Website von extern erreichbar machen

celeron74

Member
Hallo,

ich habe mir auf meinem NAS eine Wordpress-Website eingerichtet, welche ich nun aus dem Internet erreichbar machen möchte. Ein Bekannter sagte mir, dass ich nun auf dem Router etwas freigeben müsste, damit die Website von aussen erreichbar wäre, nur habe ich überhaupt keine Ahnung, was genau ich jetzt wo machen muss. Mein Router ist eine Fritzbox 7590 (Vodafone, VDSL). Was genau muss ich denn jetzt wo bei der Fritzbox einstellen, um mein Vorhaben zu realisieren? Vielen Dank vorab! :)
 
Hi,

Du musst die benötigten Ports (80/TCP HTTP (unverschlüsselt) + 443/TCP HTTPS (verschlüsselt)) auf dem Router freigeben. Melde Dich an der Fritzbox an, links im Menü "Internet" -> "Freigaben", da kommst Du zu den Portfreigaben. Wünsche viel Erfolg!
 
Hi WildGuy,

vielen Dank für Deine schnelle Antwort. Da gibt es in der Fritzbox anscheinend sogar schon Vorlagen (HTTP und HTTPS). Habe 2 Freigaben erstellt und es hat sofort funktioniert (vom Handy aus getestet auf meine DynDNS-Adresse). Vielen Dank! 😁
 
Hi celeron74,
Deine Frage wurde ja beantwortet, aber ich finde es sehr wagemutig, einen offenen Zugang zum NAS über das Internet zu ermöglichen.
Auf dem NAS werden ja auch noch Daten sein, die nicht offen sein sollen. Zumindest hat man dafür ja so ein Gerät.

In anderen Foren diskutieren die NAS-Betreiber, wie man das NAS so abschirmen kann, dass niemand rankommt und Du gibst es freiwillig frei. Dort gibt es die einhellige Meinung, dass man nur über eine sichere VPN-Verbindung auf das eigene NAS von extern geht, aber noch besser, man macht die Zugänge zu.

Es gibt auch einige Vorfälle, dass die Daten auf dem NAS verschlüsselt wurden und man nur noch eine Datei lesen konnte.
Und das war sie, wo vermerkt war, wieviel Bitcoin man wohin überweisen solle, um dann eventuell den Entschlüsselungskey zu erhalten.

Wenn Du mal Zeit hast, google mal nach "hacking nas Synology" oder "Qlocker". Schon ganz spannend.

Aber es gäbe eine Variante, die ich verstünde, definiere bei der FritzBox den LAN Anschluss 4 als Gastzugang, dann kann der LAN Anschluss 4 nur ins Internet und dort käme ein raspberry pi4 oder ein altes ausgedientes NAS (ohne wichtige Daten) dran und darauf käme die Webseite drauf. Kann auch ein altes Notebook oder PC sein. Wenn das Teil gehacked würde - kein Problem, spiele eine DaSi zurück und dann ist es wieder gut, sofern Du eine DaSi erstellt hast.

Wie man dieses NAS administrieren kann?
Über die DynDNS, also die Pakete gehen über die Fritzbox raus und kämen über die DynDNS beim WebServer an.

Jetzt habe ich auch ein olles NAS, was nicht angeschlossen rumsteht und auch einen raspi, der im Moment Pause hat, warum habe ich es nicht gemacht? Bei 9,99 EUR im Monat für den virtuellen Server muss ich noch gegenrechnen, das das NAS 24/7 eingeschaltet sein muss, normalerweise nur 40% der Woche. Meine Kosten lägen bei (habe ich vergessen) 3-4 EUR Strom je Monat? Und für das Geld kann man auch eine einzelne Webseite bei einem Hoster hosten. Man muss ja keinen virtuellen Server mieten.

Ich habe mich dazu entschlossen, meine Webseite auf einem virtuellen Server bereitzustellen, kostet, je nach Anbieter zwischen 5 und 10 EUR, bei meinem 9,99 EUR und ist nicht in meinem Haus und nicht in meinem Netz.

Nein, will Dir nicht reinreden, geht mich auch nichts an.

Dann weiterhin viel Erfolg und eine glückliche Hand!

Gruß MarGol
 
Hi MarGol,

erst einmal vielen Dank für Deinen Input! Auf der anderen Seite wirst Du schon beim schreiben gemerkt haben, dass darauf ein Fragen-Sturm über Dich hinweg ziehen wird (und nein, da nutzt auch kein "geht mich auch nichts an" mehr 😜😁). Ich leg einfach mal los und unterteil mal ein wenig:

1) Wie machen es denn dann andere, wenn es so gefährlich ist?
2) Das Paket wird ja immerhin angeboten, wie kann das jetzt so unsicher sein?
3) Was haben diese NAS-Verschlüsselungstrojaner mit einer Wordpress-Website zu tun?
4) Man kann eine Portfreigabe auf einen Rechner in diesem dubiosen Gast-Netz anlegen?
5) Sorry, aber...
Über die DynDNS, also die Pakete gehen über die Fritzbox raus und kämen über die DynDNS beim WebServer an.
...ich versteh nicht was Du damit meinst 🤔
6) Einen ganzen vServer brauche ich sicherlich nicht und ich möchte ja gern "selbst" die Website hosten. Wozu auch noch extra Euros im Monat rauswerfen, wenn das NAS doch sowieso läuft? Eine eigene Domäne habe ich sowieso nicht (nur so ein myfritz-Ding hab ich mir eingerichtet). Ausserdem fehlt mir auch ein wenig die Erfahrung um so einen vServer zu konfigurieren/warten/administrieren. Hier klick ich einfach auf das Paket und installier das Update... 🤔

Vielen Dank schon mal vorab! :)
 
Moinsen,
naja, wenn du eine Portweiterleitung einrichtest, dann bohrst du dir eben ein Loch in den (meist) einzigen Schutzwall zwischen Internet und Heimnetz, den du hast: deinen NAT-Router (Fritzbox). Der trennt erstmal ganz sauber die Netzbereiche, hier Innen und Außen. Mit jeder PWL gibst du ein Stück dieses Schutzes auf. Wenn du dann zB mit einer PWL auf dein NAS zeigst, darauf dann eine Software / ein Dienst läuft, der ggf. ungepatchte Lücken hat, dann ist das ein potentielles Einfalltor für böse Menschen mit bösen Ideen und böser Malware...
1. andere machen es anders (wobei seeeehr viele Forenuser mit PWL arbeiten und sich da nix bei denken). Wieder andere aber stellen ihren aus dem Internet erreichbaren Rechner / Server / NAS in ein extra Netzsegment, das dann NUR von außen erreichbar ist, aber keine Verbindung zum inneren Netz hat. Das macht natürlich KEINEN Sinn, wenn das Gerät in dieser Zone gleichzeitig dein Fileserver ist. Wieder andere machen es wie vorgeschlagen und delegieren das ab an Hoster. Noch anderesichern etwas mit Reverseproxy, damit bei diversen Diensten, die erreichbar sein müssen, nicht dutzende an PWL eingetragen werden müssen. (mal sehr kurz beschrieben).

2. Das Paket wird angeboten, warum sollte es damit automatisch sicher sein? Gerade in der IT werden zig Dinge angeboten, zum Teil auch gegen Geld, die alles andere als sicher sind. Jede Woche wieder liest mensch über Lücken hier, fehlende Patches dort...das betrifft auch ganz große Player in der Branche, die mitunter Produkte raushauen, die eben nicht sooo sicher sind (ich will jetzt mal niemanden nennen)...

3.Wie schon gesagt: mit der Einrichtung von PWLs auf dein NAS fällt eine wesentliche Barriere weg. Ist der Dienst dort dann nicht gut gesichert, hat bugs, fehlende Updates oder fehlende Patches in den Updates, dann steht dein NAS mit einem Bein im Internet und das mit schlecht gepflegter Software durch dich oder den Hersteller. Oft geht es dann fix und ein findiger Mensch weiß, wie er diese Kombination aus "Tür ist offen" und "fehlerhafte Software" ausnutzen kann. Und bis zur Malware mit allem drum und dran ist es dann schnell....

4. Das war mir bisher nicht bekannt und zumindest meine Fritzbox meckert da auch...bin da also auch unbewandert.

5. da ein Zugriff direkt vom LAN ins Gastnetz durch die Fritzbox unterbunden wird, musst du als Umweg vom LAN ins Internet ins Gastnetz

6.
Hier klick ich einfach auf das Paket und installier das Update
ohne dich ärgern zu wollen: genau DAS machen viele, die ein NAS erwerben...sie nutzen alle möglichen Dienste und machen sich dabei selten bewusst, was das bedeuten kann.

Sicherlich kannst du das so machen, aber es ist eben riskant und das sollte dir zumindest bewusst sein.
:)
 
Hi @celeron74 ,

ich mache es einfach, kopiere Deine Fragen und sag meine Meinung dazu.

1) Wie machen es denn dann andere, wenn es so gefährlich ist?

Dazu gibt es viele Antworten, davon drei sind:

  1. Wenn man als Hersteller in Vergleichstest nicht einen Punkt weniger haben will, muss diese Möglichkeit bestehen.
  2. Man kann eine Webseite Online stellen - intern im eigenen Netz. Welchen Sinn könnte es haben?
    - Betriebsintern Informationen bereitzustellen
    - Ich könnte eine interne Internetseite für unsere Ferienwohnungen im internen Netz bereitstellen.
    Ausflugsempfehlungen, Restaurant-Tipps, halt so Kram.
  3. Wenn der Zugang zum lokalen Netz nur über eine VPN-Verbindung möglich ist, ist eine Webseite unproblematisch.
2) Das Paket wird ja immerhin angeboten, wie kann das jetzt so unsicher sein?

Es werden auch Messer verkauft, obwohl ich gehört habe, dass man damit Straftaten begehen kann.
Ob eine Funktion sicher ist oder nicht, hängt vom Kontext ab - vom technischen Rahmen, in dem das Gerät steht, welches diese Funktion hat.

3) Was haben diese NAS-Verschlüsselungstrojaner mit einer Wordpress-Website zu tun?

Google mal etwas. Man stößt auf Hackingangriffe, bei denen der erfahrene IT-Mann nicht weiß, wie man sich diesen "Infekt" eingefangen hat. Es ist eine Internetseite und dazu gehört eine Mimik, die anfragenden anderen Systemen Informationen bereitstellt. Die "bösen" Jungs versuchen halt, Lücken in der Software zu identifizieren und darüber den Host so zu stören, dass sich eine Möglichkeit ergibt, das System zu entern.

4) Man kann eine Portfreigabe auf einen Rechner in diesem dubiosen Gast-Netz anlegen?

Was ich nun schreibe, sind Annahmen, da ich das noch nicht probiert habe:

Man kann den Gastzugang auf einem LAN-Port einrichten. Dem WebServer würde man eine feste IP-Adresse einrichten.
In einer FritzBox kann man eine DMZ einrichten , die sozusagen frei im Internet steht. ICh würde die o.g. IP-Adresse hier eintragen.
Ich weiß nicht, ob das geht - könnte man aber probieren.


5) Sorry, aber...
MarGol schrieb:
Über die DynDNS, also die Pakete gehen über die Fritzbox raus und kämen über die DynDNS beim WebServer an.
...ich versteh nicht was Du damit meinst 🤔

Der WebServer ist aus dem eigenen Netz damit nicht mehr zu erreichen, da dieser nur Anschluss an das Internet hat.
Das heißt, wenn Deine Webseite bei DynDNS www.eigenes-web.de heißen würde, müsstest Du die Wartung über den Webbrowser vornehmen, indem Du www.eigenes-web.de eintippelst. Dann würde Dein Browser über das Internet auf Deinen Server zugreifen, der neben Dir steht.

6) Einen ganzen vServer brauche ich sicherlich nicht und ich möchte ja gern "selbst" die Website hosten. Wozu auch noch extra Euros im Monat rauswerfen, wenn das NAS doch sowieso läuft? Eine eigene Domäne habe ich sowieso nicht (nur so ein myfritz-Ding hab ich mir eingerichtet). Ausserdem fehlt mir auch ein wenig die Erfahrung um so einen vServer zu konfigurieren/warten/administrieren. Hier klick ich einfach auf das Paket und installier das Update... 🤔

Domain-Hosting, das ist kein virtueller Server, sondern ein Dienstleister, der Dir die Möglichkeit bietet, eine Webseite online zu stellen, ohne selbst einen Server bereitzustellen.

Es ist die Schlüsselfrage, hast Du nur Daten auf dem NAS, die alle sehen dürfen, dann brauchst Du eigentlich kein NAS, sondern eine kostenlose Dropbox ohne Password. Hast Du Daten auf dem NAS, die nicht alle sehen sollen, dann würde Ich das nicht so machen, was Du das planst.

Gruß Markus
 
Zuletzt bearbeitet:
Das hier genannten Fritzbox (W)LAN Gastnetzwerk bietet keinerlei Möglichkeiten der Portweiterleitung sowie sonstiger Zugriffe von Außerhalb. Auch der Zugriff vom Heimnetz ins Gastnetz und umgekehrt ist nicht vorgesehen.

Ebenfalls verfügt die Fritzbox nicht über eine DMZ, sondern kann einzelne Geräte „nur“ als Exposed Host freigeben. Hierbei werden alle - also wirklich ALLE - extern eingehenden Anfragen an das freigegebene Gerät durchgereicht. Das wird gerne für Gaming Konsolen wie PlayStation etc. hergenommen oder wenn man es sich bei dem freigegebenen Gerät um z.B. eine Firewall auf Basis von pfSense oder OPNsense handelt. Ansonsten sollte man die Finger vom Exposed Host lassen.

Und zu all dem Rest. Ich halte diese ständige Angstmacherei für etwas überzogen und Vergleiche wie mit einem Messer hinken hier auch ein wenig. Wir sind doch alles mündige Bürger und dürfen selbst entscheiden, was wir tun und lassen. Wenn man auf der Autobahn 220 fahren möchte, weil man es darf und das Auto das kann, dann wird manch einer das auch tun. Und wer von euch läßt sich dann schon gerne sagen… das ist aber gefährlich!

Das ganze Leben ist ein Risiko und ich brauch dafür noch nicht mal die Haustür aufzumachen um mich in Gefahr zu begeben. Ich habe es trotzdem schon 50 Jahre lang geschafft, nicht zu sterben. Also so what…

Wenn jemand Bock drauf hat, Geräte ins Internet zu stellen, dann soll er das bitte auch gerne tun. Immer mit der Gewissheit, das das alles nicht ohne Gefahren und evtl. Konsequenzen einhergeht. Man muss sich dessen nur bewusst sein und ggf. Gegenmaßnahmen einleiten um eben nicht zu sterben… äh… gehackt zu werden.
 
Es geht nicht um Angstmacherei.

Wenn jemand freundlich fragt, ob etwas mit Risiken und Chancen behaftet ist, möchte der Fragende eine Antwort.
Und die sollte er erhalten.

Und dann sollte er wissen, dass es ein prinzipielles Risiko bei dieser Vorgehensweise gibt und er sich deshalb die Frage stellen könnte, ob die Daten auf dem NAS auf einem anderen Gerät gesichert sind und ob es Daten sind, die man unbeschwert dem zwar geringen, aber vorhandenen Risiko des Verlustes aussetzen möchte.

Nun, er hat jetzt von verschiedenen Leuten eine Einschätzung und wird bestimmt zu einer für Ihnen passenden Entscheidung kommen.

Schöne Grüße aus dem sonnigen Frankreich

Markus
 
Wenn jemand freundlich fragt, ob etwas mit Risiken und Chancen behaftet ist…
Hm? Primär kamen diese Fragen vom TE erstmal nicht auf. Erst nach deinem Beitrag ging die Diskussion über Risiken und Nebenwirkungen los. Und genau das meine ich.

Es geht nicht um Angstmacherei.
Doch. Genau darum geht es. Ohne überhaupt die Rahmenbedingungen zu kennen, kommt immer gleich der erhobene Finger und das ein offener Port eine Todsünde ist. Das im Router standardmäßig immer irgendwelche Ports offen sind, sei nur nebenbei erwähnt. Egal.

Ich finde konstruktive Diskussionen besser, wo einem Möglichkeiten aufgezeigt werden, welche Schutzmaßnahmen man sonst noch einleiten könnte - wenn danach gefragt wird. Wo wir hier beim Thema NAS wären, fällt mir da gleich mal die interne Firewall, automatische Blockierung, GeoIP, Portumleitungen, Reverseproxy etc. ein. Es hat ja keiner behauptet, das es einfach wird, aber es ist nicht unmöglich und man kann es ein Stück weit sicherer machen.

So. Ich bin jetzt wieder lieb.
 
in Bekannter sagte mir, dass ich nun auf dem Router etwas freigeben müsste, damit die Website von aussen erreichbar wäre, nur habe ich überhaupt keine Ahnung, was genau ich jetzt wo machen muss.
Wenn jemand eine solche Frage stellt, dann ist das für mich ein Grund über Risiken und Chancen zu sprechen. Wenn er "überhaupt keine Ahnung" hat, wäre es töricht, nicht auch über Risiken und Chancen zu sprechen.

Es gibt auch keinen erhobenen Zeigefinger. Er muss selbst wissen, welche Entscheidung er für seine Situation trifft.

Mein Tenor ist, lies Dich in das Thema ein, wäge ab, ob ein Risiko in Deinem Fall besteht und treffe eine Entscheidung, die zu Deiner Situation passt.

Bevor man trefflich über Schutzmaßnahmen diskutiert, könnte man auch erst einmal die Risiken offenlegen.
Aber das ist ein anderes Thema.

Hätte ich nur Kram auf dem NAS, würde ich für meine Situation ganz anders entscheiden.
Aber bei mir sind die letzten 10 Jahre Akten der GmbH drauf, die ich auch 10 Jahre aufbewahren muss.

Gruß Markus
 
Mein Tenor ist, lies Dich in das Thema ein, wäge ab, ob ein Risiko in Deinem Fall besteht und treffe eine Entscheidung, die zu Deiner Situation passt.
Da sind wir ja endlich mal einer Meinung 😅

Man muss seine Feinde halt kennen um einschätzen zu können ob man mit ihnen fertig wird, wie man sie in Schach hält oder ob man besser einen großen Bogen um sie machen sollte. Dafür muss man aber auch wissen, das da überhaupt Feinde sind. So lange man das nicht weiß, lautet meine Devise: Traue niemandem! Aber auch nachdem man den Stein der Erkenntnis gefunden hat lautet meine Devise weiterhin: Traue niemanden 😏

Und jetzt genieß deinen Urlaub in Frankreich weiter oder wohnst bzw. arbeitest du da?
 
Seit 2016 wohnen und leben wir hier.
Wir waren früher in Köln und haben ein IT-Trainingscenter betrieben.
Jetzt mehr Obstbäume schneiden im Garten.
 
Wohnen wie Gott in Frankreich… aus den Obstbäumen braust du dir bestimmt was hochprozentiges 🤫

Aber Köln sagt mir was 🤔 … da bin ich schon mal durchgefahren… 🧐 glaub ich!
 
Ähm. Doch.

1628869616678.png

... wobei *räusper* … wenn man kein VPN sowie keine IP-Telefonie nutzt, hast du wohl recht. Sorry. Mein Fehler! 🤫🤷‍♂️
 
Zuletzt bearbeitet von einem Moderator:
Ich hab mich doch bereits für meinen Fehler entschuldigt. Soll ich jetzt auch noch zu Kreuze kriechen?
 
Hätte ich jetzt erwartet, ja ;)
Sorry, habe ich gelesen, aber nicht verarbeitet sondern einfach losgeschrieben. Passiert mir manchmal, gewöhnt euch dran 🙈
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.378
Beiträge
45.209
Mitglieder
3.976
Neuestes Mitglied
calibra52
Zurück
Oben