DynDNS ist weit verbreitet und wird von vielen Anwendern verwendet um komfortabel von unterwegs aus dem Internet auf die heimischen Ressourcen wie NAS,Drucker oder RDP-Server, zuzugreifen.

Kurz erklärt was ist DynDNS und wie funktioniert das eigentlich.

Jeder Router erhält bei jedem Verbindungsaufbau mit dem Internet eine eindeutige IP-Adresse vom Internet-Anbieter. Die Anbieter haben nur eine begrenzte Anzahl an IP-Adressen für Ihre Kunden, weshalb Sie die IP-Adressen, die gerade nicht gebraucht werden, wieder für andere Kunden (Anschlüsse) freigeben. Das hat wirtschaftliche und technische Gründe. Jeden Tag fallen mehrere DSL-Anschlüsse weg und jeden Tag kommen neue Anschlüsse hinzu. Da macht es keinen großen Sinn für jedes Haus auch noch eine Liste der freien und bereits benutzten IP-Adressen zu führen. Das macht nur mehr Aufwand und kostet am Ende den Kunden mehr Geld.

Also ist die einfachste Lösung, jedem Router eine freie IP-Adresse zu geben. Unterm Strich bedeutet das für den DSL-Kunden, das er jeden Tag eine andere IP-Adresse vom Anbieter erhält. Der Anbieter sorgt dafür, das der DSL-Router sich mindestens einmal pro 24 Stunden erneut verbindet.

Eine Ausnahme sind Geschäftskunden, die sich meist eine Feste IP-Adresse bei Ihrem Anbieter reservieren lassen. Der Personenkreis ist aber überschaubar und diese Kunden zahlen gerne die paar Euro mehr, für den Aufwand und den Mehrwert. Diese werden zwar ebenfalls jeden Tag einmal getrennt und wieder verbunden, bekommen aber immer die gleiche IP-Adresse zugewiesen.

Für alle anderen Kunden, bei denen sich also Tag für Tag die IP-Adresse verändert, gibt es DynDnS-Dienste. Der DynDNS Anbieter wird bei jeder IP-Adress Änderung informiert und trägt die neue IP-Adresse in seinen Dienst ein. Der Kunden hat sich einen öffentlichen Namen ausgesucht, der jeden Tag erneut mit der aktuellen IP-Adresse des Routers verknüpft wird. Damit ist der Kunde über den öffentlichen DDNS Namen immer erreichbar, unabhängig davon wie oft sich seine IP-Adresse am Router ändert.

Und da wir im Internet sowieso mit Namen anstatt mit IP-Adressen arbeiten, passt das auch ganz gut für das menschliche Gehirn.

Einige Router Hersteller haben Ihre Sicherheitskonfiguration so stramm eingestellt, das ein Zugriff vom lokalen Netzwerk auf die eigene DDNS Adresse aber nicht möglich ist. Das hat was mit der Paket-Adressierung des Routers zu tun.

Sehen wir uns das einmal unter der Lupe an: Ein PC versucht über DDNS auf die Synology im gleichen Netzwerk zu zugreifen.

  • Ein Client (192.168.2.121) im LAN sendet einen eine Anfrage an den Sever mustermann.dndns.org, dieser löst den DNS-Namen auf und sendet ein Request zurück, darin ist die öffentliche IP-Adresse )78.212.55.12) enthalten.
  • Die DSL-Box routet den Request an den lokalen PC im LAN, wobei die öffentliche IP-Adresse durch die lokale IP-Adresse des Routers (z.B. 192.168.2.1 bei der DSL Box) ersetzt wird.
  • Die DiskStation sendet ein Response an die lokale Adresse als Absender, da diese ja nicht von der Fritz!Box verändert wurde
  • Die DSLBox routet die IP-Pakete nun wieder an den Client über die lokale IP-Adresse
  • Der Client wird die kommende Antwort nun verwerfen, da er ja eine Antwort von der öffentlichen IP-Adresse erwartet hatte und jetzt eine Antwort aus dem lokalen Netzwerk mit einer lokalen IP-Adresse des Routers erhält.

Somit kann also keine Kommunikation zwischen dem PC (Client) und der öffentlichen IP-Adresse zustande kommen, da die NAT-Regeln im Router (DSL Box) in Kombination mit den Sicherheitseinstellungen des PC dafür sorgen, dass die Antwort von der DiskStation via DDNS nicht akzeptiert werden. Es ist also kein Zugriff über die DDNS Adresse aus dem LAN heraus möglich.

Die Lösung heißt NAT-Loobback

Damit die Anfragen vom aus dem lokalen Netzwerkwerk per DDNS auf angenommen werden, muss der DSL-Router bei der Antwort der Synology dessen interne IP-Adresse durch die externe IP) öffentlichte IP ersetzen. Nur dann bekommt der Client (anfragender PC) aus seiner Sicht, auch die korrekt adressierten Antworten vom „richtigen Absender“ und akzeptiert die Pakete.

Dahinter steckt die Technik mit dem Namen NAT-Loopback, was von den meisten Router heutzutage auch unterstützt wird. NAT-Loopback fällt oft im Zusammenhang mit dem Begriff Hairpinning. Damit ist die Kommunikation zwischen zwei Geräten gemeint, die sich eigentlich im selben Netzwerk befinden, aber dennoch über das Internet (externe IP-Adresse) kommunizieren, sprich über die DDNS-Adresse.

Leider gibt es da auch Ausnahmen, den nicht alle Router aller Hersteller haben diese NAT-Loopback Fähigkeit.

Apple Airport Extreme = Ja
AVM Fritz!Box = Ja zumindest ab 71xx

Telekom
Digitalisierungbox Standard = Ja (muss evt. aktiviert werden)
Digitalisierungbox Smart= Ja (muss erst aktiviert werden)
Digitalisierungbox Premium = Ja
Speedport W503V = Ja
Speedport W724V (A, C) = Nein
Speedport W922V = Nein

Swisscom
Internet-Box Standard = Ja
Internet-Box Plus = Ja
Internet-Box Light = Nein

Vodafone
EasyBox 803 = Ja
EasyBox 804 = Nein

Diese Liste stellt natürlcihe keinen Anspruch auf Vollständigkeit dar. Die Situation kann sich jederzeit ändern, wenn die Hersteller neue Firmware anbieten.

Wer das Problem mit dem DDNS aus dem lokalen Netzwerk hat, der kann sich zumindest mit der QuickConnect ID weiterhelfen, das sollte auch ohne Hairpinning funktionieren. Achtet darauf wenn Ihr das Zertifikat beantragt.

Prinzipiell ist es aber auch nicht unbedingt erfoderlich, aus dem LAN heraus über die Internet-Verbindung auf seine 2 Meter weiter stehende Synology zu zu greifen. Im Gegenteil, das geht meist über die lokale IP-Adresse der Synology deutlich schneller und geschmeidiger.

Und wer im Browser einmal die Zertifikatswarnung als Ausnahme hinzu gefügt hat, wird dann auch „intern“ nicht mehr mit der lästigen Warnung behelligt. Das Zertifikat ist ja auch eher für die externen Zugriffe relevant, der Schutz ändert sich dadurch nicht.

Wie gut hat Dir der Artikel gefallen ?
Gesamt: 0 Durchschnitt: 0]