Qnap-NAS hinter Fritzbox7690

    Hey zusammen,

    ich bin mit der Suchfunktion dieses Forum´s leider nicht wirklich fündig geworden deshalb stelle ich einfach meine Frage konkret hier!


    Bin seid ca. einem Monat von Ausserhalb meines Heimnetzes von aussen Abgeschottet, (was gänzlich nicht schlecht ist) ich habe aber auch keinerlei möglichkeit auf mein Heimnetz von ausserhalb zuzugreifen!

    Ich bin nun Neukunde bei der DG und habe in meinem Heimnetz folgende Konstellation

    FTTH -> ONT -> Fritzbox 7690 (WAN) -> Lan1 (8 Port Switch 2,5Gigabit) -> an einem dieser Port´s hängt mein Qnap TS-264

    Ich habe schon viel google research betrieben und habe herausgefunden das die Deutsche Glasfaser mir Persönlich keine eigene Öffentliche IP gibt sondern das CGNAT zur Verfügung stellt (Hoffe das ändert sich wenn ich in 2 jahren den Anbieter wechseln kann)

    ich habe es wenigstens jetzt auf die reihe bekommen das ich mittels DynDNS (IPV64.net) von ausserhalb auf meine Fritzbox zugreifen kann. Leider klappt das aber nicht mit meinem NAS. Ich hab aber auch echt keine Idee ob das irgendwie geht.

    Bin zwar nicht auf den Kopf gefallen was die Netzwerk Konfiguration angeht aber mir fehlen leider die ideen.

    Vielleicht könnt ihr mir ja weiterhelfen. Mir wäre irgend ein Weg recht das ich von ausserhalb wieder mein Heimnetz unsicher machen kann wie ich es damals konnte als ich noch über VDSL bei der 1&1 war. Da hatte ich einen VPN-Benutzer auf meiner Fritte angelegt und konnte von ausserhalb mich via VPN Anmelden und konnte auf jedes endgerät in meinem Heimnetz zugreifen!

    Das NAS könnte mit Wireguard / VPN / DynDNS Arbeiten.

    Vielen lieben dank

    Bin zwar kein Netzwerkspezialist, aber wenn man außerhalb in einem IPv6 Netz (z.B. Mobilfunknetze) eingeloggt ist, klappt es via wireguard mit Sicherheit. Bei einem IPv4 Netzt wird es tricky. Hier gibt es jede Menge Spezialisten zum Thema

    Zitat von Schmelza

    ich habe es wenigstens jetzt auf die reihe bekommen das ich mittels DynDNS (IPV64.net) von ausserhalb auf meine Fritzbox zugreifen kann. Leider klappt das aber nicht mit meinem NAS.

    Du bist dir darüber im Klaren, dass man bei IPv6 direkt auf die Zieladresse des NAS zugreifen muss, und nicht auf die Adresse der Fritzbox? Das ist der große Unterschied zwischen IPv4 und IPv6. Bei IPv4 greift man auf die Fritzbox zu, und die leitet die Zugriffe weiter. Bei IPv6 greift man direkt auf das NAS zu. Das bedeutet auch: Das NAS muss via dyndns erreichbar sein. Entweder braucht es einen eigenen dyndns Account, oder du nutzt einen Anbieter, der auf Basis des Prefixes und der Host-ID den Zugriff ermöglicht. dynv6 und myfritz fallen mir auf Anhieb ein, die das direkt mit einer Fritzbox unterstützen. Es ist sehr bequem, da sich nach wie vor nur die Fritzbox um dyndns kümmern muss, und die Geräte im Heimnetz trotzdem via IPv6 erreichbar sind.

    Der Weg über VPN in der Fritzbox geht natürlich nach wie vor genauso, wie früher.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Falls du den Direktzugriff (ohne VPN, oder mit VPN-Tunnel, der am NAS terminiert) auf dein NAS via IPv6 ins Auge fasst, möchte ich zu bedenken geben, dass QNAP seit Firmware QTS 5.2.5.3145 build 20250526 (Release Notes) an der IPv6-Implementierung herum geschraubt und diese leider wie folgt "verschlimmbessert" hat:

    Bei IPv6-Konfiguration des NAS-Netzwerk-Interfaces per SLAAC ("Stateless Address Autoconfiguration") wird keine permanente Interface-ID mehr generiert!

    Zur Erläuterung:

    Im LAN hinter einer Fritzbox an einem DG-Anschluss wird dein NAS bei Konfiguration via SLAAC eine IPv6-Adresse der Form

    [PREF]:[IID]

    aufweisen, wobei PREF das LAN-Präfix 2a00:6020:PQWX:YZ00 (das prinzipiell wechseln kann, bei DG aber in aller Regel quasi-statisch ist) und [IID] die schon erwähnte Interface-ID ist, die das NAS nach einem Algorithmus u.a. aus der eigenen MAC-Adresse generiert. Beide Adress-Bestandteile sind mit jeweils 64 Bits gleich lang.

    Für den IPv6-Zugriff auf das NAS muss in der Fritzbox-Firewall inbound eine Freigabe für die IPv6-Adresse des NAS (+ entsprechende Ziel-Ports) eingerichtet werden. Diese Freigabe erfolgt aber ausschließlich anhand der [IID] des NAS, denn [PREF] kann sich ja prinzipiell ändern - die Fritzbox ist dann so smart, die Freigabe für das geänderte LAN-Präfix dynamisch anzupassen.

    Voraussetzung dafür ist aber, dass [IID] konstant ist und sich nie ändert. Das ist aber leider seit Firmware QTS 5.2.5.3145 build 20250526 nicht mehr der Fall! Es werden nur noch temporäre [IID] mit begrenzter zeitlicher Dauer erzeugt, auch nach jedem Neustart des NAS ändert sich die [IID].

    {Nachtrag: Offensichtlich haben die QNAP-System-Engineers hier nur gemäß RFC8981 implementiert und sich entsprechend dem dort enthaltenen Passus "This document does not imply or require the configuration of stable addresses; thus, implementations can now configure both stable and temporary addresses or temporary addresses only." für "temporary addresses only" entschieden. Ich vermute, sie wollten damit die Privacy des NAS "verbessern" für den Fall, dass es ständig durch irgendwelche offenen WLANs vagabundiert :roll: - ich weiß nicht so recht, was die vorher geraucht haben. Für server-like Systeme, wie einem NAS, das eigentlich permanent in einer vertrauenswürdigen Umgebung wie dem Home-LAN residiert, ist das doch jedenfalls ein ziemlicher Unsinn. Sie hätten da besser doch gemäß RFC7217 implementiert!}

    Außerdem benötigst du eine stabile [IID] auch für manche DynDNS-Lösungen (z.B. DynV6), bei denen du auf deren Web-Site einen Host (hier NAS) anhand seiner [IID] konfigurieren musst. Die Fritzbox würde in einem DynDNS-Update dann nur den [PREF] liefern. Der DynDNS-Anbieter "montiert" beides zu [PREF]:[IID] zusammen und registriert die Adresse unter deinem Wunsch-FQDN im DNS.

    Ein Workaround wäre daher, von SLAAC (heißt dort "Automatische Stateless-Konfiguration") für dein NAS abzusehen:

    1. Du könntest die IPv6-Adressvergabe in deinem LAN in der Fritzbox auf DHCPv6 umstellen (in den IPv6-Einstellungen die Option "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" aktivieren). Im NAS konfigurierst du für IPv6 den Verbindungstyp "Automatische Stateful-Adress-Konfiguration" mit "DNS-Server-Verbindung" = Automatisch.

      Welche IPv6-Adresse und mithin welche [IID] der DHCPv6-Server der Fritzbox dann deinem NAS zuweist, kannst du anschließend in der Fritzbox oder im NAS nachschauen. Hier musst du allerdings darauf bauen, dass der DHCPv6-Server dem NAS stets dieselbe [IID] zuweist. Ich habe diesbezüglich keinerlei Erfahrungswerte.
    2. Ansonsten bliebe nur, dein NAS bzgl. IPv6 statisch zu konfigurieren ("Statische IP-Adresse verwenden"), d.h. selbst eine feste [IID], hier z.B. "0:0:0:1" (kurz: "::1") vorzugeben:

      Feste IP-Adresse: 2a00:6020:PQWX:YZ00::1
      Präfixlänge: /64
      Standardgateway: fe80:... (hier bitte die fe80-Adresse deiner Fritzbox eintragen, die wird dir z.B. unter Windows mit dem Kommando "ipconfig" unter "Standardgateway" angezeigt.
      DNS-Server: Hier entweder deine Fritzbox (siehe Ausgabe des Windows-Kommandos "ipconfig /all" und dort: "DNS-Server": fd...) oder andere DNS-Server deiner Wahl (z.B. Google: 2001:4860:4860::8888 + 2001:4860:4860::8844) eintragen.

      Hier hättest du nun zwar einen festen [IID] = 0:0:0:1, den du für die Freigabe-Konfiguration in der Fritzbox und ggf. auch für DynDNS verwenden kannst. Allerdings besteht hier der Nachteil, dass sich das LAN-Präfix nicht ändern darf (in diesem Fall musst du die statische IPv6-Konfiguration deines NAS manuell nachziehen - Fritzbox-Freigabe und DynDNS müssen nicht geändert werden) - aber das kommt an DG-Anschlüssen so gut wie nie vor.

    Du kannst den Zugriff von außen (z.B. via Smartphone mit abgeschaltetem WLAN, sofern du von deinem Mobilfunkanbieter IPv6 bekommst) auch ohne DynDNS ausprobieren, indem du im Adressfeld anstelle eines FQDN (den du noch nicht hast) unmittelbar die IPv6-Adresse des NAS verwendest, wichtig ist dabei, dass du sie in eckige Klammern setzen musst:

    [2a00:6020:PQWX:YZ00::1]

    2 Mal editiert, zuletzt von ::1 (19. August 2025 um 12:42)

    Also ich habe jetzt Gott sei dank alles am laufen.
    Habe mich nun mit myfritz verbunden und anschließend eine wireguard konfig von innen nach außen aufgebaut. Fakt ist jedoch trotzdem das die Deutsche Glasfaser ein saftladen ist. 😄

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.