem Internet in der Regel auf Port 21 entgegen. Um dies zu gestatten, müssen Sie den entsprechenden Port nach außen hin öffnen und eine Weiterleitung eingehender Datenpakete an die feste LAN-IP Ihres Netzwerkspeichers einrichten. Dazu sind in der Administrationsoberfläche Ihres Routers unter dem Menüpunkt „Portfreigabe“ (je nach Router finden sich auch Bezeichnungen wie „Portforwarding“ oder „Portmapping“) vier Standardangaben notwendig:
- Der Port des Routers, der geöffnet werden soll (je nach Gerät und Hersteller auch „Public Port“, „External Port“ oder „Inbound Service“ genannt)
- Die private IP-Adresse des Netzwerkgeräts, an das die Datenpakete weitergeleitet werden sollen (auch „Private IP“ oder „Internal IP“)
- Der Port, an dem das Netzwerkgerät die Datenpakete entgegennehmen soll („Private Port“ oder „Internal Port“)
- Der Protokolltyp, der für die Datenübertragung genutzt werden soll („Type“)
Um eine Kommunikation mit dem FTP-Server Ihres NAS-Systems über das Internet zu erlauben, geben Sie sowohl für den Public Port am Router als auch für den Private Port am Netzwerkspeicher jeweils die Portnummer 21 an. Als private IP-Adresse nutzen Sie die feste LAN-IP, die Sie in Schritt 1 für Ihren Netzwerkspeicher ermittelt haben. Somit wird Ihr Router angewiesen, Anfragen und Datenpakete aus dem Internet, die an Port 21 ankommen, automatisch an den gleichnamigen Port Ihres Netzwerkspeichers weiterzuleiten. Damit es jedoch zu einer solchen Interaktion kommen kann, müssen Clientgeräte im Internet wissen, unter welcher Adresse Ihr Router zu erreichen ist. In Schritt 3 gilt es daher, eine konstante Kontaktadresse zu definieren.
3. Dynamic-DNS-Service einrichten
Eine bewährte Methode, einen Router dauerhaft über das Internet erreichbar zu machen, bietet Dynamic DNS. Dabei handelt es sich um einen Vermittlungsdienst, der von diversen Anbietern im Internet zum Teil kostenlos zur Verfügung gestellt wird. Um Dynamic DNS zu nutzen, registrieren Sie sich bei einem DDNS-Anbieter und richten über diesen eine Art Pseudo-Domain ein, die alle Anfragen automatisch auf die aktuelle dynamische IP-Adresse Ihres Routers umleitet. Das Grundprinzip ist dabei Folgendes: Immer wenn Ihr Router vom ISP eine neue dynamische IP-Adresse zugeteilt bekommt, meldet dieser den Adresswechsel automatisch dem DNS-Service. Dort wird jeweils die aktuelle dynamische IP-Adresse mit der statischen Pseudo-Domain verknüpft. Um über das Internet auf Ihren Netzwerkspeicher zuzugreifen, müssen Sie somit nur die statische Internetadresse und nicht die täglich wechselnde IP kennen.