Zugriff auf NAS-Dienst

ArneTh · June 25, 2025 at 8:44 AM

Hallo zusammen.

Ich betreibe eine UCG-Ultra hinter meiner FritzBox Cable (eingerichtet als Exposed Host) und habe in meinem Netzwerk unter anderem eine Synology NAS. Meine NAS ist so eingerichtet, dass sie direkt per DDNS (Service von Synology) erreichbar ist.

Nun zu meinem Problem: Leider kann ich weder intern (eigenes Netzwerk) noch extern oder per VPN auf einen bestimmten Service der NAS zugreifen (Synology Photos).

Die Anwendung "Synology Photos" sollte eigentlich über benutzerdefinierte Ports (in Unifi als Freigabe weitergeleitet) als auch über einen Aliasnamen erreichbar sein. Leider tut sich nichts.

Kann mir jemand helfen?

DoPe · June 25, 2025 at 11:10 AM

Sind ja augenscheinlich schon mal mehrere Baustellen und nicht viel konkretes. Zugriff von Außen ohne VPN ist keine Idee, aber das wurde schon x-mal gepredigt und mehr sage ich auch nicht dazu

Ist auf der Synology die Firewall evtl. eingeschaltet und wirr konfiguriert? Wird der DDNS Name korrekt im Internet aufgelöst, so dass deine IPv4 zurückgegeben wird? Passt das im LAN auch? Wobei ich da eher Split DNS benutzen würde ...

Wenn Du den ddns host auch im eigenen Netz nutzen willst, was ja für mobile Geräte die mal intern und mal extern zugreifen Sinn macht, dann könntest Du schon mal im UCG einen A Eintrag erstellen mit dem ddns Namen und der LAN IP der Synology. Dann gehts intern gleich mal zur richtigen Adresse. So in der Art:

Wenn es dann geht im LAN, nicht aber von Außen, dann stimmt was mit der Portweiterleitung nicht. Entweder in der Fritzbox oder im UCG. Möglicherweise liegt es auch an selbsterstellten Firewallregeln in der UCG ...

Ohne mehr Infos sind das aber alles Spekulationen...

ArneTh · June 25, 2025 at 11:15 AM

Danke. Den Risiken ohne VPN bin ich mir bewusst.

Welche Infos könntest du denn noch brauchen um helfen zu können?

DoPe · June 25, 2025 at 11:40 AM

Checke bitte erstmal die Synology betreffs der integrierten Firewall. Und prüfe bitte die Auflösung des ddns Namens im Internet und im Netzwerk. Wenn Du den Vorschlag oben fürs Split DNS noch nicht umgesetzt hast, dann sollte bei beidem deine aktuelle öffentlich IPv4 stehen, IPv6 solltest Du möglichst nicht benutzen (also auf dem DDNS Client am einfachsten deaktivieren, müsste die Synology sein), da Du hier keine vernünftige Firewallregel hinbekommst, die dauerhaft funktioniert. Hast Du das Split-DNS schon umgesetzt dann solltest du im LAN die LAN IP der Synology zurück gemeldet bekommen, im Internet nach wie vor die aktuelle öffentliche IPv4.

nslookup, dig oder auf nem Smartphone entsprechende Apps nutzen um die Namensauflösung zu checken.

Sind die Synology und die lan internen Clients im gleichen VLAN? Wenn mehre VLANs da sind mal grobe Auflistung was wie wo.

Funktioniert aus dem internen Netzwerk der Zugriff über die LAN IP der Synology auf den Dienst wenigstens?

Was ist im UCG an Firewallregeln drin? Insbesondere bei Internal-Internal, Internal-External, External-Internal

Übrigens musst Du die internen LAN IPs nicht verschleiern, da haben sich schon oft mal Fehler eingeschlichen. Wichtig ist, dass deine öffentliche IP und auf keinen Fall der DDNS Hostname vollständig auftauchen! Die Ports zu verschleiern bringt auch eher nichts ... die kann man scannen falls IP oder Hostname bekannt gemacht werden würden.

Participate now!